随着云计算、大数据、物联网、工业互联网、区块链、人工智能等新兴技术的快速发展，企业的网络安全和数据安全需求呈现出复杂化、业务化、动态化等特征。传统的外挂式、内嵌式的安全建设思路越来越难以满足这样的需求，甚至使得业务的快速发展和信息安全成为相互矛盾的存在。本文基于安全平行切面的建设思路，从应用安全切面、计算环境安全平行切面、数据安全平行切面来实现对企业的网络安全、数据安全建设，使得安全架构和应用架构之间既融为一体又独立解耦。基于这样的架构能够更好地解决企业快速技术和业务发展下的各种安全挑战，提供覆盖面更广、响应更及时、防护更精确、治理更高效的安全保障。

关键词：安全架构；安全平行切面；网络安全；数据安全。

随着数字基础设施不断完善，云计算、物联网、人工智能等新一代数字技术不断成熟，数字技术已经与国家、企业深度融合，数据也成了重要的生产要素， 深刻影响和改变企业的组织结构、生产方式及商业模式。企业广泛使用数字化技术已成为常态。

在企业的数字化转型、数字化运营过程中，越来越多的新技术引入，越来越频繁的应用升级迭代，越来越多的数据使用使得企业的安全挑战越大。

●技术复杂性挑战

在技术爆炸的时代，企业引入越来越多的技术架构，导致技术复杂性呈指数级增长，如私有云、公有云、物联网、SAAS服务、PAAS服务等。传统的安全架构思路很难适配越来越复杂的技术架构。

●业务复杂性挑战

由于企业业务的数字化，数据安全、应用安全、业务安全的需求越来越多地耦合到了企业的业务系统中。企业在业务反欺诈、反爬虫、安全合规、数据加密、数据脱敏、账号安全、UEBA等方面需要投入大量的精力，而且业务一旦发生迭代和变更，相配套的安全模块也面临大量的变更。

●合规挑战

中国数字经济快速发展的同时，网络安全、数据安全、隐私保护等威胁和挑战也日益严峻，国家在网络安全、数据安全的监管也日趋严格。企业快速数字化的同时，需要满足《国家安全法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》等法律法规以及其他行业的网络安全、数据安全的监管要求。 企业在信息系统跨云、跨境部署场景下，面临着网络安全防护、数据跨境流动等安全合规挑战；企业在使用越来越多应用的场景下，面临复杂场景下的数据安全和个人隐私保护的合规挑战。

●安全风险挑战

企业引入越来越多的数字基础设施，越来越多的PAAS、SAAS服务，第三方SDK等服务，导致安全攻击面增多，带来了更多的安全风险。传统基于边界的安全防御思路越来越难以适配复杂性爆炸的数字化技术，这也带来了更多的安全风险。

另外，由于数字化使得企业在跨数据中心、跨机构、跨企业之间的数据交互越来越频繁，导致安全边界不固定，数据流动性增强，数据的价值也越来越高，也引入了更多的、日益严重的安全风险。

信息安全架构一直跟随着信息技术的发展而快速发展。涌现出了非常优秀的安全技术、架构和产品。如保障网络边界安全的防火墙、IPS/IDS；保障远程访问和身份认证的VPN技术和产品；提供统一身份验证、授权和账号管理的身份和访问管理（IAM）系统；提供端点安全保障的产品如反病毒软件、EDR、设备加密等，以保护终端及服务器免受恶意软件和未经授权的访问。针对HTTP（S）协议的安全防护，提供了保护web应用的相关安全产品，如web应用防火墙、反爬虫、API安全网关等产品。不过目前总体的安全架构思路主要还是以下两种：

