可觀察性（observability）是指通過(guò)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行數(shù)據(jù)輸出（例如日志、指標(biāo)和跟蹤）來(lái)衡量其工作狀態(tài)的能力。最初，可觀察性被定義為一種系統(tǒng)的外部監(jiān)控屬性，在工業(yè)控制和生產(chǎn)領(lǐng)域中首次被提出。管理人員通過(guò)可觀察性來(lái)查看系統(tǒng)中隱藏的各種信息數(shù)據(jù)。比如，水處理廠的操作人員在外部是無(wú)法直接知曉水管內(nèi)的水流狀態(tài)、流動(dòng)方式、水質(zhì)情況的，這時(shí)在管道內(nèi)添加可觀察性工具（如流量計(jì)、傳感器等），并將這些工具連接到儀表板上，操作人員就可以全掌握管道中水流的情況，并及時(shí)根據(jù)狀況進(jìn)行調(diào)整，從而顯著提升相關(guān)系統(tǒng)的運(yùn)行可靠性。

　　隨著現(xiàn)代網(wǎng)絡(luò)基礎(chǔ)設(shè)施的復(fù)雜性不斷增加，各種故障隱患變得更難以查明，提升網(wǎng)絡(luò)系統(tǒng)的可觀察性對(duì)于安全防護(hù)的重要性也愈發(fā)凸顯。它的價(jià)值可以體現(xiàn)在以下方面：

　　1、幫助安全團(tuán)隊(duì)規(guī)劃和制定網(wǎng)絡(luò)安全防護(hù)流程；

　　2、幫助運(yùn)維人員提前發(fā)現(xiàn)并解決網(wǎng)絡(luò)安全問(wèn)題；

　　3、提高對(duì)網(wǎng)絡(luò)安全事件檢測(cè)和響應(yīng)的效率和準(zhǔn)確性；

　　4、提升網(wǎng)絡(luò)設(shè)備系統(tǒng)的使用周期和運(yùn)行穩(wěn)定性。

　　可觀察性與傳統(tǒng)安全監(jiān)控的區(qū)別

　　在“可觀察性”一詞出現(xiàn)之前，我們常常使用“監(jiān)控”這一概念，其實(shí)這二者之間存在很大區(qū)別。

　　傳統(tǒng)監(jiān)控模式可以用于回溯什么時(shí)候出了問(wèn)題，但可觀察性卻能讓安全團(tuán)隊(duì)知曉造成安全事件的原因；監(jiān)控會(huì)跟蹤網(wǎng)絡(luò)安全設(shè)備的整體運(yùn)行狀況，并根據(jù)訪問(wèn)速度、連接性、停機(jī)時(shí)間等匯總有關(guān)系統(tǒng)性能的運(yùn)行數(shù)據(jù)，可觀察性則通過(guò)提供其針對(duì)故障模式下的細(xì)粒度分析和上下文洞察能力，深入研究應(yīng)用程序異常操作的“內(nèi)容”和“原因”，進(jìn)一步發(fā)現(xiàn)安全風(fēng)險(xiǎn)；監(jiān)控僅提供已知問(wèn)題或故障的答案，而具備可觀察性的軟件系統(tǒng)可以滿足開(kāi)發(fā)人員對(duì)未知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的探索。

　　可以認(rèn)為，傳統(tǒng)監(jiān)控模式就像站在局外人的角度，去審視安全系統(tǒng)的運(yùn)行情況，而可觀察性則是對(duì)安全系統(tǒng)的一種自我審視，站在了開(kāi)發(fā)者的角度去探究網(wǎng)絡(luò)安全設(shè)備應(yīng)如何恰當(dāng)?shù)卣故咀陨淼臓顟B(tài)。另一方面，監(jiān)控也可以說(shuō)是可觀察性的一個(gè)子集?？捎^察性除了提供更傳統(tǒng)的監(jiān)控測(cè)量之外，通常還包括系統(tǒng)應(yīng)用體驗(yàn)和業(yè)務(wù)流程的觀測(cè)能力。

　　總體來(lái)說(shuō)，可觀察性是一項(xiàng)能夠?yàn)楦鞣矫嫣峁﹥r(jià)值的服務(wù)。它不僅可以監(jiān)控企業(yè)網(wǎng)絡(luò)安全應(yīng)用程序和平臺(tái)，還可以監(jiān)控企業(yè)的業(yè)務(wù)流程、開(kāi)發(fā)團(tuán)隊(duì)效率甚至各業(yè)務(wù)計(jì)劃的執(zhí)行情況，除了云環(huán)境或數(shù)據(jù)中心之外，可觀察性還能擴(kuò)展到企業(yè)的數(shù)字化業(yè)務(wù)應(yīng)用中，為企業(yè)提供從功能請(qǐng)求到客戶滿意度的全方位觀測(cè)與感知。

