In: Genel


İçinde Bölüm 1 bu çok parçalı blog serisinin sürekli uyum, uyum süreçlerinde kişileri ve rollerini detaylandırdık. Uyumluluk otomasyonuna ve dolayısıyla sürekli uyumluluğa ulaşmanın anahtarının, genel ve standart güvenlik dili terimleriyle ifade edilen, kod olarak uyumluluk yapıtlarının programatik temsili olduğu sonucuna vardık.

Bu blog yazısında tanıtıyoruz sehpabizim açık kaynak uygulamamız NIST Açık Güvenlik Kontrol Değerlendirme Dili (OSCAL) standardı kod olarak uyumluluk olarak yönetilen uyumluluk yapıtlarının iş akışı otomasyonu olarak benimsenen çerçeve. Trestle, bu farklı kişilerin uyumluluk yapılarını işbirliği içinde yazmasına olanak tanır ve ekiplerin kendi yerel süreçlerini ve formatlarını otomatikleştirmeleri için bir platform ve OSCAL SDK sunar. Trestle, dolaylı olarak, diğer uyumluluk araçları platformları ile standartlaştırılmış bağlantılara izin vermek için kendi ardışık düzeni tarafından yönlendirilen temel bir fikirli iş akışı sağlar.

ÖSKAL Nedir?

Açık Güvenlik Kontrolü Değerlendirme Dili (OSCAL), uyumluluk çerçevesi sağlayan bir Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) standardıdır. XML, JSON ve YAML’de kod olarak uyumluluk olarak ifade edilen ilgili anahtar uyumluluk yapıtları kümesi. OSCAL, araçların ve kuruluşların otomasyon yoluyla uyumluluk bilgilerini değiş tokuş etmesini sağlayan bir Rosetta Taşı gibidir.

Şekil 1’de gösterildiği gibi, OSCAL uyumluluk yapıtları, yapıtlar boyunca kapsayıcı uyum öğelerinin tam izlenebilirliği ile denetim kataloglarının, denetim profillerinin veya temel çizgilerin, sistem güvenlik planlarının, değerlendirme planlarının, değerlendirme sonuçlarının ve eylem planlarının makine tarafından okunabilir bir temsilini sağlar. . Örneğin, bir sistem güvenlik planındaki veya eylem planındaki bir kontrolün referansı, kaynak düzenleyici katalog kaynağındaki kontrol öğesine ve bununla ilişkili temel çizgiye kadar izlenebilir.

  NIST Açık Güvenlik Denetimi Değerlendirme Dili (OSCAL) çerçeve katmanları ve ilgili uyumluluk yapıları

Şekil 1: NIST Açık Güvenlik Denetimi Değerlendirme Dili (OSCAL) çerçeve katmanları ve ilgili uyumluluk yapıtları

NIST OSCAL’i seçmenin nedeni kod olarak uyumluluk Uyumluluk otomasyonunu desteklemek için standart, kanıt toplama, durum izleme, önleme, uygulama (düzeltme) veya denetim raporlaması gibi halihazırda otomatikleştirilmiş olan uyumluluk süreçlerinin belirli yönlerine sahip olabilmesine rağmen, kod olarak bazı temsillerle birlikte, bu sessiz otomasyonlar tipik olarak yapar. aşağıdaki gibi kurum çapında uçtan uca sürekli uyumluluğu tam olarak desteklemez.

  • Standardizasyonun eksik olması durumunda, her araç farklı bir formatta duruş sonuçları üreteceğinden, kurum çapında duruş birleştirmeyi kısıtlıyor.
  • Kontrollere, teknik kurallara, parametrelere, kontrollere ilişkin kanıt eşleştirmeleri eksikse, otomasyon yalnızca kısmidir ve uçtan uca akışı sağlamak için manuel müdahale gerekir.
  • Ayrıca, bir yapıtın belirli bir sahibi veya yanlış sahibi yoksa, otomasyon ertelenir veya yalnızca kaynak tahsisini beklerken veya yanlış sahibin bu yapıtı sağlamak için uzmanlığı edinmesini bekler.
  • Son olarak, kod olarak gösterim doğal olarak ontoloji desteği içermiyorsa, benzer yapıtları sağlamaya dahil olan çeşitli araçların sınıflandırması arasındaki çeviri, sürekli uyumluluk sağlayıcısının yükü haline gelir.

