Why
have OSA?
Lời
người dịch: Vì sao lại phải theo Kiến trúc An ninh Mở
- OSA (Open Security Architecture)? Vì OSA có giá trị với bạn
theo 4 lý do. Bạn hãy đọc và chiêm nghiệm. “Lý do
chúng tôi tin tưởng một tiếp cận mở là tốt nhất vì
chúng tôi không nghĩ bất kỳ một bên nào có thể đại
diện cho những lợi ích của tất cả các bên, những
bên sẽ tham gia vào các web dịch vụ phức tạp này”.
Đây chính là các nguyên tắc kiến trúc được khuyến
cáo sử dụng trong Kiến trúc Điện toán Đám mây.
Kiến trúc An ninh Mở
- OSA có giá trị cho bạn vì 4 lý do:
- Một catalog kiểm soát nhất quán, được xác định rõ ràng đưa ra được một biện pháp tuyệt hảo để đơn giản hóa các yêu cầu từ hàng đống các tiêu chuẩn, các khung điều hành, pháp lý và qui định.
- Các mẫu là một cách tuyệt vời để chỉ ra tập hợp các kiểm soát thực tiễn tốt nhất nên được chỉ định cho một tình huống được đưa ra.
- Nhiều con mắt làm cho an ninh tốt hơn, cộng đồng OSA giúp tạo ra tư liệu chất lượng cao thông qua kinh nghiệm của nhóm.
- Áp dụng các mẫu của OSA trong công việc của bạn sẽ trao cho bạn một sự khởi đầu nhanh, cải tiến chất lượng của giải pháp mà bạn triển khai, và giảm thiểu nỗ lực tổng thể.
Những
cân nhắc chiến lược về lâu dài
OSA có thể đưa ra
những lợi ích đáng kể về lâu dài vì mối quan hệ với
một số lượng các xu thế đang nổi lên hiện nay trong
nền công nghiệp CNTT.
OSA
is of value to you for 4 reasons
- A single, consistent, clearly defined control catalog provides an excellent means to simplify requirements from numerous standards, governance frameworks, legislation and regulations.
- Patterns are a great way to show the best practice set of controls that should be specified for a given situation.
- Many eyes make for better security, the OSA community helps create high quality material through the experience of the group.
- Applying OSA patterns in your work gives you a fast start, improves the quality of the solution you deploy, and reduces overall effort.
Longer
term strategic considerations
OSA
can provide significant benefits in the longer term due to the nexus
of a number of trends that are playing out at the moment in the IT
industry.
Dịch tài liệu: Lê Trung Nghĩa
1) Thế giới CNTT đang thay đổi sang một môi trường nơi mà các dịch vụ sẽ được cung cấp và được tiêu thụ trong các web phức tạp. Các công ty thích mua các dịch vụ CNTT hơn là triển khai, xây dựng và vận hành.
- Nhiều người tiêu dùng lớn về CNTT đã thuê ngoài làm đặc tả, tạo, triển khai, vận hành và quản lý các hệ thống CNTT cho các nhà cung cấp khác, và những nhà cung cấp này cũng thường ký lại tiếp (như cho Ấn Độ và Trung Quốc).
- Phần mềm như một Dịch vụ (SaaS) đang trở thành một mô hình có thể trụ vững được, đưa ra sự truy cập ở khắp mọi nơi tới các kết nối băng thông rộng tốc độ cao, và các nền kinh tế mọi phạm vi nhận được từ các nền tảng phần cứng và phần mềm phổ biến. Kiến trúc Hướng Dịch vụ (SOA) đưa ra biện pháp cho những người tiêu dùng CNTT truy cập được tới những tổ hợp phức tạp các dịch vụ này.
2) Việc đảm bảo an
ninh phù hợp cho các dịch vụ CNTT trở thành quan trọng
hơn từ trước tới nay khi chúng ta đặt sự tin cậy
nhiều hơn vào chúng cho các nhiệm vụ sống còn.
- Tính bí mật của một chuỗi các thành phần chỉ tốt như sự liên kết yếu.
- Tính sẵn sàng của một chuỗi các thành phần là tính sẵn sàng của từng thành phần được nhân lên với nhau (vì thế thấp hơn bất kỳ thành phần riêng rẽ nào).
- Tính toàn vẹn của một chuỗi các thành phần chỉ tốt như sự liên kết yếu.
1)
The IT world is changing to an environment where services will be
provided and consumed in complex webs. Companies prefer to buy IT
services rather than implement, build and operate.
- Many large IT consumers have already outsourced the specification, creation, implementation, operation and management of IT systems to other providers, and these providers also often subcontract further e.g. (India to China).
- Software as a Service is becoming a viable model given ubiquitous access to high bandwidth connections, and the economies of scale that be derived from common hardware and software platforms. Service oriented Architectures provide the means for IT consumers to access complex combinations of these services.
2)
Assuring the appropriate security of IT services become ever more
important as we place more reliance on them for critical tasks.
- The confidentiality of a chain of components is only as good as the weakest link.
- The availability of a chain of components is the availability of each component multiplied together (therefore lower than any individual component)
- The integrity of a chain of components is only as good as the weakest link.
3) Những người tiêu
dùng CNTT cần phải đảm bảo rằng một dịch vụ CNTT sẽ
đáp ứng được các yêu cầu về Điều hành, Rủi ro và
Tuân thủ (GRC - Governance, Risk and Compliance) cho qui trình
nghiệp vụ đang được hỗ trợ. Nếu dịch vụ được
một hoặc nhiều nhà cung cấp đưa ra thì nó có thể được
đánh giá bằng trực giác rằng sự phức tạp của nhiệm
vụ này sẽ gia tăng. Hơn nữa đây là một nhiệm vụ
phải được lặp đi lặp lại để đảm bảo rằng dịch
vụ CNTT tiếp tục đáp ứng được các yêu cầu này. Các
yêu cầu về GRC thường khó cộng dồn và có thể được
chỉ định bằng nhiều tiêu chuẩn, không nhất quán và
thường chồng đè lên nhau.
- Có nhiều tiêu chuẩn an ninh như ISO27001, ISF SOGP.
- Có nhiều tiêu chuẩn Điều hành như COBIT, COSO và ITIL.
- Các tiêu chuẩn pháp lý và điều chinnhr khác nhau đối với các quyền tài phán khác nhau.
Bằng việc ánh xạ
các qui định và pháp lý đối với một catalog các kiểm
soát tiêu chuẩn, chúng ta có thể giảm được sự trùng
lặp, gia tăng sự minh bạch và cải thiện được khả
năng triển khai bên trong các hệ thống cụ thể. Hơn nữa,
bằng việc kết nối catalog các Kiểm soát Mở tới các
vấn đề đặc thù của triển khai thì chúng ta có thể
đưa ra được một tập hợp tiêu chuẩn các “trường
hợp điển hình”, chỉ ra được các kiểm soát cần
thiết phải đưa ra các dịch vụ tuân thủ và thực thi
được.
- Các yêu cầu GRC có thể dễ dàng ánh xạ được tới các mục tiêu kiểm soát.
- Các mục tiêu kiểm soát có thể dễ dàng ánh xạ được trong các kiến trúc giải pháp, với các liên kết tới các tiêu chuẩn triển khai bên trong.
- Tính hiệu quả và hiệu lực được gia tăng bằng việc tạo ra một tập hợp các tiêu chuẩn các giả tưởng chất lượng rất cao mà có thể được triển khai nhiều lần.
3)
In addition IT consumers need to assure that an IT service will meet
the Governance, Risk and Compliance (GRC) requirements for the
business process that is being supported. If the service is provided
by one or more suppliers it can be intuitively appreciated that the
complexity of this task increases. Furthermore this is a task that
must be repeated to ensure that the IT service continues to meet
these requirements. GRC requirements are often hard to articulate and
can be specified by multiple, inconsistent, and often overlapping
standards.
- There are many security standards such as ISO27001, ISF SOGP.
- There are many Governance standards such as COBIT, COSO and ITIL.
- Legal and regulatory standards vary by jurisdiction.
By
mapping regulations and legislation against a standard controls
catalog we can reduce duplication, increase clarity and improve the
ability to implement within specific systems. Additionally by linking
the Open Controls catalog to Implementation specific problems we can
provide a standard set of "use cases" that show the
controls needed to provide conformant and performant services.
- GRC requirements can be easily mapped to the control objectives.
- Control objectives can be easily mapped into solution architectures, with links to the underlying implementation standards.
- Efficiency and effectiveness is increased by creating a standard set of very high quality artifacts that can be deployed many times.
Những
lợi ích
OSA có thể đưa ra
những lợi ích cho những người tiêu dùng các dịch vụ
CNTT, các nhà cung cấp các dịch vụ CNTT và các nhà bán
hàng CNTT, trao cho toàn bộ cộng đồng CNTT một lợi ích
trong việc sử dụng và cải tiến.
