从安全创新赛道的“转变”看网络安全架构演进

【摘要】随着安全创新赛道不断转变,技术、业务不断变化,网络安全架构在数字化转型高速发展期面临更多的变化与挑战,架构层面也需要持续演进。本文从安全架构演进的意义、安全架构的演进路线、如何在数字化转型的背景下进行安全架构演进,以及安全架构演进实践4个方面展开了讨论。

【关键词】网络安全架构自适应安全架构融合架构架构演进

1引言

主题为“Transform”(转型)的RSAC(RailroadSafetyAdvisoryCommittee)会议已于2022年6月在美国举行。近5年来(自2018至2022年)创新沙盒十强冠军分别聚焦于身份安全、云安全、供应链安全、数据安全,以及云原生安全赛道,可以看出创新沙盒突围的赛道在持续转变。伴随着技术、业务场景、业务需求的不断变化,安全架构的演进也变得必要。

2安全架构演进的意义

自2020年起,RSAC的议题便开始有明显转变,从单纯的技术展望转变为更高层次的思考和探索。面对新冠肺炎疫情、科洛尼尔管道勒索攻击、俄乌网络战等多重叠加的复杂环境,RSAC议题从2020年的TheHumanElement(人因)到2021年的Resilience(弹性),再到今年的Transform(转型),都是为了应对如此复杂的环境而思考出来的新想法、探索出的新发展方向。“Transform”一词解读为“转型”可能并不全面,我们站在议题提出的技术背景下,解读出该主题3个方面的内容:融合、模态、演化,并将从这3个方面来探讨架构演进。

(1)融合融合是安全架构的发展趋势。未来,以Web3.0、人工智能为基础技术的数字社会将逐步形成,可能将超越今天的移动支付、车联网、远程办公等场景,产生新的数字化场景,形成一个安全可信的价值互联网。这就需要一个与数字化场景深度融合的安全体系和架构,如图1所示。

(2)模态模态是安全架构演化后的新形态(目标形态)。演化后的新安全架构具备模态特性,即统一性和自适应性或者说是弹性。新安全架构消除了与数字化业务、与不同安全产品之间的数据孤岛,通过统一的数据模型,与人的交互、与设备的交互及与系统的交互都能以标准化的语言(接口)进行数据采集、分析和响应。新安全架构的数据模型是统一的,但是通过数据模型衍生的安全服务是弹性的,可以见所未见(利用威胁情报、威胁建模、红蓝对抗等手段提前发现问题)、可以实现零信任(通过限制用户的访问特权来限制内部的威胁蔓延)、可以提供微隔离(提供7层威胁防御、基于风险的持续多因素认证),这样就能与网络攻击共存,在遭受网络攻击时保持数字化业务的可用性及网络恢复的能力。

(3)演化演化是安全架构的必然要求。在一个与数字化场景深度融合的安全体系下,需要相应的安全架构进行支撑,现有的安全架构往往是独立于数字化业务场景的“门卫”角色,部署形态不够灵活、安全事件自动化响应很难实现对数字化业务的“零扰动”,解决这些问题与实现模态化,都要求对现有安全架构进行升级。

大型软件架构体系的范式迁移可以作为安全架构升级的参考,从“单体”到面向服务架构(Service-OrientedArchitecture,SOA),再到“云原生”的演化路线如图2所示,核心驱动力就是企业需要适应数字化转型的发展趋势,能够服务更多用户和客户的个性化数字场景,能够降低构建数字化系统的开发和运维成本。时下流行的云原生架构就是基于云原生技术的架构原则和设计模式适应了当前数字化业务场景的最佳实践,能将数字化应用中的非业务模块进行最大化剥离,让公有云或者私有云设施接管应用中大量的非功能特性(如弹性、安全、可观测性、灰度等),使数字化业务不再受非功能性业务中断困扰的同时,具备轻量、敏捷、高度自动化的特点。

