Kiến trúc An ninh Mở

Open Security Architecture

Theo: http://www.opensecurityarchitecture.org/cms/en/component/content/article/1-foundations/1-open-security-architecture

Lời người dịch: Kiến trúc An ninh Mở - OSA (Open Security Architecture) “được cấp phép theo giấy phép Creative Commons Share - Alike. Chúng tôi tin tưởng rằng các nguyên tắc của Nguồn Mở sẽ tạo ra những hệ thống an ninh hơn, và muốn các kiến trúc điện toán mà chúng tôi dựa vào cho cuộc sống hàng ngày sẽ là an ninh một cách đáng tin cậy nhất có thể”. Đây chính là các nguyên tắc kiến trúc được khuyến cáo sử dụng trong Kiến trúc của Điện toán Đám mây.

Tầm nhìn của Kiến trúc An ninh Mở - OSA (Open Security Architecture):

“OSA nhỏ giọt tri thức của cộng đồng kiến trúc an ninh và đưa ra những mẫu có khả năng sử dụng được rồi cho ứng dụng của bạn. OSA sẽ là một khung tự do được cộng đồng phát triển và sở hữu”.

OSA được cấp phép theo giấy phép Creative Commons Share - Alike. Chúng tôi tin tưởng rằng các nguyên tắc của Nguồn Mở sẽ tạo ra những hệ thống an ninh hơn, và muốn các kiến trúc điện toán mà chúng tôi dựa vào cho cuộc sống hàng ngày sẽ là an ninh một cách đáng tin cậy nhất có thể.

Catalog kiểm soát

Catalog kiểm soát trong OSA hiện đang dựa vào NIST 800-53. Có một sự ánh xạ sẵn sàng đối với ISO17799, và các tiêu chuẩn nổi tiếng khác. Chúng tôi cảm thấy đây là catalog kiểm soát tốt nhất sẵn sàng cho nền công nghiệp CNTT. Catalog này có thể được sử dụng mà không có sự hạn chế.

Bằng việc nắm lấy một catalog kiểm soát duy nhất, chúng tôi cho phép bạn thiết lập một cách rõ ràng cách mà bạn có thể đáp ứng được các mục đích của nhiều tiêu chuẩn, mà không phải tiến hành công việc một cách lặp đi lặp lại những kiểm soát cần thiết và cách mà chúng có thể được triển khai. Bổ sung thêm, chúng tôi ánh xạ đối với các mối đe dọa và đưa ra những kiểm thử, nên bạn có thể nhanh chóng thiết lập được liệu một kiểm soát cụ thể nào đó là phù hợp cho tình huống của bạn hay không, và có thể kiểm tra nó làm việc có đúng không (tốt cho những rà soát lại và kiểm toán về an ninh).

The OSA vision:

"OSA distills the know-how of the security architecture community and provides readily usable patterns for your application. OSA shall be a free framework that is developed and owned by the community.

OSA is licensed in accordance with Creative Commons Share-alike. We believe that Open Source principles result in more secure systems, and want the computing architectures that we depend on for our daily lives to be as secure and reliable as possible

Control catalogue

The control catalog in OSA is currently based upon NIST 800-53. There is a mapping available against ISO17799, and other prominent standards. We feel this is the best control catalog available for the IT industry. This catalog can be used without restriction.

By taking a single control catalog we allow you to clearly establish how you can meet the objectives of many standards, without having to repeatedly work out what controls are needed and how they can be implemented. In addition we map against threats and supply tests, so you can quickly establish whether a particular control is relevant for your situation, and can check it's working correctly (great for security reviews and audits).

Các mẫu trực quan

Các mẫu trực quan là cốt lõi của OSA và mang lại cùng các yêu cầu về an ninh cho một trường hợp điển hình như truy cập từ xa với sự hỗ trợ các kiểm soát từ catalog. Chúng trao cho bạn các khối xây dựng cơ bản để làm cho giải pháp cụ thể của bạn an ninh. Chúng tôi phân chia các mẫu trực quan theo Nền công nghiệp, các Mối đe dọa, các Quy định pháp luật và các Kiến trúc.

Chúng tôi cũng đưa ra một thư viện tùy biến các biểu tượng được sinnh ra từ dự án Tango, và bản thân các mẫu đang có sẵn như các tệp SVG.

Đánh giá

Có một loạt các kỹ thuật để đánh giá môi trường mà giải pháp của bạn sẽ vận hành để xác định các yêu cầu an ninh thông tin đám mây (CIA) cho qui trình nghiệp vụ mà kiến trúc đó hỗ trợ. Hiện hành chúng tôi vẫn cảm thấy rằng một sự tính toán Triển vọng Mất mát Thường niên (ALE - Annual Loss Expectancy) là đủ để xác định số lượng mà bạn nên bỏ ra vào các kiểm soát có liên quan tới chi phí của các tài sản bạn đang bảo vệ. Chúng tôi muốn nhấn mạnh rằng tính sẵn sàng thường là yếu tố đắt nhất phải cân nhắc. Bạn có thể muốn nhìn vào các phương pháp phức tạp hơn, nhưng theo nghĩa đen về bản chất thì bước này tất cả là về một Phân tích Lợi ích Giá thành cho các kiểm soát được xác định.

Kiến trúc an ninh

Bước cuối cùng, ở đây bạn chỉnh sửa các kiểm soát theo mẫu dựa vào sự đánh giá môi trường, để hoàn tất các kiểm soát đặc thù và sự triển khai của chúng trong giải pháp mà bạn đang phát triển. Kiến trúc của bạn ở giai đoạn này sẽ được nhúng vào trong kiến trúc giải pháp rộng lớn hơn mà đang được phát triển.

Visual patterns

The visual patterns are at the core of OSA and bring together security requirements for a use case e.g. remote access with the supporting controls from the catalog. They give you the basic building blocks to make your particular solution secure. We classify visual patterns by Industry, Threats, Regulations, and Architectures.

We also provide a customized library of icons generated from the Tango project, and the patterns themselves which are available as SVG files.

Assessment

There are various techniques to assess the environment your solution will operate in order to determine the CIA requirements for the business processes the architecture supports. Currently we still feel that an Annual Loss Expectancy (ALE) calculation is sufficient to determine the amount you should be spending on the controls relative to the cost of the assets you are protecting. We would emphasize that availability is often the most expensive element to consider. You may want to look at the more complex methods, but in essence this step is all about a Cost Benefit Analysis for the controls identified.

Security Architecture

The last step, here you tailor the controls in the pattern based on the environmental assessment, to finalise the specific controls and their implementation in the solution you are developing. Your architecture will at this stage be embedded into the wider solution architecture that is being developed.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com