写点什么

现代化安全产品

作者:I
  • 2022-11-16
    上海
  • 本文字数:2133 字

    阅读完需:约 7 分钟

现代化安全产品

0x01 前言

本来是想取名为《安全架构师需要什么样的安全产品》,不过想想我又怎么能代表安全架构师这个群体呢,思考再三,于是便将其改为了现代化安全产品,以此畅聊一下过往经验中对安全产品的需求。

0x02 正文



1. 具备清晰的边界和专业能力

一是指解决了什么问题(适用的范围),二是指做到什么程度(壁垒的高低)。边界外的事情交给其他产品(这样一条产品线不就来了),边界内的做到一定的专业度(技术上有平台适配,场景适配,功能支持,性能等等,服务上有售前售后,采购的机制上等等)。但实际上很多安全产品并不能搞清楚边界,要么是缺少功能,要么画蛇添足。例如某安的 KMS,内置了一个简陋的 PKI,这么说并不能体现出什么,一般也没有人使用,但往往又会作为宣传的一部分,实则是食之无味弃之可惜。再以微软家的信息隔离举例,实现的 IB 以 Exchange 为主,作用在 Sharepoint、Onedirver 和 Teams 上。但策略生效时间未知,基本半小时以上。界面上又只能增加,而删除却要通过命令行。sharepoint 上可以使用 IB,策略生效又变成了 1 小时以上,但同时又可以增加 External Shareing,意味着为隔离打通了一个新的通道。再以 Defender 举例,边界划分虽然十分明确,Defender for IOT, Defnder For Endpoint 等等,但又存在平台支持不全,进程假死,不具备调试日志这些问题。另一方面从场景化来讲,不仅要支持场景化,还要把场景化抽象出通用能力。例如能做进程提升的检测,反弹 shell 的检测,也要做由此做到支持多种数据源输入,通用的检测引擎,以及事件关联和告警分析等功能。

2. 具备系统基础能力

作为一个产品,自身是必须要具备一定的系统基础能力。不确定是否有更合适的词语来描述这一块,想表达的是作为一个系统需要满足的可用性,可靠性,安全性等。例如 Logging & Monitoring,TLS,HA & DR,SSO 集成,Backup&Recovery 等。简单来说作为一个安全产品,不能再允许“因为我在内网,所以我可以用 http 而非 https 的事情”。某安的 HSM 丢日志,某软的 EDR 没有调试日志。这个就不一一举例了,类似产品还是蛮多的。有的不支持高可用,有的不支持 TLS。而且一旦要求支持,可能就要所谓的“定制化开发”,价格不菲。除此之外安全类的产品一定要保证自身的安全性。例如 Splunk 支持脱敏查询,但并不支持数据的加密存储,虽然做为 SIEM 并不会存储大量的数据,但针对 index 数据无法做到加密存储。类似的例子还很多,比如 Cyberark 支持证书认证,但是不对证书的 CA 进行校验。

3. 简单易用并提供专家模式

我清楚的记得最初做安全研发的时候,组长告诉我就把功能做成傻瓜化的,点一个按钮,就能够帮助用户完成所有的步骤。用户就可以拿到最终的结果。当然也可能是因为当时的目标用户并不具备一定的技术背景。不过现在看来,让产品简单易用和傻瓜化依旧是一个很好的卖点,如果用户点击 3 次按钮能够完成的事情,用户肯定不乐意去点击 10 次。除了产品直接用户的简单易用,还要降低运维的部署维护成本,例如提供自动化程序化(IAC)的方式去部署,或者支持云上的一键部署。例如某 x 引擎的标品在部署时混合了虚机和容器,但是默认使用自建 K8S 而不支持 EKS。聊完了简单易用。谈谈专家模式,为什么要聊专家模式,微软的安全产品在简单易用上可以说是独树一帜,没有复杂的配置界面,大部分只需要简单的几次点击就能满足。但这种简单之下,导致一些定制化的工作就非常困难,变成了需要通过大量的点击。而不是通过使用 yaml 类似语法或者 DSL 去配置实现。

4. 具备一定的扩展性

首先通过提供 API 接口或行业标准协议让数据在系统间流动起来。例如 Vault 使用 pkcs12 协议进行 hsm 的集成,workday 使用 scim 协议和 sailpoint 集成,使用 saml 协议和 AAD 集成,使用 acme 协议管理证书,使用 kmip 协议管理密钥等等。其次提供插件机制让产品实现场景化定制,例如 vault 使用自定义插件支持国密算法。最后支持系统间的整合,例如企业内往往会有各种运维平台,产品在系统层面应当能够支持对接。例如日志去跟 Splunk 对接,监控去跟 zabbix 之列对接,权限管理和 AAD,Sailpoint 之列的对接等。

5. 支持职责分离(SOD)

大部分的产品都是超级管理员可以做一切,调整日志,赋予权限等等。实际上超管只需要能够管理用户并及授权即可,具体到每个 role 的职责由具体用户实现。例如审计员具有全局只读,运营能够进行配置管理等。在职责分离这一块上微软的非常好。但却又有点过犹不及。往往导致申请了目标 role 之后,还需要为其使用的相关功能申请细项的 role。

6. 现代化界面

现代化界面往往是最容易想到的一点,但什么是现代化的界面需要 UI 设计师来定义了。我知道的是以 IBM 的 IGA 产品举例,还在使用 jspx 做上世纪的表单风格。但 cyberark 在切换了 html5 加载时间高达 1 分钟以上,性能优化是非常必要的。

0x03 总结

我并不是做咨询的,也不是做产品的(虽然我设计过一些简单的安全产品)。我入行以来,切实的做过自研,写过小工具,折腾过开源产品,使用过自研产品,也使用过大量的商用产品,商用的基本都是各领域的 top 存在,这多得益于稍显夸张的安全预算。我关注 Gartner,但更关注实际的落地情况,尤以架构的角度去思考。例如在终端安全治理总结中,是去综合考虑 IT 和安全的配合,安全控制对员工的影响以及 Exception 通道,规范建立等。而非去选所谓的“top”产品,更多的是选择合适的方案和适合的产品

用户头像

I

关注

https://iami.xyz 2018-08-12 加入

一名求真务实的安全行业从业者,持续关注企业信息安全。

评论

发布
暂无评论
现代化安全产品_安全产品设计_I_InfoQ写作社区