如果加星标,可以及时收到推送
《安全到底》第197篇,锐安全总第280篇原创,
本文1452字,阅读时长4分钟
思科SAFE作为一个企业级的安全架构,配得上“优秀”二字。
虽然企业级安全架构,我们诟病的是它的“功利性”;但是企业级安全架构,往往“落地性”比Gartner、Forrester这些咨询机构要好。咱们先看看“思科SAFE安全参考模型(Cisco SAFE Security Reference Model)”。【1】SAFE安全参考模型
1.业务用例(Business use case):构建被攻击者利用的攻击面的业务用例说明。2.安全能力(Security capabilitie):寻找与业务用例配套的安全能力与通用威胁的映射。3.参考架构(Referencearchitecture):构建逻辑上能把安全能力纳管到建设蓝图的参考架构。4.设计(Design):用参考架构为通用交付场景和解决方案进行设计。当你构建了业务用例说明、威胁与安全能力映射、参考架构和设计规划之后,接下来要为每个企业定制一个独属于他的“安全方法”。我称之为“解决方案架构”,这个非常重要,很值得在这里单独讲一下。【2】解决方案架构
美国国土安全部(DHS)下属的美国国土安全系统工程与发展研究所(HSSEDI),曾经在2017年提出了一个“构建有用的解决方案架构(Creating Useful Solution Architectures)”的方法:这里提出了解决方案架构要与企业架构、系统架构相融合。这就是很多企业把解决方案组织设置成“中台组织”的道理,因为这样你才可以“上天入地”,发挥组织最大的效力。这种“设计在腰部”的思想非常重要,看到上面那张图你可能还没有什么感觉,那么再看看下面锐安全画的这张图:这张图借用了HSSEDI的框架,填上了SAFE的灵魂。你能看到这张图就是咱们上面讲的内容,SAFE参考模型之下是SAFE方法,再之下是安全产品。看到这张图,你多少应该有了一些感觉,但是可能还是不太明白我想表达什么。【3】SAFE最值钱的一句话
其实SAFE说了一句他自己都没意识到的最值钱的一句话:SAFE方法是基于企业自身情况定制的。当我们把目光聚焦在“产品”上时,客户通常对我们来说就是:靠近你就靠近痛苦,离开你就离开幸福,这就是“厂商痛苦曲线”。也就是说,你离客户近、需求贴合度就高,但是产品的定制化属性强、研发成本就高;你离客户远、需求贴合度就差,但是产品的标准化属性强、研发成本就低。当我们把目光聚焦在“解决方案”上时,你会发现,上述难题瞬间就迎刃而解了。因为客户需要的并不是定制化的产品,也不是需求贴合度,而是最终实现的效果。而这种效果的实现可以通过理论迭代、技术迭代、产品迭代、方案迭代等不同路径来实现:而且思科也验证过这种方案级迭代的效果是很好的,因为在SAFE方法里,思科是这样说的:“这种方案级定制是通过研讨会(workshop)的形式进行的。而且这种研讨会可能会令人耳目一新,因为它将公司通常可能不会互动的部门聚集在一起。高管们与来自业务和合规性的干系人(stakeholders)以及安全和基础设施技术人员齐聚一堂,共同解决与“安全性如何影响业务”相关的问题。所以你看,产品级定制只是“厂商”与“客户最终需求部门”的一对一服务,而方案级定制是客户所有相关部门的一次大联欢,参与度不同,参与感就会不一样、效果也会不一样。相信我,在未来的商业逻辑里,“参与感”一定比“需求”更重要!对,我想说:从今天起,你可以更多地尝试一下架构迭代,而不仅仅是产品迭代!| 恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见! |
如果对我描述的安全世界感兴趣,可以翻翻“没有名人作序和题词”的我为你写的一本“纯粹的安全认知之书”:
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
参考资料:
[1]锐安全.DHS的一个有用的安全架构USA,到底是什么?,2024年01月11日.https://mp.weixin.qq.com/s/95Csq1k4r5oji7V4hV3NYQ
[2]HSSEDI.Guide for Creating Useful Solution Architectures,2017-12-04
[3]cicso.Cisco SAFE Overview Guide,October 8, 2023.https://www.cisco.com/c/en/us/solutions/collateral/enterprise/design-zone-security/safe-overview-guide.html
题图:SAFE啤酒
题图创作者:晓兵与AI小助手
算法提供:FLUX
还没有评论,来说两句吧...