NIST于周四發(fā)布了開放安全控制評估語言 （OSCAL） 的第一個(gè)版本。

　　OSCAL 能夠以機(jī)器可讀的格式表示云合規(guī)性和安全要求，例如廣泛使用的可擴(kuò)展標(biāo)記語言 （XML）、JavaScript 對象表示法 （JSON） 和另一種標(biāo)記語言 （YAML）。根據(jù)信息技術(shù)實(shí)驗(yàn)室計(jì)算機(jī)安全部 （CSD） 高級技術(shù)主管 Michaela Iorga 撰寫的博客文章，OSCAL 中表示的合規(guī)性要求可能包括控制目錄、控制基線、系統(tǒng)安全計(jì)劃以及評估計(jì)劃和結(jié)果。

　　由于 OSCAL 提供機(jī)器可讀的格式，它將在已經(jīng)高度自動化的云環(huán)境中實(shí)現(xiàn)更高程度的合規(guī)性和安全自動化，使評估能夠跟上軟件開發(fā)和 IT 運(yùn)營的步伐。

　　OSCAL 將使根據(jù)自定義和既定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（例如NIST 特別出版物 800-53 ）更快速地評估云環(huán)境合規(guī)性和安全性變得更加容易 。

　　Iorga 寫道：“OSCAL 的安全自動化支持針對多個(gè)監(jiān)管框架對云服務(wù)的安全態(tài)勢進(jìn)行更嚴(yán)格、更快速和可重復(fù)的評估，并且減少來自人為因素的主觀主義?！?“使用 OSCAL，大約 60% 的評估可以自動化?！?/p>

　　保護(hù)國防部云環(huán)境的挑戰(zhàn)

　　正人們所知，在 DoD 的云環(huán)境中實(shí)施DevSecOps和云基礎(chǔ)設(shè)施即代碼 （IaC） 的力度很大。DevSecOps 和 IaC 是獨(dú)立的計(jì)劃，但密切相關(guān)。DISA 的云計(jì)算項(xiàng)目辦公室正在帶頭實(shí)施一項(xiàng)國防部范圍內(nèi)的 IaC 計(jì)劃，美國空軍首席軟件架構(gòu)師正在共同領(lǐng)導(dǎo)一項(xiàng)國防部范圍內(nèi)實(shí)施 DevSecOps 的計(jì)劃。

　　嚴(yán)重依賴 IaC 的 DevSecOps 提供了機(jī)會，可以快速加快應(yīng)用程序的開發(fā)速度并交付給作戰(zhàn)人員和作戰(zhàn)人員支持功能，例如物流——將開發(fā)和交付應(yīng)用程序所需的時(shí)間從數(shù)年、數(shù)月或數(shù)周縮短到數(shù)小時(shí)甚至幾分鐘，在某些情況下。

　　但安全專家表示，實(shí)現(xiàn)這種交付速度的相同技術(shù)開啟了越來越多的黑客攻擊目標(biāo)。這是許多國防部實(shí)體轉(zhuǎn)向零信任安全的原因之一。在 IaC 的特定情況下，OSCAL 提供了在 DevSecOps 云環(huán)境中自動執(zhí)行合規(guī)性和安全性評估的能力。

　　IaC 使用軟件來管理基礎(chǔ)設(shè)施（例如服務(wù)器），而不是依靠人工手動配置硬件。IaC 顯著提高了供應(yīng)、配置和管理云基礎(chǔ)架構(gòu)的效率。

　　DevSecOps 的基礎(chǔ)是持續(xù)集成和持續(xù)部署 （CI/CD） 的原則。持續(xù)集成意味著新代碼總是被測試，與其他代碼更新相結(jié)合，并合并到現(xiàn)有代碼中。此類代碼更新可以包括新功能、錯(cuò)誤修復(fù)和安全補(bǔ)丁。持續(xù)部署意味著更新的代碼在應(yīng)用程序準(zhǔn)備就緒后立即合并到應(yīng)用程序的代碼庫中，以便用戶可以訪問最新版本。

　　作為 CI/CD 的一個(gè)例子， 美國空軍首席軟件官兼國防部范圍內(nèi)實(shí)施計(jì)劃的聯(lián)合負(fù)責(zé)人 Nicolas Chaillan 表示，國防部每天“發(fā)布”其 Platform One（即 DevSecOps 環(huán)境）31 次，每個(gè)版本都會推出更新的代碼。高度自動化的 DevSecOps 部分是使國防部每天 31 次發(fā)布成為可能的原因。

