資訊安全網路與應用系統整體架構的 Design Pattern
對於資訊安全整體 (網路、系統、應用程式)架構的設計與建置是否有國際或是業界的Design Pattern(Best Practices)可以參考呢?
這篇文章主要就是介紹一個業界非營利組織OSA(Open Security architecture) 所提供的資訊安全整體設計架構建議。
OSA 這個組織針對各個資訊安全領域做分類,並且提出相關的資訊安全建議。這些建議包含 (ISO 17799, COBIT, PCI),
特別的是 OSA 將這些繁瑣的資訊安全條文化的要求變成一個安全架構圖。
更方便理解系統間的關係,也更可以清楚的知道哪些安全控制必須佈署在哪些系統元件。
安全的投資主要要做到恰到好處,必須要在安全措施、使用便利性、安全技術建置等取得一個平衡。
OSA(Open Security architecture)
OSA 這個組織針對各個資訊安全領域做分類,並且提出相關的資訊安全建議。這些建議包含 (ISO 17799, COBIT, PCI)。
如下圖所示:
舉例來說”雲端”的資訊安全架構應該要如何建置與佈署呢?
如果沒有深厚資訊安全專業,也可以參考這個圖對於雲端資訊安全的建置有一個概括的認識。
對於已經佈署相當程度雲端資訊安全,也可以藉由這些架構圖作自我檢視。
其實套用在雲端架構,很多的資訊安全技術並不是”新”的技術。而是應用的領域改變。
舉例來說,在網路傳輸的部分要做到的有。但是技術實作並不會特別說明是否採用 IPS/IDS or firewall。
- SC-05: Denial of Service Protection
- SC-08: Transmission Integrity
- SC-09: Transmission Confidentiality
在 Developer 開發應用軟體的 SDLC 的過程中必須包含:
- AT-03 Security Training
- SA-03 Life Cycle Support
- SA-10 Developer Configuration Management
- SA-11 Developer Security Testing
- SI-02 Flaw Remediation
當然這個架構圖其實主要目的是提供人員、系統、網路間的相互關係與相關的安全措施有個概括性的了解。
針對每一個領域的執行實作,筆者會另外建立再參考該特定領域的其它參考資料。
例如軟體開發中的資訊安全 SDLC,筆者會建議參考 SAMM 這個模型 www.opensamm.org
http://www.opensecurityarchitecture.org/cms/library/patternlandscape/251-pattern-cloud-computing