NIST于周四發(fā)布了開放安全控制評估語言 （OSCAL） 的第一個版本,。

　　OSCAL 能夠以機(jī)器可讀的格式表示云合規(guī)性和安全要求,，例如廣泛使用的可擴(kuò)展標(biāo)記語言 （XML）、JavaScript 對象表示法 （JSON） 和另一種標(biāo)記語言 （YAML）,。根據(jù)信息技術(shù)實(shí)驗(yàn)室計(jì)算機(jī)安全部 （CSD） 高級技術(shù)主管 Michaela Iorga 撰寫的博客文章,，OSCAL 中表示的合規(guī)性要求可能包括控制目錄,、控制基線、系統(tǒng)安全計(jì)劃以及評估計(jì)劃和結(jié)果,。

　　由于 OSCAL 提供機(jī)器可讀的格式,，它將在已經(jīng)高度自動化的云環(huán)境中實(shí)現(xiàn)更高程度的合規(guī)性和安全自動化，使評估能夠跟上軟件開發(fā)和 IT 運(yùn)營的步伐,。

　　OSCAL 將使根據(jù)自定義和既定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（例如NIST 特別出版物 800-53 ）更快速地評估云環(huán)境合規(guī)性和安全性變得更加容易 ,。

　　Iorga 寫道：“OSCAL 的安全自動化支持針對多個監(jiān)管框架對云服務(wù)的安全態(tài)勢進(jìn)行更嚴(yán)格、更快速和可重復(fù)的評估,，并且減少來自人為因素的主觀主義,。” “使用 OSCAL,，大約 60% 的評估可以自動化,。”

　　保護(hù)國防部云環(huán)境的挑戰(zhàn)

　　正人們所知,，在 DoD 的云環(huán)境中實(shí)施DevSecOps和云基礎(chǔ)設(shè)施即代碼 （IaC） 的力度很大,。DevSecOps 和 IaC 是獨(dú)立的計(jì)劃，但密切相關(guān),。DISA 的云計(jì)算項(xiàng)目辦公室正在帶頭實(shí)施一項(xiàng)國防部范圍內(nèi)的 IaC 計(jì)劃,，美國空軍首席軟件架構(gòu)師正在共同領(lǐng)導(dǎo)一項(xiàng)國防部范圍內(nèi)實(shí)施 DevSecOps 的計(jì)劃。

　　嚴(yán)重依賴 IaC 的 DevSecOps 提供了機(jī)會,，可以快速加快應(yīng)用程序的開發(fā)速度并交付給作戰(zhàn)人員和作戰(zhàn)人員支持功能,，例如物流——將開發(fā)和交付應(yīng)用程序所需的時間從數(shù)年,、數(shù)月或數(shù)周縮短到數(shù)小時甚至幾分鐘,，在某些情況下,。

　　但安全專家表示，實(shí)現(xiàn)這種交付速度的相同技術(shù)開啟了越來越多的黑客攻擊目標(biāo),。這是許多國防部實(shí)體轉(zhuǎn)向零信任安全的原因之一,。在 IaC 的特定情況下，OSCAL 提供了在 DevSecOps 云環(huán)境中自動執(zhí)行合規(guī)性和安全性評估的能力,。

　　IaC 使用軟件來管理基礎(chǔ)設(shè)施（例如服務(wù)器）,，而不是依靠人工手動配置硬件。IaC 顯著提高了供應(yīng),、配置和管理云基礎(chǔ)架構(gòu)的效率,。

　　DevSecOps 的基礎(chǔ)是持續(xù)集成和持續(xù)部署 （CI/CD） 的原則。持續(xù)集成意味著新代碼總是被測試,，與其他代碼更新相結(jié)合,，并合并到現(xiàn)有代碼中。此類代碼更新可以包括新功能,、錯誤修復(fù)和安全補(bǔ)丁,。持續(xù)部署意味著更新的代碼在應(yīng)用程序準(zhǔn)備就緒后立即合并到應(yīng)用程序的代碼庫中，以便用戶可以訪問最新版本,。

　　作為 CI/CD 的一個例子,， 美國空軍首席軟件官兼國防部范圍內(nèi)實(shí)施計(jì)劃的聯(lián)合負(fù)責(zé)人 Nicolas Chaillan 表示，國防部每天“發(fā)布”其 Platform One（即 DevSecOps 環(huán)境）31 次,，每個版本都會推出更新的代碼,。高度自動化的 DevSecOps 部分是使國防部每天 31 次發(fā)布成為可能的原因。

