随着越来越多的企业采用敏捷开发和DevOps来加快服务交付速度,并对威胁做出快速响应,生产环境的不断变化给安全合规带来了相当大的风险。与此同时,组织机构必须满足越来越多的法规要求,包括PCI标准、CIS标准、《通用数据保护条例》(GDPR)等等。
I&O负责人该如何在提高敏捷性、尽量不给团队造成额外工作负担的情况下,确保安全合规呢?合规是信息安全的最低要求,不合规却是信息安全的最大问题。建议企业按以下三个最佳惯例,最大限度地降低风险并加快将服务交付生产的速度:
1. 加强合作,优化和简化必要控制措施
I&O负责人首先必须确保其团队与主要相关人员在开发、信息安全、法律、合规和内部审计方面进行协作。安全合规性也应实行责任共担机制。开发团队必须学习安全和风险相关的基础知识,同时采取适当的措施来持续缓解或避免风险。
- 加强与所有相关人员的交流合作,确保对管理层的风险管理政策和控制措施达成共识。
- 将合规作为每个人的职责。
- 向每个相关人员宣传风险管理知识,减少不必要的控制措施。
- 通过减少冗余来节省时间和资金(例如,充分利用相同的流程和结果来满足不同的法规要求)。
- 记录并发布设计好的合规流程,并得到管理人员的批准。
- 继续加强协作、迭代和改进流程。
2. 实现流程自动化,并将合规落实为代码来平衡速度与风险
传统的安全合规方法通常是预防性控制措施,需要手动流程和工作流,耗时耗力。这时,合规自动化就尤为重要。通过自动化,就减少了手动执行步骤,最大程度地减少了人为错误的可能性,并增强了一致性、可追溯性和可审核性。
- 与安全合规人员合作,将安全合规转换为代码。
- 使用DevOps实践和自动化来替代传统控制措施。
- 通过利用工具链将安全合规落实为代码。
- 通过不断监控合规性状态来验证和衡量合规性工作是否成功。
- 通过利用针对安全合规的特定软件,扩大组织范围内的安全合规实践。
- 通过使用指标和反馈来不断改进。
下表中列出了一些比较受欢迎的开源和商业化合规自动化工具:
3. 根据组织机构的安全合规要求不断评估工具链
工具链能够加快组织机构的服务交付速度,扩大敏捷开发、CD/CI、DevOps计划,确保可以通过自动化、CaC(compliance-as-code)和自动化合规性测试实现安全合规。随着工具链成为数字化计划的关键流程,开发团队必须与相关者合作,建立一个流程,持续保护、管理和更新工具链。随着组织机构的需求变化,这些工具需要根据(技术和功能)优先级的变化而更新。
- 构建集成、安全且合规的工具链。
- 在组建平台团队,扩展DevOps、敏捷开发时,遵循最佳实践。
- 利用CaC、IaC和CCA满足组织的安全合规要求。
- 利用合规性工具来监视、报告和实施控制措施。
- 创建用于采用和增强工具的治理流程。
来源:freebuf.com 2020-05-20 14:17:20 by: 青藤云安全
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册