安全平行切面的定义
通过嵌入在端---管---云内部的各层次切点,使得安全管控与业务逻辑解耦,并通过标准化的接口为安全业务提供内视和干预能力的安全基础设施。安全平行切面是一种创新的安全体系思想,是实现"原生安全"的一条可行路径。
为什么需要安全平行切面
相对于传统外挂式安全,原生安全以内建安全、主动防御、整体防御为主要特点。但当前原生安全普遍采用强耦合式内嵌方式实现,虽然提升了安全防御能力,但是带来了绑腿走路的困境:安全团队与 IT 团队同步规划、同步建设的安全增强组件,因为基础设施的缺陷或强业务需求而回滚,导致安全建设前功尽弃。
原生安全的"最后一公里"如何落地,如何与企业架构和业务逻辑平行发展又相互协同、实现低侵入式的安全建设,这些都是原生安全体系发展的痛点和难点。
在数字化业务复杂性爆炸,强耦合式的原生安全可行性低的困境之下,原
生安全的未来应该走向何方?
企业安全建设的需求
企业需求是业务和安全能够融合在一起但又相互解耦,即安全能够深入业务逻辑,不再是外挂式安全;业务上线即带有默认安全能力,并实现跨维的检测、响应与防护;同时安全能力可编程、可扩展,与业务各自独立演进。原生安全需要一个正交融合的平行空间,以既融合又解耦的方式进行安全防护,非常好地满足了企业建立"原生安全"能力的需求。
安全平行切面的核心是AOP
在 1997 年施乐帕洛阿尔托研究中心的 Gregor 等学者在著名的 ECOOP
编程语言会议上提出面向切面编程 (Aspect-oriented Programming,AOP)。
研究发现,面向对象编程(OOP)不能解决所有的问题,特别是涉及到大量类(Class) 的横切(Cross-cut)系统性功能很难用面向对象编程(OOP)解决。
而面向切面编程(AOP)通过预编译、运行时动态代理、注入等方式能够在不修改原码情况下给程序的正常业务逻辑中动态添加或修改功能,能很好解决上述问题。面向切面编程(AOP)在 AspectJ 和 Spring 等项目中得到应用。
安全平行切面的三大优势
安全平行切面能够更好地应对复杂性爆炸带来的安全挑战,具备三大显著优
点,包括:
感知覆盖能力强
感知覆盖是安全领域"看得见"的基础能力,做不到感知覆盖就很难保障系
统安全和数据安全。由于系统复杂性和碎片化导致想要做到感知覆盖挑战艰巨:
在微观层面,应用内部行为的内视和细颗粒度数据的流转追溯难;在宏观层面,网络和数据安全态势感知更加不易。安全平行切面技术将安全基础设施融入应用和系统内部,且可以根据安全需求来调整感知目标,能极大的提升感知覆盖能力。
快速应急攻防响应
在安全应急时往往需要快速发现和阻断攻击链,并且实现低漏报、零误报。
但是让业务团队快速修补漏洞并不现实,由于业务系统的复杂性,导致补丁修复需要大量的测试,修复时间比较漫长。正交融合的安全平行切面能够在业务漏洞修复之前,快速阻断攻击链,达到快速应急响应的目的,保障业务系统安全连续性运行。
高效的安全治理与灵活安全布防
在复杂性爆炸的场景下,在安全治理上的投入经常远大于做安全攻防的投入,甚至超过 80% 的安全成本是安全治理投入,导致治理的效率往往比较低。正交融合的安全平行切面可以支撑对业务的高效安全治理。再进一步,安全需要灵活部署安全阵地。攻防是人与人的对抗,核心是知己知彼。如果所有的防御体系都一样,那么有经验的攻击者总能找到机会来绕过这样僵化的防御体系。安全平行切面与业务解耦和独立演化,可以灵活部署安全防护,能提供差异化的安全防御体系,可以有效应对攻击者的挑战。
安全平行切面将业务部署维度与安全部署维度正交融合------两者既能融合为一体,又能独立解耦,各自平行发展,而不是绑在一起演进。安全平行切面这种正交融合难以用现实的物理场景来类比,它更像是科幻场景中的五维平行时空。
安全运营者可以通过这样的平行空间跨维度追踪和阻止恶意网络攻击,或者通过这样的高维空间视角把低维空间展开并做应急的干预或者是深入的审计。通过这样的能力,安全平行切面实现了业务和安全的解耦和共同进化,可以高效保障业务的安全和发展,而不是与业务相互制约。安全平行切面为原生安全落地提供了一种切实可行的方案
安全平行切面的架构图