综上所述,在数字化转型的高速发展阶段,网络安全将与全领域各行各业进行深度链接,只有转变才能应对更多变化,只有架构演进才能应对业务、数据、资源的多维度、多场景变化。

3安全架构演进路线

3.1传统架构演进路线

(1)网络安全架构1.0时代。2014年IT研究与顾问咨询公司高德纳(Gartner)针对高级别攻击设计了一套自适应网络安全架构,如图3所示。

该时代映射于传统安全产品的单体架构时代,各安全产品都比较独立,突出表现为产品架构烟囱式发展。

(2)网络安全架构2.0时代。2017年自适应网络安全架构进入2.0时期,其在1.0的基础上进行了理论丰富,加入了一些额外元素,如图4所示。自适应架构2.0主要有以下3点变化:

②引入了每个象限的小循环体系,不仅仅是4个象限大循环;

③在大循环中加入了策略和合规要求,同时对大循环的每个步骤说明了循环的目的,保护象限是实施动作,检测象限是监测动作,响应和预测象限都是调整动作。

网络安全架构2.0时代映射于传统安全产品的分布式、面向服务的架构时代。为满足更大体量的业务和更复杂的业务场景,安全产品间有了一些协同交互。

(3)网络安全架构3.0时代。Gartner发布的2018年十大安全项目(Top10SecurityProjectsfor2018)涉及持续自适应风险与信任(CARTA)、云安全配置管理项目(CSPM)、软件定义边界等,网络安全架构的演进内容较多,正式进入3.0时代,如图5所示。在云时代,云访问安全代理(CloudAccessSecurityBroker,CASB)解决了部分的认证问题,Gartner也使用过自适应安全架构的方法论来对CASB的能力架构进行全面分析,可以说是将CASB自适应的安全架构作为原型挪到此总体架构中。这个架构的核心点在于认证,包括云服务的发现、访问、监控和管理。

网络安全架构3.0时代映射于安全产品的云原生、服务化、服务网格架构时代。为满足数字化转型背景下用户业务快速上云、企业业务快速上云需求,对架构提出了基座平台化、云原生、轻量化、弹性、融合、编排等技术要求。

自适应网络安全架构的模型从智慧决策、自适应策略、动态执行、全息态势等元素不断丰富、优化和演进。自适应网络安全架构的功能从监测预警、动态防御、态势感知、决策演进元素不断演进和丰富。自适应网络安全架构的核心是决策演进,根据业务场景、网络安全态势实现监测策略、防御策略、评估策略和感知策略的生成。

自适应网络安全架构具有以下3个特点。

①自适应。安全架构整体具有动态自适应的特点,能够持续地对网络空间威胁风险进行监测,并动态自适应地调整监测策略、防御策略、评估策略和感知策略,应对持续多变、已知未知的安全威胁。

②执行流程闭环。安全架构包括监测、防御、评估、感知、决策等功能,形成网络空间安全保密防护的流程闭环,是一个有机的融合整体,能够对网络空间安全进行一个全面、完整的安全防护,并不断迭代更新。

③内外双驱动演进。安全架构能够根据系统应对内部实时威胁风险实现内部驱动的防御演进,同时能导入外部新型威胁风险,实现外部驱动的防御预先演进,具有较高的威胁风险应对能力和预防能力。

3.2数字化时代网络安全技术框架

Gartner近期发布的2022年七大安全和风险管理趋势中,网络安全网格架构(CSMA)无疑体现出在技术架构层面对当前网络安全产品在新形势下的整合能力要求,通过集成式的安全架构来保护组织在本地、数据中心和云端资产的安全,如图6所示。

这种架构有2个明显优势:一是摆脱了物理网络限制。在任何物理位置上的终端或者业务系统,随时都可以接入全互联结构(Full-Mesh)的逻辑网络中,无需考虑物理网络环境。二是复杂网络简单化。所有网络主客体之间在逻辑上都是点对点直连关系,没有复杂的中间网络。这种极简结构让策略管理变得扁平化,给集中管控和行为分析带来了天然优势。

