Vì sao lại có Kiến trúc An ninh Mở - OSA?

Whyhave OSA?

Theo:http://www.opensecurityarchitecture.org/cms/library/08_02_control-catalogue

Lờingười dịch: Vì sao lại phải theo Kiến trúc An ninh Mở- OSA (Open Security Architecture)? Vì OSA có giá trị với bạntheo 4 lý do. Bạn hãy đọc và chiêm nghiệm. “Lý dochúng tôi tin tưởng một tiếp cận mở là tốt nhất vìchúng tôi không nghĩ bất kỳ một bên nào có thể đạidiện cho những lợi ích của tất cả các bên, nhữngbên sẽ tham gia vào các web dịch vụ phức tạp này”.Đây chính là các nguyên tắc kiến trúc được khuyếncáo sử dụng trong Kiến trúc Điện toán Đám mây.

Kiến trúc An ninh Mở- OSA có giá trị cho bạn vì 4 lý do:

1. Một catalog kiểm soát nhất quán, được xác định rõ ràng đưa ra được một biện pháp tuyệt hảo để đơn giản hóa các yêu cầu từ hàng đống các tiêu chuẩn, các khung điều hành, pháp lý và qui định.

2. Các mẫu là một cách tuyệt vời để chỉ ra tập hợp các kiểm soát thực tiễn tốt nhất nên được chỉ định cho một tình huống được đưa ra.

3. Nhiều con mắt làm cho an ninh tốt hơn, cộng đồng OSA giúp tạo ra tư liệu chất lượng cao thông qua kinh nghiệm của nhóm.

4. Áp dụng các mẫu của OSA trong công việc của bạn sẽ trao cho bạn một sự khởi đầu nhanh, cải tiến chất lượng của giải pháp mà bạn triển khai, và giảm thiểu nỗ lực tổng thể.

Nhữngcân nhắc chiến lược về lâu dài

OSA có thể đưa ranhững lợi ích đáng kể về lâu dài vì mối quan hệ vớimột số lượng các xu thế đang nổi lên hiện nay trongnền công nghiệp CNTT.

OSAis of value to you for 4 reasons

1. A single, consistent, clearly defined control catalog provides an excellent means to simplify requirements f-rom numerous standards, governance frameworks, legislation and regulations.

2. Patterns are a great way to show the best practice set of controls that should be specified for a given situation.

3. Many eyes make for better security, the OSA community helps cre-ate high quality material through the experience of the group.

4. Applying OSA patterns in your work gives you a fast start, improves the quality of the solution you deploy, and reduces overall effort.

Longerterm strategic considerations

OSAcan provide significant benefits in the longer term due to the nexusof a number of trends that are playing out at the moment in the ITindustry.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

1) Thế giớiCNTT đang thay đổi sang một môi trường nơi mà các dịchvụ sẽ được cung cấp và được tiêu thụ trong các webphức tạp. Các công ty thích mua các dịch vụ CNTT hơn làtriển khai, xây dựng và vận hành.

• Nhiều người tiêu dùng lớn về CNTT đã thuê ngoài làm đặc tả, tạo, triển khai, vận hành và quản lý các hệ thống CNTT cho các nhà cung cấp khác, và những nhà cung cấp này cũng thường ký lại tiếp (như cho Ấn Độ và Trung Quốc).

• Phần mềm như một Dịch vụ (SaaS) đang trở thành một mô hình có thể trụ vững được, đưa ra sự truy cập ở khắp mọi nơi tới các kết nối băng thông rộng tốc độ cao, và các nền kinh tế mọi phạm vi nhận được từ các nền tảng phần cứng và phần mềm phổ biến. Kiến trúc Hướng Dịch vụ (SOA) đưa ra biện pháp cho những người tiêu dùng CNTT truy cập được tới những tổ hợp phức tạp các dịch vụ này.

2) Việc đảm bảo anninh phù hợp cho các dịch vụ CNTT trở thành quan trọnghơn từ trước tới nay khi chúng ta đặt sự tin cậynhiều hơn vào chúng cho các nhiệm vụ sống còn.

• Tính bí mật của một chuỗi các thành phần chỉ tốt như sự liên kết yếu.

• Tính sẵn sàng của một chuỗi các thành phần là tính sẵn sàng của từng thành phần được nhân lên với nhau (vì thế thấp hơn bất kỳ thành phần riêng rẽ nào).

• Tính toàn vẹn của một chuỗi các thành phần chỉ tốt như sự liên kết yếu.

