近日,普元受邀參與《金融電子化》2023年5月刊“技術應用”專題,與來自光大銀行、北部灣銀行、網商銀行、浦發銀行、安信證券等衆多金融機構的科技專家,共同分享“雲原生時代的安全新範式”的探索、思路與實踐。
《金融電子化》是由中國人民銀行主管、中國金融學會金融科技專業委員會指導的金融資訊科技類主導期刊。“技術應用”是其中的重要欄目,主要圍繞業内共同關注的問題反映科技管理和資訊化建設的發展動态。
以下為《金融電子化》2023年5月刊發原文:
以資訊資産為中心的雲原生安全實踐
文‖普元資訊技術股份有限公司 黃榮
雲原生是一種将應用程式建構、部署和運作在雲計算基礎設施上的方法論,強調使用容器化、微服務、自動化運維、靈活開發等技術和方法,提高應用程式的可靠性、彈性和可擴充性。
随着雲計算技術的不斷發展和普及,越來越多的企業開始嘗試将應用程式遷移到雲端,并采用雲原生的方式來開發和運維,進而推動了雲原生時代的到來。
雲原生架構驅使企業調整安全防禦模式
雲原生技術已經成為金融機構數字化轉型過程中不可或缺的一環。雲原生技術提高了金融機構的效率和靈活性,但同時也打破了傳統安全邊界,使得資訊安全管理斷點愈加明顯。
是以,金融機構需要将安全作為固有屬性,從組織與計劃、建構與實施、傳遞與支援,到評估與分析的科技管理整個生命周期都應該考慮安全因素,并基于企業實際情況,綜合考慮資訊安全的各個方面,包括技術、人員、流程、政策等。
- 采取易于了解和操作,友善實施、監控和驗證,适應不斷變化的威脅和技術環境的安全措施,對系統的運作環境、資料和應用等資訊資産進行防禦,形成安全閉環;
- 不斷優化資訊安全防禦體系,減少漏洞和風險,以應對雲原生多層次、分布式的應用環境和更細粒度的通路控制;
- 建立一種科技管理安全新範式,滿足企業的安全需求,保障企業資訊系統的安全和穩定。
建立以資産為中心的雲原生應用安全開發體系
在傳統的軟體開發周期中,安全往往隻是一個後期附加的步驟。應按照雲原生應用架構的特點,從建立網絡邊界之上的安全防禦轉向建立以資訊資産為中心的全面内生安全體系。
首先,要專注于對開發、測試及安全人員在安全開發全過程中的能力培養。分析系統面對的環境,需求和安全成本,定義自身業務系統或産品的安全功能。通過威脅模組化,找到攻擊面,分析和歸類安全威脅及漏洞形式。針對安全需求,提出緩解和降低安全威脅的措施,同時定義強制的安全政策。通過程式設計規範和教育訓練開發人員,配合源代碼審計工具,保證代碼都是以良好的安全習慣進行實施,減少安全問題。通過安全開發模型,確定安全需求中定義的安全功能,安全設計中定義的安全政策和威脅緩解措施都可得以實作。同時,通過測試盡量找出實踐中的安全漏洞并進行修複,最大地避免産品釋出後帶來的安全損失;指導使用者安全部署,提供應急響應計劃,實施最終安全複查。
其次,建立安全開發保障過程體系、安全開發規範與标準。清晰定義安全開發的工作流程和相關人員的職責,給出安全開發過程中的工作指南和安全稽核檢查表,總結開發過程中遇到的安全問題。
最後,提供架構設計、開發編碼、測試,以及部署運維過程中的安全技術與工具保障。檢查代碼的安全性,掃描代碼及引用元件存在的安全漏洞,檢測應用系統抵擋安全威脅的能力。
依據風險模型圍繞資産進行安全管理
資訊科技管理的核心對象是資訊資産。資訊資産因具備價值而産生安全風險,價值越大安全風險越高,同時也會因為受到安全威脅時存在可利用的安全漏洞而暴露給非法通路者,進而增加安全風險。有安全風險自然就會産生防護需求,我們采取得當的防護措施滿足防護需求之後才能抵抗安全威脅,降低安全風險。
風險模型中資訊資産、價值、風險、防護需求、防護措施、威脅、漏洞是對資訊資産進行合理有效安全管理時重點關注的幾個因素,它們猶如五行相生相克,需要我們在這些因素之間取得平衡,以合理的代價将安全風險降低到可承受的範圍。