Bu nedenle, kurumsal çapta özgün sürekli uyumluluk için tüm bu boyutları, özellikle uçtan uca yapıt eşleme ve sahiplik desteğini ele alan bir “kod olarak” temsili seçmek çok önemliydi. Bu nedenle, kod olarak uyumluluk için OSCAL seçimimiz.

sehpa

sehpa açık kaynaklı bir OSCAL SDK’sı ve genel olarak uyumluluk geliştirme ve hedeflenen kullanım durumumuz olarak uyumluluk otomasyonu için belge yapılarının oluşturulmasını, doğrulanmasını ve yönetilmesini sağlayan bir araçlar topluluğudur. Şekil 2’de gösterildiği gibi, özünde OSCAL çerçeve modelleri vardır. piton şemaya dayalı sınıflar üzerinde katı kısıtlamalar uygulamak için doğrudan OSCAL şemasından dönüştürülen sınıflar. Ardından, OSCAL belgelerini Python nesnelerine veya tam tersi şekilde dönüştüren bir adaptörümüz var. Bu iki bileşen, çalışma zamanında OSCAL modellerinin bütünlüğünün korunmasını sağlayan Python nesneleri olarak OSCAL belgelerinin manipüle edilmesini sağlar.

Sehpa Katmanlı Mimari

Şekil 2: Sehpa Katmanlı Mimari

Bu temel işlevin yanı sıra, tüm bu değişikliklerin OSCAL şemasıyla uyumlu olmasını sağlarken OSCAL belgelerini oluşturmak, düzenlemek, bölmek, birleştirmek ve doğrulamak için araçlarımız bulunmaktadır. JSON belgelerini manuel olarak değiştirmek zor olduğundan, Trestle, OSCAL belgelerini işaretleme dosyaları olarak oluşturmak ve düzenlemek için içerik geliştirme araçları sağlar. Ayrıca, elektronik tablolar, araca özel JSON formatı vb. gibi farklı formatlardaki verileri OSCAL formatına dönüştürmek için bir dizi transformatöre sahiptir. Bu, harici içeriğin diğer uyumluluk araçlarıyla değiştirilmeye uygun bir biçime getirilmesini sağlar. Trestle’ın işlevselliği eklentiler aracılığıyla da genişletilebilir.

Trestle Kullanarak Kod Olarak Uyumluluk Artifaktlarını Yönetme

Trestle, kod ve ilgili iş akışları olarak çeşitli uyumluluk yapılarını yönetmek için git’e benzer, düşünceli bir dizin yapısı kullanır. Çoğu sehpa CLI’leri OSCAL modellerini doğrudan yöneten bu dizin yapısının üzerinde çalışır. Belgelerde özetlendiği gibi, Trestle CLI’nin üç temel kullanım durumu vardır:

  1. Doğrudan bir son kullanıcı tarafından OSCAL dosyalarını oluşturmak ve işlemek için araç olarak hizmet edin: Amaç, iş akışları oluşturma ve düzenleme karmaşıklığını azaltmaktır. Örnek komutlar şunlardır: trestle import, trestle create, trestle splitve trestle merge.
  2. Tasarım gereği bir CI/CD ardışık düzeninin ayrılmaz bir parçası olabilen bir otomasyon aracı olarak hareket edin, örn. trestle validate, trestle tasks
  3. Belirli stil veya yapı gereksinimlerine uymaları için indirim belgelerinin yönetimine izin verin.

Mevcut bir OSCAL modelini Trestle çalışma alanına aktarmak ve doğrulamak için temel komutların yanı sıra, Trestle ayrıca büyük OSCAL dosyalarını bir dizin ağacında parçalar olarak yönetmek için işlevsellik sağlar. OSCAL modelleri, biçimlendirilmiş on binlerce satırlık JSON dosyasıyla çalışabildiğinden, kullanıcılar için tamamen yönetilemez hale gelirler. Bununla mücadele etmek için, Trestle, kolay düzenleme için büyük bir OSCAL dosyasını parçalara ayırma komutu sağlar ve bu komut daha sonra birleştirilebilir ve yine de parçaların OSCAL şemasıyla uyumlu olmasını sağlar. Aşağıdaki şekil, bir kataloğun farklı gruplara nasıl bölüneceğini ve ardından bunların nasıl birleştirileceğini gösterir.

sehpa CLI

Şekil 3: Sehpa CLI

Çeşitli araçlar ve süreçler tarafından sağlanan mevcut uyumluluk içeriğinin çoğu ya elektronik tablo biçiminde ya da araçların yerel biçimlerindedir. Bu içeriklerin otomasyon için OSCAL formatına dönüştürülmesi gerekmektedir. Bunun için Trestle, bunları OSCAL’a dönüştürmek için kullanılabilecek bir dizi görev ve transformatör sağlar. Örneğin, Trestle, Tanium sonuç verilerini kendi yerel formatında OSCAL formatına dönüştürmek için bir transformatöre sahiptir, ayrıntıları öğreticide açıklanmıştır, “Tanium’dan OSCAL’e trafo kurulumu ve kullanımı.” Benzer şekilde, elektronik tablo verilerini OSCAL bileşen tanım formatına dönüştürmek için başka transformatörlere ve görevlere sahiptir. Diğer verileri OSCAL formatına dönüştürmek için Trestle’a ek transformatörler de kolayca eklenebilir. Trestle’da yeni bir transformatör nasıl oluşturulur.

