安全架构设计的杂谈

广义的安全架构，从企业信息安全体系架构来说，是包含技术、运维、管理3个层面。本文说的安全架构，主要集中讨论偏研发技术层面的安全架构。

安全性是软件研发技术体系，系统架构设计阶段的一个关键DFX能力，与可靠性、可服务性、性能等架构属性并列。由于安全性设计自身的特点，涉及到系统架构各个组件、接口设计的方方面面，加上业界云计算云安全概念的不断深入人心，安全性逐渐从一系列DFX能力属性中脱颖而出，形成了具有自身特点的一个架构形态——安全架构。

系统架构视图  + 安全控制  =  安全架构视图

通过以NIST安全架构设计方法为基本的设计流程步骤，参考OWASP、CC、NIST、苹果、AWS等的安全架构维度，基于这些不同维度的安全架构设计框架，结合不同的安全架构视图来对产品架构整体的安全方案作出版本规划和设计，并作出关键安全方案系统概要设计，从而形成一套比较完整的安全架构设计方法。

参考NIST关于云计算的安全架构生成过程，一般产品的安全架构设计过程包含四个阶段：

1、业务模式和业务架构认知、梳理阶段。

2、安全需求以及架构威胁风险分析阶段。

3、为威胁风险需求选择对应的安全控制措施措施阶段。

4、将安全控制措施在系统架构中设计并且落实阶段。

威胁建模分析重点强调安全风险的识别和发现，和局部消减措施。安全架构更主要关注系统全局安全怎么做，同时向项目中各个角色阐述整个架构的纵深防御安全设计情况，并关注架构阶段的方案初步概要设计怎么做。

安全架构设计的主要作用

安全设计成体系：从单点的安全机制到架构整体端到端的考虑安全方案设计

安全风险建模化：将架构级安全风险经过建模，模型化分析和消减。

安全特性无遗漏：按安全维度框架考虑安全设计，架构上无重大安全设计遗漏。

持续改进：架构安全评估反馈安全架构设计，持续改进整体架构安全能力。

安全架构设计主要应围绕安全目标，根据安全设计原则，确定一种主要的安全架构设计原则（思想），同时运用High level ASTRIDE威胁建模方法来识别产品现有架构上的安全威胁风险，在安全架构设计框架的牵引下，构筑产品全面、完整的安全架构防御体系，避免架构中出现重大安全需求遗漏。针对每一个安全需求和威胁风险，分别从安全控制集中制定合适的安全消减措施，落入产品架构对应的业务组件上，并参考借鉴安全设计模式库和安全设计方案库中已有的业界最佳实践，给出架构中关键安全方案的概要设计。

安全架构设计的原则

随着云计算网络、终端、物联网等新架构的出现，安全设计原则也与时俱进，涌现很多新型安全设计原则和指导思想。不同的系统对安全要求不一样，安全定位和目标不一样，因此选择的总体安全架构设计原则也不一样。

安全设计原则很多，选择一种安全架构设计原则（思想）就意味着是选择一个有侧重的设计，映射到8维度安全架构框架中，就是在保证系统基本安全的基础上，着重于某几个安全维度的安全设计，形成本系统的安全架构设计特点。

入侵容忍、纵深防御、还是自适应架构，都是一种安全架构的设计思想（原则），具体针对系统架构各个业务组件上的消减措施，最终还是对应在8个安全维度的方案设计上。

入侵容忍的核心思想：通过时间和资源冗余来应对部分的系统组件因为攻击或者故障的失效以及异常行为。尽可能地保证系统服务的正常提供，为攻击响应和处置争取更好的机会，在系统安全状态机的任何状态下，都尽可能的保证资产的安全，在无法防御安全攻击的情况下，要么选择优雅降级牺牲一些业务的能力，要么选择失效安全停止服务但是保证系统免于受到进一步的伤害。入侵容忍系统严重依赖入侵检测能力，如果一种入侵行为无法被探测感知，那么它对系统的侵害将难以评估其后果。

Gartner于2014年提出自适应安全架构，要求云时代的安全服务应该以持续监控和分析为核心，覆盖防御、检测、响应、预测四个维度，可自适应于不同基础架构和业务变化，并能形成统一安全策略应对未来更加专业的高级攻击。

为了清晰构建云化安全架构的安全特性和能力指标，需要制定一套云化环境的安全能力架构——Active-Cloud（自适应 Adaptive、可控 Controllable、可信 Trusted、纵深防御  In-Depth、可视化 Visible、可评估 Evaluable）

对产品架构进行安全威胁识别，制定对应的消减建议，优化产品架构的安全性。

做好安全架构设计，不代表系统就没有安全问题，黑客就攻不进来了。方案设计上有遗漏，或者考虑不周全，同样会产生设计类安全漏洞。

当前安全架构设计方法的作用：在以上8维度安全架构框架的牵引下，让产品架构设计人员在系统架构设计时遵循安全设计原则，更系统更全面地去考虑安全设计，避免架构级安全设计遗漏，参考成熟的安全设计模式让安全方案设计更简单，让产品业务SE都成为懂安全的SE。

原文始发于微信公众号（安全架构）：安全架构设计的杂谈