《数据安全架构设计与实战》豆瓣书评
编者按:本文是乐信(NASDAQ:LX)信息安全中心总监Pansin Liu发表在豆瓣上对《数据安全架构设计与实战》的书评,征得刘总同意,转贴原文如下:
说是谈数据安全,其实是以数据安全为主线 ,串起来了整个信息安全的架构体系,对整个信息安全纵深防御体系架构体系的建设其实是有着重要参考意义的。
既然提及架构首先从架构谈起,作者在传统身份,权限,访问控制,审计的基础上增加了资产管理形成了5A的框架,作为全书的理论模型和框架进行延展阐述。
进一步阐述业务系统即作者的产品架构,对信息系统的部署逻辑,开发框架和技术模式进行了梳理,从数据安全的角度来看,重点提及了数据访问层的技术演进趋势,从传统的数据库直连,数据库代理,防火墙等安全模式从架构层推崇数据访问层的概念,通过数据服务的开放增加架构的拓展性和安全性,这确实对多应用的复杂业务模式的数据层安全提供了解决方案。
第二部分对5A的需求和风险进行了阐述,首先展开阐述的身份认证,对2c的用户侧,后台的系统交互以及运维与运营支撑均有阐述和解决方案,口令保护的相关风险,提供防攻击的慢速加盐散列均是支撑的细节,后台身份认证往往是忽略的环节,AES-GCM方案还是蛮有实际价值,当然对身份认证的共性能力,建设统一认证sso与多因素认证2FA还是需要关注的一些点。
授权涉及到权限管理,相对而言,自定义特征很难统一规划落实,更多的是考虑权限引起的漏洞以及越权的风险和注意的细节。访问控制除了基于角色rbac,基于属性abac的相关实践之外,需要关注到基于参数输入的访问控制风险,sql注入,跨站攻击csrf,遍历等风险给出了一些可以实际防范的经验,相信均会有所收益。
审计主要讲述了关于日志的内容保存,清理,主要还是基于升级的基本要求,未延展到关联分析,预警和应急处置的事件管理siem和运营范畴soc。
资产管理主要考虑数据生命周期的安全策略的落地,包括存储,传输,展示和脱敏环节的需求。
第三部分对安全技术体系架构进行了阐述,从解决方案的角度,阐述安全措施的落实,从传统网络安全架构谈起,然后提出了架构分层与5A的矩阵式二维模型,给出相关解决方案,并从业务角度划分了业务,职能,内审三道防线,安全解决方案模型百家争鸣,作者给出了自己的模型无可厚非,但在逻辑上确实很难尽善尽美,有自己的方法论,已经是了不起的进步。
网络安全层面作者对传统安全域与防火墙的应用提出了鲜明的观点,这点我觉得是值得商榷的,如果单纯把防火墙当做三层的包过滤或者是内外部网卡机制来做路由限制,我觉得还是对网络层的安全理解有所偏差。不过作者推崇的接入安全网关的概念,承载安全功能,是值得肯定的,当然很多下一代防火墙也会提出自己的产品也是接入网关。
网络准入目前在办公域的应用比较广泛,在业务服务域结合可信计算的tcg模式,确实对idc的可信计算环境管控大有裨益。设备和主机层的安全,传统的漏洞扫描加固,入侵检测,恶意代码检测以及堡垒机访问模式,日志汇总分析等就不再赘述,应用层除了共性之外,对于数据资产管理的kms密钥应用与管理模式还是表述的清晰准确,有借鉴意义,运行时自我保护rasp与业务风险控制的验证码,智能风控,反爬虫相关,值得关注。
关于实例中的Google零信任架构模式,讲解的也比较清晰到位,还是蛮值得借鉴的,当然,对具备的能力,意识,以及资源投入,业务的容忍度还需要综合评估。
数据安全与隐私保护治理主要是欧盟数据保护条例GDPR,加州消费者保护法案CCPA,中国网络安全法以及相关数据保护,隐私保护的相关合规管理的要求,是数据管理的重要范畴,讲述了治理的逻辑架构,组织和制度的运作与运营,以及能力成熟度相关模型,从业务层次而言,自上而下的治理结构以及技术驱动的治理模式显然是信息安全部门需要推动的。
整本书技术参考的意义重大,如果说还有些可以进一步阐述的,从我的角度来看有几个方面。
第一,安全架构应该不单纯从预防的角度来看数据安全,检测,监测,分析,应急,全安全过程的技术体系没有涉及,或没有在逻辑上进一步呈现,如何发现检测策略实施的效果,监测相关的风险并预警,以及做好相应的处置。
第二,数据安全的治理在交互日益复杂的业务中,不仅是一个组织的问题,跨组织的数据交互的安全风险治理,联动的接口管控,风险治理追踪的机制,未做太多涉及。
第三,安全是持续运营的过程,如何建立动态的管控机制,实时的调整优化策略,实现威胁情报联动,也是一个值得探讨的主题。
当然,无论如何这是一本值得常常翻阅的案头参考书,为作者的知识和经验的渊博点赞,期待早日看到精彩的后续版本。
(完)
编后:能够得到刘总的认可并写下长文书评,作者表示非常感谢。刘总在书评中也指出了该书内容的不足之处(改进方向),比如缺乏对安全检测、安全运营、跨组织的风险治理的深入介绍。鉴于目前业界普遍存在“重检测轻预防”的思路,检测以及运营方面的内容也恰好不是我的强项,因此被有意地忽略了。
附录: