1. 中台の簡単な背景
中国 - 台湾の構築コンセプトが継続的に深化するにつれて、さまざまな「中国 - 台湾 +」コンセプトが人々の視野に入り続けており、複雑なアプリケーション アーキテクチャと多様化したアプリケーション シナリオが「中国 - 台湾」を生み出し、ビジネスの隆盛をもたらしています。 -台湾は徐々に「安全保障中台」の発展を牽引してきました。セキュリティミドルプラットフォームの開発には、ネットワーク中心の従来型セキュリティ保護ミドルプラットフォームとデータ中心のデータセキュリティミドルプラットフォームが含まれます(現在、多くのセキュリティベンダーがネットワークとデータをカバーしていますが、よりネットワーク側に重点を置いています)。この記事では主にデータセントリックなセキュリティミドルプラットフォームについて説明します。
現在、セキュリティ ベンダーによって提案されているデータ セキュリティ ミッド プラットフォームのコンセプトのほとんどは、従来のデータ セキュリティ保護と比較して、暗号化、資産メタデータ管理 (分類、マーキング)、非感作およびその他のサービスの提供など、ビジネス側の機能に基づいています。集中管理・制御機能は強化したが、ビジネスからネットワークまでの真のセキュリティミドルプラットフォームは実現できなかった。データセキュリティの重要性が高まるにつれ、既存のデータセキュリティミドルプラットフォームは、機能範囲、サービスシナリオ、ネットワーク連携の観点から徐々に深化していきます。
2. 現在、データセキュリティの中間プラットフォームに問題があります
現時点でのデータセキュリティセンターの課題としては、基幹システムの仮想化度の強化、データセキュリティ機能の保守性の向上、SDNアーキテクチャのサポート・統合機能の強化が挙げられます。
基本システムのプーリング度を強化する必要がある: 現在のデータ セキュリティ センターのセキュリティ機能は、仮想化機能とプーリング機能がほとんどなく、動的拡張性が乏しいため、負荷分散、動的展開、継続的拡張の観点から強化する必要がある、マルチテナント。
データ セキュリティ機能のサービスアビリティを改善する必要があります。データ セキュリティ機能のサービス化とは、既存のセキュリティ機能を備えたサービス インターフェイスを形成し、データ セキュリティ機能の統合管理インターフェイス (認証、認可、認証、監査、承認など) を使用することです。セキュリティセンター. 現在はデータに重点が置かれています セキュリティ機能の点では、プールされたシステムとネットワークアーキテクチャをリンクする機能が不足しています。マルチテナント アプリケーションの場合、データ処理機能 (監査、アクセス制御など) は、データ要求の急増後に動的に割り当てられます。
SDN ネットワーク アーキテクチャのサポートと統合機能を強化する必要があります。ユーザー SDN ネットワーク アーキテクチャとの統合機能が欠如しているため、サービス指向のデータ セキュリティ機能 (監査サービス、アクセス制御サービス、分類および格付けサービス) およびソフトウェア定義データを確立できません。 「高速道路」間のセキュリティ(ネットワーク調整、交通迂回、セキュリティ機能、迅速な介入など)。
実際のデータ セキュリティ ミドル プラットフォームには、ソフトウェア デファインド セキュリティ機能と、既存のミドル プラットフォーム セキュリティ ビジネス機能の管理および制御機能が必要です。例えば、新規事業Aを立ち上げる場合(ネットワーク上にデータベースアクセス制御システムが存在しない)、そのデータベースへのアクセス制御が必要となると同時に、資産管理プラットフォームを利用して分類・分類する必要があり、そして、分類と分類情報をデータ アクセス コントロール プラットフォームに提供して、差別化された管理と制御を実現します。既存のデータセキュリティミドルプラットフォームアーキテクチャによれば、これを満たすことは困難です。
3. データセキュリティミドルプラットフォームの実現方法
データ セキュリティの重要性が高まるにつれ、データ セキュリティ ミドル プラットフォームも市場で成長しています。データ セキュリティの管理および制御機能の一元化、複数のシナリオへの適応性、およびビジネス開発の持続可能性のサポートが、データ セキュリティ ミドル プラットフォームの構築の中核となるアイデアです。したがって、真のデータセキュリティを実現するには、プラットフォームは(個人的には理解していますが)ネットワークSDN、システムプーリング、機能サービス、およびポリシーの集中化を備えている必要があります。Network SDN は、従来のネットワーク アーキテクチャに新たに追加された機器の複雑さを解決し、ソフトウェア デファインド セキュリティ方式により、ネットワーク トラフィックの調整を高速化し、セキュリティ機能の迅速な介入を実現します。機能はインターフェイスの形で抽象化され、ミドルプラットフォームを通じて外部からサービスを提供し、ポリシーを一元化し、セキュリティ管理のポリシー一元管理を実現します。
3.1 データセキュリティミドルプラットフォーム構築アーキテクチャ
データセキュリティミドルプラットフォーム構築アーキテクチャは、アプリケーション層、制御層、トラフィック転送層に分けることができます。アプリケーション層には、特定の組織関連アプリケーションが含まれます。この層は、データ セキュリティ センターによって形成された関連インターフェイスを呼び出して、データ セキュリティ機能の迅速な介入を実現できます。制御層は、ネットワーク マスター コントロール センター、SDN コントローラー、およびデータに分かれていますセキュリティセンター。ネットワークマスターコントロールセンターは、運用保守担当者とセキュリティ管理担当者の統合オーケストレーションにより、Software Defined Securityを実現します。データ セキュリティは、アプリケーション層にデータ セキュリティ サービスを提供するための関連インターフェイスを提供します。SDN コントロールは、ネットワーク側の関連設定を担当します。転送層は実際のネットワーク アーキテクチャであり、この層はデータ セキュリティ保護プールを導入し、ネットワークのすべての層にアクセスして、迅速なフロー トラクションを実現します。
3.2 データセキュリティのミッドプラットフォームビジネスの変化
データ セキュリティ ミドル プラットフォームの構築が完了したら、既存のビジネスをデータ セキュリティ ミドル プラットフォーム アーキテクチャに順序よく移行する必要があります。全体的な移行戦略は [点から面へ、単純から困難へ、エッジから中心]。移行後の保護戦略は [基本的なセキュリティ保護から徹底したセキュリティ保護まで] です。業務に大きな変更を加える必要がなく、業務に極力影響を与えずに、運用監査やデータアクセス制御などの一部のデータセキュリティ保護を実現できます。その後、ビジネスにおけるデータ フロー、データ使用法、データ資産に基づいて、データの暗号化、データの非感作化、および差別化された管理と制御が徐々に実現されます。