NIST于周四發布了開放安全控制評估語言 （OSCAL） 的第一個版本。

　　OSCAL 能夠以機器可讀的格式表示云合規性和安全要求，例如廣泛使用的可擴展標記語言 （XML）、JavaScript 對象表示法 （JSON） 和另一種標記語言 （YAML）。根據信息技術實驗室計算機安全部 （CSD） 高級技術主管 Michaela Iorga 撰寫的博客文章，OSCAL 中表示的合規性要求可能包括控制目錄、控制基線、系統安全計劃以及評估計劃和結果。

　　由于 OSCAL 提供機器可讀的格式，它將在已經高度自動化的云環境中實現更高程度的合規性和安全自動化，使評估能夠跟上軟件開發和 IT 運營的步伐。

　　OSCAL 將使根據自定義和既定網絡安全標準（例如NIST 特別出版物 800-53 ）更快速地評估云環境合規性和安全性變得更加容易 。

　　Iorga 寫道：“OSCAL 的安全自動化支持針對多個監管框架對云服務的安全態勢進行更嚴格、更快速和可重復的評估，并且減少來自人為因素的主觀主義。” “使用 OSCAL，大約 60% 的評估可以自動化。”

　　保護國防部云環境的挑戰

　　正人們所知，在 DoD 的云環境中實施DevSecOps和云基礎設施即代碼 （IaC） 的力度很大。DevSecOps 和 IaC 是獨立的計劃，但密切相關。DISA 的云計算項目辦公室正在帶頭實施一項國防部范圍內的 IaC 計劃，美國空軍首席軟件架構師正在共同領導一項國防部范圍內實施 DevSecOps 的計劃。

　　嚴重依賴 IaC 的 DevSecOps 提供了機會，可以快速加快應用程序的開發速度并交付給作戰人員和作戰人員支持功能，例如物流——將開發和交付應用程序所需的時間從數年、數月或數周縮短到數小時甚至幾分鐘，在某些情況下。

　　但安全專家表示，實現這種交付速度的相同技術開啟了越來越多的黑客攻擊目標。這是許多國防部實體轉向零信任安全的原因之一。在 IaC 的特定情況下，OSCAL 提供了在 DevSecOps 云環境中自動執行合規性和安全性評估的能力。

　　IaC 使用軟件來管理基礎設施（例如服務器），而不是依靠人工手動配置硬件。IaC 顯著提高了供應、配置和管理云基礎架構的效率。

　　DevSecOps 的基礎是持續集成和持續部署 （CI/CD） 的原則。持續集成意味著新代碼總是被測試，與其他代碼更新相結合，并合并到現有代碼中。此類代碼更新可以包括新功能、錯誤修復和安全補丁。持續部署意味著更新的代碼在應用程序準備就緒后立即合并到應用程序的代碼庫中，以便用戶可以訪問最新版本。

　　作為 CI/CD 的一個例子， 美國空軍首席軟件官兼國防部范圍內實施計劃的聯合負責人 Nicolas Chaillan 表示，國防部每天“發布”其 Platform One（即 DevSecOps 環境）31 次，每個版本都會推出更新的代碼。高度自動化的 DevSecOps 部分是使國防部每天 31 次發布成為可能的原因。

　　IaC 的一個好處是能夠開發基于軟件的機器可讀模板，這些模板可以自動執行一系列任務，例如啟動制作應用程序所需的云資源（例如，計算、內存、存儲等）可供用戶使用——無論是通過士兵的設備、在飛機上還是在船上訪問該應用程序。高度自動化的 IaC 在一定程度上使快速可擴展性成為可能。

　　“IaC 是我們所做一切的基礎，”Chaillan 在最近由關鍵基礎設施技術研究所主辦的關于新興 IaC 和應用程序編程接口 （API） 網絡安全威脅載體的活動中說。

　　但是 IaC 方法存在一個潛在問題。Rise8 首席網絡安全工程師 Chris Hughes 在同一個 ICIT 活動中說：“這些模板可能存在配置錯誤或 [安全] 漏洞并大規模復制它們。” 這意味著應用到 100 臺服務器的一個模板中的安全漏洞會迅速將安全漏洞傳播到整個云環境。

　　由于 DevSecOps 云環境的動態性，這個問題變得更加復雜。實現速度的自動化還需要根據需要更改底層云基礎架構，以擴展或縮減所需的 IT 資源。只要有人可以使用傳統方法記錄環境，它很可能會因為 CI/CD 而再次發生變化。

　　Hughes 指出，“過時文檔的問題”給試圖保護復雜、不斷變化的環境的網絡安全專業人員以及負責確保允許在國防部云環境中運行的 IT 安全合規性的人員帶來了挑戰——這是一個概念稱為操作授權（AtO）。而在 CI/CD 環境中，必須有持續的 AtO。

　　多年來，技術作家一直在對工作流程進行現代化改造，并采用文檔即代碼等實踐來與敏捷軟件開發實踐和 DevSecOps 環境保持一致。但是安全合規文檔與開發人員或用戶文檔不同。生成安全合規性文檔，然后——最重要的是——及時有效地將所需的安全配置快速應用到快速且頻繁變化的 IT 環境中，這是一項新的挑戰。

　　進入 OSCAL：自動化云合規性和安全評估

　　Iorga 創建了 OSCAL 來幫助解決動態和復雜的 IaC 云環境的挑戰。在博客文章中，Iorga 總結了這一挑戰：“二十年來，各機構努力實施管理和預算辦公室的 A-130 號通告：將信息作為戰略資源進行管理，但所采用的 [AtO] 流程依賴于基于紙張的文檔、手動評估流程以及不支持安全數據可移植性的不可互操作的專有自動化流程和工具。”

　　而且，Iorga 繼續說道，“隨著系統變得越來越復雜和采用更多的云解決方案，安全從業人員和授權官員的工作變得更加困難——涉及多組文檔，同時需要了解系統如何堆疊，相互依賴或互連以及如何繼承控制以識別需要減輕的風險。”

　　這些傳統的、基于紙張的安全合規流程與復雜、快速發展、不斷變化的 DevSecOps 環境不符。那么，運營商如何確保 DevSecOps 環境中的安全合規性和 AtO 要求？嗯，當然是自動化。

　　OSCAL 的“互操作性和便攜性”特性意味著它可以用于各種云環境——從國防部和情報界到聯邦文職政府，甚至商業部門。