数字时代密码服务架构演进思考与实践
- 关键词:商用密码,密码服务器
- 摘要:数字时代密码服务架构应围绕用户业务发展需求而“转型”,安盟华御密码服务平台将向为用户提供最优解决方案的目标而演进。
一.数字时代数据已成为网络安全防护的中心
近年来,信息科技革命改变全球经济体发展,在信息技术支撑下,数字经济驱动着全球各经济体的经济总量不断增长。随着科技的发展,数据已成为数字经济时代最核心、最具价值的生产要素,以数据为核心的数字技术逐步成为经济发展的新驱动力。随着数据利用的深入、数据规模的扩大,数据风险凸显,使数据成为网络安全防护的核心,亟需建设数据安全防护能力,防范数据安全风险,护航数字经济发展。
二.密码技术推动数据安全从“被动防御”到“主动免疫”
密码技术是一种用于保障数据安全的技术,它通常采用信息加密、数字签名、身份认证等技术手段,来保证数据其生命周期内不会被窃取、篡改或者泄露。因此,密码技术可以被视为数据安全的“主动防御”技术,它主要负责预防数据安全风险的发生,而不是应对已经发生的风险。近年来随《网络安全法》《数据安全法》《个人隐私保护法》等法律法规颁布,以密码技术为核心的主动免疫、内生安全已成为数据安全防护的新趋势,包括以“永不信任、持续验证”为核心理念的零信任架构也都离不开密码技术应用。密码技术及产品作为推动数据安全从“被动防御”到“主动免疫”的重要因素,有望实现新一轮的高速增长。
然而在数字时代下,由于传统密码产品的服务架构没有随着用户的业务需求演进而快速转型,密码应用也面临如下挑战:
合规驱动:密码市场仍然以合规驱动为主,旧密码系统的改造、升级与合规是等保和关基用户关注的重点。新场景如云计算、工业互联网、物联网、5G等密码应用需求尚未得到充分释放。
选型困难:密码市场分散、应用体系复杂、产品种类繁多,政企难以对密码产品体系的合规性、安全性以及“自主可控”等进行全面评估。
整合困难:密码应用和升级改造涉及算法、协议、产品、技术体系、密钥管理、密码应用等多个方面,密码应用建设面临和网络及信息系统的有效整合和统一管理困难等问题。
人才短缺:与其他安全领域技术升级面临的困境类似,企业用户普遍缺少专业密码技术人才,密码应用的需求、规划、实施和运维能力较弱。
三.数字时代密码服务架构演进的思考
在数字化时代,密码服务架构不仅考虑传统IT基础设施的安全,也考虑整个数字化生态中的所有有形和无形资产,特别是数据资产的安全诉求。因此密码服务架构的演进方向,也需要深入研究用户当前业务场景和形态的变化,并且能够从一定程度预判用户基础设施建设架构、安全管理诉求、服务模式等业务演进方向,以业务驱动密码服务架构的持续演进。
1.以政务领域为例来看IT基础设施建设趋势
数字政府建设已经成为网络强国、数字中国的基础性和先导性工程,是推动国家治理体系和治理能力现代化的重要举措。党的十九届四中全会首次明确提出“推进数字政府建设”,“十四五”规划纲要强调要“提高数字政府建设水平”。当前,各省结合政府机构改革窗口期在数字政府管理体制、运行机制等方面积极探索创新,探索数字政府“投建营一体化”新型建设模式,“政企合作、管运分离”成为先进省市数字政府运营主要方式。
从全行业视角来看,构建智能集约的平台支撑体系,逐步减少部门数据机房和专网,集约建设云网等基础设施,形成“一片云、一张网”,实施管运分离,已经成为政企IT基础设施建设的新趋势。同时,伴随云基础设施部署越来越多,云上密码服务能力的建设需求成了上云用户的刚需。在此背景下,密码厂商就需要积极应对虚拟化、软件化趋势,提升其产品的XaaS化能力,从而抓住下一个五年安全市场的发展机遇。
2.以网络安全架构演进为参考
Gartner近期发布的2022年七大安全和风险管理趋势中,网络安全网格架构(CSMA)无疑体现出在技术架构层面对当前网络安全产品在新形势下的整合能力要求,通过集成式的安全架构来保护组织在本地、数据中心和云端资产的安全。
图1.网络安全网格架构(CSMA)
