六個參考步驟: 從企業安全策略認識合規

2020 / 03 / 25

Tufin

企業營運風險可能來自於供應鏈互動關係，地緣政治問題，新興行業競爭等狀況。目前有許多指南和法規可指導公司減輕其網路風險，如：ISO / IEC 27002資訊安全管理，國家標準暨技術研究院（National Institute of Standards and Technology, NIST）網路安全框架，PCI DSS支付卡產業資料安全標準（Payment Card Industry Data Security Standard，PCI DSS）等。

對網路安全法規要求的遵從已經從“列表式清單”的思想轉變為嚴格的計劃，人們可以認真地滿足這些要求，對其進行持續實施並通過定期稽核加以證明。現在，許多公司的變更管理程序都考慮“任何可能情況”，以防止在批准或實施變更之前違反政策。

如何透過網路安全標準和組織政策達到法遵要求
至今IT基礎架構越來越複雜，多樣技術的異質環境，通常包括實體數據中心以及虛擬化的私有雲和公共雲平台。多數網路人員顯少能全面清楚了解混合IT環境的安全性和合規性。以及如何在舊版，虛擬和雲端的平台上評估風險和讓策略的應用，可以一致性。

安全策略管理公司Tufin提供六個參考步驟應用於自身企業內，來維持企業安全上可以合規的關鍵要素。

步驟1：定義企業安全策略
企業安全策略是一種營運導向的結構，用於說明公司如何保護訊息和技術資產。制定關鍵安全策略時應考慮以下所有面向：企業必須遵守的外部法規要求和行業標準（例如PCI DSS，NIST，SOX，HIPAA，NERC CIP等）；以及公司遵守的最佳做法。公司的安全策略應該包括如何教育員工保護公司資產，如何執行安全措施，評估安全策略有效性，以及必要的更正以確保策略進行。

步驟2：檢視現有的網路拓撲
隨著企業採用虛擬化，雲計算，行動運算，軟體導向的架構等，拓撲結構發生了巨大的技術轉變。企業必須深入了解其網路拓撲，才能獲得管理的資訊例如，機房，雲和混合網路中現有的網路拓撲等。該網路圖還包括業務應用程式，以及跨供應商和平台的安全策略。

步驟3：定義系統架構並根據企業策略重新塑造
根據企業策略最好的安全區域來定義系統架構，保護數據和應用程式。只保護這些設備已不再能滿足需求，更需要內部網路分段將敏感資產與一般區域隔離。準確標示網路拓撲圖可以幫助分析由傳統及次世代防火牆建立的網路分段，並確定哪些隔離動作。步驟4：確定安全漏洞並與安全策略保持一致
統一安全策略是網路的“理想”狀態，但是實際狀態是跨平台的安全策略的整合，無論策略是物理實體和虛擬防火牆中的安全規則，還是公私有雲平台中的安全策略，在這種情況下，有必要比較兩者且找出可能性的安全漏洞，進而採取措施彌合這些漏洞，並使網路配置符合所定義的策略。

以PCI DSS為例，“理想”狀態是沒其他應用程式可以存取處理支付交易的網段。但是，將理論與實際狀態進行比較之後，差距分析說明，營銷應用程式也會在該網段，以便偶爾從支付應用程式存取客戶數據。這不僅嚴重違反了PCI DSS，而且使企業面臨著代價高昂的數據洩露風險。所以就應當標記此情況以進行補救。

步驟5：明確地為異動請求建立定義且可稽核的流程
企業需要明確的流程來處理對網路配置更改的請求。由於業務需求會隨時間而變化，因此經常會有異動申請的狀況產生。例如，公司正在採用DevOps這樣的方法，對應用程式的更改更需要迅速完成。一般情況下，應用程式更新需要修改網路配置，並且需要非常迅速地進行異動的作業，以便跟得上業務發展的步伐。因此，網路團隊必須有一個流程快速完成相關要求。

此外，異動控制過程需要包括紀錄文件，以準確說明進行了哪些異動，出於何種業務目的以及在誰的要求下進行了哪些修改，同時該文件需要包含足夠的註釋，以便稽核員可以知道發生了什麼以及為什麼進行此項異動。如果出現問題並且需要追踪變更的起源，那麼此文件的重要性更不在話下。

第6步：維持安全策略稽核
對企業而言，最佳方法是保持整個安全策略的持續合規性，以便企業隨時可以進行稽核準備，無論是內部稽核還是外部稽核。為了支持稽核，需要上述所有步驟的書面過程和變更活動文檔與證明合規性的其他方法包括報告，變更稽核和歷史記錄以及每次變更的重新認證。