CISSP 安全架构设计 | 从"堆设备"到"体系化防护"的分水岭
🛡️ Domain 3 安全架构与工程 · 第8-9章 + 第12章
📌 考试权重:占 Domain 3(13%)的 30%+,是 CISSP 考试核心必考模块
⚠️ 一句话记住:安全架构是企业安全体系的顶层骨架。 买一堆防火墙堆起来不叫架构,有设计、有边界、有原则、有闭环的体系化防护才叫架构。
🔴 五条不可突破的红线
① 安全必须原生内置到架构设计的最早期
架构层面的安全缺陷,无法通过单点安全设备彻底修复。就像房子盖歪了,靠装再多锁也解决不了结构性问题。
② 安全架构必须与业务战略完全对齐
架构设计的核心是支撑业务安全运行,而不是阻碍业务。
③ 必须遵循纵深防御、默认拒绝、最小特权等核心原则
没有原则例外,所有架构设计决策都必须回到核心原则判断。
④ 最终责任由最高管理层承担
架构设计、落地、运维的全流程必须纳入安全治理体系。
⑤ 覆盖全资产、全场景、全生命周期
不得出现防护断点与信任盲区。
📖 核心术语速查(10 个必记)
① 安全架构(Security Architecture)
将安全策略、安全模型、安全控制措施原生融入企业 IT 架构的结构化设计框架,明确安全组件的布局、交互规则、信任边界与风险管控逻辑。
② 信任边界(Trust Boundary)
架构中分隔不同信任等级区域的逻辑/物理边界。所有跨边界访问必须经过严格访问控制与审计,是安全架构的核心设计单元。
③ 零信任架构(ZTA)
NIST 定义的核心架构模型------永不信任,始终验证。默认不信任任何主体、系统、网络,每一次访问请求都必须经过身份认证 + 授权校验 + 上下文风险评估。
④ 网络分段(Network Segmentation)
将企业网络划分为多个不同安全等级的区域,限制区域间横向访问,缩小攻击面,防止单点突破后的全网横向移动。
⑤ 微分段(Microsegmentation)
零信任架构的核心落地技术。精细到工作负载级、应用级、容器级的网络隔离与访问控制,不依赖物理网络设备,可跨多云环境部署。
⑥ SASE(安全访问服务边缘)
云原生的安全架构模型,将网络能力与安全能力融合,以云服务方式在离用户最近的边缘节点交付。适用于远程办公、多分支、多云场景。
⑦ 威胁建模(Threat Modeling)
架构设计阶段系统性识别威胁、攻击路径、脆弱点的方法,实现安全左移的核心手段。官方标准模型:STRIDE。
⑧ 攻击面(Attack Surface)
架构中攻击者可利用的所有脆弱点、入口点的总和。安全架构设计核心目标之一就是最小化攻击面。
⑨ 责任共担模型(Shared Responsibility Model)
云安全架构的核心规则。IaaS/PaaS/SaaS 场景下,云厂商与客户的安全责任划分完全不同。无论哪种模式,数据和身份的最终责任永远在客户。
⑩ 参考监视器(Reference Monitor)
安全架构的底层核心------所有跨信任边界的访问请求必须经过参考监视器的完整校验。
🏗️ 模块一:安全架构设计的 10 项核心原则
OSG 第十版明确 10 项底层设计原则,无优先级高低之分,需组合应用于架构全生命周期。这是场景题的核心判断依据。
原则① 纵深防御
构建多层、异构、重叠的防护架构。企业架构中的典型落地:互联网边界防护→网络分段→终端防护→应用防护→数据加密,层层设防。仅依赖单一防火墙的架构 = 错误答案。
原则② 默认拒绝
访问控制默认拒绝所有访问,仅开放明确授权的权限。防火墙默认拒绝所有流量,系统故障时默认锁定而非开放权限。所有"默认允许""故障开放"的设计 = 错误答案。
原则③ 最小特权