　　IaC 的一個好處是能夠開發(fā)基于軟件的機(jī)器可讀模板,，這些模板可以自動執(zhí)行一系列任務(wù),，例如啟動制作應(yīng)用程序所需的云資源（例如，計(jì)算,、內(nèi)存,、存儲等）可供用戶使用——無論是通過士兵的設(shè)備、在飛機(jī)上還是在船上訪問該應(yīng)用程序,。高度自動化的 IaC 在一定程度上使快速可擴(kuò)展性成為可能,。

　　“IaC 是我們所做一切的基礎(chǔ)，”Chaillan 在最近由關(guān)鍵基礎(chǔ)設(shè)施技術(shù)研究所主辦的關(guān)于新興 IaC 和應(yīng)用程序編程接口 （API） 網(wǎng)絡(luò)安全威脅載體的活動中說,。

　　但是 IaC 方法存在一個潛在問題,。Rise8 首席網(wǎng)絡(luò)安全工程師 Chris Hughes 在同一個 ICIT 活動中說：“這些模板可能存在配置錯誤或 [安全] 漏洞并大規(guī)模復(fù)制它們。” 這意味著應(yīng)用到 100 臺服務(wù)器的一個模板中的安全漏洞會迅速將安全漏洞傳播到整個云環(huán)境,。

　　由于 DevSecOps 云環(huán)境的動態(tài)性,，這個問題變得更加復(fù)雜。實(shí)現(xiàn)速度的自動化還需要根據(jù)需要更改底層云基礎(chǔ)架構(gòu),，以擴(kuò)展或縮減所需的 IT 資源,。只要有人可以使用傳統(tǒng)方法記錄環(huán)境，它很可能會因?yàn)?CI/CD 而再次發(fā)生變化,。

　　Hughes 指出,，“過時文檔的問題”給試圖保護(hù)復(fù)雜、不斷變化的環(huán)境的網(wǎng)絡(luò)安全專業(yè)人員以及負(fù)責(zé)確保允許在國防部云環(huán)境中運(yùn)行的 IT 安全合規(guī)性的人員帶來了挑戰(zhàn)——這是一個概念稱為操作授權(quán)（AtO）,。而在 CI/CD 環(huán)境中,，必須有持續(xù)的 AtO。

　　多年來,，技術(shù)作家一直在對工作流程進(jìn)行現(xiàn)代化改造,，并采用文檔即代碼等實(shí)踐來與敏捷軟件開發(fā)實(shí)踐和 DevSecOps 環(huán)境保持一致,。但是安全合規(guī)文檔與開發(fā)人員或用戶文檔不同,。生成安全合規(guī)性文檔，然后——最重要的是——及時有效地將所需的安全配置快速應(yīng)用到快速且頻繁變化的 IT 環(huán)境中,，這是一項(xiàng)新的挑戰(zhàn),。

　　進(jìn)入 OSCAL：自動化云合規(guī)性和安全評估

　　Iorga 創(chuàng)建了 OSCAL 來幫助解決動態(tài)和復(fù)雜的 IaC 云環(huán)境的挑戰(zhàn)。在博客文章中,，Iorga 總結(jié)了這一挑戰(zhàn)：“二十年來,，各機(jī)構(gòu)努力實(shí)施管理和預(yù)算辦公室的 A-130 號通告：將信息作為戰(zhàn)略資源進(jìn)行管理，但所采用的 [AtO] 流程依賴于基于紙張的文檔,、手動評估流程以及不支持安全數(shù)據(jù)可移植性的不可互操作的專有自動化流程和工具,。”

　　而且,，Iorga 繼續(xù)說道,，“隨著系統(tǒng)變得越來越復(fù)雜和采用更多的云解決方案，安全從業(yè)人員和授權(quán)官員的工作變得更加困難——涉及多組文檔,，同時需要了解系統(tǒng)如何堆疊,，相互依賴或互連以及如何繼承控制以識別需要減輕的風(fēng)險?！?/p>

　　這些傳統(tǒng)的,、基于紙張的安全合規(guī)流程與復(fù)雜、快速發(fā)展,、不斷變化的 DevSecOps 環(huán)境不符,。那么，運(yùn)營商如何確保 DevSecOps 環(huán)境中的安全合規(guī)性和 AtO 要求？嗯,，當(dāng)然是自動化,。

　　OSCAL 的“互操作性和便攜性”特性意味著它可以用于各種云環(huán)境——從國防部和情報界到聯(lián)邦文職政府，甚至商業(yè)部門,。