青藤｜安全合规三步走 – 作者:青藤云安全

随着越来越多的企业采用敏捷开发和DevOps来加快服务交付速度，并对威胁做出快速响应，生产环境的不断变化给安全合规带来了相当大的风险。与此同时，组织机构必须满足越来越多的法规要求，包括PCI标准、CIS标准、《通用数据保护条例》（GDPR）等等。

I&O负责人该如何在提高敏捷性、尽量不给团队造成额外工作负担的情况下，确保安全合规呢？合规是信息安全的最低要求，不合规却是信息安全的最大问题。建议企业按以下三个最佳惯例，最大限度地降低风险并加快将服务交付生产的速度：

1. 加强合作，优化和简化必要控制措施

I＆O负责人首先必须确保其团队与主要相关人员在开发、信息安全、法律、合规和内部审计方面进行协作。安全合规性也应实行责任共担机制。开发团队必须学习安全和风险相关的基础知识，同时采取适当的措施来持续缓解或避免风险。

• 加强与所有相关人员的交流合作，确保对管理层的风险管理政策和控制措施达成共识。
• 将合规作为每个人的职责。
• 向每个相关人员宣传风险管理知识，减少不必要的控制措施。
• 通过减少冗余来节省时间和资金（例如，充分利用相同的流程和结果来满足不同的法规要求）。
• 记录并发布设计好的合规流程，并得到管理人员的批准。
• 继续加强协作、迭代和改进流程。

2. 实现流程自动化，并将合规落实为代码来平衡速度与风险

传统的安全合规方法通常是预防性控制措施，需要手动流程和工作流，耗时耗力。这时，合规自动化就尤为重要。通过自动化，就减少了手动执行步骤，最大程度地减少了人为错误的可能性，并增强了一致性、可追溯性和可审核性。

• 与安全合规人员合作，将安全合规转换为代码。
• 使用DevOps实践和自动化来替代传统控制措施。
• 通过利用工具链将安全合规落实为代码。
• 通过不断监控合规性状态来验证和衡量合规性工作是否成功。
• 通过利用针对安全合规的特定软件，扩大组织范围内的安全合规实践。
• 通过使用指标和反馈来不断改进。

下表中列出了一些比较受欢迎的开源和商业化合规自动化工具：

3. 根据组织机构的安全合规要求不断评估工具链

工具链能够加快组织机构的服务交付速度，扩大敏捷开发、CD/CI、DevOps计划，确保可以通过自动化、CaC（compliance-as-code）和自动化合规性测试实现安全合规。随着工具链成为数字化计划的关键流程，开发团队必须与相关者合作，建立一个流程，持续保护、管理和更新工具链。随着组织机构的需求变化，这些工具需要根据（技术和功能）优先级的变化而更新。

• 构建集成、安全且合规的工具链。
• 在组建平台团队，扩展DevOps、敏捷开发时，遵循最佳实践。
• 利用CaC、IaC和CCA满足组织的安全合规要求。
• 利用合规性工具来监视、报告和实施控制措施。
• 创建用于采用和增强工具的治理流程。

来源：freebuf.com 2020-05-20 14:17:20 by: 青藤云安全