任何主体、系统、应用仅拥有完成本职工作必需的最小权限与最小网络访问范围。Web 服务器只能访问数据库的业务端口,不能访问管理端口。全体系最高频考点,过度授权 = 错误答案。
原则④ 安全左移
安全能力必须内置到架构设计的最早期,而非上线后补漏洞。就像盖房子要在设计图纸阶段规划消防通道,不能房子盖完了再补。第十版重点强化原则。
原则⑤ 职责分离
关键业务的不同环节、不同权限必须拆分给不同系统/主体。开发系统不能直接访问生产环境,运维和审计必须拆分。核心目标:防范内部威胁与横向移动。
原则⑥ 完全仲裁
每一次跨信任边界的访问请求都必须经过访问控制的完整校验。就像机场安检,每次登机都要重新过,不能因为昨天过了今天就免检。缓存权限、跳过校验 = 错误答案。
原则⑦ 开放设计
安全机制设计必须是公开可验证的,安全不能依赖架构的保密性。加密算法公开,只有密钥保密。"依赖不公开实现安全" = 错误答案,违背开放设计原则。
原则⑧ 最小攻击面
尽可能关闭不必要的功能、端口、服务、接口,从架构源头减少攻击入口。第十版重点强化原则。
原则⑨ 最小公共机制
减少多个用户、多个系统、多个信任等级共享的安全组件,避免共享组件成为单点故障和权限提升的突破口。不同安全等级的系统不应共享同一个服务器或数据库实例。
原则⑩ 心理可接受性
安全架构不能过度阻碍正常业务操作,否则用户会绕过安全机制。过于复杂的访问控制会导致用户共享账号、绕过管控,反而带来更大风险。
🏛️ 模块二:核心安全架构模型(必考)
一、经典基础模型
1. 分层安全架构模型
最基础的架构模型,按信任等级从低到高划分层级,跨层级访问必须经过严格访问控制。
经典五层(从外到内,信任等级递增):
① 非信任区:互联网、公网、外部不可信网络
② DMZ 区(边界隔离区) :对外提供服务的缓冲区,部署 Web 服务器、邮件服务器、反向代理。仅开放必需服务与端口,禁止直接访问内网核心区域。
③ 办公内网区:企业员工办公区域,划分子分段,禁止直接访问核心生产区。
④ 生产业务区:核心业务系统运行区域,仅 DMZ 前置服务可访问对应业务端口。
⑤ 核心数据区 :最高信任等级,部署核心数据库与存储系统,仅生产业务区授权系统可访问,禁止任何外网/办公网直接访问。
💡 故宫比喻:天安门广场(非信任区)→ 午门外朝(DMZ)→ 内廷(办公内网)→ 乾清宫(生产区)→ 皇家金库(核心数据区)。越往里,信任越高,准入越严。
⚠️ 高频考点
- DMZ 区核心规则:外网只能访问 DMZ 指定服务,DMZ 不能直接访问内网核心区域
- 低信任区不能直接访问高信任区
2. 环形防护架构模型
也叫城堡-护城河模型。以核心资产为中心,一圈圈环形防护边界,越靠近核心防护越强。
核心弱点 :默认信任内网,一旦边界被突破,攻击者可在内网横冲直撞。是零信任架构的替代对象,场景题中"默认信任内网"的设计 = 环形架构的局限性。
二、现代安全架构模型(第十版重点,必考)
1. 零信任架构(ZTA)⭐
OSG 第十版以 NIST SP 800-207 标准为基础,核心原则:永不信任,始终验证。 默认不信任任何主体、系统、网络,无论内网还是外网,每一次访问都要完整校验。
7 项核心设计原则(必背):
- 所有数据源和计算服务都被视为资源,无论部署位置
- 所有通信必须安全,内网和外网执行相同安全标准
- 访问授权基于单次会话的动态决策,考虑身份、资源状态、请求上下文、风险评分
- 遵循最小特权原则
- 必须经过完整的身份认证与授权,没有例外
- 持续监控、测量所有资源和主体的安全状态
- 全程记录、可审计
核心架构组件:
- 🧠 策略引擎:核心决策组件,根据身份、权限、上下文风险决定是否允许访问
- 🛡️ 策略执行点:部署在资源前,拦截请求并向策略引擎发起校验