随着信息设备的爆发式增长、网络架构复杂度的不断升级,网络安全防护任务也愈加繁重。随着时间的推移,政企的IT基础设施将变得越来越庞大和复杂。这不仅带来了安全管理、网络管理、网络构建等各方面的挑战,更造成了在多品牌的安全防护产品之间协同的阻隔。Gartner在其《2022年重要战略技术趋势:网络安全网格》报告中也指出,许多高管都曾坦言,希望能将其架构中部署的多达40到50个供应商产品,精简至5到10个产品,以便更加易于管理。也正因为此,支持可见性并能触发超快速防御机制的集成式自动化平台,正被各类企业采纳和部署。一段时间以来,首席信息官们持续关注安全技术和功能的整合。很多技术领导者几乎都表示希望转变单点产品持续叠加的传统模式,减少不必要的单一功能产品和节点部件,转而构建更具凝聚力的创新平台架构,因此,CSMA在这种背景下呼之欲出。这也为密码厂商对各类密码服务能力集成架构的选择提供了一个重要参照。
3.以IT产业的优秀架构思想和最佳实践作为依照
在数字化转型的背景下,密码服务的模式也应围绕用户业务转型而逐渐演进。传统模式下,用户业务通常部署在本地或者数据中心机房,因此密码厂商通常以硬件的方式伴生在用户业务服务器或终端侧。此时,密码产品通常是单一能力硬件盒子,用户需要何种安全能力就购买具备相应能力的密码设备。
随着IT基础设施建设发展,用户将业务迁移到云环境之后,完全依靠硬件盒子形态部署密码服务能力的方案不再奏效,密码厂商的服务架构也应随之改变。在该模式的推动下,密码产品部署将随着用户的业务迁移而变化,因此密码服务架构需要能支持多样的部署环境,并适应不同的部署场景。在国家大力推进新型数字基础设施的趋势带动下,密码服务的模式也亟待“转型”。随着用户数字化转型下的业务变化,其所需的密码服务能力也在不断变化,不再是传统的需要什么能力就购买相应密码设备,这种模式会导致密码资源的浪费,同时不能快速适应业务发展。因此,密码服务架构需要支持多能力融合,并支持根据不同的“订阅”需求提供不同的密码服务能力组合。
四、数字时代安盟华御密码服务平台架构探索与实践
安盟华御密码服务平台聚合密码系统和数据防护产品,为信息系统和业务应用提供一体、集约、标准、可控、可视的密码和数据安全服务。密码服务平台能满足云计算环境下全类别、场景化密码服务和数据安全的服务需求,产品和技术符合《密码法》和《数据安全法》等相关法律法规要求,可有效满足信息系统密码应用合规和数据全生命周期防护要求。
图2.安盟华御密码服务平台助力“双合规”
平台采用云原生架构,具备密码服务和数据安全服务开放集成能力,可以以最简化的密码资源支撑,提供密码计算服务、签名验签服务、应用密钥托管服务、身份认证服务、时间戳服务等,也可按需集成其它密码产品或数据安全产品扩展服务能力;支持多节点集群、分布式部署模式,满足政务云、大型集团企业的多数据中心、多云的分级密码服务需求,也提供精简部署模式满足单一应用系统或中小企业的密码应用和数据防护需求;同时,也可实现各类密码服务和数据安全服务能力按需配置、动态编排和协同,提供标准化、场景化、便捷化的服务功能与应用系统对接,全方位、立体化保障用户业务和数据的安全,确保业务快速上线,缩短业务建设周期。
图3.安盟华御密码服务平台技术架构
在政务云、城市云等公有云场景下,平台采用租户“订阅”服务模式,对上云租户提供流程化的账号管理、服务租赁管理、应用配额管理、服务策略管理、应用对接指南等,降低用户管理运维投入,为用户实现降本增效;同时,为运营服务团队提供平台运维管理、资源管理、租户管理、计费管理、工单管理等功能,支撑为云上租户提供密码资源池化、弹性可扩展、泛在接入、可计量的密码和数据安全服务,能够对密码资源、密码服务及密码应用健康状态提供全方位、多维度的监控与统计分析,使密码和数据安全服务可控、价值可视。
图4.安盟华御密码服务平台“订阅”服务和监控运维
数字时代密码服务架构应围绕用户业务发展需求而“转型”,以能够为用户提供最优的解决方案目标而演进。安盟信息基于密码基因打造安全合规、统一管理、部署灵活、服务弹性可计量的密码服务平台,采用云原生架构和服务“订阅”模式,打造集约化、服务化、场景化,易于行业快速对接集成的服务能力,帮助应用系统满足密码应用合规和数据安全防护需求,筑牢数字安全屏障体系,为数字经济发展保驾护航。