- 前言 2020 年最初几天,也算是把这篇文章补上了。修修补补,简略讲下在最近工作中对数据安全架构的一些意识。心愿有用。下文将以三块进行论述,别离为数据安全的基础架构,经营治理和产品自研。文中局部场景受限于本身经验,可能各行业之间稍有差别。但情理应该大致相同。2. 数据安全的基础架构在绝大部分状况下,做数据安全的同学可能并不会参加到数据安全的基础架构中去,而是更多的 focus 在经营和服务交付层面。比如说提供相应的征询,解决内外客户的需要。而数据安全相干的设施 / 软件的部署运维大都还是由根底平安的同学进行保护。这样对于新人来说,其实比拟容易进入的一个“点”上的误区。只能看到手中所解决的相干服务,从而漠视了整个面上的货色。甚至疏忽了解决业务的生命周期链。理解业务能力更好的服务于业务。在数据安全的基础架构中,至多应该关注三点,一是流程和策略的制订,二是工具和设施的保护,三是相应服务的提供(征询,经营等)。这三点都应该有一个框架去束缚,让其能像剧本 (Playbook) 一样跑起来。所以在数据安全的基础架构中,即应该关注策略也应该关注产品和服务交付的局部,这也是最先须要的做的事件——理解业务架构。因为数据安全更贴合业务,须要去晓得哪里提供了什么样的服务,服务须要受到什么样的监管,现有的设计是否可能满足监管的要求等等。所以没有业务的深刻了解是做不好数据安全的。其次须要从组织架构上须要建设合作的流程标准,例如获取生产数据的流程,惟一路径来自哪里(是不是须要收拢入口?)假如说只有合规部门能够取数据,那么即使法务部门须要相应的数据,也须要通过合规部门的审批。而所有的操作流程也都应该有相应的审批记录。从技术架构上建设相应的解决方案,数据怎么存储,存储在哪,怎么传输,静态数据有没有实现加密(DARE),权限有没有管控,应用的工具是不是合乎相应的规范等等,都是技术架构上须要解决的问题。上面会以不同的视角简略的介绍一下相干的工作内容,在不同的视角下,把平安过程中波及到的内容扩散开了,乍一看会有点懵,然而事实上这种思考形式将会使平安工作更欠缺。例如,从银联获取数字证书的流程。那么从业务视角来看,作为接入机构须要通过证书来做身份认证,仅须要通过提供相应的行政流程(书面申请,盖章等等)即可获取。但对于如何设定证书接管人,证书接管人的信息如何解决,如何满足获取证书的环境平安,如何确保证书获取的过程能够审计,又如何使获取后的证书平安存储?是不是也属于业务领域之内呢。除此之外从利用视角来看时,就是提供该证书给利用进行调用即可。在这个过程中其实还须要思考基础架构,多活、灾备机房、不同的虚拟化技术下的部署,是不是有预读取等。而回归到数据自身来看,就是怎么样把等级为 xx 的一对公私钥密钥对,公钥能够任意散发,私钥仅能利用在内存中读取。那如何躲避非法的读取,权限的管制,以及对私钥的爱护等等又是回归到了数据自身。2.1 业务视角 // 仅以个例阐明下业务视角下数据安全波及到一些事件。
业务上更多的会关注在流程和合规。而无论是在国内还是国外,合规基本上能够说是企业的生死线了。单从金融领取的业务来说,波及到的合作伙伴就有中国网联(NUCC), 中国银联(CUP), 互金协会(NIFAC),清理协会(PCAC)。除此之外,无论是中央政府还是中央政府又有着相应的政策策略要求。地方性质的比方地方人民银行(PBOC),中国金融协会(CFA),公安部。中央性质的比方 PBOC 的北京办公室、上海办公室,上海的浦东金融服务办公室。作为四方(用户 = 持卡人、线下 / 线上商户、发卡机构、收单机构)模式中的角色,是不免和这些部门进行打交道。当然,更多的时候是法务部门去进行接洽,以及传播相应的政策。但实际上的平安合规只能由技术核心相互合作实现。无论是 CFA 的领取业务的领取持牌认证,还是接入银联的 UPDSS 认证,亦或者是比拟通用的等保认证(MIPS),以及一些网警的临检,或者是央行新发的第 X 号令,都是无奈防止的的工作量。