- 🆔 身份提供商:负责身份认证、多因素认证、身份生命周期管理
- 📊 持续信任评估:持续监控安全状态,动态调整风险评分
💡 通俗比喻:传统架构像"只在机场入口查一次身份证,进去后随便进"------一旦混入就能为所欲为。零信任像"进每个登机口都要重新核对,进贵宾厅还要额外验资质"------每次进入不同区域都要重新验证。
⚠️ 高频考点
- 核心原则:永不信任,始终验证,默认不信任包括内网在内的任何网络
- 访问授权是单次会话、动态决策,不是永久授权
- 不是取消内网,而是取消内网的默认信任
- 不代表取消防火墙,防火墙和网络分段仍然是核心落地组件
- 必须覆盖所有资源,本地/私有云/公有云无例外
2. 微分段架构
零信任架构的核心落地技术。精细到工作负载级、应用级、容器级的网络隔离与访问控制。
与传统 VLAN 分段的核心区别:
- 隔离粒度:VLAN 是网段级(粗),微分段是工作负载/应用/容器级(极细)
- 部署灵活性:VLAN 依赖物理网络设备、仅限本地;微分段不依赖物理网络、可跨多云部署
- 横向移动防护 :VLAN 只能阻止跨 VLAN 横向移动;微分段可阻止任意两个工作负载之间的未授权横向移动
- 策略管理:VLAN 基于 IP/端口配置(复杂);微分段基于身份/业务属性配置(与业务对齐)
⚠️ 高频考点
- 核心目标:阻止攻击者的横向移动,最小化攻击面
- 不依赖物理网络设备,可跨多云部署------云原生场景的核心分段技术
3. SASE(安全访问服务边缘)
第十版新增的云原生安全架构模型。核心是网络能力 + 安全能力的云化边缘交付,在离用户/分支最近的边缘节点统一提供:防火墙、CASB、零信任网络访问、数据泄露防护、威胁防护。
核心适用场景:多分支企业、远程办公、多云部署、全球业务。解决传统集中式架构"用户回源总部访问慢、安全管控难"的问题。
⚠️ 高频考点
- SASE = 网络 + 安全的云化边缘交付
- 核心优势:降低延迟、简化运维、分布式统一安全管控
🌐 模块三:OSI 七层安全架构设计
安全架构必须覆盖每一层,针对每层核心威胁部署对应防护措施。
物理层:物理线路窃听、设备破坏、电磁泄露
- 防护:机房物理门禁 + 环境安全、光纤替代铜缆防电磁窃听、线路冗余、电磁屏蔽
数据链路层:MAC 地址欺骗、ARP 欺骗、VLAN 跳跃、端口扫描
- 防护:端口安全 + MAC 绑定、动态 ARP 检测、VLAN 隔离、802.1X 身份认证、禁用未使用端口
网络层:IP 欺骗、路由劫持、DDoS、数据包嗅探
- 防护:防火墙、IPSec VPN、网络分段、路由过滤、反地址欺骗、DDoS 防护
- ⚠️ 网络层是边界防护的核心层级,防火墙 + 网络分段是核心措施
传输层:TCP 会话劫持、端口扫描、SYN 洪水、明文传输
- 防护:TLS/SSL 加密、会话超时、端口过滤、SYN 洪水防护
- ⚠️ TLS/SSL 是传输层核心加密措施,必须禁用低版本不安全协议
会话层:会话劫持、会话固定、未授权会话
- 防护:会话加密、随机会话 ID、会话超时、多因素认证
表示层:数据格式篡改、加密降级、编码注入
- 防护:标准化数据格式、强制高强度加密、输入输出编码、恶意代码扫描
应用层:注入攻击、XSS、CSRF、API 漏洞、权限绕过
- 防护:WAF 应用防火墙、API 网关、输入验证、输出编码、身份认证与授权
- ⚠️ 应用层是当前攻击者的核心目标,WAF + API 安全是核心考点
⚠️ 核心易错点:不能用网络层防火墙防护应用层攻击,应用层攻击必须用 WAF 和应用层安全控制防护。
☁️ 模块四:专项场景安全架构设计
1. 云安全架构
核心基础:责任共担模型(必考)
IaaS 场景:
- 云厂商:机房、服务器、虚拟化层
