業(yè)務(wù)交互流程實(shí)際上取決于具體提供的功能、數(shù)據(jù)和邏輯。例如,從業(yè)務(wù)層面來看,它是否會(huì)涉及敏感數(shù)據(jù)、涉及的數(shù)據(jù)是否已經(jīng)處理等。;應(yīng)用和中間部件、應(yīng)用和中間部件是承載整個(gè)業(yè)務(wù)的具體體現(xiàn),也是應(yīng)用安全和數(shù)據(jù)安全關(guān)注的焦點(diǎn)。從安全研發(fā)培訓(xùn)到安全包SDK,從代碼白盒掃描到卡發(fā)布,數(shù)據(jù)生產(chǎn)如何提供給應(yīng)用,如何應(yīng)用消費(fèi),如何實(shí)現(xiàn)相應(yīng)的權(quán)限控制等?;A(chǔ)網(wǎng)絡(luò)架構(gòu),一個(gè)請(qǐng)求如何從客戶端到服務(wù),服務(wù)是通過哪些路由直接完成的。這可能是個(gè)問題。需要注意的是,軟件架構(gòu)師給你的評(píng)估文件中的網(wǎng)絡(luò)架構(gòu)圖可能只是他所知道的一部分,更多的時(shí)候,他們似乎不關(guān)注;物理部署狀態(tài),IDC還是云,刀片服務(wù)器還是ECS?云服務(wù)器還是一個(gè)問題。除了自個(gè)的設(shè)置之外,還需要考慮APS系統(tǒng)本身的設(shè)置范圍和其他所有不同的設(shè)置,還需要考慮APS系統(tǒng)的設(shè)置。
盡管如此,即使能夠真正遵守規(guī)范,建立起評(píng)審機(jī)制,但是在大型企業(yè)中,結(jié)構(gòu)評(píng)審的工作仍然可能很多。商業(yè)迭代變化很快,每周都會(huì)有幾次結(jié)構(gòu)評(píng)審,如何提高效率?先將可自動(dòng)化的自動(dòng)化掉,比如安全產(chǎn)品的部署,以及黑白盒的掃描。第二,將無法自動(dòng)化的能力轉(zhuǎn)移到測(cè)試部門、研發(fā)部門,使之具有安全屬性。使研究與開發(fā)能夠理解安全包的使用,并具有編寫安全代碼的能力,同時(shí)使測(cè)試部門能夠具備一些基本的滲透測(cè)試能力。較終將既不能自動(dòng)化也不能轉(zhuǎn)移的能力沉淀在知識(shí)庫(kù)和案例庫(kù)(踩坑經(jīng)驗(yàn)的Checklist)中。它是第一步,第二步是跟蹤結(jié)果,根據(jù)結(jié)果建立積極的反饋,驅(qū)動(dòng)或推動(dòng)其他團(tuán)隊(duì)繼續(xù)跟進(jìn)。
當(dāng)然,還有一些細(xì)節(jié)沒有寫,相關(guān)的結(jié)構(gòu)評(píng)估表也沒有貼出來,那么如何才能成為一名合格的安全結(jié)構(gòu)師呢?相信大家都心里同樣有自個(gè)的答案。當(dāng)你有這樣的視野時(shí),許多事情并不難自己做。
安全性結(jié)構(gòu)不能一蹴而就,企業(yè)也不能僅僅依靠滲透性測(cè)試來完善安全防御建設(shè)。隨著技術(shù)的進(jìn)步,更需要能準(zhǔn)確地辨別是炒作還是跟風(fēng)。作為企業(yè)安全部門的重要角色,安全架構(gòu)師在具備相應(yīng)能力的同時(shí),不斷學(xué)習(xí)也是一個(gè)不容忽視的方面。但愿以后安全行業(yè)的從業(yè)人員中能有更多合格的安全架構(gòu)師。身為安全行業(yè)的小朋友,還有很多地方需要學(xué)習(xí)。一路上,謝謝。夜深人靜,擱筆。
產(chǎn)品推薦