Open
Security Architecture
Lời
người dịch: Kiến trúc An ninh Mở - OSA (Open Security
Architecture) “được cấp phép theo giấy phép Creative
Commons Share - Alike. Chúng tôi tin tưởng rằng các nguyên
tắc của Nguồn Mở sẽ tạo ra những hệ thống an ninh
hơn, và muốn các kiến trúc điện toán mà chúng tôi
dựa vào cho cuộc sống hàng ngày sẽ là an ninh một cách
đáng tin cậy nhất có thể”. Đây chính là các nguyên
tắc kiến trúc được khuyến cáo sử dụng trong Kiến
trúc của Điện toán Đám mây.
Tầm
nhìn của Kiến trúc An ninh Mở - OSA (Open Security
Architecture):
“OSA nhỏ giọt tri
thức của cộng đồng kiến trúc an ninh và đưa ra những
mẫu có khả năng sử dụng được rồi cho ứng dụng của
bạn. OSA sẽ là một khung tự do được cộng đồng phát
triển và sở hữu”.
OSA được cấp phép
theo giấy phép Creative Commons Share - Alike. Chúng tôi tin
tưởng rằng các nguyên tắc của Nguồn Mở sẽ tạo ra
những hệ thống an ninh hơn, và muốn các kiến trúc điện
toán mà chúng tôi dựa vào cho cuộc sống hàng ngày sẽ
là an ninh một cách đáng tin cậy nhất có thể.
Catalog
kiểm soát
Catalog
kiểm soát trong OSA hiện đang dựa vào NIST 800-53. Có
một sự ánh xạ sẵn sàng đối với ISO17799, và các tiêu
chuẩn nổi tiếng khác. Chúng tôi cảm thấy đây là
catalog kiểm soát tốt nhất sẵn sàng cho nền công nghiệp
CNTT. Catalog này có thể được sử dụng mà không có sự
hạn chế.
Bằng việc nắm lấy
một catalog kiểm soát duy nhất, chúng tôi cho phép bạn
thiết lập một cách rõ ràng cách mà bạn có thể đáp
ứng được các mục đích của nhiều tiêu chuẩn, mà
không phải tiến hành công việc một cách lặp đi lặp
lại những kiểm soát cần thiết và cách mà chúng có thể
được triển khai. Bổ sung thêm, chúng tôi ánh xạ đối
với các mối đe dọa và đưa ra những kiểm thử, nên
bạn có thể nhanh chóng thiết lập được liệu một kiểm
soát cụ thể nào đó là phù hợp cho tình huống của bạn
hay không, và có thể kiểm tra nó làm việc có đúng không
(tốt cho những rà soát lại và kiểm toán về an ninh).
The
OSA vision:
"OSA
distills the know-how of the security architecture community and
provides readily usable patterns for your application. OSA shall be a
free framework that is developed and owned by the community.
OSA
is licensed in accordance with Creative Commons Share-alike. We
believe that Open Source principles result in more secure systems,
and want the computing architectures that we depend on for our daily
lives to be as secure and reliable as possible
Control
catalogue
The
control
catalog in OSA is currently based upon NIST 800-53. There is a
mapping available against ISO17799, and other prominent standards. We
feel this is the best control catalog available for the IT industry.
This catalog can be used without restriction.
By
taking a single control catalog we allow you to clearly establish how
you can meet the objectives of many standards, without having to
repeatedly work out what controls are needed and how they can be
implemented. In addition we map against threats and supply tests, so
you can quickly establish whether a particular control is relevant
for your situation, and can check it's working correctly (great for
security reviews and audits).
Các
mẫu trực quan
Các mẫu trực quan là
cốt lõi của OSA và mang lại cùng các yêu cầu về an
ninh cho một trường hợp điển hình như truy cập từ xa
với sự hỗ trợ các kiểm soát từ catalog. Chúng trao cho
bạn các khối xây dựng cơ bản để làm cho giải pháp
cụ thể của bạn an ninh. Chúng tôi phân chia các mẫu
trực quan theo Nền công nghiệp, các Mối đe dọa, các Quy
định pháp luật và các Kiến trúc.
Chúng tôi cũng đưa
ra một thư viện tùy biến các biểu tượng được sinnh
ra từ dự án Tango, và bản thân các mẫu đang có sẵn
như các tệp SVG.
Đánh
giá
Có một loạt các kỹ
thuật để đánh giá môi trường mà giải pháp của bạn
sẽ vận hành để xác định các yêu cầu an ninh thông
tin đám mây (CIA) cho qui trình nghiệp vụ mà kiến trúc đó
hỗ trợ. Hiện hành chúng tôi vẫn cảm thấy rằng một
sự tính toán Triển vọng Mất mát Thường niên (ALE -
Annual Loss Expectancy) là đủ để xác định số lượng mà
bạn nên bỏ ra vào các kiểm soát có liên quan tới chi
phí của các tài sản bạn đang bảo vệ. Chúng tôi muốn
nhấn mạnh rằng tính sẵn sàng thường là yếu tố đắt
nhất phải cân nhắc. Bạn có thể muốn nhìn vào các
phương pháp phức tạp hơn, nhưng theo nghĩa đen về bản
chất thì bước này tất cả là về một Phân tích Lợi
ích Giá thành cho các kiểm soát được xác định.
Kiến
trúc an ninh
Bước cuối cùng, ở
đây bạn chỉnh sửa các kiểm soát theo mẫu dựa vào sự
đánh giá môi trường, để hoàn tất các kiểm soát đặc
thù và sự triển khai của chúng trong giải pháp mà bạn
đang phát triển. Kiến trúc của bạn ở giai đoạn này
sẽ được nhúng vào trong kiến trúc giải pháp rộng lớn
hơn mà đang được phát triển.
Visual
patterns
The
visual patterns are at the core of OSA and bring together security
requirements for a use case e.g. remote access with the supporting
controls from the catalog. They give you the basic building blocks to
make your particular solution secure. We classify visual patterns by
Industry, Threats, Regulations, and Architectures.
We
also provide a customized
library of icons generated from the Tango
project, and the patterns
themselves which are available as SVG files.
Assessment
There
are various techniques to assess the environment your solution will
operate in order to determine the CIA requirements for the business
processes the architecture supports. Currently we still feel that an
Annual Loss Expectancy (ALE) calculation is sufficient to determine
the amount you should be spending on the controls relative to the
cost of the assets you are protecting. We would emphasize that
availability is often the most expensive element to consider. You may
want to look at the more complex methods, but in essence this step is
all about a Cost Benefit Analysis for the controls identified.
Security
Architecture
The
last step, here you tailor the controls in the pattern based on the
environmental assessment, to finalise the specific controls and their
implementation in the solution you are developing. Your architecture
will at this stage be embedded into the wider solution architecture
that is being developed.
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.