Denetim sürecini anlamak

Bilgi sistemi güvenlik uyumu, iki temel sürecin tamamlanmasına bağlıdır:

Güvenlik kontrollerinin uygulanması ve çalıştırılması

Bilgi sistemini kapsam ve standartlarla uyumlu hale getirmek, resmi bir değerlendirmeden önce yapılması gereken dahili görevleri içerir. Denetçiler, boşluk analizi yapmak, rehberlik sağlamak ve başarılı belgelendirme olasılığını artırmak için bu durumda yer alabilirler.

Bağımsız onaylama ve doğrulama

Birçok bilgi sistemi onaylı statüye erişmeden önce, sistem güvenlik kontrollerinin uygulanması ve etkin bir şekilde ve kapsam içi standartlara ve yönetmeliklere uygun olarak çalıştırılmasının tarafsız bir üçüncü şahsa gösterilmesi gerekmektedir. Pek çok sertifika, sürekli bir izleme uygulamasının bir parçası olarak görülen ve devam eden sertifikasyonun sağlanması için periyodik denetimler gerektirir.

Denetim kapsamına karar vermek

Denetim kapsamının belirlenmesi, özellikle de hangi denetime ihtiyaç duyulduğu ve onları tatmin etmek için bir OpenStack dağıtımının nasıl tasarlanacağı veya değiştirileceği ilk planlama adımında olmalıdır.

OpenStack dağıtımlarını uyumluluk amacıyla tararken, kontrol ve kontrol işlevleri ve temel sanallaştırma teknolojisi gibi hassas hizmetlerin çevresindeki denetimleri önceliklendirin. Bunlardan ödün vermek, bir OpenStack ortamını tamamen etkileyebilir.

Kapsam azaltma, OpenStack mimarlarının belirli bir dağıtıma özel yüksek kaliteli güvenlik denetimleri oluşturmalarını sağlamaya yardımcı olur, ancak bu uygulamaların güvenlik zorlamasından alanlar veya özellikleri ihmal etmemesini sağlamak için önceliklidir. Güvenlikle ilgili konularda ödeme ile ilgili altyapının incelenebileceği, ancak destekleyici hizmetlerin göz ardı edildiği ve saldırıya açık olduğu PCI-DSS yönergelerine genel bir örnek uygulanabilir.

Uyum söz konusuyken, birden çok sertifikada geçerli olan ortak alanları ve ölçütleri belirleyerek etkinliği artırabilir ve iş emeğini azaltabilirsiniz. Bu kitapta tartışılan denetim ilkeleri ve yönergelerinin çoğu, bu denetimlerin tanımlanmasına yardımcı olur, buna ek olarak bir takım dış öğeler kapsamlı listeler sağlar. Aşağıda bazı örnekler verilmiştir:

Bulut Güvenlik İttifakı Bulut Kontrol Matrisi (CCM) bulut sağlayıcılarının ve tüketicilerin bir bulut sağlayıcının genel güvenliğini değerlendirmesine yardımcı olur. CSA CMM, ISO 27001/2, ISACA, COBIT, PCI, NIST, Jericho Forumu ve NERC CIP gibi endüstride kabul görmüş pek çok standart ve yönetmelik ile eşleşen bir kontrol çerçevesi sağlar.

SCAP Güvenlik Kılavuzu başka bir faydalı referans. Bu hala ortaya çıkmakta olan bir kaynaktır, ancak bunun, ABD federal hükümet sertifikaları ve önerileri üzerine daha fazla odaklanan denetim eşlemeleri ile bir araç haline geleceğini umuyoruz. Örneğin, SCAP Güvenlik Kılavuzu şu anda güvenlik teknik uygulama kılavuzları (STIG) ve NIST-800-53 için bazı eşlemelere sahiptir.

Bu kontrol eşlemeleri, sertifikalardaki ortak kontrol kriterlerinin belirlenmesine yardımcı olur ve belirli uyumluluk sertifikaları ve tasdikleri için denetim setleri içindeki sorunlu alanlardaki hem denetçiler hem de denetlenen kişilere görünürlük sağlar.

Bir denetlemenin aşamaları

Bir denetimin dört farklı aşaması vardır, ancak çoğu taraf ve kontrol sahibi yalnızca tek veya iki olarak katılacaktır. Dört evre, Planlama, Saha Çalışması, Raporlama ve Özetleme’dir. Bu aşamaların her biri aşağıda tartışılmıştır.

Planlama aşaması, genellikle Saha Çalışması başlamadan önce iki hafta ile altı ay arasında yapılır. Bu aşamada, zaman çerçevesi, zaman çizelgesi, değerlendirilecek kontroller ve kontrol sahipleri gibi denetim maddeleri tartışılarak sonuçlandırılır. Kaynak kullanılabilirliği, tarafsızlığı ve maliyetleri ile ilgili endişeler de çözülür.