　　IaC 的一個(gè)好處是能夠開發(fā)基于軟件的機(jī)器可讀模板，這些模板可以自動執(zhí)行一系列任務(wù)，例如啟動制作應(yīng)用程序所需的云資源（例如，計(jì)算、內(nèi)存、存儲等）可供用戶使用——無論是通過士兵的設(shè)備、在飛機(jī)上還是在船上訪問該應(yīng)用程序。高度自動化的 IaC 在一定程度上使快速可擴(kuò)展性成為可能。

　　“IaC 是我們所做一切的基礎(chǔ)，”Chaillan 在最近由關(guān)鍵基礎(chǔ)設(shè)施技術(shù)研究所主辦的關(guān)于新興 IaC 和應(yīng)用程序編程接口 （API） 網(wǎng)絡(luò)安全威脅載體的活動中說。

　　但是 IaC 方法存在一個(gè)潛在問題。Rise8 首席網(wǎng)絡(luò)安全工程師 Chris Hughes 在同一個(gè) ICIT 活動中說：“這些模板可能存在配置錯(cuò)誤或 [安全] 漏洞并大規(guī)模復(fù)制它們?！?這意味著應(yīng)用到 100 臺服務(wù)器的一個(gè)模板中的安全漏洞會迅速將安全漏洞傳播到整個(gè)云環(huán)境。

　　由于 DevSecOps 云環(huán)境的動態(tài)性，這個(gè)問題變得更加復(fù)雜。實(shí)現(xiàn)速度的自動化還需要根據(jù)需要更改底層云基礎(chǔ)架構(gòu)，以擴(kuò)展或縮減所需的 IT 資源。只要有人可以使用傳統(tǒng)方法記錄環(huán)境，它很可能會因?yàn)?CI/CD 而再次發(fā)生變化。

　　Hughes 指出，“過時(shí)文檔的問題”給試圖保護(hù)復(fù)雜、不斷變化的環(huán)境的網(wǎng)絡(luò)安全專業(yè)人員以及負(fù)責(zé)確保允許在國防部云環(huán)境中運(yùn)行的 IT 安全合規(guī)性的人員帶來了挑戰(zhàn)——這是一個(gè)概念稱為操作授權(quán)（AtO）。而在 CI/CD 環(huán)境中，必須有持續(xù)的 AtO。

　　多年來，技術(shù)作家一直在對工作流程進(jìn)行現(xiàn)代化改造，并采用文檔即代碼等實(shí)踐來與敏捷軟件開發(fā)實(shí)踐和 DevSecOps 環(huán)境保持一致。但是安全合規(guī)文檔與開發(fā)人員或用戶文檔不同。生成安全合規(guī)性文檔，然后——最重要的是——及時(shí)有效地將所需的安全配置快速應(yīng)用到快速且頻繁變化的 IT 環(huán)境中，這是一項(xiàng)新的挑戰(zhàn)。

　　進(jìn)入 OSCAL：自動化云合規(guī)性和安全評估

　　Iorga 創(chuàng)建了 OSCAL 來幫助解決動態(tài)和復(fù)雜的 IaC 云環(huán)境的挑戰(zhàn)。在博客文章中，Iorga 總結(jié)了這一挑戰(zhàn)：“二十年來，各機(jī)構(gòu)努力實(shí)施管理和預(yù)算辦公室的 A-130 號通告：將信息作為戰(zhàn)略資源進(jìn)行管理，但所采用的 [AtO] 流程依賴于基于紙張的文檔、手動評估流程以及不支持安全數(shù)據(jù)可移植性的不可互操作的專有自動化流程和工具?！?/p>

　　而且，Iorga 繼續(xù)說道，“隨著系統(tǒng)變得越來越復(fù)雜和采用更多的云解決方案，安全從業(yè)人員和授權(quán)官員的工作變得更加困難——涉及多組文檔，同時(shí)需要了解系統(tǒng)如何堆疊，相互依賴或互連以及如何繼承控制以識別需要減輕的風(fēng)險(xiǎn)?！?/p>

　　這些傳統(tǒng)的、基于紙張的安全合規(guī)流程與復(fù)雜、快速發(fā)展、不斷變化的 DevSecOps 環(huán)境不符。那么，運(yùn)營商如何確保 DevSecOps 環(huán)境中的安全合規(guī)性和 AtO 要求？嗯，當(dāng)然是自動化。

　　OSCAL 的“互操作性和便攜性”特性意味著它可以用于各種云環(huán)境——從國防部和情報(bào)界到聯(lián)邦文職政府，甚至商業(yè)部門。