2024外滩大会网络安全实战技术论坛《切面融合智能,构建新一代网安基建》(下称“切面论坛”),包括此前的Xcon2024/2023、CNCC 2023等活动上,都曾展开对安全平行切面技术的讨论。安全平行切面技术到底怎样理解?为什么能够成为业内的热门议题?它的出现将如何助推企业在数字化转型道路上发展?本文将探讨安全平行切面技术的发展以及在不同领域中的落地应用,以期为网络安全的实践者和研究者提供参考和启发。
数字化转型发展 切面技术纵深防护
随着云计算、大数据、物联网、工业互联网、区块链、人工智能等新兴技术的快速发展,企业的网络安全和数据安全需求变得日益复杂化、业务化、动态化。数据安全、应用安全和业务安全的三方需求逐渐耦合到业务系统中。
在当前数字化转型的浪潮中,聚焦安全内循环,即整个数据业务在自身运维安全域上,企业正面临着前所未有的挑战。这背后的现实因素可分为三方面:行业技术不断演进,导致多代系统堆叠,接口混杂,缺乏标准;外部系统的引入造成技术黑盒,安全和合规风险不清;因业务快速发展,系统需要持续跟进,业务驱动系统复杂性爆炸。
企业作为数字化转型的实体,自身的基础设施往往缺乏安全对抗能力:传统安全对抗与治理能力的效能不足,就无法应对愈发复杂高级的攻击手段;传统缺乏协同的安全产品无法提供足够的稳健运行保障。安全419认为,从甲方视角来看,外挂式安全架构难以贴合业务,粗放防护精度不足,内嵌式安全架构陷入“绑腿走路”的困境,安全质量难以统一,系统维护需投入精力,影响效率。传统的安全模型各自存在局限,疲于应对业务复杂性爆炸式增长带来的挑战,无法有效应对未来安全态势的发展。
业务与安全既能合二为一,又能独立解耦,才是核心诉求:业务上线即带有安全能力,并实现跨维的检测、响应与防护;同时安全能力可编程、可扩展,与业务各自独立演进,满足企业建立原生安全能力的需求。
基于这样的背景,全新的安全架构“安全平行切面”应运而生。其思路是将软件工程的面向切面编程(AOP)思想应用到安全体系建设中,构建与业务正交融合的安全平行空间,通过在移动 APP、云端应用、操作系统等应用与基础设施嵌入各层次切点,形成端-管-云的立体安全防护体系,使得安全管控与业务逻辑解耦,并通过标准化的接口为安全业务提供内视和干预能力的安全基础设施。
安全平行切面总体架构
如果将其说得通俗些,安全平行切面好比在大楼里预设安全通道和消防系统,在不改变整体布局的情况下增加安全防护措施。它们被穿插在建筑的各个关键位置,将防护措施融入到建造过程中,以便在紧急时使用。这是需要在建设前就考虑到的安全问题,而不是作为一个附加步骤。
实现“原生安全” 安全平行切面打造可行路径
安全419在切面论坛上同步到,蚂蚁集团副总裁、首席技术安全官韦韬在《源起:复杂性爆炸与原生安全范式》为题的主旨演讲中指出,长期以来,我们在网络安全的实践中,对其本源问题缺乏探讨,原生安全范式是对安全问题本源的认知以及对该领域的实践指导。
微观层面出发,访问控制是网络安全的一大问题。访问控制的原生安全范式里又可以微观到OVTP可溯范式(策略层)和NbSP零越范式(机制层)。简单来看,OVTP 就是要确保网络访问敏感操作可追溯可研判,而NbSP 就是类似安检,要确保攻击者不会通过各种漏洞形成的隐蔽通道绕过关键安全检查点,而这些范式是构建安全防护体系的基础。
原生安全范式从根本上深入探讨和解决安全问题,它倡导在系统设计和构建的初始阶段即把安全性作为核心要素融入其中。而安全平行切面则是支撑未来企业安全架构的重要技术方向,是提升安全防护水平的全新方法体系。
在实践层面,安全平行切面被定义为面向企业数字生命体的新一代安全基础平台。该平台运用插桩技术或面向切面编程(AOP)机制,将安全能力无缝集成至业务应用系统中。同时,通过将切面安全应用逻辑与业务应用逻辑进行解耦,实现了安全措施与业务功能的并行迭代,从而保障了业务的敏捷性和安全性的同步提升。
在安全基础设施层面,安全平行切面体系实现了在目标系统执行空间内部动态部署安全可信的管控能力,对系统内部的数据流与控制流进行自主观测与精准管控,提供了主动防御的安全策略。此外,安全平行切面与大模型应用可信框架的结合,实现了先有数据、再有智能,精准防控的安全能力,最终构建面向原生安全范式的融合智能纵深防护体系,推动安全对抗和管控效能的跨越式提升。
安全平行切面技术的多领域实践
安全平行切面技术促进了企业安全架构的实战性、稳定性、安全性和易用性的提升,为数字化转型下的企业安全建设提供了有力支持。安全419获悉,切面技术在安全、运维、测试等众多领域应用广泛,在泛安全领域也展现出巨大潜力。
外滩大会切面论坛上,多家网安厂商也对此也有不同的认识与实践。默安科技联合创始人、CTO魏兴国对切面技术的有自己的理解,即将零散的安全产品整合并抽象化,提出的统一性、理论化框架,在技术和商业方面拥有双重价值。从默安自身深耕蜜罐技术的实践出发,分享了利用切面技术实现漏洞发现与攻击拦截、在开发安全领域的交互式应用安全测试(IAST)和运行时应用自我保护(RASP)、安全平行切面技术与大模型结合、微服务网络切面、容器与操作系统切面等。
红途科技创始人、总经理刘新凯基于多个行业的数据安全与隐私合规实战经验,指出数据安全内外部的核心需求,展示数据流转观测中遇到的挑战,以及切面思想为建设数据流转观测能力提供解决方案;墨菲安全联合创始人车志远表示,切面技术为解决线上软件供应链的安全防护过程中遇到的各种痛点提供了重要思路。
炼石网络创始人、CEO白小勇表示,切面技术将安全能力投送到复杂的企业数据流程中,尝试解决数据安全的第一性问题。指出要在现有的信息系统中实施切面,找到合适切点具有复杂性。老旧架构的惯性问题使得集成现代数据安全技术变得困难,这不仅是技术问题,还涉及到成本和地域性问题。
炼石基于灵活的安全平行切面引擎,可将安全能力系统化地融入技术基础设施与应用服务内部,通过在数据流动的切面上重建安全规则,部署安全控制面,结合行业技术特征打造最匹配的切面数据安全产品形态。
安全419同样观察到另一家网安企业——持安科技对该平行切面架构的应用。其认为该架构是未来网络安全的发展趋势之一,并已将架构思想融入自身的企业办公安全产品之中。核心产品持安远望办公安全平台,基于Google Beyondcorp架构的应用层零信任,基于分层防护架构,在内外网中全面部署落地,实现零信任平台承载业务,业务无需关注安全,企业员工在任何地区均可实现无感知的安全办公,兼顾企业的安全与效率。
在《2024企业网络安全CSO发展调查报告》中,安全平行切面是众多首席安全官一致认可的年度最有前景安全领域之一,突显了在网络安全领域的新趋势和未来发展方向。可以看出,在云计算和人工智能时代,网络和系统的复杂性和指数级增长现状,要求我们从新的视角重新探索和构建网络空间安全的理论体系和实践方法。而面向数字生命体的原生安全范式与安全平行切面技术体系,有望为数字化企业安全发展提供扎实的理论基础与实践。