Fugue將合規性作為代碼工具與AWS Well-Architected框架結合

Fugue已將亞馬遜網絡服務（AWS）定義的最佳實踐融入其軟件即服務（SaaS）產品中，該產品用於通過其基礎設施即代碼（IaC）平台提供基礎設施。

Fugue首席執行官Josh Stella表示，IT團隊現在可以評估使用AWS CloudFormation或Terraform工具創建的用於提供AWS基礎設施的模板，以確保它們符合AWS Well-Architected框架。

AWS Well-Architected框架涵蓋五大支柱，AWS已為在雲中設計和運營可靠、安全、高效和成本效益的系統定義了一套最佳實踐。AWS為每個支柱定義了一套最佳實踐，並通過提供額外的雲點數來獎勵遵循這些實踐的組織。其目標是通過提供指導來改善整體雲安全性，從而最終減少配置錯誤的數量，使得網絡犯罪分子無法發現並利用它們。

Fugue平台支援這一努力，因為它基於Open Policy Agent（OPA），一個用於管理代碼合規性的通用引擎，正在在雲原生計算基金會（CNCF）的主持下推進。Fugue通過創建Regula，一個開源工具來擴展OPA，該工具評估IaC文件以尋找潛在的安全和合規違規。Fugue然後創建了一個SaaS平台，該平台廣泛使用AWS Lambda無服務計算平台，使得強制執行合規政策變得更加容易。

這些政策包括為SOC 2、NIST 800-53、GDPR、PCI、HIPAA、ISO 27001、CSA CCM、CIS控制、CIS Docker以及針對AWS、Microsoft Azure、Google Cloud和Kubernetes的CIS基礎標準的全面覆蓋。

Stella表示，Fugue現已納入AWS Well-Architected框架的技術方面。然而，每個IT團隊仍需要自行導航雲服務提供商如AWS所遵循的合規和安全的共享責任模型的文化方面。

不幸的是，使用IaC工具來提供雲基礎設施的開發人員往往對雲服務提供商維護的安全水平做出了一些錯誤的假設。結果往往是一系列主要因大多數開發人員在這兩個領域都缺乏領域知識專長而產生的安全和合規問題。

目前尚不清楚有多少組織已採納AWS Well-Architected框架，但隨著各種工具使實施AWS定義的這些最佳實踐變得更容易，雲計算環境應該會變得更加安全和高效。事實上，在許多情況下，這些工具被嵌入在一套更廣泛的DevSecOps最佳實踐中，這些最佳實踐正在跨多個雲實施。

Stella表示，他懷疑安全和合規框架是否會有任何標準化，這些框架可以應用於多個雲；然而，顯然雲服務提供商至少提供了借鑒彼此概念的框架。

無論採取哪種方法，隨著更多的防護欄自動實施，雲安全和合規的整體狀態將繼續改善。然後的問題不僅是找到一種確保部署時雲基礎設施安全的方法，還要確定今天依賴的基礎設施有多少比應有的安全水平低。