可觀察性(observability)是指通過(guò)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行數(shù)據(jù)輸出(例如日志、指標(biāo)和跟蹤)來(lái)衡量其工作狀態(tài)的能力。最初,可觀察性被定義為一種系統(tǒng)的外部監(jiān)控屬性,在工業(yè)控制和生產(chǎn)領(lǐng)域中首次被提出。管理人員通過(guò)可觀察性來(lái)查看系統(tǒng)中隱藏的各種信息數(shù)據(jù)。比如,水處理廠的操作人員在外部是無(wú)法直接知曉水管內(nèi)的水流狀態(tài)、流動(dòng)方式、水質(zhì)情況的,這時(shí)在管道內(nèi)添加可觀察性工具(如流量計(jì)、傳感器等),并將這些工具連接到儀表板上,操作人員就可以全掌握管道中水流的情況,并及時(shí)根據(jù)狀況進(jìn)行調(diào)整,從而顯著提升相關(guān)系統(tǒng)的運(yùn)行可靠性。
隨著現(xiàn)代網(wǎng)絡(luò)基礎(chǔ)設(shè)施的復(fù)雜性不斷增加,各種故障隱患變得更難以查明,提升網(wǎng)絡(luò)系統(tǒng)的可觀察性對(duì)于安全防護(hù)的重要性也愈發(fā)凸顯。它的價(jià)值可以體現(xiàn)在以下方面:
1、幫助安全團(tuán)隊(duì)規(guī)劃和制定網(wǎng)絡(luò)安全防護(hù)流程;
2、幫助運(yùn)維人員提前發(fā)現(xiàn)并解決網(wǎng)絡(luò)安全問(wèn)題;
3、提高對(duì)網(wǎng)絡(luò)安全事件檢測(cè)和響應(yīng)的效率和準(zhǔn)確性;
4、提升網(wǎng)絡(luò)設(shè)備系統(tǒng)的使用周期和運(yùn)行穩(wěn)定性。
可觀察性與傳統(tǒng)安全監(jiān)控的區(qū)別
在“可觀察性”一詞出現(xiàn)之前,我們常常使用“監(jiān)控”這一概念,其實(shí)這二者之間存在很大區(qū)別。
傳統(tǒng)監(jiān)控模式可以用于回溯什么時(shí)候出了問(wèn)題,但可觀察性卻能讓安全團(tuán)隊(duì)知曉造成安全事件的原因;監(jiān)控會(huì)跟蹤網(wǎng)絡(luò)安全設(shè)備的整體運(yùn)行狀況,并根據(jù)訪問(wèn)速度、連接性、停機(jī)時(shí)間等匯總有關(guān)系統(tǒng)性能的運(yùn)行數(shù)據(jù),可觀察性則通過(guò)提供其針對(duì)故障模式下的細(xì)粒度分析和上下文洞察能力,深入研究應(yīng)用程序異常操作的“內(nèi)容”和“原因”,進(jìn)一步發(fā)現(xiàn)安全風(fēng)險(xiǎn);監(jiān)控僅提供已知問(wèn)題或故障的答案,而具備可觀察性的軟件系統(tǒng)可以滿(mǎn)足開(kāi)發(fā)人員對(duì)未知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的探索。
可以認(rèn)為,傳統(tǒng)監(jiān)控模式就像站在局外人的角度,去審視安全系統(tǒng)的運(yùn)行情況,而可觀察性則是對(duì)安全系統(tǒng)的一種自我審視,站在了開(kāi)發(fā)者的角度去探究網(wǎng)絡(luò)安全設(shè)備應(yīng)如何恰當(dāng)?shù)卣故咀陨淼臓顟B(tài)。另一方面,監(jiān)控也可以說(shuō)是可觀察性的一個(gè)子集??捎^察性除了提供更傳統(tǒng)的監(jiān)控測(cè)量之外,通常還包括系統(tǒng)應(yīng)用體驗(yàn)和業(yè)務(wù)流程的觀測(cè)能力。
總體來(lái)說(shuō),可觀察性是一項(xiàng)能夠?yàn)楦鞣矫嫣峁﹥r(jià)值的服務(wù)。它不僅可以監(jiān)控企業(yè)網(wǎng)絡(luò)安全應(yīng)用程序和平臺(tái),還可以監(jiān)控企業(yè)的業(yè)務(wù)流程、開(kāi)發(fā)團(tuán)隊(duì)效率甚至各業(yè)務(wù)計(jì)劃的執(zhí)行情況,除了云環(huán)境或數(shù)據(jù)中心之外,可觀察性還能擴(kuò)展到企業(yè)的數(shù)字化業(yè)務(wù)應(yīng)用中,為企業(yè)提供從功能請(qǐng)求到客戶(hù)滿(mǎn)意度的全方位觀測(cè)與感知。
可觀察性的能力構(gòu)建
