柳州网站建设之零信任策略下云上安全信息与事件管理实践(一)

2021-11-26

二   数字化时代企业安全面临的全新挑战


1   企业数字化带来了新的安全挑战


传统的网络安全架构理念是基于边界的安全架构,企业构建网络安全体系时,首先要做的是寻找安全边界,把网络划分为外网、内网等不同的区域,然后在边界上部署防火墙、入侵检测、WAF等产品。然而这种网络安全架构是基于内网比外网更安全的假设建立起来,在某种程度上预设了对内网中的人、设备和系统的信任,忽视加强内网安全措施。不法分子一旦突破企业的边界安全防护进入内网,会像进入无人之境,将带来严重的后果。此外,内部人员100%安全的假说也是不成立的,我们可以从《内部威胁成本全球报告》里看到,不管是内部威胁的数量,还是成本从2018年到2020年都有大幅的提升。


此外,随着云计算、大数据、物联网、移动办公等新技术与业务的深度融合,网络安全边界也逐渐变得更加模糊,传统边界安全防护理念面临巨大挑战。在这样的背景下,零信任架构(Zero Trust Architecture, ZTA)应运而生。它打破传统的认证,即信任边界防护、静态访问控制、以网络为中心等防护思路,建立起一套以身份为中心,以持续认证、动态访问控制、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。


716.jpg


我们可以看到,零信任策略下,监控无边界、持续监控的需求也给SIEM提出了新的挑战。


2   数字化对工程师的挑战


随着DevOps的逐渐深入人心,工程师的开发职责也逐步发生了变化,开发、测试、运维逐步成为趋势。但是DevOps模式下,安全产品、安全能力其实是外置的,在整个软件生命周期中安全防护只是安全团队的责任,在开发的最后阶段才会介入。然而在DevOps有效推进快速迭代的今天,过时的安全措施则可能会拖累整个开发流程,由此催生出了“DevSecOps”的概念。


DevSecOps认为安全防护是整个 IT 团队的共同责任,需要贯穿至整个生命周期的每一个环节。DevSecOps更多关注的是过程安全,这种安全前置的理念,可以把安全植入到开发、测试、部署的各个环节,从源头上屏蔽掉一些风险。


DevSecOps分为了如下几个阶段,每个阶段都有自己的安全要求。左边的“Dev 段”,聚焦软件开发过程的安全保障;右边的“Ops 段”,聚焦软件运行时安全。具体阶段如下:


Plan+Create 阶段,从宏观上可以认为是在进行软件的安全设计与开发前准备,更注重安全规则的制定、安全需求分析、软件设计时的安全考虑;


Verify+Preproduction 阶段,即是对开发阶段进行安全保障,可以进行 AST、Fuzz、SCA 等;


Predict+Respond 阶段,可以理解为软件的在网安全监测,比如监测和响应安全事件等;


Configure+Detect 阶段,可以理解为对应用程序的运行时的安全保障,比如容器和基础设施安全、RASP、WAF 等。


我们可以看到,“Ops 段”涉及的威胁探测、应急响应、威胁预测与SIEM的特性是比较符合的,为了应对DevSecOps中安全融合、快速迭代的要求,对SIEM也提出了轻量化、便捷化的需求。


3   SIEM的全新挑战


基于上述的趋势,我们可以看到零信任(从不信任,始终验证)理念、DevSecOps都给SIEM提出了新的发展要求。新一代的SIEM需要满足零信任下无边界持续动态监控的诉求,就需要监控更广泛的数据,并提供更强的关联分析能力。为了提升DevSecOps的效率,就需要做的更轻量,作为一个基础的工具与DevSecOps进行融合,提供更多开箱即用的功能。同时,与可观测平台一体化融合也是一个发展的趋势。


4   云上一体化SIEM平台


为了适应这些挑战,我们认为一个云上一体化的SIEM平台需要具备如下特征:


平台能力:


对包括日志、Metric、Trace和事件的数据提供统一的采集、存储能力。


在统一存储的基础上,提供统一的数据处理、分析,并且具备机器学习分析能力。


基于可视化的安全态势,告警检测事件管理能力。


业务场景:基于统一的平台上层业务,支撑上层业务方(开发运营、监控、安全、用户运营)。


生态对接:可以对接上下游系统的安全生态支持。


阿里技术

阅读19
分享
写评论...