Vì sao lại có Kiến trúc An ninh Mở - OSA?

Why have OSA?

Theo: http://www.opensecurityarchitecture.org/cms/library/08_02_control-catalogue

Lời người dịch: Vì sao lại phải theo Kiến trúc An ninh Mở - OSA (Open Security Architecture)? Vì OSA có giá trị với bạn theo 4 lý do. Bạn hãy đọc và chiêm nghiệm. “Lý do chúng tôi tin tưởng một tiếp cận mở là tốt nhất vì chúng tôi không nghĩ bất kỳ một bên nào có thể đại diện cho những lợi ích của tất cả các bên, những bên sẽ tham gia vào các web dịch vụ phức tạp này”. Đây chính là các nguyên tắc kiến trúc được khuyến cáo sử dụng trong Kiến trúc Điện toán Đám mây.

Kiến trúc An ninh Mở - OSA có giá trị cho bạn vì 4 lý do:

1. Một catalog kiểm soát nhất quán, được xác định rõ ràng đưa ra được một biện pháp tuyệt hảo để đơn giản hóa các yêu cầu từ hàng đống các tiêu chuẩn, các khung điều hành, pháp lý và qui định.
2. Các mẫu là một cách tuyệt vời để chỉ ra tập hợp các kiểm soát thực tiễn tốt nhất nên được chỉ định cho một tình huống được đưa ra.
3. Nhiều con mắt làm cho an ninh tốt hơn, cộng đồng OSA giúp tạo ra tư liệu chất lượng cao thông qua kinh nghiệm của nhóm.
4. Áp dụng các mẫu của OSA trong công việc của bạn sẽ trao cho bạn một sự khởi đầu nhanh, cải tiến chất lượng của giải pháp mà bạn triển khai, và giảm thiểu nỗ lực tổng thể.

Những cân nhắc chiến lược về lâu dài

OSA có thể đưa ra những lợi ích đáng kể về lâu dài vì mối quan hệ với một số lượng các xu thế đang nổi lên hiện nay trong nền công nghiệp CNTT.

OSA is of value to you for 4 reasons

1. A single, consistent, clearly defined control catalog provides an excellent means to simplify requirements from numerous standards, governance frameworks, legislation and regulations.
2. Patterns are a great way to show the best practice set of controls that should be specified for a given situation.
3. Many eyes make for better security, the OSA community helps create high quality material through the experience of the group.
4. Applying OSA patterns in your work gives you a fast start, improves the quality of the solution you deploy, and reduces overall effort.

Longer term strategic considerations

OSA can provide significant benefits in the longer term due to the nexus of a number of trends that are playing out at the moment in the IT industry.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

1) Thế giới CNTT đang thay đổi sang một môi trường nơi mà các dịch vụ sẽ được cung cấp và được tiêu thụ trong các web phức tạp. Các công ty thích mua các dịch vụ CNTT hơn là triển khai, xây dựng và vận hành.

• Nhiều người tiêu dùng lớn về CNTT đã thuê ngoài làm đặc tả, tạo, triển khai, vận hành và quản lý các hệ thống CNTT cho các nhà cung cấp khác, và những nhà cung cấp này cũng thường ký lại tiếp (như cho Ấn Độ và Trung Quốc).
• Phần mềm như một Dịch vụ (SaaS) đang trở thành một mô hình có thể trụ vững được, đưa ra sự truy cập ở khắp mọi nơi tới các kết nối băng thông rộng tốc độ cao, và các nền kinh tế mọi phạm vi nhận được từ các nền tảng phần cứng và phần mềm phổ biến. Kiến trúc Hướng Dịch vụ (SOA) đưa ra biện pháp cho những người tiêu dùng CNTT truy cập được tới những tổ hợp phức tạp các dịch vụ này.

2) Việc đảm bảo an ninh phù hợp cho các dịch vụ CNTT trở thành quan trọng hơn từ trước tới nay khi chúng ta đặt sự tin cậy nhiều hơn vào chúng cho các nhiệm vụ sống còn.

• Tính bí mật của một chuỗi các thành phần chỉ tốt như sự liên kết yếu.
• Tính sẵn sàng của một chuỗi các thành phần là tính sẵn sàng của từng thành phần được nhân lên với nhau (vì thế thấp hơn bất kỳ thành phần riêng rẽ nào).
• Tính toàn vẹn của một chuỗi các thành phần chỉ tốt như sự liên kết yếu.

