安全保障对于大型组织至关重要，因为高级管理人员对安全的责任越来越大，但往往没有时间深入研究其挑战，并且严重依赖安全和安全保障团队。随着自动化和基础设施即代码(IaC)在云端的兴起，管理人员现在有了一个新的梦想：用云端提供的自动化保障报告取代手动、昂贵且以人为中心的保障，从而使保障更加有效。接下来，我们将通过仔细研究GoogleCloudPlatform(GCP)和Azure环境下的ISO27001云报告（一种常见的保障场景）来探索自动化安全保障的机会和局限性。

安全保障的作用
安全保障是组织风险管理框架中的第二道防线，通常按照内部审计师协会(IIA)的三线模型组织：

第一道防线：负责修补服务器、渗透测试或网络设计等日常任务的运营团队。

第二道防线：安全保障团队负责验证整个组织内安全控制措施的存在和正常运行，即第一道防线的工作。他们通常会根据NIST、CIS、HIPAA或ISO27001等标准进行检查。

第三道防线：内部审计验证第一道防线和第二道防线的工作。与第一道防线和第二道防线相比，内部审计向董事会或审计委员会报告独立性。

外部审计师和监管机构使这一局面更加完整。

在所有这些团队中，二线组织可能从自动化云合规报告中受益最多，因为保证团队寻求对整个组织、数据中心和应用的整体概述。相比之下，所有其他团队的关注点都比较狭窄。

复杂应用环境的挑战
应用环境的复杂性对安全保障提出了重大挑战。拥有ISO27001证书的托管服务提供商非常优秀，但如果不覆盖应用层，则不够。因此，全面了解数据中心至关重要：

基础设施层涵盖硬件、超大规模功能、云设置和网络。供应商云基础设施和客户数据中心的安全架构至关重要，例如，在网络分区方面。其他方面包括弹性，例如应急电源和对环境影响的保护。

操作系统层注重充分的配置和及时的更新，包括安全监控和报告集成。

正确的配置、定期更新和修补对于数据库、API网关以及目录或消息服务等中间件组件至关重要。

应用层包括基于中间件组件构建的软件，并整合了云PaaS、SaaS和外部服务。安全设计和软件工程实践以及更新和修补第三方组件至关重要。

安全保障的一个特别重点是集成。应用程序很少独立运行；它们会相互作用。交互和集成点是典型的断点——尤其是当不同团队和组织的职责结合在一起时。

云提供商保证报告
对于云工作负载，安全保障团队必须评估并收集每个组件是否符合安全标准的证据，包括云提供商运行的组件和配置。幸运的是，云提供商提供可下载的保障和合规证书。这些证书和报告对于云提供商的业务至关重要。尤其是大型客户，只与遵守与这些客户相关的标准的供应商合作。确切的标准因客户所在的管辖区和行业而异。

这些云安全保障报告涵盖了基础设施层以及云提供商的IaaS、PaaS和SaaS服务的安全性。它们不涵盖客户特定的配置、修补或操作，包括保护AWSS3存储桶免受未经授权的访问或修补虚拟机。客户是否安全地配置这些服务并将它们充分组合在一起取决于客户，客户安全保障团队必须验证这一点。

针对客户云环境的保证报告
确保云安全保障和合规性需要根据ISO27001:2022等标准进行验证，这涉及许多控制措施。保障专家必须收集云提供商保障报告未涵盖的组件和配置的证据。随着云提供商提供内置保障报告，人们有望通过自动证据收集大幅减少保障工作。然而，我们从Azure和GCP中得到的例子表明，希望和现实并不完全匹配（目前还不完全匹配）。

Google

Google自下而上地处理这个问题，将漏洞和错误配置映射到特定标准（如ISO27001）中可能受影响的控制措施。例如，如果虚拟机具有公共IP（安全禁忌），GCP会将其解释为违反了四项ISO控制措施：A5.10、A5.15、A8.3和A8.4。因此，GCP报告通过列出存在许多违规行为的控制措施来帮助识别薄弱环节。但是，这些报告无法取代人工评估（至少对于ISO27001来说不能），因为它们无法涵盖ISO27001中特别重要的基本操作和程序主题。

Azure
微软的Azure采用了不同的方法，即实施自上而下的理念。它列出了所有控制措施（例如ISO27001的控制措施），并为每个ISO控制措施提供了策略以验证其实施情况。Azure提供了自动合规性报告，但只针对其中的少数策略。许多策略需要人工评估。例如，只有五分之一的控制措施“信息分类”是自动化的。因此，最好将Azure策略理解为针对云安全保障的定制待办事项列表，类似于ISO27002文档。ISO27002和Azure报告提供了实施ISO27001控制措施的详细规则和指南。Azure方法的这种特征意味着Azure不会自动化其客户的大部分安全保障工作。

总而言之，云提供商保证报告非常适合识别客户应用环境中的错误配置和漏洞。但是，用自动生成的保证报告取代人工专家是不现实的，至少对于ISO27001来说是这样，正如我们在讨论GCP和Azure功能时所解释的那样。在多云环境中，挑战甚至会加剧，因为工作负载在Azure、AWS、阿里云和GCP中，组织往往以一致的保证报告为目标，或者如果审计师和监管机构要求深入覆盖特定控制或详细证据。