数字化时代网络安全架构不仅考虑传统IT基础设施的安全,还考虑整个数字化生态中全部有形与无形的资产,尤其是数据资产等安全诉求。数字化时代的网络安全技术框架演进,无论是从1.0时代的单体架构,到2.0时代的能力自适应架构,还是到3.0云化服务化的融合架构,都是紧贴客户业务发展需要,而不是脱离业务空谈架构演进。因此对于安全架构的演进方向,需要深入研究客户当前业务场景和形态的变化,并且能够从一定程度预判客户业务未来的演进方向,以业务驱动架构的持续演进。

4安全架构的演进方式

在数字化转型的背景下,对于网络安全厂商来说,网络安全架构应围绕客户业务转型而逐渐演进,伴生模式和订阅模式是架构演进要考虑的关键要素。

4.1架构演进要素一:伴生模式

传统模式下,客户业务通常部署在本地或者互联网数据中心(InternetDataCenter,IDC)机房,因此网络安全厂商通常以硬件的方式伴生在客户业务服务器旁。此时,网络安全厂商的网络设备通常是单一能力硬件盒子方式,客户需要何种安全能力就购买具备相应能力的安全设备。

随着云资源、云业务的发展,客户将业务迁移到云环境之后,本地部署安全能力的方案不再奏效。网络安全厂商的安全架构也随之迁移,提供云化部署,包括虚拟私有云(VirtualPrivateCloud,VPC)或者容器部署,伴生于客户的云上业务。同时网络安全厂商也将服务目标转向云服务提供商,为其提供资源池等方案。

在伴生模式的推动下,安全产品部署随着客户的业务迁移而变化,因此安全架构需要能支持多样的部署环境,并适应不同的部署场景。

4.2架构演进要素二:订阅模式

线下订阅模式,本质上是伴生模式的演进,即安全能力依然部署在业务侧,同时引入了“订阅”机制。随着客户数字化转型下的业务变化,其所需的安全能力也在不断变化,不再是传统的需要什么安全能力就购买相应安全装置,这种模式会导致安全能力的浪费,同时不能快速适应业务发展。因此,网络安全架构需要支持多能力融合,即“多合一”模式,一套装置能够提供多种安全能力,并根据不同的“订阅”模式提供不同的安全能力组合。

在订阅模式的推动下,安全架构支持将多安全能力以组件的方式平滑集成和融合,不再仅提供单一能力。同时,安全架构在整体方案上不能仅仅只支持云端或者地端,而是要支持云地联动能力互补,为客户提供云、管、边、端场景端到端的安全服务。

综上所述,架构是演进的,而不是设计的。安全架构应该围绕客户业务的“转型”,以能够为客户提供最优的安全解决方案目标而演进,同时与时俱进,融合IT产业的优秀架构思想和最佳实践。

5安全架构演进的实践

5.1传统架构的痛点

以上情形对于传统的基于较大规模的客户防护场景是可执行的。在数字化转型高速发展的强力助推作用下,千行百业上云过程中将传统安全产品堆叠上云,传统的安全架构已经不能满足云上资源、客户业务不断的服务化、轻量化的发展趋势。敏捷、融合、弹性、可订阅的安全能力编排和调度需求越来越强烈,传统的安全架构需要进行转变。

5.2架构演进实践

鉴于传统的安全能力耦合严重、接口封闭、能力无法复用等问题,本文提出了一套安全能力原子化解耦、安全原子能力云原生池化的架构。基于新架构将云原生化的原子安全能力构建成融合、弹性的安全解决方案,以应对数字化转型时代的复杂安全风险,这是数字化转型过程中应对复杂业务、技术的一种解题思路。由此,实践层面从传统的安全产品烟囱式架构演进为支持多安全能力融合、可编排、可调度、可订阅的云原生服务化架构。