1)The IT world is changing to an environment whe-re services will beprovided and consumed in complex webs. Companies prefer to buy ITservices rather than implement, build and operate.

• Many large IT consumers have already outsourced the specification, creation, implementation, operation and management of IT systems to other providers, and these providers also often subcontract further e.g. (India to China).

• Software as a Service is becoming a viable model given ubiquitous access to high bandwidth connections, and the economies of scale that be derived f-rom common hardware and software platforms. Service oriented Architectures provide the means for IT consumers to access complex combinations of these services.

2)Assuring the appropriate security of IT services become ever moreimportant as we place more reliance on them for critical tasks.

• The confidentiality of a chain of components is only as good as the weakest link.

• The availability of a chain of components is the availability of each component multiplied together (therefore lower than any individual component)

• The integrity of a chain of components is only as good as the weakest link.

3) Những người tiêudùng CNTT cần phải đảm bảo rằng một dịch vụ CNTT sẽđáp ứng được các yêu cầu về Điều hành, Rủi ro vàTuân thủ (GRC - Governance, Risk and Compliance) cho qui trìnhnghiệp vụ đang được hỗ trợ. Nếu dịch vụ đượcmột hoặc nhiều nhà cung cấp đưa ra thì nó có thể đượcđánh giá bằng trực giác rằng sự phức tạp của nhiệmvụ này sẽ gia tăng. Hơn nữa đây là một nhiệm vụphải được lặp đi lặp lại để đảm bảo rằng dịchvụ CNTT tiếp tục đáp ứng được các yêu cầu này. Cácyêu cầu về GRC thường khó cộng dồn và có thể đượcchỉ định bằng nhiều tiêu chuẩn, không nhất quán vàthường chồng đè lên nhau.

• Có nhiều tiêu chuẩn an ninh như ISO27001, ISF SOGP.

• Có nhiều tiêu chuẩn Điều hành như COBIT, COSO và ITIL.

• Các tiêu chuẩn pháp lý và điều chinnhr khác nhau đối với các quyền tài phán khác nhau.

Bằng việc ánh xạcác qui định và pháp lý đối với một catalog các kiểmsoát tiêu chuẩn, chúng ta có thể giảm được sự trùnglặp, gia tăng sự minh bạch và cải thiện được khảnăng triển khai bên trong các hệ thống cụ thể. Hơn nữa,bằng việc kết nối catalog các Kiểm soát Mở tới cácvấn đề đặc thù của triển khai thì chúng ta có thểđưa ra được một tập hợp tiêu chuẩn các “trườnghợp điển hình”, chỉ ra được các kiểm soát cầnthiết phải đưa ra các dịch vụ tuân thủ và thực thiđược.

• Các yêu cầu GRC có thể dễ dàng ánh xạ được tới các mục tiêu kiểm soát.

• Các mục tiêu kiểm soát có thể dễ dàng ánh xạ được trong các kiến trúc giải pháp, với các liên kết tới các tiêu chuẩn triển khai bên trong.

• Tính hiệu quả và hiệu lực được gia tăng bằng việc tạo ra một tập hợp các tiêu chuẩn các giả tưởng chất lượng rất cao mà có thể được triển khai nhiều lần.

3)In addition IT consumers need to assure that an IT service will meetthe Governance, Risk and Compliance (GRC) requirements for thebusiness process that is being supported. If the service is providedby one or more suppliers it can be intuitively appreciated that thecomplexity of this task increases. Furthermore this is a task thatmust be repeated to ensure that the IT service continues to meetthese requirements. GRC requirements are often hard to articulate andcan be specified by multiple, inconsistent, and often overlappingstandards.

• There are many security standards such as ISO27001, ISF SOGP.

• There are many Governance standards such as COBIT, COSO and ITIL.

• Legal and regulatory standards vary by jurisdiction.

Bymapping regulations and legislation against a standard controlscatalog we can reduce duplication, increase clarity and improve theability to implement within specific systems. Additionally by linkingthe Open Controls catalog to Implementation specific problems we canprovide a standard set of "use cases" that show thecontrols needed to provide conformant and performant services.

• GRC requirements can be easily mapped to the control objectives.

• Control objectives can be easily mapped into solution architectures, with links to the underlying implementation standards.

• Efficiency and effectiveness is increased by creating a standard set of very high quality artifacts that can be deployed many times.

Nhữnglợi ích

OSA có thể đưa ranhững lợi ích cho những người tiêu dùng các dịch vụCNTT, các nhà cung cấp các dịch vụ CNTT và các nhà bánhàng CNTT, trao cho toàn bộ cộng đồng CNTT một lợi íchtrong việc sử dụng và cải tiến.