Trestle ayrıca OSCAL belgelerini insanlar tarafından okunması ve düzenlenmesi kolay küçük işaretleme dosyalarına dönüştüren geliştirme araçlarına da sahiptir. Markdown dosyaları daha sonra birleştirilebilir ve bu düzenlemelerle yeni bir OSCAL belgesi oluşturmak için tekrar JSON formatına dönüştürülebilir. Bu işlemler, tüm değişikliklerin OSCAL şemasıyla tutarlı olmasını sağlarken belgeleri ayırmaya, düzenlemeye ve yeniden birleştirmeye izin veren komut satırı araçlarıyla desteklenir. Trestle öğreticisi içerik yazarlığı bu komutların ve işaretleme biçimlerinin kullanımı hakkında ayrıntılar sağlar.

Trestle komut satırı araçları, Git havuzlarındaki tüm uyumluluk belgeleri ve yapıtları için tek, izlenebilir bir doğruluk kaynağı sağlamak için GitOps tabanlı süreçlerle birlikte kullanılabilir. Bu, etkili bir değişiklik yönetimi sürecini mümkün kılar. Yazma araçları, farklı sorumluluk ve yetkilere sahip kişiler tarafından bir işlem hattında değişikliklerin yapıldığı bir CI/CD ortamında çalışmak üzere tasarlanmıştır. Bu ayarda, belgelerde yapılan değişiklikler aşağı yönde değişiklikleri tetikleyebilir, örneğin bir kontrolün düzenlenmesi katalogda bir güncellemeye neden olur ve bu daha sonra güncellenmiş bir SSP’ye akabilir. Git depoları değişiklikleri takip eder, hatalardan kaçınılır ve manuel insan girişinden kaçınılır. Ayrıca, uyumluluk gereksinimleri, yalnızca belirli kişilerin belirli değişiklikleri yapabilmesi gerektiğini belirtir. CI/CD ardışık düzen operasyonlarındaki kullanıcı ayrıcalıkları, bu tür kullanıcı haklarını doğal bir şekilde uygular.

Çözüm

Bu blog yazısında, OSCAL belgelerinin düzenlenmesi ve manipülasyonu için araçlar sağlayan ve kod olarak uyumluluk paradigmasını etkinleştirmek için bu uyumluluk yapılarını bir git deposunda kod olarak yöneten Trestle adlı açık kaynaklı OSCAL SDK’mızı tanımladık. Trestle, uyumluluk yapıları için işaretleme desteği sağlayarak hem insanlar hem de CI/CD iş akışlarında kullanılacak CLI’ler sağlayarak otomasyon için uygundur.

Sırada Ne Var?

Bu blogda açıklandığı gibi OSCAL belgelerinin doğrudan düzenlenmesine ve manipülasyonuna ek olarak, Trestle, uyma Uzay:

  • Uygunluk yapılarının markdown içeriği olarak çevik bir şekilde yazılması ve bunun OSCAL formatına dönüştürülmesi için destek sağlayın
  • Belgeleri diğer formatlardan OSCAL’e dönüştürün: Bu özelliği sağlayan Trestle SDK, 3rd Trestle veya herhangi bir Yönetim, Risk ve Uyumluluk çerçevesi ile taraf değerlendirme araçları.
  • Mimari belgeler, tasarım kararları vb. gibi yazar tarafından yönetilen içeriğe işaretleme ve DRAWIO dosyaları ve bunlarla ilgili iş akışları olarak destek ve yönetişim sağlayın.

Sonraki bloglarımız bu Trestle özelliklerinin her birini ayrıntılı olarak ele alacaktır.

Daha fazla bilgi edin

Açık kaynaklı Trestle SDK’mızı kullanmak istiyorsanız, bkz. Uyum sehpası çeşitli sehpa CLI’leri ve kullanımları hakkında bilgi edinmek. Trestle’ı çalışırken görmek için çeşitli sehpa demoları Trestle’ın farklı yeteneklerinin nasıl kullanılacağı hakkında daha fazla bilgi edinmek için.

Bir cevap yazın

Ready to Grow Your Business?

We Serve our Clients’ Best Interests with the Best Marketing Solutions. Find out More

How Can We Help You?

Need to bounce off ideas for an upcoming project or digital campaign? Looking to transform your business with the implementation of full potential digital marketing?

For any career inquiries, please visit our careers page here.
[contact-form-7 404 "Bulunamadı"]