安全能力建设桔皮书奇安信科技集团股份有限公司年月安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页版权声明本文中出现的任何文字叙述文档格式插图图片方法过程等内容除另有特别注明版权均为奇安信集团指包括但不限于奇安信科技集团股份有限公司网神信息技术北京股份有限公司北京网康科技有限公司所有受到有关产权及版权法保护任何个人机构未经奇安信集团的书面授权许可不得以任何方式复制或引用本文的任何片段前言对数据要素掌控和利用能力已成为经济增长的核心驱动力在数字化时代数据是重要资产数据的安全是网络安全乃至国家安全和社会安定不可或缺的重要要素在云计算大数据人工智能等新兴技术的推动下众多行业都在经历一场轰轰烈烈的数字化转型大潮伴随着数字化进程的发展作为连接数据和应用的重要通道在物联网微服务云原生等场景都得到了非常广阔的应用通过的能力将企业的数据资源整合即将其服务能力和资产打包到可重复利用的模块化软件中让数据在不同环境中使用包括将其与合作伙伴及其他第三方有价值的资产结合起来在数字化转型中的扮演的角色将愈发重要通过进行数据交换成为最重要的传输方式之一也因此成为攻击者窃取数据的重点攻击对象近两年来因安全问题导致的数据泄漏事件频频发生可以看到安全是一个常见但似乎又不为人熟知的挑战行业对安全的认识仍处于早期失效的对象级授权失效的用户认证过度的数据暴露资源缺失速率限制功能级别授权已损坏等指出了最常见的安全风险本报告结合面向实战化的安全实践通过将的安全能力和组件嵌入到业务体系构建自适应的内生安全机制按照发现检测防护响应的安全模型进行安全体系建设并不断地创新与迭代提供万物互联时代的数据交换大规模分布式架构云计算数字化改造等场景的数据安全保障目录一数字化转型浪潮催生高速发展一发展历程单体架构分布式架构架构微服务架构架构云原生架构二数字化转型带来云原生的发展云原生赋能政企数字化转型云原生成为驱动业务增长的重要引擎云原生是下一代云计算的技术核心三成为资源连接利器是云原生架构的技术核心之一数字化转型依赖整合能力成为企业发展的战略需求四成为政企数字化转型的核心能力是一种核心能力化是一种必然的趋势是企业的核心数字资产二爆发式增长催生新的安全挑战一防护缺失已成数据安全最大风险敞口二安全面临的主要安全问题缺乏可见性攻击面增加多种攻击隐患敏感数据泄漏三围绕安全构建全新数据安全体系一场景变化带来的防护难点二新技术新业务带来的防护难点三格式的多样性复杂性面临的防护难点四传统防护手段无法应对安全风险四安全防护要求与建议一持续构建发现能力资产发现与管理漏洞发现滥用发现二持续构建检测能力针对漏洞攻击检测逻辑异常攻击检测异常行为检测数据异常流转及泄漏检测失陷主机检测三持续构建防护能力认证授权体系访问控制加解密能力限流限速四持续构建响应能力漏洞管理与响应威胁分析与处置威胁预警能力五结束语一数字化转型浪潮催生高速发展应用程序接口是一种计算接口定义了软件之间的数据交互方式功能类型随着互联网的普及和发展从早期的软件内部调用的接口扩展到互联网上对外提供服务的接口调用者通过调用可以获取接口提供的各项服务而无须访问源码也无须理解内部工作机制的细节一发展历程服务的发展历程可以看作企业数字化过程中系统集成需求不断变化的过程世纪初期随着等企业内部管理系统的普及各类系统沉淀了海量的关联数据基于早期的数据库和通信协议在企业内部数据打通后开始崭露头角系统集成进入时代年前后随时代到来企业信息和资源跨出企业内安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页部各企业系统不再是孤立状态系统资源和数据的整合需求也扩散至外部进而出现了技术规范和基于协议的接口系统集成步入时代年后云服务主导了企业服务市场大型企业在内部系统集成理顺的基础上将企业核心资源以带有适当安全和监管措施的云服务形式向合作伙伴客户乃至普通大众输出基于此开始被大量应用服务正式步入时代在时代客户和普通大众可以利用企业通过输出的资源来完成各自的产品和服务的开发最终延伸出庞大的价值链在云技术与容器技术兴起之前单体架构一直是构建应用程序的主流架构然而这两种技术的兴起为企业快速部署项目以及持续集成带来了很大便利伴随着容器技术与云技术的发展微服务已成为高速增长公司中构建应用程序的首选单体架构在应用程序发展的早期大部分软件项目是将所有的服务端功能模块打包到单个巨石型应用典型的三级架构前端中间业务逻辑层数据库层这是一种典型的或者框架的应用中如很多企业的应用程序打包为包然后发布到中其架构图如下所示安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页分布式架构分布式架构是单体架构的并发扩展将一个大的系统划分为多个业务模块业务模块分别部署在不同的服务器上各个业务模块之间通过接口进行数据交互数据库也大量采用分布式数据库如等通过负载均衡处理器是用于实现地理级别的负载均衡而用于同一地点内机器级别的负载均衡其中是软件的层负载均衡是内核的层负载均衡是硬件做层负载均衡将用户请求均衡地负载到不同的服务器上相对于单体架构来说分布式架构提供了负载均衡的能力大大提高了系统负载能力解决了网站高并发的需求其架构图如下所示安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页架构是一个组件模型它将应用程序的不同功能单元称为服务通过这些服务之间定义良好的接口联系起来中的接口独立于实现服务的硬件平台编程语言采用中立的方式进行定义这使得构建在各系统中的服务可以以一种统一和通用的方式进行交互面向服务架构它可以根据需求通过网络对松散耦合的粗粒度应用组件进行分布式部署组合和使用可以理解为对单体架构的系统按照实际业务拆分成功能简单层次清晰可独立部署的模块每个模块之间相互独立通过服务治理管理这些单独的模块进行工作其架构图如下所示微服务架构微服务是由在年提出的将单体架构的系统应用转化为多个可以独立运行独立开发独立部署独立维护的服务或者应用的聚合从而满足业务快速变化及分布式多团队并行开发的需求如康威定律所言任何组织在设计一套系统广义概念时安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页所交付的设计方案在结构上都与该组织的通信结构保持一致微服务与微前端不仅仅是技术架构的变化还包含了组织方式沟通方式的变化微服务架构主要是中间层分解将系统拆分成很多小应用微服务微服务可以部署在不同的服务器上也可以部署在相同的服务器不同的容器上当前应用产生的故障不会影响到其他应用单应用的负载也不会影响到其他应用其代表框架有等其架构图如下所示架构架构能够让开发者在构建应用的过程中无须关注计算资源的获取和运维由平台来按需分配计算资源并保证应用执行的服务等级协议按照调用次数进行计费有效地节省应用成本其架构图如下所示安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页云原生架构云原生是通过构建团队文化和技术利用自动化和架构来管理系统的复杂性和解放生产力云原生的定义包含以下三个方面应用容器化面向微服务架构应用支持容器的编排调度其架构图如下所示二数字化转型带来云原生的发展随着各行业数字化转型的深入资源弹性与简化运维的价值是企业上云的基础传统云服务已经远远不能适应企业的需要安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页云原生赋能政企数字化转型资源极致弹性应用敏捷开发迭代正在发展成为云服务的新常态因此火爆的云原生也成为互联网企业和传统政企的共同选择云原生不仅掀起了云计算时代一股新浪潮也开辟出一条企业数字化转型的最佳路径随着云原生应用深入企业各个业务场景跨云跨地域统一协同治理保证一致应用体验等新的需求日渐突出云原生成为驱动业务增长的重要引擎云计算的发展已进入成熟期云原生作为新型基础设施支撑数字化转型的重要支撑技术逐渐在人工智能大数据边缘计算等新兴领域崭露头角成为驱动数字基础设施的强大引擎伴随全行业上云的逐步深化企业云原生化转型进程将进一步加速云原生是下一代云计算的技术核心在传统应用架构下网络流量大多是南北走向但是到了云原生平台时代东西向流量占比越来越多这对整个数据的传输存储和计算产生非常大的压力为了让数据移动得更快存储得更多适应更广泛这就要求我们需要更快速地步入云原生时代目前云原生计算基金会对云原生的定义为云原生技术有利于各组织在公有云私有云和混合云等新型动态环境中构建和运行可弹性扩展的应用云原生的代表技术包括容器服务网格微服务不可变基础设施和声明式这些技术能够构建容错性好易于管理和便于观察的松耦合系统安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页结合可靠的自动化手段云原生技术使工程师能够轻松地对系统做出频繁和可预测的重大变更三成为资源连接利器的研究显示为应对年的新冠疫情对企业带来的连锁效应近的企业持续投入数字化转型这些企业当中有正在增加投资或完全改变战略想成为领先的数字型公司是云原生架构的技术核心之一在微服务架构下各个应用都被极尽可能的细分因此它们彼此间更需要来进行数据交互数量出现爆发式的增长应用微服务化开发服务之间使用标准的接口进行通信松耦合架构会减轻因需求变更导致的系统迭代成本为多团队并行开发提供基础并加快交付速度数字化转型依赖整合能力数字化转型依赖于企业的整合能力即将其服务能力和资产打包到可重复利用的模块化软件中每个企业都在其系统中储存了有价值的数据然而要利用好这些价值就要通过的能力打破数据孤岛让数据在不同环境中使用包括将其与合作伙伴及其他第三方有价值的资产结合起来即使一些系统从未设计互通能力也能让开发人员轻松访问并组合不同系统中的数字资产从而更好地实现整体协同是软件和软件之间进行对话的最基本形式如果将开发人员的经验融安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页入的设计中它们将变得非常强大从而使开发人员能重复使用数据和系统功能来开发新的应用程序成为企业发展的战略需求越来越多的公司都在寻找一种相对经济的方式使自身的发挥更多的价值希望它能拓宽自己的技术和服务生态系统另一方面企业也会寻找一些由别人开发的来满足自己非核心的业务需求近年来已经成为企业资源互相联结的利器企业提供标准化的给多个外部使用单位第三方一个外部单位可以组合多个来丰富服务内容这些开放标准的加速伙伴整合以及客户触及率衍生出生态系统在发布的中国市场预测指出到年在超过一半的全球强企业中平均的数字化服务交互都将来自开放生态系统增长势头远超过其自己的客户交互能力开放的生态系统是企业数字化平台开放重构的关键四成为政企数字化转型的核心能力在未来数据时代是业务连接和通信的唯一入口决定着数据时代的商业交易将成为传统制造业走向互联网的连接器是一种核心能力可以被外部软件技术人员理解使用可以被互联网移动端浏览器通过软件调用企业各种资产数据服务能力都可以安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页通过对外开放在未来的数据化时代开放的程度代表着一个企业的数字化建设程度是系统将自身核心能力对外提供的重要方式良好的设计不仅让外部更易用也能帮助理清系统
奇安信 API安全能力建设桔皮书
文档预览
中文文档
35 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共35页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-22 07:04:02上传分享