伴生模式架构意味着安全服务和客户的业务一起伴生、融合。实践落地过程中架构需支持基础设施平滑迁移、安全业务融合,架构要支持安全能力按需编排,架构演进实践如图8所示。实践架构中通过抽象层屏蔽底层不同基础设施差异,实现安全业务产品支持在不同基础设施平滑迁移。通过更细粒度、更内聚的安全能力解耦实现安全能力分而治之、合而御之的安全运营能力。通过安全能力服务化及安全能力服务化的编排,实现客户场景的按资源所动、据不同场景的安全威胁按需编排安全能力。订阅模式的架构实践通过安全能力实现服务化的接口,满足客户不同场景的按需订阅。

6结语

在数字化转型的高速发展阶段,还将有更多的变化与挑战,安全产品的架构也将持续不断地演进,以为客户提供长期持续的全方位安全运营服务,保障各行各业在数字化转型过程中云、管、边、端全场景的安全底线。

THE END
1.读书笔记:大型网站技术架构核心原理与案例分析李智慧《大型网站技术架构-核心原理与案例分析》 性能 可用性 伸缩性 扩展性 安全性 总结 这本书组织的很不错,语言精练,篇幅也不长,对网站架构的要点讲的狠清楚透彻,思路清晰。主要围绕架构的五个要点:性能、高可用、伸缩性、扩展性、安全性。令人印象非常深刻。而且李智慧老师深谙职场之道,后面一些关于技术人的建https://blog.csdn.net/shengqianfeng/article/details/118874806
2.技术架构的几种视角mob64ca13f5c557的技术博客安全架构 保护网站免遭攻击及敏感信息泄露。 Web攻击 以HTTP请求的方式发起的攻击,危害最大的就是XSS和SQL注入攻击。但是只要措施得当,这两种攻击都是比较容易防范的。 数据保护 敏感信息加密传输与存储,保护网站和用户资产。 数据中心机房架构 大型网站需要的服务器规模数以十万计,机房物理架构也需要关注。 https://blog.51cto.com/u_16213573/12777803
3.网站架构规划:构建一个成功网站的基石(网站架构规划方案)网站架构规划是网站发展的关键步骤,它为网站的成功奠定基础。精心规划的网站架构可以提升用户在规划网站架构时考虑SEO至关重要。优化页面标题、元描述和内容以提高网站在搜索结果中的可见度。 网站架构的最佳实践 以下是一些网站架构的最佳实践: 保持网站结构简单易懂。 https://www.ulidc.com/2024/12/17/%E7%BD%91%E7%AB%99%E6%9E%B6%E6%9E%84%E8%A7%84%E5%88%92%EF%BC%9A%E6%9E%84%E5%BB%BA%E4%B8%80%E4%B8%AA%E6%88%90%E5%8A%9F%E7%BD%91%E7%AB%99%E7%9A%84%E5%9F%BA%E7%9F%B3-%E7%BD%91%E7%AB%99%E6%9E%B6%E6%9E%84/
4.大型网站架构的技术要点与应用层的组织方式分析通过采用分布式架构、异步通信、缓存机制等技术手段,可以提高系统的性能和可扩展性。在应用层,采用微服务架构、服务治理、API 网关等方式可以实现系统的解耦合和可管理性。此外,分布式文件存储、CDN 加速和数据分析与监控等技术也是大型网站架构中不可或缺的部分。通过综合运用这些技术和组织方式,可以构建出高可用、可https://baijiahao.baidu.com/s?id=1768312249908528897&wfr=spider&for=pc
5.大型网站技术架构图书简介 《大型网站技术架构:核心原理与案例分析》通过梳理大型网站技术发展历程,剖析大型网站技术架构模式,深入讲述大型互联网架构设计的核心原理,并通过一组展开短评 打开App写短评 xiaohanyu2015-06-11 22:35:51 通俗易懂,可以算是大型网站架构入门的科普书,可以看成是 http://book.douban.com/subject/108127https://m.douban.com/book/subject/25723064/