以資産為載體,平台為抓手将安全落地到IT生産線上
雲原生應用的内生安全需要在建構、部署、運作等環節全面考慮安全因素,最佳的落地方式便是以資訊資産作為安全載體,統一全面精細化管理資訊資産基礎資訊、關聯資訊、安全漏洞、安全風險等,依托IT生産線的階段劃分明确各階段重點考慮的安全節點和安全措施,為各個安全節點選擇适宜的安全工具對資訊資産進行保護。如圖所示。
圖 安全管理落地到IT生産線
随着雲原生技術的應用越來越廣泛,雲原生服務提供商持續創新,不斷推出新的技術和安全特性,自動化和智能化安全管理工具逐漸得到更廣泛的應用,在安全落地時可以根據企業的實際情況做出最合理安排。
在設計和開發雲原生應用階段,考慮通過威脅模組化對應用程式本身的安全進行保護。例如,實作輸入參數檢查、防止代碼注入、保護使用者密碼等;雲原生應用中的API采取通路控制、資料加密、資料驗證等安全措施,以保護API接口的安全;雲原生應用中的資料采取加密、通路控制、防止資料洩露、備份與恢複等安全措施,以保證資料的完整性和可用性。
在測試和部署階段綜合運用SAST、DAST和IAST等常用的應用程式、安全測試工具進行自動化測試,檢測應用程式中的漏洞并提供實時回報,發現漏洞的原因和位置,幫助開發人員更快地定位并修複漏洞。采取容器鏡像加密、容器漏洞掃描、容器運作時安全等措施,以確定部署雲原生應用的容器本身不會受到攻擊。
漏洞閉環管理,适時阻斷資産安全威脅
漏洞閉環管理由安全開發閉環管理和安全營運閉環管理共同構成。在安全開發閉環中,依據安全需求在開發過程中采取安全措施,經過安全測試後實作某些具體點位的安全。在安全營運閉環中,則對安全需求是否得到滿足進行檢測,對不滿足項進行修複,并通過組織保障适時更新雲原生應用的安全措施,進而阻斷安全威脅。
漏洞閉環管理方式建立起雲原生應用安全檢測和修複機制,促進安全問題的快速定位和處理,快速解決潛在的安全問題,增強雲原生應用對安全威脅的應對能力,避免出現重大安全事件或應用程式故障,同時也可以縮短漏洞修補時間,減少人為錯誤和工作量。
資産與安全數字化,動态感覺資産安全态勢
将資訊資産與資訊安全進行數字化有助于我們運用先進、智能的數字化分析技術對安全風險進行主動防範和智能感覺安全威脅。
例如,內建多元度監控和審計系統,包括事件日志、應用程式性能、網絡流量、安全事件等資訊,便可量化和可視化的方式了解安全狀态;采用自适應訓練算法識别雲原生應用中的異常情況,并從中學習以提高自身的智能水準,減少誤報警和漏報警的機率;使用AI技術進行趨勢預測,幫助雲原生應用從過去的行為模式中學習,并預測未來的趨勢,使得安全團隊提前發現潛在的風險和威脅,進而提高風險防範效果。
結語
雲原生時代,金融機構必須逐漸形成雲原生安全意識,将安全擺在重要位置,采取新的安全政策,不斷提升安全能力,以幫助企業應對越來越多的安全威脅。
在安全新範式下,對邊界安全、内生安全、應用程式全生命周期安全等方面進行全面的考慮和規劃,通過實施有效的安全措施,金融機構才能更好地保護其資料和應用程式,進而更加安全、高效地服務于客戶。
普元資訊
普元資訊技術股份有限公司(科創闆股票代碼:688118)是國内較早采用低代碼開發技術理念的公司、全棧式信創中間件上司廠商,重點面向金融、電信、政務、能源、先進制造等行業建設自主可控軟體基礎設施的需求,提供融入低代碼開發理念的全棧式信創中間件産品與解決方案,覆寫應用支撐、應用內建、雲原生、資料治理等技術領域,幫助客戶從規劃咨詢到産品替代再到應用遷移落地,實作IT架構重塑,建立安全可信的資訊技術應用底座與智能化的資料中台體系,提升數字化轉型能力,獲得了逾千家重點行業大中型客戶及合作夥伴的持續認可。