Saha çalışması aşaması, denetimin en görünür kısmıdır. Burası denetçilerin yerinde oldukları, denetim sahiplerine gözden geçirme yaptıkları, yerinde denetimleri belgeleyen ve herhangi bir sorunu tanımlayan yerdir. Denetçilerin denetimleri yerinde değerlendirmek için iki parçalı bir süreç kullanacaklarına dikkat etmek önemlidir. Birinci bölüm, kontrolün tasarım etkinliğini değerlendirmektir. Burası denetçinin, kontrolün zayıflıkları ve eksiklikleri etkili bir şekilde önleyebileceğini veya algılayıp düzeltebildiğini değerlendireceği yerdir. Bir kontrol, bu testi ikinci aşamada değerlendirilmek üzere geçmelidir. Bunun nedeni, etkisiz olarak tasarlanmış bir kontrolle etkin bir şekilde çalışıp çalışmadığına bakmaksızın bir nokta yoktur. İkinci bölüm operasyonel etkinliktir. Operasyonel etkinlik testi, kontrolün nasıl uygulandığını, kontrolün uygulandığı tutarlılığı ve kontrolü kimin veya hangi yöntemle uygulandığını belirleyecektir. Bir kontrol, diğer kontrollere (dolaylı kontroller) bağlı olabilir ve eğer yaparsa, bu dolaylı kontrollerin işletme verimliliğini gösteren ilave kanıtlar, denetçinin kontrolün genel işletme etkinliğini belirlemesi gerekebilir.

Raporlama safhası, Saha Çalışması aşaması sırasında tespit edilen sorunların yönetim tarafından doğrulanacağı aşamadır. Lojistik amaçlar için, Saha Çalışması aşamasında sorun onaylama gibi bazı faaliyetler gerçekleştirilebilir. Yönetim ayrıca, sorunları çözmek ve yeniden ortaya çıkmamalarını sağlamak için iyileştirme planları sağlamalıdır. Genel rapordaki bir taslak, taraflara ve işletmelere gözden geçirilmek üzere dağıtılacaktır. Değişiklikler üzerine anlaşmaya varıldı ve güncellenmiş taslak inceleme ve onay için üst yönetime gönderildi. Üst düzey yönetim raporu onayladığında, sonuçlandırılır ve yönetici yönetimine dağıtılır. Herhangi bir sorun kuruluşun kullandığı sorun izleme veya risk izleme mekanizmasına girilir.

Tasfiye aşaması, denetimin resmen indirildiği aşamadır. Yönetim bu noktada iyileştirme faaliyetlerine başlayacaktır. Süreçler ve bildirimler, denetim ile ilgili bilgilerin güvenli bir depoya taşınmasını sağlamak için kullanılır.

Dahili denetim

Bir bulut konuşlandırıldığında, bunun için dahili bir denetim zamanı geldi demektir. Yukarıda belirlediğiniz denetimleri bulutunuzda kullanılan tasarım, özellikler ve dağıtım stratejileri ile karşılaştırmanın zamanı geldi demektir. Hedef, her denetimin nasıl işlendiğini ve boşlukların nerede olduğunu anlamaktır. Gelecekte referans olması için tüm bulguları belgeleyin.

Bir OpenStack bulutunu denetlerken, OpenStack mimarisindeki çok kiracı çevreyi takdir etmek önemlidir. Endişe konusu olan bazı kritik alanlar, veri elden çıkarma, hipervizör güvenliği, düğüm sıkılaştırması ve kimlik doğrulama mekanizmalarıdır.

Harici denetime hazırlık

İç denetim sonuçları iyi görünüyorsa, harici bir denetim hazırlama zamanı geldi demektir. Bu aşamada yapılması gereken birkaç önemli adım aşağıda belirtilmiştir:

  • İç denetiminizden iyi kayıt tutun. Bunlar harici denetim sırasında yararlı olacağından, uygunluk denetimlerini belirli bir dağıtıma eşleştirme hakkında soruları yanıtlamaya hazır olabilirsiniz.

  • Bulutun zaman içinde uyumlu olmasını sağlamak için otomatik test araçlarını kullanın.

  • Bir denetçi seçin.

Denetçi seçmek zor olabilir. İdeal olarak, bulut uyumu denetimleri konusunda tecrübeli birini ararsınız. OpenStack deneyimi başka bir büyük artı. Genellikle tavsiyeleri almak için bu süreçten geçen insanlarla danışmak en iyisidir. Maliyet, katılımın kapsamına ve denetlenen firmaya göre büyük ölçüde değişebilir.

Harici denetim

Bu resmi denetim sürecidir. Denetçiler güvenlik kontrollerini belirli bir sertifika için test edecek ve denetim penceresi için bu kontrollerin de geçerli olduğunu kanıtlayan kanıtlayıcı gereklilikleri talep edecektir (örneğin, SOC 2 denetimleri genelde 6-12 ay boyunca güvenlik kontrollerini değerlendirmektedir). Herhangi bir kontrol başarısızlığı kaydedilir ve bunlar harici denetçilerin nihai raporunda belgelenir. OpenStack dağıtım türüne bağlı olarak, bu raporlar müşteriler tarafından görülebilir, bu nedenle denetim hatalarını önlemek önemlidir. Bu nedenle denetim hazırlığı çok önemlidir.

Uyumluluk bakımı

Süreç tek bir harici denetimle bitmiyor. Birçok sertifikada, denetim sürecinin periyodik olarak tekrarlanması anlamına gelen sürekli uyumluluk faaliyetleri gerekir. Otomatik uyumluluk doğrulama araçlarını, her zaman uyumlu olduğundan emin olmak için bir buluta entegre etmenizi öneririz. Bu, diğer güvenlik izleme araçlarına ek olarak yapılmalıdır. Hedefin hem güvenlik hem de uygunluk olduğunu unutmayın. Bu cephelerden birinde başarısızlık halen gelecek denetimleri zorlaştıracaktır.