1)外挂式安全架构

安全模块与信息系统低耦合，主要聚焦于边界的安全防护和访问控制。这样的安全架构是企业信息安全建设的基础，但是在多云、多SAAS场景中，逐渐显露出了它的弊端：

▶安全只作用于边界，导致一旦攻击者突破边界，就如入无人之境，难以防护；

▶安全难以贴合业务，随着业务越来越复杂，业务侧的安全需求难以在网络边界侧得到满足；

▶管控效果粗放，网络边界只能够基于协议层做相对粗放的防护，且安全检测的精度不足，也无法满足复杂的业务需求。

2)内嵌式安全架构

安全模块嵌入信息系统，作为信息系统其中的一部分，常见的场景有：账号安全、访问控制、业务反欺诈、数据安全等。但是这样的架构投入巨大，如果业务快速增长，引入新的技术，其相关的安全模块也需要做很大投入。具体的困境有：

▶安全质量难以统一，不同的业务场景，其引入的安全模块，安全实现机制不尽相同，导致建设的质量不统一；

▶难以推进落地，由于安全模块嵌入信息系统，需要大量的人力和技术投入，且影响业务交付速度，导致在业务优先的场景下难以推进落地；

▶安全运营效率低下，由于安全模块分散在不同业务系统中，且实现机制、策略都不统一，导致安全运营维护的效率非常低。

随着云计算、大数据、物联网、工业互联网、区块链、人工智能等新兴技术的快速发展，企业的网络安全和数据安全需求呈现出复杂化、业务化、动态化等特征。传统的外挂式、内嵌式的安全建设思路越来越难以满足这样的需求，甚至使得业务的快速发展和信息安全成为相互矛盾的存在。

基于这样的背景下，全新的安全架构思路“安全平行切面”被提出。该架构思路源自1997年施乐帕洛阿尔托研究中心的 Gregor 等学者，在著名的ECOOP编程语言会议上提出的面向切面编程 (Aspect-oriented Programming，AOP)。面向切面编程（AOP）通过预编译、运行时动态代理、注入等方式能够在不修改原码情况下给程序的正常业务逻辑中动态添加或修改功能，能很好地、高效地解决一些通用性的软件功能需求。

安全平行切面最早于2019年，由蚂蚁集团提出的新的安全架构思路。与此同时，2023年7月17日安全平行切面联盟正式成立，且有不少甲方企业、乙方安全公司加入了该联盟，以期能够推动这一新的安全架构的发展。其思路是将软件工程的面向切面编程（AOP）思想应用到安全体系建设中，构建与业务正交融合的安全平行空间，在不修改业务逻辑的情况下，实现更高维度的安全防护，称之为安全平行切面。

该架构相对于传统的外挂式和内嵌式架构思路，可以更好地应对技术和业务复杂性爆炸带来的各种安全挑战。下图展示了三种不同架构思路之间的差异：

安全平行切面的主要优势如下：

1)降低研发成本和风险

安全平行切面将安全相关的功能与业务系统分离，开发人员只需要专注于业务功能实现，无需过多关注安全问题。这样可以减少开发成本，并降低由于安全漏洞导致的潜在安全风险。

2)增强可维护性和可扩展性

安全平行切面将在一个独立的切面空间实现安全逻辑，可通过代码注入、热补丁等方式实现安全功能扩展，安全策略更新。且该切面可统一维护和运营，大大提高了维护效率。另外由于安全平行切面作为基础的设施，和业务系统无关，业务系统可以快速横向扩容迭代而不受安全平行切面的影响。

3)快速的安全检测与响应能力

安全平行切面能够在切面层对业务请求、进程行为、网络访问、系统调用进行记录。可基于多个切面的记录进行上下文分析，从而实现快速、精准的异常行为识别和阻断，大幅提升了安全检测与响应能力。

4)贴近业务的安全管控

安全平行切面可将安全能力拓展到业务系统的不同层面，基于实际的安全管控需求做到灵活、细粒度的安全管控。如不同APP之间的东西向网络访问控制、API安全管控、业务反欺诈、数据加密等等。

