作者介绍:
蚂蚁基础安全副总裁,韦韬于2019年加入蚂蚁金服,负责蚂蚁基础安全方向。同时 也是北京大学的兼职教授。在此之前,于2015年至2019年就职于百度,任职首席安全科学家,安全实验室负责人。2103年至2015年,就职于FireEye,安全研究科学家,带领移动安全研究团队发现移动漏洞、识别恶意软件并防止隐私泄露。
白皮书系统分析了数字化转型及业务复杂性爆炸背景下安全体系建设所面临的严峻挑战与发展困境,在深度结合安全体系建设新要求的基础上,提出了具备与业务融合且解耦的下一代原生安全基础设施——安全平行切面体系。安全平行切面体系在应急攻防、安全治理与布防、数据安全治理等场景下提供精准内视能力和高效干预能力,显著提升应急攻防与安全治理效能,为原生安全的实现提供了解决路径,为企业数字化转型提供安全保障。
【《安全平行切面白皮书》目录】
安全平行切面体系(以下简称安全切面)是下一代原生安全基础设施,通过端—管—云各层次切面使安全管控与业务相互融合且解耦,并依托标准化接口为业务提供精准内视与高效干预能力,具备感知覆盖能力强、应急攻防响应快、安全治理高效和安全布防灵活的核心优势。
在业务复杂性爆炸的背景下,安全切面可以有效解决传统外挂式安全体系隔靴搔痒、内嵌式安全体系业务与安全相互束缚的行业痛点。
安全切面具备“精准感知、及时管控、保障有力、稳健发展”等特点,以“分层建设、多层联动、稳定及安全保障、碎片化适配”为要则构建与业务平行的安全空间,将安全能力分层融入业务体系,建立起基于安全切面的各种保障机制,通过碎片化场景适配拉平基础设施环境差异。
安全切面支持从应用和基础设施构建不同层级的防御能力,以实现各层级间的安全管控,同时也支持多层级安全切面相互联动形成整体的防御体系,达到更好的安全治理、防护、对抗效果。在建设要则的指导下,白皮书里展现了安全平行切面的三类主要架构。
12月爆发的log4j2漏洞事件处置工作中,安全切面表现优异:可以通过下发安全策略实现log4j2漏洞小时级的快速修复,有效切断漏洞攻击路径。
在生产环境中,还可以进一步将攻击者实时引入主动网络蜜罐,对其进行反制和溯源;在测试环境中,进一步采用基于切面的IAST技术实现对JNDI调用链路进行分析,在更大范围内检测潜在攻击行为。
除此之外,安全切面还应用于“数据服务海关”,以实现数据流通过程中的尽责与合规。“数据服务海关”是蚂蚁自主研发的数据流通管控基础设施,通过切面体系的植入,将传统的数据网关API转发升级为完整的从数据申报、清关到审计的全链路合规尽责的数据服务模式。在切面技术支撑下,数据流动管控可以达到字段粒度,有效支撑数据安全与隐私保护的合规要求。
经过两年来的探索与实践,安全平行切面体系已在蚂蚁集团全面落地,广泛应用于应急攻防、安全治理与布防、数据安全与隐私保护等业务场景,成效显著,性能、稳定性、安全性均表现出色。
现在,蚂蚁集团将把安全平行切面体系的建设实践经验与业界分享,未来还会以开源的方式将成果分享到开源社区,并与信息产业信息安全测评中心等权威安全机构,与业界同仁并肩携手,共同构建更加完善、智能的安全平行切面生态,以技术创新落实原生安全核心理念,落地原生安全最后一公里,一同为建设平安数字中国砥砺前行!
蚂蚁安全平行切面白皮书完整版下载:http://www.itstec.org.cn/aspect_oriented_security_white_paper.pdf
原创文章,作者:batsom,如若转载,请注明出处:https://cncso.com/next-generation-native-security-infrastructure.html