隨著中臺建設理念不斷深入,各種「中颱+」概念不斷進入人們視野,複雜化應用架構和多元化應用場景孕育出「中臺」,業務中颱的興起,逐步帶動「安全中臺」發展。安全中臺發展包括以網路為中心傳統安全防護中颱和以資料為中心資料安全中臺(目前有多家安全廠商涵蓋網路和資料,但更加強調網路側)。本篇文章主要是以資料為中心的安全中臺。
目前安全廠商所提出的資料安全中臺概念,多數是以業務側功能為主,如提供加密、資產的元資料管理(分類分級、打標)、脫敏等服務,與傳統資料安全防護相比較,加強了集中管控能力,但並未實現從業務到網路真正安全中臺。隨著資料安全重要性越來越高,現有資料安全中颱將逐步在功能範圍、服務場景和網路聯動性等方面深入發展。
目前資料安全中臺存在問題包括:基礎系統虛擬化程度待加強、資料安全功能服務化能力待提公升、sdn架構支援與結合能力需加強。
基礎系統池化程度待加強:目前資料安全中颱所具備的安全能力,較少具備虛擬化、池化能力,動態擴充套件性較差,在負載均衡、動態調配、持續擴容、多租戶等方面有待加強。
資料安全功能服務化能力待提公升:資料安全功能服務化是將現有安全能力形成服務介面,利用安全中臺統一管理介面(認證、授權、鑑權、審計、審批等功能),目前重點在資料安全功能方面,缺少池化系統和網路架構聯動能力。如果多租戶應用、資料請求暴增後資料處理能力(審計、訪問控制等)動態調配等。
sdn網路架構支援與結合能力需加強:缺少與使用者sdn網路架構結合能力,無法建立資料安全功能服務化(審計服務、訪問控**務、分類分級服務)與軟體定義資料安全(網路調整、流量引流、安全能力快速介入等)之間「高速公路」。
真正資料安全中臺需要具備軟體定義安全能力以及現有中臺安全業務功能管控能力。如新上線a業務(網路中沒有資料庫訪問控制系統),需要對其資料庫進行訪問控制,同時需要利用資產管理平台進行分類分級,並將分類分級資訊提供至資料訪問控制平台實現差異化管控。如果按照現有資料安全中臺架構來說,很難滿足。
隨著資料安全重要性越來越高,資料安全中颱也在市場發酵中。資料安全管控能力的集中性、多種場景的適應性、支撐業務發展可持續性是資料安全中臺建設的核心思路。 所以,實現真正資料安全中颱應具備(個人理解)網路sdn化、系統池化、功能服務化、策略集中化。網路sdn化解決傳統網路架構新增裝置的複雜性,通過軟體定義安全方式,加速將網路流量調整,實現安全能力快速介入;系統池化是集中式、集群式部署彈性應對需求;功能服務化是將功能抽象以介面形式,通過中臺對外提供服務;策略集中化,實現安全管控的策略集中管理。
資料安全中臺建設架構可分為應用層、控制層和流量**層。應用層包括具體組織相關應用,該層可呼叫資料安全中臺形成的相關介面實現資料安全能力快速介入;控制層分為網路總控中心、sdn控制器和資料安全中臺。網路總控中心針對運維人員、安全管理人員通過統一編排實現軟體定義安全。資料安全提供相關介面為應用層提供資料安全服務。sdn控制負責網路側相關設定;**層為實際網路架構,該層引入了資料安全防護池,資料安全防護池與網路各層網路可達,實現流量快速牽引。
資料安全中臺建設完畢後,需將現有業務有序遷移至資料安全中臺體系架構中,整體遷移策略為【由點到面、由簡到難、有邊緣到中心】。遷移後防護策略為【由基礎安全防護到深入安全防護】。不需要對業務進行太大改動,盡可能在不影響業務的前提下實現部分資料安全防護,如操作審計、資料訪問控制等。隨後結合業務中資料流動、資料使用、資料資產情況,逐步實現資料加密、資料脫敏、差異化管控。
業務中臺建設與應用 資料中臺建設是氣象業務的基石
早就想聊聊這個話題,感覺說多重要都不過分!按理說我們氣象部門的資料儲存 處理和應用相比其他行業具有先天優勢,無論觀測還是預報,每天能夠產生海量資料,並且有規範的資料格式和先進的資料儲存裝置。可這麼多的資料,大都是死資料,並沒 有充分用起來,或者利用率很低,根本沒有發揮出氣象大資料的應有價值。我覺得之...
中臺建設隨筆
適用於發展中的大中型公司且有多條產品線,這樣才能更好的復用,避免做了很多沒用的,造成資源浪費。避免重複建設,讓系統盡量抽象,可配置,不依賴具體的業務,這樣有新的產品線成立可快速接入。1.歷史的資料的遷移 在抽象需求的時候要考慮歷史資料的相容,後期好做遷移。對於不需要的點要盡量精簡,避免做的太複雜,業...
資料中臺建設五步法
以下為 資料中臺架構 企業資料化最佳實踐 讀書筆記 一 資料資源的盤點與規劃 資料化的基礎是資訊化或者是資訊化所產生的資料。資料資源的盤點與規劃需要達到以下目的 1 對現有資料資源盤點和統計。2 對企業可以擁有或者應該擁有的資料資源進行規劃。3 構建盤點體系並使用必要工具,保證盤點的成果能夠始終與真...