安全平行切面的架构思路为解决企业的安全难题带来了诸多创新和益处。笔者在企业安全建设中，吸收了其架构思想，做了一些实践。由于安全平行切面需要以基础的技术框架作为前提，因此需要在企业中能够推动相关基础设施的研发，部署和应用。

笔者的企业在建设中，主要实践了应用安全切面、计算环境安全切面、数据安全切面，整体的架构如下：

上述的各安全平台如应用安全网关（WAPP）、工作负载保护（CWPP）等目前都有商业解决方案，但笔者所在公司皆为自研。在实践安全平行切面中，不仅仅是简单安全产品的堆砌，而是将上述安全平台作为企业的基础架构设施，融合到了DevOps、中间件、业务系统开发中。且为了让上述架构更好地适配企业安全需求，做了大量的数据集成、统一安全策略管理、统一安全事件处理、自动化功能对接等工作。

应用安全网关（WAPP）是应用安全平行切面的关键模块。它已经不仅仅是web应用防火墙这么简单，还包含了业务安全防护、数据安全防护和安全合规等方面的能力。在实践中，我们基于Openresty这一开源架构，做了大量的研发，使得应用安全网关（WAPP）具备了Web攻击防护、反爬虫、API安全管理、业务反欺诈、数据安全防护、UEBA审计等功能，整体的功能架构如下图：

技术上述架构，应用安全网关成为事实上的应用及业务安全治理网关，且可以在网关上不断迭代安全、运维、风控相关的功能和模块。网关采用了分布式架构，可灵活地覆盖私有云、公有云以及混合云的场景。其网络部署架构如下图所示：

基于上述架构，通过分布式的部署模式，可以覆盖企业内网、外网、办公环境、测试环境、生产环境的所有应用，提供全方位的应用安全和业务安全治理能力。

接下来将介绍基于应用安全平行切面的几个安全应用场景和效果。

●零代码实现业务安全保护

基于应用安全平行切面的架构，WAAP网关可以接管所有的HTTP请求和响应流量，且可以根据策略自动对相关应用注入JS代码，自动注入相关请求的业务处理流程。基于这样的思路，我们零代码实现了业务安全保护，包括短信防轰炸、营销反欺诈、反垃圾注册、账号安全增强等功能。

整体实现流程如下图：

基于上述能力，安全团队在无需研发团队进行研发的情况下，简单配置，即可实现对公司的短信接口、登录接口、活动营销接口实现业务安全防护。甚至安全团队发现公司的相关业务接口存在业务安全漏洞，直接下发策略即可完成漏洞修复。

●自适应业务审计

通常，企业在实现系统的操作审计或实施UEBA时，是通过采集业务系统自身实现的操作审计数据来实现的。由于WAAP网关实现了web日志自由，因此可直接基于WAAP网关的流量日志来实现业务系统的操作审计。但是由于业务操作审计需要识别用户的登录账号，判断会话时长，并判断登出时间，如果仅通过请求日志是无法实现的。不过由于WAAP日志可以获取全量的请求和响应日志，因此只需要配置匹配请求和响应过程中的登录字段、会话字段，即可实现整体的登录会话审计。

基于安全平行切面的自适应安全审计实现流程如下图：

通过上述功能，企业可以在无需开发的情况下，通过简单配置实现各种业务系统的操作审计，可详细记录操作时间、来源IP、登录用户、操作功能、操作结果。一方面可以无需代码改造让业务系统满足等级保护合规、ISO27001等合规要求；另一方面，还可与UEBA系统进行对接，实现精细化的用户行为风险审计。

●API安全防护

目前黑客、黑产团伙针对企业的攻击行为已经从传统的web漏洞利用发展成为针对API的攻击和利用，如恶意爬虫、API滥用、业务篡改、虚假注册、敏感数据获取等。传统的web漏洞防护主要是基于单次请求的风险识别，但是API攻击行为具备伪装性、往往需要基于一段时间的访问行为特征才能识别。要做好API安全防护，需要具备更加复杂和智能的手段。

