ethanolivertroy/BSidesORL-2025-GRCEngCloud

GitHub: ethanolivertroy/BSidesORL-2025-GRCEngCloud

BSides Orlando 2025 演讲配套资源,包含一个 Python 编写的 GCP 配置只读收集器,用于将云配置映射到 FedRAMP 20x 试点 KSI 并生成合规报告。

Stars: 1 | Forks: 0

# 云环境下的 GRC 工程:BSides Orlando 2025 这是在 BSides Orlando 2025 上演讲的 *GRC Engineering in the Cloud* 的相关资料。 ## 目录 - **[`GRC-Engineering-in-the-Cloud.pdf`](GRC-Engineering-in-the-Cloud.pdf)**:演讲的幻灯片。 - **[`gcp-fedramp-collector/`](gcp-fedramp-collector/)**:演示工具。一个只读的 Python 收集器和分析器,用于提取 GCP 配置,并根据 FedRAMP 20x 试点阶段的 KSI 快照进行检查。我将其作为审计工作流进行了演示,然后指出相同的理念也可以作为内部 GRC 功能来运行。 ## FedRAMP 20x 试点阶段注意事项 本代码库是演讲的配套资料,而非当前的 FedRAMP 20x 指南。我在 FedRAMP 20x 试点期间(大约在 **2025 年 9 月 26 日**左右),根据当时可用的公开材料编写了这个收集器。FedRAMP 是一项 GSA 计划。本演示之所以使用 FedRAMP 20x,是因为在演讲的时间窗口内,云合规领域正在发生这种变化。 在那之后,FedRAMP 的公开文档继续发生着变化。在可见的 [`FedRAMP/docs`](https://github.com/FedRAMP/docs) 历史记录中,并没有 9 月 26 日的确切提交;该日期前后有用的锚点包括 2025 年 9 月 11 日的试点/VDR 重新生成提交 [`34a080e`](https://github.com/FedRAMP/docs/commit/34a080e)、2025 年 10 月 7 的影响级别/生成器更新 [`ff2a9b3`](https://github.com/FedRAMP/docs/commit/ff2a9b3),以及 2025 年 11 月 5 日的第二阶段 KSI 草案提交 [`b79d0a9`](https://github.com/FedRAMP/docs/commit/b79d0a9)。 除非您已根据当前的 FedRAMP 材料进行过核对,否则请勿将此处的 KSI 映射、评分或发现结果视为当前 FedRAMP 20x 工作的准确依据。仍然重要的观点其实更简单:从 API 拉取云配置,将其映射到控制问题,并生成可供他人检查的输出。 ## 演讲前提 GRC 工程是将工程思维的问题解决方法应用于治理、风险、合规性、评估和保障工作。它不是一个用来争论的职位头衔,也不是一个供应商类别。当您不再询问“*审计员想要什么截图?*”,而是开始问“*哪个 API 能证明这个控制措施确实有效?*”时,您正在做的事情就是 GRC 工程。 #AbolishScreenshots(废除截图)。审计员手动收集的大部分内容只需一个命令即可完成。 收集器是这种理念的一个实现版本。它以只读方式对 GCP 项目运行,将配置映射到试点阶段的 FedRAMP 20x KSI 快照,并输出一份您可以检查的报告。最后一部分很重要。如果 GRC 平台打算为您测试控制措施,那么依然需要有人去测试这个 GRC 自动化本身。必须有人能够读懂代码。 ## FedRAMP 20x 和 RMF 的变化 演讲的内容在最后一周发生了变化,因为有两个独立的事件差不多在同一时间发生。 第一个是 FedRAMP 20x,这是 GSA/FedRAMP 旨在围绕关键安全指标、自动化和可直接测试的证据来重新思考云授权的一项努力。这就是为什么演示会将 GCP 配置映射到 FedRAMP 20x 试点阶段的 KSI 快照。 第二个是国防部的 [Cybersecurity Risk Management Construct](https://dodcio.defense.gov/In-the-News/Article/4367432/department-of-war-announces-new-cybersecurity-risk-management-construct/),这是一项独立的国防网络风险/RMF 现代化工作。它不是 FedRAMP 的一部分,也不受 GSA 管辖。它与本演讲相关的原因在于,它强化了同样的大趋势:静态检查清单和手动流程正在让位于自动化、关键控制、DevSecOps 以及可以持续产出的证据。 这两个变化在技术上并不相关。它们只是从政府的不同角度指出了同一个 GRC 工程教训:停止将合规性视为截图收集。将其视为一个证据管道。FedRAMP 20x 是本代码库中的示例,但并非唯一值得实现自动化的框架。Fork 本项目,彻底改造它,针对您实际身处其中的任何框架重写它。 如果您参加了这次演讲:感谢您的到来。 ## 许可证 [MIT](LICENSE)。您可以随意使用它。
标签:BSides Orlando, CSPM, FedRAMP, FedRAMP 20x, GCP, Google Cloud, GRC工程, KSI, Python, TinkerPop, 云安全态势管理, 云配置分析, 人工智能安全, 前端应用, 反取证, 只读收集器, 合规性, 安全评估, 对称加密, 政策即代码, 无后门, 治理风险与合规, 演讲材料, 网络安全会议, 自动化审计, 逆向工具