　　可觀察性的能力構(gòu)建

　　基于數(shù)字技術(shù)應(yīng)用體驗(yàn)的安全監(jiān)控與可觀察性能力可以通過(guò)可觀察性河流（Observability River）這種技術(shù)方式來(lái)實(shí)現(xiàn)，它可以幫助用戶了解有哪些可以收集和需要重視的網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)類(lèi)型，并從簡(jiǎn)單的數(shù)據(jù)流開(kāi)始，不斷累積，直至形成可供用戶綜合使用的可觀察性解決方案數(shù)據(jù)集合。構(gòu)建可觀察性長(zhǎng)河的關(guān)鍵點(diǎn)有：

　　01 從基礎(chǔ)的安全監(jiān)控入手

　　所有關(guān)乎企業(yè)網(wǎng)絡(luò)平臺(tái)可靠運(yùn)行的重要信息，如用戶訪問(wèn)和審核日志、可疑賬戶登錄失敗次數(shù)等都可能包含有攻擊者的攻擊特征，這些信息都需要重點(diǎn)關(guān)注。

　　02 對(duì)網(wǎng)絡(luò)安全設(shè)備、云平臺(tái)指標(biāo)和日志監(jiān)測(cè)

　　可觀察性長(zhǎng)河技術(shù)方案需要添加有關(guān)設(shè)備中央處理器（CPU）、內(nèi)存條（RAM）和存儲(chǔ)系統(tǒng)的日志信息和運(yùn)行參數(shù)，以及有關(guān)Lambda函數(shù)等執(zhí)行速度的云平臺(tái)指標(biāo)。

　　03 了解網(wǎng)絡(luò)安全設(shè)備的運(yùn)行性能

　　加強(qiáng)對(duì)網(wǎng)絡(luò)安全設(shè)備應(yīng)用程序的性能監(jiān)控，包括函數(shù)的執(zhí)行速度、數(shù)據(jù)庫(kù)查找時(shí)間，甚至可以包括基于OpenTelemetry或類(lèi)似產(chǎn)品的跟蹤數(shù)據(jù)。（OpenTelemetry是云原生計(jì)算基金會(huì)的一個(gè)可觀察性項(xiàng)目，旨在提供可觀察性領(lǐng)域的標(biāo)準(zhǔn)化方案，解決觀察數(shù)據(jù)的數(shù)據(jù)模型、采集、處理、導(dǎo)出等的標(biāo)準(zhǔn)化問(wèn)題，提供中立性服務(wù)。）

　　04 加強(qiáng)對(duì)員工行為信息的收集

　　真實(shí)用戶監(jiān)控（Real User Monitoring，RUM）和合成用戶監(jiān)控（Synthetic User Monitoring，SUM）兩項(xiàng)功能可以讓企業(yè)進(jìn)一步了解到用戶的行為路徑和產(chǎn)品的實(shí)際使用情況，并可以根據(jù)這些行為分析提升用戶的使用體驗(yàn)。合成用戶監(jiān)控是指在一個(gè)模擬場(chǎng)景里，提交一個(gè)需要進(jìn)行性能審計(jì)的頁(yè)面，并通過(guò)一系列的工具和規(guī)則將該頁(yè)面運(yùn)行起來(lái)，并對(duì)運(yùn)行后的頁(yè)面進(jìn)行性能指標(biāo)評(píng)估，得出相關(guān)審計(jì)報(bào)告。而真實(shí)用戶監(jiān)控則是針對(duì)用戶在真實(shí)頁(yè)面上訪問(wèn)數(shù)據(jù)信息進(jìn)行的分析與監(jiān)控。

　　05 具備處理數(shù)據(jù)的能力

　　收集數(shù)據(jù)的目的，就是要正確的處理數(shù)據(jù)，并實(shí)現(xiàn)數(shù)據(jù)長(zhǎng)河的可視化，其中通過(guò)圖形釋義是將數(shù)據(jù)進(jìn)行有效可視化轉(zhuǎn)變的最佳方式。比如，當(dāng)用戶將員工的行為信息和企業(yè)關(guān)鍵敏感數(shù)據(jù)進(jìn)行可視化處理后，儀表板上就會(huì)清晰的展示出企業(yè)潛在的安全風(fēng)險(xiǎn)和安全防護(hù)短板，這對(duì)數(shù)字化業(yè)務(wù)工作的穩(wěn)定安全開(kāi)展意義重大。

　　06 添加報(bào)警功能

　　當(dāng)發(fā)生安全事件或存在潛在的安全風(fēng)險(xiǎn)時(shí)，企業(yè)內(nèi)部的網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)該及時(shí)收到通知，并結(jié)合上下文的數(shù)據(jù)統(tǒng)計(jì)情況和報(bào)警結(jié)果做出適當(dāng)?shù)捻憫?yīng)。

　　如何選擇正確的可觀察性解決方案？

　　以下是用戶在選擇可觀察性安全解決方案時(shí)需要重點(diǎn)考慮的問(wèn)題：

　　1、企業(yè)是否擁有一個(gè)能夠支撐可觀察性安全解決方案的團(tuán)隊(duì)？

　　企業(yè)在構(gòu)建可觀察性安全解決方案之前，首先要了解自身是否具備運(yùn)行該服務(wù)的技術(shù)水平與能力。一個(gè)負(fù)責(zé)可觀察性解決方案的網(wǎng)絡(luò)安全團(tuán)隊(duì)從組建、運(yùn)營(yíng)、工作和發(fā)展需要投入大量的資金成本和管理精力，從某種程度上來(lái)說(shuō)，直接采購(gòu)成熟的第三方安全監(jiān)測(cè)系統(tǒng)會(huì)更有性?xún)r(jià)比優(yōu)勢(shì)。

　　2、用戶是否愿意讓監(jiān)控?cái)?shù)據(jù)存在于“自身環(huán)境”之外？

　　運(yùn)行可觀察性解決方案時(shí)，通常有三個(gè)選擇：

　　在防火墻內(nèi)：無(wú)論從用戶認(rèn)知上，還是理論上，這都是最安全的選擇——即確保了數(shù)據(jù)始終在網(wǎng)絡(luò)環(huán)境邊界以?xún)?nèi)，監(jiān)控?cái)?shù)據(jù)（以及基礎(chǔ)設(shè)施布局的細(xì)節(jié)）泄漏到公共領(lǐng)域的風(fēng)險(xiǎn)較小，這也是大多數(shù)用戶所選擇的方案。

　　軟件即服務(wù)（SaaS）：軟件即服務(wù)（SaaS）正迅速成為企業(yè)購(gòu)買(mǎi)監(jiān)控解決方案的主要方式，尤其是在云環(huán)境中。它將報(bào)警、運(yùn)維等高難度任務(wù)轉(zhuǎn)嫁到了第三方，降低了對(duì)企業(yè)內(nèi)部人員技術(shù)門(mén)檻的需求。但這種方式下，企業(yè)的監(jiān)控?cái)?shù)據(jù)可能存儲(chǔ)在多個(gè)平臺(tái)之中，泄漏風(fēng)險(xiǎn)增加。

　　云監(jiān)控：亞馬遜和谷歌等云提供商經(jīng)常會(huì)提供完全托管的監(jiān)控平臺(tái)（如CloudWatch），以及從托管服務(wù)（例如AWS Managed Grafana和AWS OpenSearch Service）來(lái)幫助企業(yè)構(gòu)建可觀察能力。云監(jiān)控的優(yōu)缺點(diǎn)可能處于上述兩個(gè)選項(xiàng)之間，相比完整的SaaS化產(chǎn)品成本更低。

　　3、企業(yè)自身想要觀察和分析的需求有哪些？

　　很多企業(yè)都在尋找功能最豐富的、最受市場(chǎng)青睞的監(jiān)控平臺(tái)及可觀察性安全解決方案，但在實(shí)際應(yīng)用中，真正利用到的產(chǎn)品功能可能不足一半，這樣的高額投入與實(shí)際需求并不合理。

　　4、可觀察性解決方案對(duì)編程語(yǔ)言的支持

　　企業(yè)在選購(gòu)網(wǎng)絡(luò)可觀察性解決方案時(shí)，需要注意這些工具更適用于哪些開(kāi)發(fā)語(yǔ)言環(huán)境。例如，AppDynamics是企業(yè)組織中非常流行的應(yīng)用程序性能監(jiān)測(cè)工具，如果企業(yè)員工非常擅長(zhǎng)Java 或C#語(yǔ)言，那么它可能沒(méi)問(wèn)題。但如果員工只對(duì)Python或Rust語(yǔ)言更擅長(zhǎng)，結(jié)果就會(huì)不如人意，因?yàn)樗鼘?duì)這些語(yǔ)言的支持效果很差。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<