WAPP网关的API安全防护的建设逻辑如下：

基于高性能流量采集引擎及多维检测策略，对业务应用流量进行动态画像及全场景式流量清洗，充分发现 API 攻击事件、业务风险及行为异常等安全问题，保障企业应用的每一次 API 调用。

计算环境安全平行切面的最佳选择即为工作负载保护安全平台（CWPP）。提供的能力包括主机入侵检测、恶意代码扫描、异常行为监控、漏洞扫描、安全基线检查，主动安全响应等功能。整体架构如下：

除此之外，CWPP平台还集成了自动化运维框架saltstack 和分布式终端审计框架osquery，作为计算环境安全平行切面的关键基础设施，大幅提升了平台的扩展性。CWPP平台已经成为公司在资产管理、自动化运维、安全防护的重要基础设施。

接下来将介绍基于计算环境安全平行切面的几个应用场景和效果。

●全域快速安全响应和处置

osquery框架提供了分布式的终端信息结构化查询接口，且可集成yara恶意文件检测引擎。从而当发生安全告警时，CWPP可自动生成和下发安全取证SQL脚本，各个终端可分布式执行SQL脚本并反馈执行结果。基于这样的能力，CWPP可快速完成安全取证分析，例如：检测网络外联IP和进程、实时下发Yara特征进行扫描、实时检测终端登录会话等。

saltstack框架提供了模块化的终端自动化能力和接口，可以通过CWAPP统一下发执行，对于SOAR的一些安全响应场景，可以针对终端做得非常精细、稳定、及时。例如：KILL恶意进程、踢出SSH会话、阻断网络连接、恢复篡改文件、重启服务、快速隔离失陷主机等。

●运维和安全双向赋能

CWPP平台已经成为计算环境安全平行切面的核心设施，企业的运维自动化、CMDB信息均可基于该平台来实现：

1)提供模块化自动化运维能力：

a.批量部署中间件、监控程序、批量修改配置文件等；

b.为自动化日志采集、自动化巡检提供通用能力；

c.为批量服务重启、软件更新、故障排查提供标准接口。

2)提供自动化安全运营、安全加固能力：

a.批量自动化修改密码、执行安全加固脚本；

b.批量自动化升级软件，修复安全漏洞；

c.自动化、模块化安全应急响应。

3)为CMDB提供实时准确的数据：

CWPP采集的系统信息实时同步至CMDB，为企业提供实时准确的CMDB信息，且除了IP信息、主机名、主机状态之外，还提供更多维度的信息，提升安全和运维的效率。相关信息如：网络开放端口、进程信息、安装软件及版本、当前登录账号和来源地址、漏洞及补丁信息、磁盘空间及加密状态等。

●公有云的数据安全建设难题

随着《国家安全法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》等法律法规的实施，企业在数据安全方面的建设标准越来越严格。特别是在公有云的使用场景下，相对私有云和私有数据中心，数据安全存在更多的风险，主要如下：

1）公有云场景下，云服务提供商具备访问云租户核心数据的可能性，企业的数据安全仅依赖于对云服务提供商的信任，但并不能解决存在非授权访问的风险；

2）公有云场景下，相对于私有数据中心，云端攻击面更多，更易受到黑客攻击；

3）剩余信息保护实施风险更大，因为云端数据迁移和资源回收更为频繁，且难以监督云服务提供商是否合规销毁存储介质；

4）公有云的网络传输隔离是不完整的，相较于私有数据中心，多租户的情况下的云环境面临数据传输安全风险。

针对上述场景，在公有云中的数据安全保护、数据加密的需求比私有数据中心更为强烈。另外即使在私有数据中心中，为了最大限度地保护企业的敏感数据，对数据库进行安全审计，对存储的敏感数据进行加密也很有必要。但是，在公有云中实施数据库安全审计和敏感数据存储加密存在很多技术挑战：

1）公有云的数据库服务并不开放操作系统权限用于部署数据库审计Agent，在公有云基于流量镜像数据库审计的投入也非常大，采购云服务商的数据库审计的成本非常高；

2）敏感数据存储加密的实施存在很多挑战：

a.开发改造量大，需要巨大的开发成本才能实现敏感数据加密存储，数据脱敏展示等安全要求；

b.业务系统众多，难以以统一的标准推动敏感数据加密工作，难以做到完全覆盖；

c.投入成本巨大，需要多个系统大量的开发改造，导致数据加密的工作难以落地。

●基于数据库中间件的数据安全平行切面实践

为了解决上述难题，安全团队在与中间件团队的共同努力下，采用了开源项目ShardingShpere，构建了基于数据库中间件的结构化数据安全平行切面平台，整体的架构如下。

基于上述架构，基于一套平台，实现了企业数据运维、数据管理、数据安全的统一管理、统一维护、统一防护。整体实现效果如下：

1）统一数据透明加解密

可在一套平台统一配置实现针对不同应用、不同数据库的敏感数据加密，且加解密对应用系统透明，应用系统无需复杂改造。

2）敏感数据动态脱敏

无论是针对应用系统还是用户访问，针对敏感字段可根据策略实现动态脱敏，降低数据泄漏风险。

3）精细化权限管理

针对不同的系统和用户，在普通的数据库账号的权限管理基础上，可提供字段级别的访问权限，实现核心敏感数据的统一管控。

4）数据库安全审计

可实时记录任何应用、用户的数据查询语句、访问来源、SQL执行时间、查询数据量等，并识别异常SQL查询、SQL注入、拖库等安全风险。

除此之外，它也是一套数据运维和数据治理系统，提供了包括数据分片、分布式查询、读写分离、可观测性等功能。

●基于网关的对象数据安全平行切面实践

无论是阿里云、腾讯云还是亚马逊云，都提供了对象存储服务，为各种文件、视频、图片、二进制文件提供存储服务。这些对象存储都提供了透明加密的能力，但是该透明加密仅能够保障云服务提供商逻辑上无法访问这些文件，如果出现AK泄漏、配置缺陷等安全问题，数据仍然可以访问。为了解决上述安全风险，可以通过构建透明的文件加密网关，在数据切面层实现数据安全保护。

基于上述架构，可有效地增强企业在公有云环境下，对对象存储的数据安全管控，主要收益如下：

1）零代码改造实现数据透明加解密

仅需要简单修改网络访问配置，即可无缝对接S3、OSS等客户端，实现透明数据加密。

2）统一对象存储访问控制管理

可统一设置对象存储的访问权限，如限制不同的bucket只能特定IP访问，甚至精细化至特定文件的访问权限。

3）统一对象存储安全审计

可记录所有的文件访问来源，文件大小、时间等，对异常的文件访问行为进行告警。

4）提升对象存储运维效率

可实时监控对象存储访问、带宽占用等情况，还可实现对象存储文件的跨云迁移、跨云备份。

以上内容，基于安全平行切面的架构思想，分别介绍了应用安全平行切面、计算环境安全平行切面、数据安全平行切面的落地实践。当然，安全平行切面的落地场景还不仅停留在这些，如在云原生的场景下，可以基于服务网格（Service Mesh）架构，实现东西向网络的网络安全平行切面；在CI&CD阶段，可以基于CI&CD流水线，构建开发安全管理的平行切面等等。

基于安全平行切面的架构，有以下几点优势和收益：

1）安全日志自由

传统安全产品所产生的安全日志，其覆盖率、准确率和知识性都有很大的局限性，切面提供了针对应用的细粒度观测能力。由于其深入应用内部，具备全方位的观测和干预能力，因此不需要通过安全产品的采集和授权访问，就可以自己获取海量的日志信息。在日志流转不及时的情况下，安全切面可以最大化保证安全日志的实时按需获取，这是安全切面最重要的底层能力体现。

2）完整的安全感知和防御能力

外挂式和内嵌式的架构，都无法从整个面对安全防护的目标进行覆盖，导致外挂式安全防护和管控过于粗放，内嵌式的防护和管控过于局限。安全平行切面可以通过分布式的架构，提供深入的感知能力和全面的安全响应、处置能力，大幅提升了安全防护能力。

3）提升安全管理和安全运营效率

提升安全管理和安全运营效率主要体现在两点：

▶敏捷化防御： 切点和切面的构建使安全防御能力能够快速触达规模化应用系统的每一个关键环节。安全平行切面管理平台所承载的多样化安全组件和产品在独立迭代的过程中，既保证了安全能力的先进性和时效性，也能够利用规范化的切面设计和丰富的切点设置，实现多个应用系统的快速并行干预，使防御体系的敏捷性和有效性获得数量级的提升。

▶实施更便利： 安全平行切面对业务应用的感知和干预过程，均无需修改原有业务系统的代码和产品配置，而只需按照设计要求，全面执行切面安全保障机制。这能够最大化地减少对业务系统的干扰，也显著抵消了传统安全与业务之间的相互影响。

安全平行切面这一架构的出现，的确对于未来企业的安全架构发展有着重要的意义，但是落地和实时安全平行切面这一架构还存在着不少的困难和局限性，个人总结如下：

1）安全平行切面的落地需要比较大的架构权限

需要落地安全平行切面，需要安全团队拥有较高的架构权限，能够推动公司的技术团队共同落地安全平行切面架构，甚至推翻企业原有的一些IT架构。例如改变数据库访问中间件，把广泛使用的Nignx改为具备安全平行切面能力的应用安全网关等等。因此信息安全团队需要与企业的IT治理团队深入合作，且都需要具备足够的研发能力才能够较好地落地这一架构。

2）安全平行切面的前期研发投入成本较高

安全平行切面需要投入较多的研发人力，且需要不断根据业务的需求迭代相关的模块和功能，因此对于中大型企业，且具备较多安全研发人员的情况下比较容易实施。但是如果安全研发人力较少，在未出现成熟的产品和解决方案之前，相对难以落地。

3）安全平行切面解决不了所有的安全问题

安全平行切面这一架构思想的确可以有效提升企业的安全治理能力，特别是针对应用安全、数据安全的场景，能够提供非常好的安全解决方案。但是不代表安全平行切面可以完全替代传统外挂式的安全架构和内嵌式的安全架构。

对于数据中心，安全的基础设施仍然是必不可少的，如防火墙、IPS/IDS、VPN、防病毒等等；对于业务系统，内嵌的账号安全保护、反欺诈能力也是必不可少的。

安全平行切面更多地还是提供了一种新的架构思想，把一些深入到操作系统、应用、数据层面的通用安全需求通过切面层进行统一实现统一管控，从而达到提升效率、提升防护能力这些效果。

4）安全平行切面还仅架构思想，还不是安全体系

在当前阶段，我认为安全平行切面还是架构思想，为企业的网络安全、数据安全建设提出了新的思路，但是还处于探索阶段。未来还需要更多的企业深入实践才能发展为更加具体的解决方案或者安全体系。

安全平行切面这一安全架构思想是IT技术快速迭代、IT功能复杂性爆炸背景下的必然产物，就如同零信任这一理念一样，需要不断的迭代和发展才能落地。但是随着企业数字化转型的深入，为了更好地解决IT复杂性带来的安全治理压力，安全平行切面会成为企业安全建设的主要解决方案之一。随着技术的快速发展，未来IT基础设施和安全基础设施的深入融合，相信能够涌现出优秀的工程化平台，使得安全平行切面发展为优秀的产品或者解决方案，甚至形成一套完整的安全体系。