以业务的视角来看,数据的分类分级和数据挪动(蕴含传输)在此处显得尤为重要(因为大部分工夫下,业务方关注的是计划“可用”,但不关注背地的实现是否“可行”,最常见的是关注如何获取数据,而非数据怎么存储的)。那么针对数据的分类分级是由法务部门来做呢?还是平安合规部门来做呢?又怎么样设计流程化的束缚,和行为的审计去满足数据挪动过程的平安要求呢?简略举例,如何平安的提供持卡人人脸识别信息给到一些部门做身份验证?如何通过流程获取接入机构的数字证书?如何定期的同步政要信息(已公开的)?如何验证投诉用户的个人信息?如何提取肯定工夫内用户的账单?商用明码的要求、网络 IPv6 的革新等等。都须要可能针对已有业务进行梳理,不仅蕴含于生产上的业务,还蕴含安全部门对外提供的业务。2.2 利用视角大的趋势是往云原生在走,对应服务网格的概念也有同行提出了平安切面。利用和服务是业务的最直观体现,用代码承载了业务流程,用 IT 基础设施存储了业务数据。简略的来看,是用户发动了申请,利用进行了响应。而理论的利用可能部署在不同的数据中心,不同的平安域内。不同利用下的不同服务也在进行着调用。画了一个简略的图来外表利用视角下数据的流向。
以利用视角来看,在利用生命周期内,鉴权和加解密是至关重要的一项。全链路 TLS,不仅须要从 client 到 application,还须要 service 之间进行加密传输。怎么设计 CA,怎么应用证书,须要明确哪些 policy,传输过程须要反对相应的 TLS Cipher Suite,Version,Algorithoms 等等。又须要明确哪些启用国密算法。除去业务利用之外,根底服务例如 APM,Logging 数据等又该如何存储,这些服务了服务的服务(为利用提供根底服务的 Service),本身是否实现了同一个安全等级的要求?在不同 Zone 间交互的 ACL 策略又是否遵循最小化准则?加解密服务是否做了权限管制?如果再回到 SDLC 中去,那么是否存在可能的越权(或其余)破绽,使得在利用中解密了相应的加密数据,源码是否透露到公开的托管网站?会不会存在针对扫描服务器的白名单“陷阱”。回到线上的话,又有多少歹意流量被荡涤掉,无论是四层还是七层。当然这些仿佛曾经脱离了数据安全,理论并不然。正如前文所述,均为相互依赖。是不是能够在流量荡涤时补充相干的风控数据?更新的 feed 源是不是有可能被净化?诸如此类举不胜举。所以在关注利用的时候,还须要关注承载利用的基础设施,以及网络流量的荡涤,和利用自身的代码相干。并不是说堆了多少设施,买了多少服务就可能解决问题的。2.3 数据视角谈完了利用视角和业务视角。终于回归到了数据自身。数据视角的解决形式,最基本最间接的就是对不同类型的数据提供平安存储(加解密)的同时可能在可审计的受权下确保数据转移过程中的一致性。当然能够跳过这句话去看看 DSMM 之类,之所以在此时才提到 DSMM,是因为 DSMM 模型自身不足在业务和利用上的框架束缚。当然更深刻的应该还是读书和实际。简略举例来说,在数据安全工作中,波及到的有用户数据,不仅呈现在流量中,还呈现在日志中了,数据库中。在不同的地位,数据在什么时候是明文的,又有什么时候是加密的?什么场景下取什么数据都是须要依据相应的策略和束缚进行的。除此之外,在思考到数据等级和数据类别的同时,还须要思考到是不是这个数据能在这里获取 / 关上,是不是可能存储。例如针对持卡人数据是不是能存储在本地,是不是能入境等等都须要思考。在针对静态数据的加密,动态数据的分类扫描以及相应的权限治理等安全控制之后,还有一项必要措施就是针对所有的行为进行审计。而所有的审计日志,无论是数据库审计还是 DAL 层,亦或者是针对不同设施的常见的操作日志。都应该推送到集中的日志集群。冷热拆散,计算剖析。同样在这个过程中有哪些场景须要针对敏感数据的脱敏?在数据视角上还是须要回归到数据自身,丰盛数据的属性,关注数据的流动以及相应的流程制度。那谈完了数据安全的基础架构之后,咱们能够看看怎么在基础架构上做相应的经营治理。3. 数据安全的经营治理下面在根底治理方面做好了运维部署,产品的经营治理之外,最次要的是对外提供服务的经营局部。