- 客户:操作系统、应用、数据、身份、访问控制
PaaS 场景:
- 云厂商:基础设施 + 平台 + 中间件
- 客户:应用代码 + 数据 + 身份 + 访问控制
SaaS 场景:
- 云厂商:基础设施 + 平台 + 应用
- 客户:数据 + 身份 + 访问权限 + 合规使用
⚠️ 核心易错点 :无论哪种模式,数据安全、身份与访问管理的最终责任永远在客户,不能转移给云厂商。
架构设计要求:
- 多云统一安全:跨云统一身份认证 + 统一访问控制 + 统一安全策略 + 统一日志审计
- 云原生安全:容器镜像安全 + 运行时防护 + 微服务 API 安全 + DevSecOps
- CASB(云访问安全代理):部署在用户与云服务之间,实现访问管控 + 数据泄露防护 + 影子 IT 发现
2. 工控/OT 安全架构
核心设计原则:
- IT 与 OT 网络严格隔离,采用 Purdue 模型 5 层分区
- IT 到 OT 的访问必须采用单向隔离网闸,禁止双向直接访问
- 最小化攻击面:关闭 OT 设备不必要的端口、服务、协议
- 可用性优先:安全控制不能影响系统实时性与生产连续性
⚠️ 高频易错点 :OT 系统安全优先级是可用性 > 完整性 > 保密性,与 IT 系统(保密性 > 完整性 > 可用性)完全相反。
3. 物联网/边缘计算安全架构
核心设计要求:
- 每个设备必须有唯一数字身份,接入前完成认证
- 设备仅拥有最小网络访问权限与功能权限
- 关闭不必要端口/服务,禁用默认账号密码,定期更新固件
- 设备与平台之间必须端到端加密传输
- 边缘节点部署安全能力,实现本地威胁检测与访问控制
🔄 模块五:安全架构全生命周期管理
安全架构不是一次性设计工作,必须覆盖从需求到退役的全流程。
六阶段生命周期:
- 需求阶段:基于业务需求 + 风险评估 + 合规要求 → 输出安全需求规格说明书
- 设计阶段:选择安全架构模型 + 威胁建模 + 安全控制措施设计 → 输出安全架构设计文档
- 实现阶段:按设计文档落地部署 + 配置集成 + 单元安全测试
- 测试阶段:全面架构安全测试 + 渗透测试 + 漏洞扫描 + 合规验证
- 运维阶段:持续监控 + 漏洞管理 + 补丁管理 + 策略优化 + 定期安全评估
- 退役阶段:数据安全销毁 + 系统下线 + 权限回收 + 架构更新
架构安全评估核心方法
① 威胁建模(STRIDE 模型)------必背 ⭐
架构设计阶段的核心评估方法,系统性识别 6 类威胁:
- Spoofing(伪装):身份假冒威胁
- Tampering(篡改):数据/代码篡改威胁
- Repudiation(抵赖):操作抵赖威胁
- Information Disclosure(信息泄露):数据泄露威胁
- Denial of Service(拒绝服务):可用性中断威胁
- Elevation of Privilege(权限提升):越权访问威胁
② 架构安全审计:审计架构设计的合规性与有效性
③ 通用准则(CC)评估:标准化评估架构的安全功能与保障等级
④ 渗透测试:模拟攻击者视角,验证架构防护能力
⚠️ 高频考点
- STRIDE 模型 6 类威胁的定义与对应防护,必考内容
- 威胁建模必须在架构设计阶段完成,实现安全左移
- 安全架构覆盖全生命周期,不是一次性工作
🆕 第十版新增/强化内容
① 软件供应链安全架构
覆盖第三方组件安全评估、软件物料清单(SBOM)管理、开源组件漏洞管控、供应商安全准入,防范供应链攻击。
② AI/ML 系统安全架构
训练数据安全、模型完整性防护、对抗性攻击防护、推理安全、权限管控,明确 AI 系统的信任边界与访问控制规则。
③ 抗量子安全架构
后量子加密算法的部署架构、密钥管理体系升级、证书体系的量子安全迁移。