6.大型网站技术架构(一):大型网站架构演化如何打造一个高可用,高性能,易扩展,可伸缩且安全的网站?这是很多大型互联网企业和其架构师们应该关注的问题。在拜阅了李神的《大型网站技术架构》一书以及结合自己对于互联网的浅薄理解,决定对其每一章做个学习笔记,供大家交流学习,也希望大家能够做出批评和建议,在构建大型网站以及成为架构师之路上有所帮助~ https://www.jianshu.com/p/3724c09a29b8
7.大型网站技术架构:核心原理和案例分析(李智慧)网站秒杀系统架构设计案例分析 秒杀活动的技术挑战 秒杀系统的应对策略 秒杀系统架构设计 大型网站典型故障案例分析 写日志也会引发故障 高并发访问数据库引发的故障 高并发情况下锁引发的故障 缓存引发的故障 应用启动不同步引发的故障 大文件读写独占磁盘引发的故障 https://www.processon.com/view/6131796a63768906a21b8d86
8.大型网站技术架构pdf大型网站技术架构pdf文档介绍内容阿里云为您提供大型网站技术架构pdf相关的13858条产品文档内容及常见问题解答内容,还有等云计算产品文档及常见问题解答。如果您想了解更多云计算产品,就来阿里云帮助文档查看吧,阿里云帮助文档地址https://help.aliyun.com/。https://help.aliyun.com/wordpower/389849-1.html
9.大型网站技术架构核心原理剖析,附知识图谱下载维基百科定义:软件架构是指有关软件整体结构与组件的抽象描述,用于指导大型软件系统各个方面的设计。 软件架构5大要素: 性能 可用性 伸缩性 扩展性 安全性 可以通过考察这5大要素来衡量一个软件架构设计的优劣。 高性能 网站性能是客观的指标,具体体现到响应时间、吞吐量等技术指标。 https://zhuanlan.zhihu.com/p/71776534
10.大型网站技术架构演进与性能优化大型网站技术架构 ISBN:9787121212000 大型网站技术架构核心原理与案例分析 ISBN:9787121212000 大型网站技术架构 :核心原理与案例分析 作者:李智慧 ISBN:9787121212000 出版社:电子工业出版社 出版年:2013 Web信息架构 :设计大型网站 作者:Morville ISBN:9787121070372 出版社:电子工业出版社 出版年:2008 大型系统应用https://www.las.ac.cn/front/book/detail?id=bb6608749120ab8426ec24d9d559cffd
11.《大型网站技术架构核心原理与案例分析(博文视点出品)》(李智慧计算机与互联网 > 网络与通信 > 电子工业出版社 > 大型网站技术架构 核心原理与案例分析(博文视点出品) 自营 电子工业出版社京东自营官方旗舰店 大型网站技术架构 核心原理与案例分析(博文视点出品) 李智慧著 京东价 ¥ 促销 展开促销 配送至 --请选择-- 支持https://item.jd.com/11322972.html
12.《软件架构设计:大型网站技术架构与业务架构融合之道》(余春龙Python量化交易实战-使用vn.py构建交易系统Python算法交易实战Python量化交易实战Python期货量化交易Java并发实现原理:JDK源码剖析Python量化交易软件架构设计:大型网站技术架构与业务架构融合之道 电子工业出版社当当自营 进入店铺收藏店铺 商品详情 开本:16开 纸张:胶版纸 http://product.dangdang.com/26511756.html
13.大型网站技术架构核心原理与案例分析李智慧.pdf大型网站技术架构_核心原理与案例分析_李智慧.pdf,[General Information] 书名=大型网站技术架构 核心原理与案例分析https://max.book118.com/html/2017/0703/119933465.shtm