1) The IT world is changing to an environment where services will be provided and consumed in complex webs. Companies prefer to buy IT services rather than implement, build and operate.

• Many large IT consumers have already outsourced the specification, creation, implementation, operation and management of IT systems to other providers, and these providers also often subcontract further e.g. (India to China).
• Software as a Service is becoming a viable model given ubiquitous access to high bandwidth connections, and the economies of scale that be derived from common hardware and software platforms. Service oriented Architectures provide the means for IT consumers to access complex combinations of these services.

2) Assuring the appropriate security of IT services become ever more important as we place more reliance on them for critical tasks.

• The confidentiality of a chain of components is only as good as the weakest link.
• The availability of a chain of components is the availability of each component multiplied together (therefore lower than any individual component)
• The integrity of a chain of components is only as good as the weakest link.

3) Những người tiêu dùng CNTT cần phải đảm bảo rằng một dịch vụ CNTT sẽ đáp ứng được các yêu cầu về Điều hành, Rủi ro và Tuân thủ (GRC - Governance, Risk and Compliance) cho qui trình nghiệp vụ đang được hỗ trợ. Nếu dịch vụ được một hoặc nhiều nhà cung cấp đưa ra thì nó có thể được đánh giá bằng trực giác rằng sự phức tạp của nhiệm vụ này sẽ gia tăng. Hơn nữa đây là một nhiệm vụ phải được lặp đi lặp lại để đảm bảo rằng dịch vụ CNTT tiếp tục đáp ứng được các yêu cầu này. Các yêu cầu về GRC thường khó cộng dồn và có thể được chỉ định bằng nhiều tiêu chuẩn, không nhất quán và thường chồng đè lên nhau.

• Có nhiều tiêu chuẩn an ninh như ISO27001, ISF SOGP.
• Có nhiều tiêu chuẩn Điều hành như COBIT, COSO và ITIL.
• Các tiêu chuẩn pháp lý và điều chinnhr khác nhau đối với các quyền tài phán khác nhau.

Bằng việc ánh xạ các qui định và pháp lý đối với một catalog các kiểm soát tiêu chuẩn, chúng ta có thể giảm được sự trùng lặp, gia tăng sự minh bạch và cải thiện được khả năng triển khai bên trong các hệ thống cụ thể. Hơn nữa, bằng việc kết nối catalog các Kiểm soát Mở tới các vấn đề đặc thù của triển khai thì chúng ta có thể đưa ra được một tập hợp tiêu chuẩn các “trường hợp điển hình”, chỉ ra được các kiểm soát cần thiết phải đưa ra các dịch vụ tuân thủ và thực thi được.

• Các yêu cầu GRC có thể dễ dàng ánh xạ được tới các mục tiêu kiểm soát.
• Các mục tiêu kiểm soát có thể dễ dàng ánh xạ được trong các kiến trúc giải pháp, với các liên kết tới các tiêu chuẩn triển khai bên trong.
• Tính hiệu quả và hiệu lực được gia tăng bằng việc tạo ra một tập hợp các tiêu chuẩn các giả tưởng chất lượng rất cao mà có thể được triển khai nhiều lần.

3) In addition IT consumers need to assure that an IT service will meet the Governance, Risk and Compliance (GRC) requirements for the business process that is being supported. If the service is provided by one or more suppliers it can be intuitively appreciated that the complexity of this task increases. Furthermore this is a task that must be repeated to ensure that the IT service continues to meet these requirements. GRC requirements are often hard to articulate and can be specified by multiple, inconsistent, and often overlapping standards.

• There are many security standards such as ISO27001, ISF SOGP.
• There are many Governance standards such as COBIT, COSO and ITIL.
• Legal and regulatory standards vary by jurisdiction.

By mapping regulations and legislation against a standard controls catalog we can reduce duplication, increase clarity and improve the ability to implement within specific systems. Additionally by linking the Open Controls catalog to Implementation specific problems we can provide a standard set of "use cases" that show the controls needed to provide conformant and performant services.

• GRC requirements can be easily mapped to the control objectives.
• Control objectives can be easily mapped into solution architectures, with links to the underlying implementation standards.
• Efficiency and effectiveness is increased by creating a standard set of very high quality artifacts that can be deployed many times.

Những lợi ích

OSA có thể đưa ra những lợi ích cho những người tiêu dùng các dịch vụ CNTT, các nhà cung cấp các dịch vụ CNTT và các nhà bán hàng CNTT, trao cho toàn bộ cộng đồng CNTT một lợi ích trong việc sử dụng và cải tiến.