一般来说体系的建设离不开规范的制订和专项的服务。而大多数时候,提供技术经营占据了工作的大头。但细看一下,能够分为三类,一种是技术咨询,一种是合规审计,最初一类专项服务才是技术经营。至于规范的制订,往往是管理者进行,当然也不乏许多一线工程师进行编写而后逐级批准的案例。(最好还是专项的 manager 负责或者资深的技术专家)1 策略 就策略而言,精确的来说是策略 - 规范 - 流程 - 指南的一个过程,策略通知了你 why,规范通知了你 what,流程通知了 how,而指南就是 step by step.2 合作 合作是至关重要的,原本我是抽出来放到了策略流程里。然而起初想了下这些约定仿佛并没有明确的流程规定。例如,标准对立的接口团队和接口人。3 征询 征询是一项简约又考验自控力的工作,就像经营工作中不免遇到一些傻傻的问题,那咱们应该撒气或者生闷气吗,显然不必要的。这也是极为考研提供征询答疑之类 support 角色的心理。上面提到的专项中的合规审计其实也有很大一部分是征询的工作。然而对于很多企业并不会独自为该项服务设立独自的角色。4 专项 具体能够做的一些根底工作能够参考之前写的一篇文章 浅谈数据安全,当然这篇文章也并不是列出了全副。上面也就简略举例一二。(因为每一项都须要有零碎的根底运维日志收集监控等,因而临时不列在上面了)Crypto/Secret – 算法抉择征询 / 密钥的生命周期治理 PKI —— CA/RA – 申请证书的答疑征询 / 证书生命周期治理 IAM —— AD/SSO/MFA – 接入 SSO 的答疑征询 / 账号的生命周期治理 Log/Audit/Analaysis – …DLP – …AVScan – …Data Movement – … 合规审计有一点值得一提的是,对外提供服务经营波及到数据安全局部的工作须要有留存的审批流程,以及相应的审计日志。同时在实现对应操作之前须要确保背地的解决方案是否可行。不过在经营阶段很多时候技术架构师曾经确认的了。简略举例来说,有一个被 approve 的数据挪动申请,如果是第一次接触则须要背地的技术架构是否容许相应的动作,为什么挪动,挪动到哪,挪动的数据级别。否则仅是流程容许是不能够的。假如获取的是高敏感数据,同时不容许在某些设施上存储或获取,那原有的计划就须要调整。4. 数据安全的产品自研在企业平安的成熟度模型里,很少有企业可能倒退到平安产品自研阶段,更不要提数据安全产品了。能喊得上来的也比比皆是。因为我自己只写过一些小工具,并没有参加研发过工程化的企业级平安产品中去,因而仅就察看到的一些教训加以论述。在数据安全产品自研的过程中,或者说在平安产品的自研过程中。绝大部分是为了解决企业外部场景的适应性问题。这些产品具备商业化产品的相似性能,但又能适应场景。比方拿 KMS 来说,内部的 KMS 可能无奈很好的集成到现有的基础设施中去,无奈使自有的脚手架代码疾速 Build。亦或者 HSM,如果没钱买 HSM,那么 Softhsm 就成了一个可选项,配合着 TPM 对自有的加密服务进行集成。亦或者是加密即服务,联合 HSM 做根密钥治理,KMS 做密钥治理,提供对应用服务的加密服务,亦或者是数据库审计服务,日志剖析等等。亦或者外部的自助服务,比方自助证书申请,数据分类分级工具。这外面的一个关键问题就是工程化问题,很多时候平安工程师可能给出原型代码,但大多数不是工程化的代码,不能提供进去性能性能兼备的产品。当然这并不是相对的,还是有很多优良的工程师能够以一己之力实现。不过互相配合岂不更好。在企业中很多时候在自研平安产品上,必须给出足够的说服力,否则老板会想我曾经花了 2kw 买产品,你为什么又要招平安研发工程师呢?而向上论述平安的价值,自我理解到的现状看来,绝非易事。5. 后记不同于根底平安的 High risk,利用平安的 High threat,数据安全自身的个性更加偏差于 High Value. 这也意味着数据安全工程师须要投入更多的精力,然而这些工作又绝非孤立可能实现的,必须要联结起其余方向的平安工程师一起致力,继续经营。