企业云规范性

1000块的拼图，你完成了几次？如何严肃的去玩Monopoly这个游戏？这两项活动都需要遵循正确的游戏规则才能进行下去。

否则即使你拥有一个可靠的策略和大量的耐心也不会让你在游戏中走得太远——你甚至想要放弃

当然，拼图和Monopoly是游戏。规则法案是存在于现实生活中的。这两者之间有很大的差别。对于许多公司来说，获得许可和通过源码审计是不可共存的- 运营，系统和安全专业人员（以及其他利益相关者）没有选择放弃。但是理解和遵守现在主要的法案（无论是HIPAA，SOX，ISO，SOC 2还是其他法案）都不是一个容易的事情。

好吧，这里有个好消息：当你的项目中使用了类似Threat Stack 这样的安全集成平台的时候，项目会变得更加合理和更易管理。安全集成平台除了提供全面的云安全之外，Threat Stack还发起了一个项目，主要是为了规范三大关键领域（见下文）的监管标准 - 为云上的规范性提供了一个基本的蓝图。Threat Stack还会在规则允许的范围内自动建立审计跟踪，并且支持内部控制、过程和报告。

我刚才提到的三个关键领域是：

• 持续监控（确保您以可靠安全的方式获得与审计要求相关的数据）
• 漏洞管理（了解环境中存在的风险，您可以选择忽略或者修复）
• 报告（以视图的形式将历史数据和历史事件呈现出来）

Security_Compliance_Framework_Process.png

持续的安全监控

安全集成平台可用作检测安全事件的早期预警系统，会对用户登录，第三方服务活动，工作负载活动以及对数据修改等活动进行持续性监控，同时还可以定位异常行为。这是一个强有力的验证方式，可以通过默认配置和自定义的方式来控制整个环境。

监控可生成有关您的环境中发生的情况的实时数据，这是几乎所有安全合规性法规的基本要求 - 从HIPAA到PCI DSS到ISO 27001等。它提供来自系统内部的智能信息，帮助安全专业人员和审计负责人了解谁在环境中做了什么，什么时候做，什么时候用他们的客户数据，以及这种行为是合法的还是非法的。

更具体地说，它详细说明了正常事件的发生地点，发生的地点，时间和方式，包括：

• 未经授权的数据和配置的泄露或者修改
• 操作系统，应用程序和数据库级别的活动
• 访问控制事件
• 创建用户或者删除用户
• 用户信息修改，如密码重置
• 软件的安装，尤其是标准工作流程以外（建立流水线（build pipeline） )
• ...以及更多

另一个关键部分是了解何时访问或修改密钥文件。换句话说，文件完整性监视（或FIM）允许您验证是否存在对关键系统，配置或内容文件的未经授权的修改。有了FIM，当文件被错误的修改的时候，我们就可以及时的发现，因此他应该被运用于所有的公司。例如，FIM将在用户访问私人SSL证书时进行跟踪和提醒 - 特别是用户访问的不是web服务的时候。

漏洞管理

一种常见的审计要求是了解环境中安装的所有软件（包括第三方依赖项），以及是否存在任何已知的漏洞（例如CVE）。Threat Stack可以通过分析安装在您的环境中的所有软件，将其与已知易受攻击软件的数据库进行比较，满足这些要求。

在“信任但要核查（trust but verify）”的世界里，这一点尤其重要，小型开发团队不断将更新推向生产环境。即使您的团队采用了强大的build pipeline作为软件部署的控制阻塞点，您仍然需要有效地监控环境，以确定是否引入了意外的（第三方）工作负载，以及是否已知这些工作负载是脆弱的。

当然，漏洞管理应该是您整体安全策略的基本组成部分，但是它也有助于满足规范要求。

实时报告，历史记录和保存信息

完整的记录是强大的安全性和所有规范系统中不可或缺的一部分， 在整篇文章中，我们已经看到，实时报告对查找可能成为安全问题的活动至关重要。通过 Threat Stack，这些记录形成了一个连续的时间表，可以让您查看非法事件，非法事件的本身以及事件发生前的活动。这使事件处理程序和事后审计人员对其他系统（如日志分析工具）可能发生的实际情况有了更全面的了解。因此，在连续监控的基础上，规范有效控制地成为一个连续的过程。

保留这些记录和事件与获得这些记录和事件一样重要。大多数规范规定（包括SOX，PCI DSS和SOC 2）安全事件和警报信息需要长时间保存。对某些人来说，这段时间可能短至30天; 其他人需要几年时间。

通常需要将此数据存储在独立的存储库中，以便无论服务器上的数据如何，报告都会保持完整，以供监管和调查。虽然Threat Stack的云安全平台 ™可以成为保留和报告工具，但有些用户希望保留自己的警报信息，无论是出于规范性的原因还是安全原因。任何组织都可以通过ThreatStack的webhooks API简单地实现这一点，将相关的警报传送到任何二级平台（AWS S3，SIEM等）。

实施合规性框架

上述三个方面共同确保了强大的规范性和基于综合管理框架的审计内容。您不仅拥有数据、系统和用户的功能，而且还可以根据系统自动生成的上下文数据对漏洞进行迅速的补救。在修复之后，大量的数据文件可以对漏洞进行“重现”，以便进一步分析，识别风险最高的地区，并持续改进。

总之，该框架确保您有一个大体的蓝图，使您能够通过以下方式满足所有主要规范体系的主要要求：

• 持续监测：通过深入监测系统内部和整个系统，实现持续的自动测量和分析，确保数据和系统的完整性
• 漏洞管理：在出现偏差或失误时迅速采取行动恢复系统的完整性，了解何时会出现超出工作负载和避免build pipelines
• 报告：利用当前的数据来验证数据和系统的状态，并帮助分析和补救; 存储历史记录

有关构建公司规范策略的更多指导，请立即访问Threat Stack网站，并可以和我们讨论有关云安全性和规范性的方法。