一、中臺背景簡述
隨著中臺建設理念不斷深入,各種“中臺+”概念不斷進入人們視野,複雜化應用架構和多元化應用場景孕育出“中臺”,業務中臺的興起,逐步帶動“安全中臺”發展。安全中臺發展包括以網絡為中心傳統安全防護中臺和以數據為中心數據安全中臺(目前有多家安全廠商涵蓋網絡和數據,但更加強調網絡側)。本篇文章主要是以數據為中心的安全中臺。
目前安全廠商所提出的數據安全中臺概念,多數是以業務側功能為主,如提供加密、資產的元數據管理(分類分級、打標)、脫敏等服務,與傳統數據安全防護相比較,加強了集中管控能力,但並未實現從業務到網絡真正安全中臺。隨著數據安全重要性越來越高,現有數據安全中臺將逐步在功能範圍、服務場景和網絡聯動性等方面深入發展。
二、數據安全中臺目前存在問題
目前數據安全中臺存在問題包括:基礎系統虛擬化程度待加強、數據安全功能服務化能力待提升、SDN架構支持與結合能力需加強。
基礎系統池化程度待加強:目前數據安全中臺所具備的安全能力,較少具備虛擬化、池化能力,動態擴展性較差,在負載均衡、動態調配、持續擴容、多租戶等方面有待加強。
數據安全功能服務化能力待提升:數據安全功能服務化是將現有安全能力形成服務接口,利用安全中臺統一管理接口(認證、授權、鑑權、審計、審批等功能),目前重點在數據安全功能方面,缺少池化系統和網絡架構聯動能力。如果多租戶應用、數據請求暴增後數據處理能力(審計、訪問控制等)動態調配等。
SDN網絡架構支持與結合能力需加強:缺少與用戶SDN網絡架構結合能力,無法建立數據安全功能服務化(審計服務、訪問控制服務、分類分級服務)與軟件定義數據安全(網絡調整、流量引流、安全能力快速介入等)之間“高速公路”。
真正數據安全中臺需要具備軟件定義安全能力以及現有中臺安全業務功能管控能力。如新上線A業務(網絡中沒有數據庫訪問控制系統),需要對其數據庫進行訪問控制,同時需要利用資產管理平臺進行分類分級,並將分類分級信息提供至數據訪問控制平臺實現差異化管控。如果按照現有數據安全中臺架構來說,很難滿足。
三、如何實現數據安全中臺
隨著數據安全重要性越來越高,數據安全中臺也在市場發酵中。數據安全管控能力的集中性、多種場景的適應性、支撐業務發展可持續性是數據安全中臺建設的核心思路。 所以,實現真正數據安全中臺應具備(個人理解)網絡SDN化、系統池化、功能服務化、策略集中化。網絡SDN化解決傳統網絡架構新增設備的複雜性,通過軟件定義安全方式,加速將網絡流量調整,實現安全能力快速介入;系統池化是集中式、集群式部署彈性應對需求;功能服務化是將功能抽象以接口形式,通過中臺對外提供服務;策略集中化,實現安全管控的策略集中管理。
3.1 數據安全中臺建設架構
數據安全中臺建設架構可分為應用層、控制層和流量轉發層。應用層包括具體組織相關應用,該層可調用數據安全中臺形成的相關接口實現數據安全能力快速介入;控制層分為網絡總控中心、SDN控制器和數據安全中臺。網絡總控中心針對運維人員、安全管理人員通過統一編排實現軟件定義安全。數據安全提供相關接口為應用層提供數據安全服務。SDN控制負責網絡側相關設置;轉發層為實際網絡架構,該層引入了數據安全防護池,數據安全防護池與網絡各層網絡可達,實現流量快速牽引。
數據安全中臺架構
3.2 數據安全中臺業務改動
數據安全中臺建設完畢後,需將現有業務有序遷移至數據安全中臺體系架構中,整體遷移策略為【由點到面、由簡到難、由邊緣到中心】。遷移後防護策略為【由基礎安全防護到深入安全防護】。不需要對業務進行太大改動,儘可能在不影響業務的前提下實現部分數據安全防護,如操作審計、數據訪問控制等。隨後結合業務中數據流動、數據使用、數據資產情況,逐步實現數據加密、數據脫敏、差異化管控。
