如果加星标,可以及时收到推送
点击文末【阅读原文】,看到一个完整的安全系统
安全平行切面是蚂蚁集团于2021年提出的一个原生安全理论体系。是内生安全理论的一个分支,解决的是与复杂数字化业务相匹配的复杂安全体系如何构建问题。
安全平行切面本质:一种弱耦合的原生安全实现方法
传统的边界安全或者外挂式安全已经很难满足复杂性爆炸场景下的安全保障工作的需要,原生安全以内建安全、主动防御、整体防御为主要特点,已经成为业界应对挑战的共识。
原生安全推动业务和安全深入耦合,导致业务和安全经常性冲突。比如,在安全治理时,安全团队设计的关键安全增强组件,可能因为业务需求变更回滚,导致安全增强组件前功尽弃。
安全平行切面通过嵌入在端—管—云内部的各层次切点,使得安全管控与业务逻辑解耦,并通过标准化的接口为安全业务提供内视和干预能力,以既融合又解耦的方式实现安全防护。
安全平行切面来源:面向切面编程思想
面向对象编程(OOP)是软件工程领域里最重要的一种编程范式,但是在涉及到大量类(Class)的横切(Cross-cut)系统性功能时很难用面向对象编程(OOP)解决。
于是1997年,施乐帕洛阿尔托研究中心的 Gregor 等学者在著名的 ECOOP编程语言会议上提出了面向切面编程 (Aspect-oriented Programming,AOP)。
通过预编译、运行时动态代理、注入等方式能够在不修改源码情况下给程序的正常业务逻辑中动态添加或修改功能,能很好解决上述面向对象编程遇到的问题。
面向切面编程(AOP)在AspectJ 和 Spring 等项目中得到应用。
安全平行切面是将编程语言环境下的面向切面编程(AOP)思想推广应用到安全体系建设中,构建与业务正交融合的安全平行空间,在不修改业务正常逻辑的情况下,实现更高维度的安全防护。
安全平行切面架构
安全平行切面通过在移动 APP、云端应用、操作系统等应用与基础设施中嵌入各层次切点,形成端—管—云的立体安全防护体系,并使安全管控与业务逻辑解耦,通过标准化的接口为安全业务提供内视和干预能力,从而达到网络安全和数据安全的微观和宏观感知覆盖,实现应急响应、漏洞止血、数据安全、隐私保护等安全攻防和安全治理。
安全平行切面有三个重要概念:切点植入、数据内视、干预管控。
-
切点植入
切点植入是选取业务关键逻辑处理点,并将安全逻辑嵌入其中的机制。
切点植入支持多种方式,如流量层(网关 /Service Mesh)接入、动态(AOP/Hook)接入和静态框架接入。通过在技术栈的各个层次,如操作系统内核、应用程序、移动 APP 中植入大量切点,来支撑安全功能实现。
不同层次的切点植入方式如下:
移动应用APP:编译前的代码注入或运行时动态代理。
流量网关:采用服务网格的sidecar的流量接管机制实现植入。
服务端应用:采用语言或应用框架内置机制,如Java的instrument。
操作系统内核:利用系统内核提供的运行时机制实现植入,如在LSM层植入切点。
-
数据内视
这是与外挂式安全的最大区别。
安全平行切面深入应用逻辑内部,具有强大的数据内视能力,不需要经过序列化与反序列化等转换过程即可直接访问应用内部数据,包括 Session 应用上下文、Session 安全独立的状态空间、RPC调用的出入参、调用栈信息等。
-
干预管控
干预管控通过同步单元和异步单元实施,其中同步单元进行高速轻量级处理(H0),实现快速的安全阻断工作;异步单元负责数据收集和比较复杂的操作,支持本地的 L0 近源处置、云端的 L1 离线处置等。
安全平行切面体系
不同层级的安全平行切面可以有机配合,形成对复杂业务系统的整体防御体系。
安全平行切面实例
安全平行切面体系提供了三个参考实现场景:移动应用端 APP 安全平行切面、服务端应用安全平行切面、操作系统安全平行切面。咱们拿移动应用端 APP来举个例子。
利用代码植入技术、端上隐私信息获取监测技术、隐私风险行为检测、端上隐私行为管控能力来进行实现。
安全平行切面我的三个感觉
先说个题外话,关于安全平行切面内容,蚂蚁集团分别于2021年、2022年、2023年各发布了一个文档,看起来,2021年的白皮书讲得最易懂,后面的文档可能会越看越糊涂。
看完之后,我有以下三个感觉:
感觉一:独立的概念体系,认知成本高。
安全平行切面理论几乎是创造了一套全新的概念体系,会导致理解成本高,不利于形成共识。
感觉二:业务侵入性强,运维复杂。
要对每个安全切面都进行切点植入、数据内视和干预管控,这种对信息化系统的侵入性太强,会导致实施、运维过于复杂。
感觉三:独立的产品支撑体系,建设风险大
安全平行切面理论的实现需要一个自治工具支撑体系,市面上没有同类型的供应商,会导致整体建设风险大,一旦出现问题,很难快速找到替代方案。
恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见! |
end
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
参考资料:
[1]蚂蚁集团.安全平行切面白皮书, 2021.12
[2]韦韬等.安全平行切面:面向企业数字生命体的安全基础设施, 2022.12.10
[3]IDC-蚂蚁.安全平行切面-数字时代的安全原生架构,2023。
原文始发于微信公众号(锐安全):安全平行切面理论和我的三个感觉
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论