• Những người tiêu dùng các dịch vụ CNTT cần tích hợp các kiến trúc đa dạng từ nhiều nhà cung cấp trong các chuỗi phức tạp. Họ chiến thắng việc sử dụng OSA vì họ có thẻ chỉ định và đánh giá được tốt hơn các dịch vụ hoặc các sản phẩm mua sắm, và cải thiện chất lượng các sản phẩm mà họ xây dựng. Họ có thể giảm thiểu những rủi ro về tri thức từ kiến trúc đang nằm trong sự kiểm soát của các nhà cung cấp. Họ có thể làm gia tăng sự tin cậy trong khả năng tích hợp các dịch vụ, cải thiện sự tuân thủ với các yêu cầu GRC và giảm thiểu các chi phí kiểm toán.
• Các nhà cung cấp dịch vụ CNTT muốn cung cấp các dịch vụ cho số lượng cực đại những người tiêu dùng, tối thiểu hóa chi phí chỉ định, triển khai và vận hành, trong khi đảm bảo rằng các dịch vụ đáp ứng được các yêu cầu của những người tiêu dùng. Họ thắng trong việc sử dụng OSA khi họ đưa ra các giải pháp tuân thủ ở chi phí thấp nhất cho thị trường rộng lớn nhất.
• Những người bán hàng CNTT muốn cung cấp các sản phẩm đáp ứng được các nhu cầu thị trường và có tổng chi phí sở hữu TCO thấp đối với người bán hàng dịch vụ CNTT mà sẽ vận hành. Họ thắng bằng việc sử dụng OSA khi họ có khả năng xây dựng các hệ thống với các kiểm soát phù hợp và tương xứng.

Nhưng vì sao lại là Mở?

Lý do chúng tôi tin tưởng một tiếp cận mở là tốt nhất vì chúng tôi không nghĩ bất kỳ một bên nào có thể đại diện cho những lợi ích của tất cả các bên, những bên sẽ tham gia vào các web dịch vụ phức tạp này. Một tiếp cận mở có nghĩa là các mẫu và catalog sẽ có lợi cho toàn thể cộng đồng và có thể được cải tiến và tinh chỉnh một cách nhanh chóng hơn bằng kinh nghiệm chung của những người tham gia.

Theo cách thức y hệt mà Internet sử dụng các tiêu chuẩn cho các giao thức và các ứng dụng truyền thông, chúng tôi cảm thấy rừng thời gian đã qua để áp dụng những khái niệm y hệt ở một mức trừu tượng cao hơn, như Kiến trúc.

Bằng việc triển khai như một hệ thống đóng thì chúng ta có thể đơn giản làm cho vĩnh viễn “Vâng Tiêu chuẩn Kiểm soát Khác” và có thể không thắng được phần thưởng thực tế của việc thống nhất các tiêu chuẩn kiểm soát với các mẫu và các tiêu chuẩn triển khai kiến trúc.

Benefits

OSA can provide benefits to IT service consumers, IT service suppliers and IT vendors, giving the entire IT community an interest in using and improving.

• IT service consumers need to integrate diverse architectures from many suppliers in complex chains. They win using OSA because they can better specify or assess services or products they purchase, and improve the quality of products they build. They can reduce knowledge risks from the architecture being in the suppliers control. Additionally they increase confidence in the ability to integrate services, improve conformance with GRC requirements and reduce audit costs.
• IT service suppliers want to supply services to the maximum number of consumers, minimizing the cost to specify, implement and operate, while ensuring that the services meet the consumers requirements. They win using OSA as they can provide conformant solutions at the least cost to the largest market.
• IT vendors want to supply products that meet market needs and have a low TCO for the IT service supplier that will operate. They win using OSA as they are able to build systems with relevant and appropriate controls.

But why Open?

The reason we believe an open approach is best is because we do not think any one party can represent the interests of all parties who will participate in these complex webs of services. An open approach means that the patterns and catalogues will benefit the whole community and can be more quickly improved and refined by the common experience of participants.

In the same way that the Internet uses design standards for communication protocols and applications, we feel that the time has come to apply these same concepts at a higher abstraction level i.e. Architecture.

By implementing as a closed system we would simply perpetuate "Yet Another Control Standard" and would fail to win the real prize of unifying the control standards with architecture patterns and implementation standards.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com