- Những người tiêu dùng các dịch vụ CNTT cần tích hợp các kiến trúc đa dạng từ nhiều nhà cung cấp trong các chuỗi phức tạp. Họ chiến thắng việc sử dụng OSA vì họ có thẻ chỉ định và đánh giá được tốt hơn các dịch vụ hoặc các sản phẩm mua sắm, và cải thiện chất lượng các sản phẩm mà họ xây dựng. Họ có thể giảm thiểu những rủi ro về tri thức từ kiến trúc đang nằm trong sự kiểm soát của các nhà cung cấp. Họ có thể làm gia tăng sự tin cậy trong khả năng tích hợp các dịch vụ, cải thiện sự tuân thủ với các yêu cầu GRC và giảm thiểu các chi phí kiểm toán.
- Các nhà cung cấp dịch vụ CNTT muốn cung cấp các dịch vụ cho số lượng cực đại những người tiêu dùng, tối thiểu hóa chi phí chỉ định, triển khai và vận hành, trong khi đảm bảo rằng các dịch vụ đáp ứng được các yêu cầu của những người tiêu dùng. Họ thắng trong việc sử dụng OSA khi họ đưa ra các giải pháp tuân thủ ở chi phí thấp nhất cho thị trường rộng lớn nhất.
- Những người bán hàng CNTT muốn cung cấp các sản phẩm đáp ứng được các nhu cầu thị trường và có tổng chi phí sở hữu TCO thấp đối với người bán hàng dịch vụ CNTT mà sẽ vận hành. Họ thắng bằng việc sử dụng OSA khi họ có khả năng xây dựng các hệ thống với các kiểm soát phù hợp và tương xứng.
Nhưng
vì sao lại là Mở?
Lý do chúng tôi tin
tưởng một tiếp cận mở là tốt nhất vì chúng tôi
không nghĩ bất kỳ một bên nào có thể đại diện cho
những lợi ích của tất cả các bên, những bên sẽ tham
gia vào các web dịch vụ phức tạp này. Một tiếp cận
mở có nghĩa là các mẫu và catalog sẽ có lợi cho toàn
thể cộng đồng và có thể được cải tiến và tinh
chỉnh một cách nhanh chóng hơn bằng kinh nghiệm chung của
những người tham gia.
Theo cách thức y hệt
mà Internet sử dụng các tiêu chuẩn cho các giao thức và
các ứng dụng truyền thông, chúng tôi cảm thấy rừng
thời gian đã qua để áp dụng những khái niệm y hệt ở
một mức trừu tượng cao hơn, như Kiến trúc.
Bằng việc triển
khai như một hệ thống đóng thì chúng ta có thể đơn
giản làm cho vĩnh viễn “Vâng Tiêu chuẩn Kiểm soát
Khác” và có thể không thắng được phần thưởng thực
tế của việc thống nhất các tiêu chuẩn kiểm soát với
các mẫu và các tiêu chuẩn triển khai kiến trúc.
Benefits
OSA
can provide benefits to IT service consumers, IT service suppliers
and IT vendors, giving the entire IT community an interest in using
and improving.
- IT service consumers need to integrate diverse architectures from many suppliers in complex chains. They win using OSA because they can better specify or assess services or products they purchase, and improve the quality of products they build. They can reduce knowledge risks from the architecture being in the suppliers control. Additionally they increase confidence in the ability to integrate services, improve conformance with GRC requirements and reduce audit costs.
- IT service suppliers want to supply services to the maximum number of consumers, minimizing the cost to specify, implement and operate, while ensuring that the services meet the consumers requirements. They win using OSA as they can provide conformant solutions at the least cost to the largest market.
- IT vendors want to supply products that meet market needs and have a low TCO for the IT service supplier that will operate. They win using OSA as they are able to build systems with relevant and appropriate controls.
But
why Open?
The
reason we believe an open approach is best is because we do not think
any one party can represent the interests of all parties who will
participate in these complex webs of services. An open approach means
that the patterns and catalogues will benefit the whole community and
can be more quickly improved and refined by the common experience of
participants.
In
the same way that the Internet uses design standards for
communication protocols and applications, we feel that the time has
come to apply these same concepts at a higher abstraction level i.e.
Architecture.
By
implementing as a closed system we would simply perpetuate "Yet
Another Control Standard" and would fail to win the real prize
of unifying the control standards with architecture patterns and
implementation standards.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.