④ 数据安全架构
以数据为中心的安全架构设计,替代传统以网络边界为中心的架构,围绕数据全生命周期实现分级、加密、访问控制、泄露防护。
⚠️ 六大高频误区纠正
误区① 安全架构就是买一堆防火墙、WAF 堆起来
✅ 安全设备只是落地组件,架构的核心是顶层设计、信任边界划分、安全策略体系、全生命周期管控。单纯堆设备只会形成"信息孤岛"。
误区② 零信任架构就是取消内网、取消防火墙
✅ 零信任不是取消内网和防火墙,而是取消内网的默认信任。防火墙、网络分段依然是核心组件,只是从集中式边界变为分布式精细化防护。
误区③ 云安全是云厂商的事
✅ 无论 IaaS/PaaS/SaaS,数据和身份的最终责任永远在客户。云安全架构设计是企业必须完成的核心工作。
误区④ OT 和 IT 用同一套安全架构就行
✅ OT 优先级是可用性 > 完整性 > 保密性 ,IT 是保密性 > 完整性 > 可用性,完全相反。OT 安全不能影响生产连续性,不能直接套用 IT 架构。
误区⑤ 架构安全上线前测一次就行
✅ 必须覆盖全生命周期,持续监控、定期评估、持续优化。业务调整、威胁变化、合规更新都会导致原有架构出现缺陷。
误区⑥ 架构不公开就不会被攻击
✅ 违背开放设计原则。依赖架构隐匿实现的安全,一旦细节泄露整个体系崩溃,本质上不安全。
🔗 跨域关联速查
- Domain 1:安全架构是安全治理、风险管理的核心技术落地,最终责任由最高管理层承担
- Domain 2:资产分级分类直接决定架构防护强度与信任边界划分,数据安全架构是资产安全的核心落地框架
- Domain 3:本知识点是 Domain 3 的核心骨架,安全模型、密码学体系、安全工程原则是底层支撑
- Domain 4:网络分段、防火墙、VPN、安全通信协议都是安全架构的落地组件
- Domain 5:IAM 体系是零信任架构和分层安全架构的核心基础,身份认证与授权是架构访问控制的核心逻辑
- Domain 6:威胁建模、渗透测试、架构安全审计、合规验证
- Domain 7:持续监控、漏洞管理、补丁管理、事件响应、策略优化是架构长期有效的保障
- Domain 8:安全左移、威胁建模、DevSecOps 是架构在软件开发场景的落地
⚡ 考前速记总结
10 项原则记忆口诀
纵深默认最小权,左移分离全仲裁,开放攻击面最小,公共心理可接受。
- 纵深防御、默认拒绝、最小特权、安全左移
- 职责分离、完全仲裁、开放设计
- 最小攻击面、最小公共机制、心理可接受性
架构模型分类
- 经典:分层架构(五层递增)、环形架构(城堡护城河,默认信任内网)
- 现代:零信任 ZTA(永不信任始终验证)、微分段(工作负载级隔离)、SASE(网络+安全云化边缘交付)
零信任 7 原则(核心 3 条必记)
- 永不信任,始终验证(包括内网)
- 单次会话动态决策(不是永久授权)
- 内网和外网执行相同安全标准
云责任共担模型(核心 2 条必记)
- 越往上(IaaS→PaaS→SaaS)云厂商责任越多,客户责任越少
- 数据安全 + 身份访问管理 = 永远客户责任
OT vs IT 优先级(必背)
- IT:保密性 > 完整性 > 可用性(CIA)
- OT:可用性 > 完整性 > 保密性(AIC)
STRIDE 模型 6 类威胁
- S 伪装 | T 篡改 | R 抵赖 | I 泄露 | D 拒绝服务 | E 权限提升
分层架构 DMZ 核心规则
- 外网只能访问 DMZ 指定服务
- DMZ 不能直接访问内网核心区域
- 核心数据区禁止任何外网/办公网直接访问
📌 本文覆盖:Domain 3 安全架构与工程 · 安全架构设计核心考点
💬 有问题欢迎评论区讨论,下一篇继续域 3 其他核心模块 👇