一、中台背景简述
随着中台建设理念不断深入,各种“中台+”概念不断进入人们视野,复杂化应用架构和多元化应用场景孕育出“中台”,业务中台的兴起,逐步带动“安全中台”发展。安全中台发展包括以网络为中心传统安全防护中台和以数据为中心数据安全中台(目前有多家安全厂商涵盖网络和数据,但更加强调网络侧)。本篇文章主要是以数据为中心的安全中台。
目前安全厂商所提出的数据安全中台概念,多数是以业务侧功能为主,如提供加密、资产的元数据管理(分类分级、打标)、脱敏等服务,与传统数据安全防护相比较,加强了集中管控能力,但并未实现从业务到网络真正安全中台。随着数据安全重要性越来越高,现有数据安全中台将逐步在功能范围、服务场景和网络联动性等方面深入发展。
二、数据安全中台目前存在问题
目前数据安全中台存在问题包括:基础系统虚拟化程度待加强、数据安全功能服务化能力待提升、SDN架构支持与结合能力需加强。
基础系统池化程度待加强:目前数据安全中台所具备的安全能力,较少具备虚拟化、池化能力,动态扩展性较差,在负载均衡、动态调配、持续扩容、多租户等方面有待加强。
数据安全功能服务化能力待提升:数据安全功能服务化是将现有安全能力形成服务接口,利用安全中台统一管理接口(认证、授权、鉴权、审计、审批等功能),目前重点在数据安全功能方面,缺少池化系统和网络架构联动能力。如果多租户应用、数据请求暴增后数据处理能力(审计、访问控制等)动态调配等。
SDN网络架构支持与结合能力需加强:缺少与用户SDN网络架构结合能力,无法建立数据安全功能服务化(审计服务、访问控制服务、分类分级服务)与软件定义数据安全(网络调整、流量引流、安全能力快速介入等)之间“高速公路”。
真正数据安全中台需要具备软件定义安全能力以及现有中台安全业务功能管控能力。如新上线A业务(网络中没有数据库访问控制系统),需要对其数据库进行访问控制,同时需要利用资产管理平台进行分类分级,并将分类分级信息提供至数据访问控制平台实现差异化管控。如果按照现有数据安全中台架构来说,很难满足。
三、如何实现数据安全中台
随着数据安全重要性越来越高,数据安全中台也在市场发酵中。数据安全管控能力的集中性、多种场景的适应性、支撑业务发展可持续性是数据安全中台建设的核心思路。 所以,实现真正数据安全中台应具备(个人理解)网络SDN化、系统池化、功能服务化、策略集中化。网络SDN化解决传统网络架构新增设备的复杂性,通过软件定义安全方式,加速将网络流量调整,实现安全能力快速介入;系统池化是集中式、集群式部署弹性应对需求;功能服务化是将功能抽象以接口形式,通过中台对外提供服务;策略集中化,实现安全管控的策略集中管理。
3.1 数据安全中台建设架构
数据安全中台建设架构可分为应用层、控制层和流量转发层。应用层包括具体组织相关应用,该层可调用数据安全中台形成的相关接口实现数据安全能力快速介入;控制层分为网络总控中心、SDN控制器和数据安全中台。网络总控中心针对运维人员、安全管理人员通过统一编排实现软件定义安全。数据安全提供相关接口为应用层提供数据安全服务。SDN控制负责网络侧相关设置;转发层为实际网络架构,该层引入了数据安全防护池,数据安全防护池与网络各层网络可达,实现流量快速牵引。
3.2 数据安全中台业务改动
数据安全中台建设完毕后,需将现有业务有序迁移至数据安全中台体系架构中,整体迁移策略为【由点到面、由简到难、有边缘到中心】。迁移后防护策略为【由基础安全防护到深入安全防护】。不需要对业务进行太大改动,尽可能在不影响业务的前提下实现部分数据安全防护,如操作审计、数据访问控制等。随后结合业务中数据流动、数据使用、数据资产情况,逐步实现数据加密、数据脱敏、差异化管控。