网络安全运维中的基础安全架构详解

这不仅包括技术,还包括技术运营。技术决定了防御质量,运营决定了用户体验。安全防御也要看HLD和LLD(High-LevelDesign)和LLD(Low-LevelDesign)相互间的衡量。一个问题有不同的解决办法,如何实施才能满足不同角色的需求?一是不同领域涉及到的安全知识,二是安全领域涉及到的不同知识。例如,在设计网络结构时,如何考虑安全防护点是第一种,在配置安全设备时如何考虑网络问题是第二种。有些顽固,其实是领域的交叉。在机械室的建设中,没有必要考虑从提供主机到提供平台到承载应用、过程的自动化、监视、警告等。


主要关注3张,基础安全,应用安全和数据安全。应用安全可以参考以前的文章暂时不在这里说明,数据安全方面的观点暂时没有大的进步,但稍微简单说明一下。另外,以下各部分的思考主要来自直流建设过程中的思考,都是为了抛砖引玉,所以不列入非常细节的地步。


基础安全听起来像是基础的样子,基础也没有。保持它需要很多经验。各方面都涉及网络安全、主机安全、密码学、安全运输等。基础安全技术有很多关系,但在建立安全结构时,技术往往只是其中之一。不是一门技术就能解决安全威胁。因此,在此介绍代表相应技术的安全产品具有哪些功能,以及合作中的漏洞点。以前,在基础安全的经验中,base多在自我研究产品和现有的基础设施上进行,网络、机器等都是现成的,因此和现在的经验有很多不同。


设计过程中可以考虑的原则有很多。这些概念首先要弄清楚是什么,如何使用,什么时候使用,影响是什么,如何缓和和解决,损失是我能接受的。例如,并非所有企业在结构设计之初都采用零信任,零信任听起来是零,而是链接,确保可靠的链接。构建可靠的终端环境,在各应用相互间实现充分的通信加密和服务鉴定权。所有过程都可以最小化原则和SecurityByDafault。你的办公网基础设施和生产网基础设施也不一定要放在一起。放在office或idc上是另一件事。不同的过程必须遵循不同的战略。如何从高级到低级?基础安全水平的战略制定是否得到认可和推进,组织结构问题如何?越基础的东西越需要慎重考虑。不同的工作模式也有不同的阻力。与以前公司内部跨越团队和集团内跨越BU的交流相比,到现在为止公司的不同团队和集成商、供应商、实施者相互间的交流效率和方式也不同。诚然,正如一位前同事所说,外面的许多企业没有相应的价值观约束,安全工作很辛苦。幸运的是,金融企业非常重视安全。


安全产品有硬件和软件的区别,所以配置有点不同。基础安全防护至少需要考虑访问模式、接线方式、灾害战略、运营战略等相关部分。各部分既有HLD也有LLD,所有HLD、LLD都可以分别连接。例如,waf的访问模式是反向代理还是透明的桥梁,灾害设计等是HLD,关于哪个口、哪个线、哪个交换机、哪个F5是LLD。下面简单列出几个考虑点。

分享: