設計你的安全架構OKR
0x00 前言
這一篇簡單談談如何設計安全架構的OKR(不是個人工作量的OKR)。架構師個人的OKR可以是去在某個季度解決某個問題(一些平臺的設計,策略的推廣,運營的指標等等)。
0x01 安全架構目標
老規矩,看圖說話。其實不難發現還是策略技術運營三塊走,雖然是老一套了,但實際都具備的公司也不多。
Object
-
安全能力服務化
-
安全服務平臺化
-
安全平臺智慧化
促進安全能力服務化,安全服務平臺化,以及安全平臺智慧化。通過對策略的制定規範化技術的基礎能力,通過建設安全平臺整合技術能力,通過運營進行持續的交付。圖中策略技術運營三塊需要做的事情為假設,架構師應根據所在企業的情況進行定製。
注:關注策略建設的時候,應該需要考慮到使用什麼樣的技術去支撐策略,考慮技術建設的時候,要考慮技術架構怎麼交付出去運營(服務架構)等
Key Resources
-
從策略角度關注價值與威脅,進行標準規範建設
-
從技術角度關注服務與交付,進行基礎能力建設
-
從運營角度關注場景與質量,做好生命週期管理(閉環)
0x02 架構與平臺
這裡面
-
每個治理領域都需要策略,技術,運營做支撐
-
每個治理領域都需要架構指導,平臺交付,運營服務
-
基礎安全決定了應用安全和資料安全的下限
-
架構設計決定了安全平臺和安全運營的上限
隨著基礎設施雲化,安全服務類別增多,會逐漸形成安全平臺,同時慢慢承擔更多的責任。不過這裡面還要看組織架構,可以結合上圖思考企業是如何設計的。根據不同的組織架構,實現不同的協作模式。例如安全架構收攏需求,安全平臺組通過綜合各領域的安全工具,針對部分安全能力封裝成服務提供給業務使用,並將服務統一化為安全平臺,面向企業內部提供統一的基礎設施和系統控制,安全運營提供對外服務。例如不同治理領域組建團隊,組成虛擬安全架構團隊,承接需求,協作實現。然後交給安全運營或者各自運營。
拿資料安全架構舉例,主要做三塊(有的地方IAM不在data security範圍之內)。
-
Cryptography: HSM, KMS, PKI, Crypto Agility, Encryption as service, Transparent encryption, cert management, etc.
-
Data Protection: DLP, EDR, Email Protection, Data Classification/Tagging/Privacy Platform, 3rd file sharing, etc.
-
Identity Access & Management: IDP, MFA, Hardware Key, Passwordless, Beyond Corp / Dev, etc.
再細節到Cryptography,資料安全專家需要制定Crypto Control的Policy,對不同的演算法,屬性,生命週期做出規定。然後推廣策略,技術專家和架構師一同構建符合系統架構標準的Crypto Infrastructure,開發提供Self Service,Management Portal等等。可參考之前的一些部落格,此處不深入了。同樣的,對於Data Protection,需要制定資料分類分級,資料傳輸,防洩漏的Policy等。推廣規範的同時,建立資料掃描平臺,計入不同資料來源,然後對各類資料打標籤,提供隱私計算的一些技術,去做到資料生命週期的安全控制,同時增強資料流動的可能性,等等。
另外就是OKR對於做架構的,做平臺的和做運營的,衡量指標應該是不一樣的。架構應把關鍵點放在解決問題的能力上,提供什麼樣的功能。而非要求架構師對設計的平臺要求有多少的接入使用者和覆蓋多少場景。架構可以幫助去交付一些場景的接入,但對同質場景的推廣應該是運營的指標。當然這個也需要看具體老闆的認知和要求,畢竟理想和現實是有差距的。
0x03 總結
OKR其實已經老生常談了,記得很早前還寫過一篇OKR做過野路子安全架構設計。不過以前是做安全工程師的時候去做安全架構,通常是針對具體任務的,現在是以安全架構師的身份去做,更多要看整體。還是有些不同的,關注的點也有所改變。最明顯的就是更感覺到溝通的重要性,情緒管理的重要性。老闆之前跟我講過一個三選二的思路,就是在企業中,行業經驗,技術能力,溝通管理三者具備兩個就能很穩定的做的很好,當然也可以在自己的優勢上深入之後,再補不足。當然每一項的深入都需要投入大量的精力,學無止境,持續積累吧。