• Những người tiêu dùng các dịch vụ CNTT cần tích hợp các kiến trúc đa dạng từ nhiều nhà cung cấp trong các chuỗi phức tạp. Họ chiến thắng việc sử dụng OSA vì họ có thẻ chỉ định và đánh giá được tốt hơn các dịch vụ hoặc các sản phẩm mua sắm, và cải thiện chất lượng các sản phẩm mà họ xây dựng. Họ có thể giảm thiểu những rủi ro về tri thức từ kiến trúc đang nằm trong sự kiểm soát của các nhà cung cấp. Họ có thể làm gia tăng sự tin cậy trong khả năng tích hợp các dịch vụ, cải thiện sự tuân thủ với các yêu cầu GRC và giảm thiểu các chi phí kiểm toán.

• Các nhà cung cấp dịch vụ CNTT muốn cung cấp các dịch vụ cho số lượng cực đại những người tiêu dùng, tối thiểu hóa chi phí chỉ định, triển khai và vận hành, trong khi đảm bảo rằng các dịch vụ đáp ứng được các yêu cầu của những người tiêu dùng. Họ thắng trong việc sử dụng OSA khi họ đưa ra các giải pháp tuân thủ ở chi phí thấp nhất cho thị trường rộng lớn nhất.

• Những người bán hàng CNTT muốn cung cấp các sản phẩm đáp ứng được các nhu cầu thị trường và có tổng chi phí sở hữu TCO thấp đối với người bán hàng dịch vụ CNTT mà sẽ vận hành. Họ thắng bằng việc sử dụng OSA khi họ có khả năng xây dựng các hệ thống với các kiểm soát phù hợp và tương xứng.

Nhưngvì sao lại là Mở?

Lý do chúng tôi tintưởng một tiếp cận mở là tốt nhất vì chúng tôikhông nghĩ bất kỳ một bên nào có thể đại diện chonhững lợi ích của tất cả các bên, những bên sẽ thamgia vào các web dịch vụ phức tạp này. Một tiếp cậnmở có nghĩa là các mẫu và catalog sẽ có lợi cho toànthể cộng đồng và có thể được cải tiến và tinhchỉnh một cách nhanh chóng hơn bằng kinh nghiệm chung củanhững người tham gia.

Theo cách thức y hệtmà Internet sử dụng các tiêu chuẩn cho các giao thức vàcác ứng dụng truyền thông, chúng tôi cảm thấy rừngthời gian đã qua để áp dụng những khái niệm y hệt ởmột mức trừu tượng cao hơn, như Kiến trúc.

Bằng việc triểnkhai như một hệ thống đóng thì chúng ta có thể đơngiản làm cho vĩnh viễn “Vâng Tiêu chuẩn Kiểm soátKhác” và có thể không thắng được phần thưởng thựctế của việc thống nhất các tiêu chuẩn kiểm soát vớicác mẫu và các tiêu chuẩn triển khai kiến trúc.

Benefits

OSAcan provide benefits to IT service consumers, IT service suppliersand IT vendors, giving the entire IT community an interest in usingand improving.

• IT service consumers need to integrate diverse architectures f-rom many suppliers in complex chains. They win using OSA because they can better specify or assess services or products they purchase, and improve the quality of products they build. They can reduce knowledge risks f-rom the architecture being in the suppliers control. Additionally they increase confidence in the ability to integrate services, improve conformance with GRC requirements and reduce audit costs.

• IT service suppliers want to supply services to the maximum number of consumers, minimizing the cost to specify, implement and operate, while ensuring that the services meet the consumers requirements. They win using OSA as they can provide conformant solutions at the least cost to the largest market.

• IT vendors want to supply products that meet market needs and have a low TCO for the IT service supplier that will operate. They win using OSA as they are able to build systems with relevant and appropriate controls.

Butwhy Open?

Thereason we believe an open approach is best is because we do not thinkany one party can represent the interests of all parties who willparticipate in these complex webs of services. An open approach meansthat the patterns and catalogues will benefit the whole community andcan be more quickly improved and refined by the common experience ofparticipants.

Inthe same way that the Internet uses design standards forcommunication protocols and applications, we feel that the time hascome to apply these same concepts at a higher abstraction level i.e.Architecture.

Byimplementing as a closed system we would simply perpetuate "YetAnother Control Standard" and would fail to win the real prizeof unifying the control standards with architecture patterns andimplementation standards.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com