使用OSCAL將加拿大網絡安全要求表達為合規即代碼

開放安全控制評估語言 (Open Security Controls Assessment Language, OSCAL) 是由美國國家標準技術研究所 (National Institute of Standards and Technology, NIST) 主導的一個專案，允許安全專業人士以機器可讀的格式表達控制相關資訊。以這種方式表達合規資訊，讓安全從業者可以使用自動化工具來支持數據分析，同時更容易解決下游需求，如翻譯和可及性。在美國，亞馬遜網路服務 (Amazon Web Services, AWS) 與 NIST 和聯邦風險與授權管理計畫 (FedRAMP) 密切合作，推動 OSCAL 的採用，並於 2022 年成為第一個以 OSCAL 格式提交 FedRAMP 系統安全計畫 (SSP) 的雲端服務供應商。

在加拿大，加拿大網路安全中心 (Canadian Centre for Cyber Security, CCCS) 是國家網路安全的技術權威。CCCS 發布網路安全建議和指導，包括基於 NIST 特別出版物 800-53 的 ITSG-33 附錄 3A 安全控制目錄。當 CCCS 最近發布了基於 NIST 800-53 修訂版 5 的新雲端安全配置文件時，我們開展了一個專案，將相關資訊編碼為 OSCAL。以 OSCAL 表達 CCCS 的目錄和配置文件資訊，促進了自動化分析，包括與 NIST 和 FedRAMP 發布的 OSCAL 目錄和配置文件的比較。這篇文章探討了我們用 OSCAL 表達 CCCS 配置文件的方法，以及未來工作的機會。

OSCAL 基礎知識

在這次討論中，有兩個重要的 OSCAL 概念需要了解：目錄和配置文件。目錄是安全控制的集合，例如 NIST 800-53 或 ITSG-33。OSCAL 目錄使用 JSON、XML 或 YAML 以結構化和機器可讀的格式表達控制特定資訊，包括聲明、參數和實施指導。

OSCAL 配置文件從目錄（和其他配置文件）中導入控制，並表達更具體的實施指導。例如，FedRAMP 中等配置文件選擇 NIST 800-53 的一部分控制，指定某些參數的約束，並提供評估指導。配置文件還可以在導入時修改控制，這對我們的目的非常有用。

在 OSCAL 中表達 CCCS 控制

由於 CCCS 的 ITSG-33 基於 NIST 800-53，大多數 NIST 控制可以在 CCCS 配置文件中不做修改地使用。然而，在某些情況下，CCCS 修改了 NIST 800-53 控制的語言；例如，將提到的美國機構或標準替換為加拿大的等效機構，或添加 CCCS 特有的內容。因此，在 OSCAL 中表達 CCCS 要求的第一步是創建一個配置文件，以進行必要的控制層級修改。在某些情況下，CCCS 還創建了不屬於 NIST 800-53 的控制；這些控制在一個單獨的目錄中指定。

當一個 OSCAL 配置文件被解析時，從上游目錄和配置文件中導入的控制資訊會被組裝起來——連同修改——並表達為一個目錄。通過解析 ITSG-33 修改配置文件，我們可以程式化地生成完整的 ITSG-33 目錄，包含 NIST 800-53 控制、CCCS 控制和所需的修改。

CCCS 雲端安全配置文件

CCCS 創建了兩個用於評估雲端服務安全性的配置文件：CCCS 中等和受保護 B 高價值資產 (Protected B High Value Assets, PBHVA)。每個配置文件都指定了 ITSG-33 的一部分控制，以及若干參數的值。從 CCCS 發布的電子表格配置文件中反向提取控制和參數資訊，並將它們表達為 OSCAL。這項練習還促成了之前討論的 ITSG-33 修改配置文件的創建，該文件捕捉了 CCCS 對 NIST 800-53 控制所做的控制層級更改，以及 CCCS 特有控制的單獨目錄。