⁉️
Đợt trước mình có nhận được yêu cầu từ đội QA là giúp đội đi audit
cloud security một số dự án. Bước đầu đi audit, QA có show security
checklist của công ty nhưng mông lung quá, các câu hỏi, guideline checklist
đặt ra rất chung chung, không có hướng dẫn cụ thể khiến cho người đi
audit rất khó để audit và đội dự án cũng rất khó để làm theo.
❌ Câu hỏi đặt ra là cần tìm một Security framework support việc đảm bảo an toàn thông tin. Dựa vào Security framework, dự án có thể thiết lập các process, và các hoạt động quản trị để giải quyết vấn đề an toàn thông tin.
👉 Security Framework
được sử dụng để giúp dự án vượt qua những lần audit, vì vậy framework
phải hỗ trợ các yêu cầu cụ thể được xác định trong tiêu chuẩn (1) hoặc
quy định(2).
📌(1)* Tiêu chuẩn (standard) là các quy tắc, các bước bắt buộc phải tuân theo. Ví dụ: Chuẩn ISO/IEC 27000:2018
📌(2)*
Quy định (regulations) là những ràng buộc về mặt pháp lý. Các quy định
thường được chính phủ đưa ra. Việc không tuân thủ các quy định có thể
dẫn đến các hình phạt về tài chính, kiện tụng.
👉👉 Hiện nay có khá nhiều Framework được phát triển để đảm bảo an toàn thông tin.
1️⃣ NIST Frameworks:
là một tập hợp các tài liệu hướng dẫn và thực hành tốt nhất được phát
triển bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) nhằm hỗ
trợ các tổ chức quản lý rủi ro an ninh mạng hiệu quả.
Trong đó ta chú ý tới chuẩn NIST SP 800 Series, NIST SP 800 series giải quyết hầu như mọi khía cạnh của bảo mật thông tin, và hiện nay đang tập trung nhiều vào cloud security.
- NIST SP 800-53 : Là chuẩn IT security cho chính phủ Hoa Kỳ và được sử dụng rộng rãi trong môi trường tư nhân.
- NIST SP 800-171: Chuẩn IT security tương tự như 800-53 nhưng tổng quát hơn và không đi sâu vào chi tiết.
2️⃣ CIS - Center for Internet Security:
là một tổ chức phi lợi nhuận, phi chính phủ có trụ sở tại Hoa Kỳ,
chuyên cung cấp các giải pháp an ninh mạng cho các tổ chức thuộc mọi quy
mô.
CIS Phát triển các tiêu chuẩn an ninh mạng, bao gồm:
- CIS Controls: Tập hợp các biện pháp kiểm soát an ninh mạng cơ bản giúp giảm thiểu rủi ro an ninh mạng cho các tổ chức.
- CIS Benchmarks: Tập hợp các cấu hình bảo mật được đề xuất cho các hệ thống máy tính và phần mềm phổ biến.
- Cung cấp các chương trình đào tạo về an ninh mạng, bao gồm:
- CIS Certified Secure Software Developer (CSSD): Chương trình đào tạo dành cho các nhà phát triển phần mềm về cách viết mã an toàn.
- CIS Certified Secure Systems Administrator (CSSA): Chương trình đào tạo dành cho các quản trị viên hệ thống về cách bảo mật hệ thống máy tính.
- Chia sẻ thông tin và kiến thức về an ninh mạng thông qua các ấn phẩm, hội thảo trên web và các sự kiện khác.
3️⃣ CISA, RBI, FedRAMP, PCI-DSS, GDPR, HIPAA, FFIEC, SOC2, GXP,... và còn nhiều chuẩn khác nữa.
`AWS Security checklist` được customize từ các chuẩn trên cho phù hợp với tình hình thực tế dự án và của công ty.
Checklist, guideline có rồi nhưng qua việc đi audit hai dự án thì thấy mặc dù `AWS Security checklist`
đã khá chi tiết, nhưng để check được hết các item trong checklist mọi
người mất khá nhiều thời gian có khi cả ngày, từ đó xuất phát nhu cầu
phải có một tool để có thể auto check được các item trong checklist.
👉 Hiện
tại có khá nhiều tool mất tiền implement theo các chuẩn trên. Sau khi
đánh giá một số tool open source mình đánh giá khá cao tool prowler và đang có ý định custom lại một ít để phù hợp với `AWS Security checklist`.
Prowler support hầu hết các cloud provider nổi tiếng hiện tại như AWS, GCP, Azure.
Prowler architecture:
Prowler example results:
Với Prowler tool thì việc check audit sẽ giảm từ 1 ngày xuống còn khoảng 15 phút.
Không có nhận xét nào:
Đăng nhận xét