14.解秘亿级网站——亿级流量网站架构核心技术为什么要从大型网站架构学起? 一者,网站是直接面对用户的,是公司的门户,必须快速响应,必须持续可用,必须抗得住洪峰,最能体现一家企业的技术精华 二者,任一个网站的发展过程中都会出现问题,业务规模越大的网站出现的问题越有典型性,克服问题的思路和过程也最有技术营养 https://maimai.cn/article/detail?fid=1735506722&efid=_1YrbPFY6CY5xjPbpg0alw
15.大型商城网站建设全流程方案探讨及优化策略研究seo搜索引擎用户体本文深入探讨了大型商城网站建设的全流程方案及优化策略,从六个方面进行详细阐述:需求分析与规划、技术架构与开发、用户体验设计、内容管理与SEO策略、安全与性能优化以及上线与维护。需求分析与规划阶段是整个项目的基础,明确目标和用户需求至关重要;接着,技术架构与开发决定了网站的功能性和可扩展性;用户体验设计则直接https://www.163.com/dy/article/JFBNFO1O05569BV4.html
16.GitHubdoocs/technical2大型网站系统与 Java 中间件实践[2014]曾宪杰(花名:华黎)围绕大型网站和支撑大型网站架构的 Java 中间件的实践展开介绍。 3大型网站技术架构:核心原理与案例分析[2013]李智慧梳理大型网站技术发展历程,剖析大型网站技术架构模式,深入讲述大型互联网架构设计的核心原理。 https://github.com/doocs/technical-books
17.由浅至深推荐进阶java书籍(附PDF下载)作者是蘑菇街技术副总曾宪杰,曾长期负责淘宝主站。通过这本书可以了解大型网站架构变迁过程中的较为通用的问题和解法,并了解构建支撑大型网站的 Java 中间件的实践经验。 对于有一定网站开发、设计经验,并想了解大型网站架构和支撑这种架构的系统的开发、测试等的相关工程人员,本书有很大的参考意义;对于没有网站开发设计https://www.w3cschool.cn/java/java-book.html
18.2023年重大网络安全政策法规盘点据工信部网站5日消息,按照《中华人民共和国标准化法》和《强制性国家标准管理办法》,工信部装备工业一司组织全国汽车标准化技术委员会开展了《汽车整车信息安全技术要求》等四项强制性国家标准的制修订,已形成征求意见稿,并向社会各界公开征求意见。 《攻击面收敛架构技术规范》正式实施 https://www.eet-china.com/mp/a273064.html
19.李智慧·高并发架构实战课李智慧,极客时间专栏《从 0 开始学大数据》、《后端技术面试 38 讲》作者,同程旅行交通首席架构师、Apache Spark 代码贡献者、5 项分布式系统发明专利拥有者。他长期从事大型网站架构、大数据的研发工作,曾担任阿里巴巴技术专家、Intel 亚太研发中心架构师、宅米和 WiFi 万能钥匙 CTO,有超过 8 年的线下咨询、培训经验https://time.geekbang.org/column/intro/100105701/package
20.网络营销策划推广方案(精选11篇)为了高效率、系统化、有计划发展河南省旅游网络营销,河南省政府有关部门要尽快组织一批电子商务、旅游营销、网络技术、经济法律、银行金融等各方面的专家,组成编制组,分阶段编制《河南省旅游网络营销发展战略策划报告》。该《战略策划报告》要根据《河南省旅游业发展战略总体规划》,对旅游网络企业、旅游网站建设、网络营销https://www.unjs.com/fanwenku/299814.html
21.大型网站技术架构演进与性能优化高清pdf完整版[127MB]电子书下载《大型网站技术架构演进与性能优化》从一名亲历者的角度,阐述了一个网站在业务量飞速发展的过程中所遇到的技术转型等各种问题及解决思路。从技术发展上看,网站经历了Web应用系统从分布式、无线多端、中台到国际化的改造;在解决大流量问题的方向上,涉及了从端的优化到管道到服务端甚至到基础环境优化的各个层面。 https://www.jb51.net/books/681216.html