基于數(shù)字技術(shù)應(yīng)用體驗(yàn)的安全監(jiān)控與可觀察性能力可以通過(guò)可觀察性河流(Observability River)這種技術(shù)方式來(lái)實(shí)現(xiàn),它可以幫助用戶(hù)了解有哪些可以收集和需要重視的網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)類(lèi)型,并從簡(jiǎn)單的數(shù)據(jù)流開(kāi)始,不斷累積,直至形成可供用戶(hù)綜合使用的可觀察性解決方案數(shù)據(jù)集合。構(gòu)建可觀察性長(zhǎng)河的關(guān)鍵點(diǎn)有:
01 從基礎(chǔ)的安全監(jiān)控入手
所有關(guān)乎企業(yè)網(wǎng)絡(luò)平臺(tái)可靠運(yùn)行的重要信息,如用戶(hù)訪問(wèn)和審核日志、可疑賬戶(hù)登錄失敗次數(shù)等都可能包含有攻擊者的攻擊特征,這些信息都需要重點(diǎn)關(guān)注。
02 對(duì)網(wǎng)絡(luò)安全設(shè)備、云平臺(tái)指標(biāo)和日志監(jiān)測(cè)
可觀察性長(zhǎng)河技術(shù)方案需要添加有關(guān)設(shè)備中央處理器(CPU)、內(nèi)存條(RAM)和存儲(chǔ)系統(tǒng)的日志信息和運(yùn)行參數(shù),以及有關(guān)Lambda函數(shù)等執(zhí)行速度的云平臺(tái)指標(biāo)。
03 了解網(wǎng)絡(luò)安全設(shè)備的運(yùn)行性能
加強(qiáng)對(duì)網(wǎng)絡(luò)安全設(shè)備應(yīng)用程序的性能監(jiān)控,包括函數(shù)的執(zhí)行速度、數(shù)據(jù)庫(kù)查找時(shí)間,甚至可以包括基于OpenTelemetry或類(lèi)似產(chǎn)品的跟蹤數(shù)據(jù)。(OpenTelemetry是云原生計(jì)算基金會(huì)的一個(gè)可觀察性項(xiàng)目,旨在提供可觀察性領(lǐng)域的標(biāo)準(zhǔn)化方案,解決觀察數(shù)據(jù)的數(shù)據(jù)模型、采集、處理、導(dǎo)出等的標(biāo)準(zhǔn)化問(wèn)題,提供中立性服務(wù)。)
04 加強(qiáng)對(duì)員工行為信息的收集
真實(shí)用戶(hù)監(jiān)控(Real User Monitoring,RUM)和合成用戶(hù)監(jiān)控(Synthetic User Monitoring,SUM)兩項(xiàng)功能可以讓企業(yè)進(jìn)一步了解到用戶(hù)的行為路徑和產(chǎn)品的實(shí)際使用情況,并可以根據(jù)這些行為分析提升用戶(hù)的使用體驗(yàn)。合成用戶(hù)監(jiān)控是指在一個(gè)模擬場(chǎng)景里,提交一個(gè)需要進(jìn)行性能審計(jì)的頁(yè)面,并通過(guò)一系列的工具和規(guī)則將該頁(yè)面運(yùn)行起來(lái),并對(duì)運(yùn)行后的頁(yè)面進(jìn)行性能指標(biāo)評(píng)估,得出相關(guān)審計(jì)報(bào)告。而真實(shí)用戶(hù)監(jiān)控則是針對(duì)用戶(hù)在真實(shí)頁(yè)面上訪問(wèn)數(shù)據(jù)信息進(jìn)行的分析與監(jiān)控。
05 具備處理數(shù)據(jù)的能力
收集數(shù)據(jù)的目的,就是要正確的處理數(shù)據(jù),并實(shí)現(xiàn)數(shù)據(jù)長(zhǎng)河的可視化,其中通過(guò)圖形釋義是將數(shù)據(jù)進(jìn)行有效可視化轉(zhuǎn)變的最佳方式。比如,當(dāng)用戶(hù)將員工的行為信息和企業(yè)關(guān)鍵敏感數(shù)據(jù)進(jìn)行可視化處理后,儀表板上就會(huì)清晰的展示出企業(yè)潛在的安全風(fēng)險(xiǎn)和安全防護(hù)短板,這對(duì)數(shù)字化業(yè)務(wù)工作的穩(wěn)定安全開(kāi)展意義重大。
06 添加報(bào)警功能
當(dāng)發(fā)生安全事件或存在潛在的安全風(fēng)險(xiǎn)時(shí),企業(yè)內(nèi)部的網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)該及時(shí)收到通知,并結(jié)合上下文的數(shù)據(jù)統(tǒng)計(jì)情況和報(bào)警結(jié)果做出適當(dāng)?shù)捻憫?yīng)。
如何選擇正確的可觀察性解決方案?
以下是用戶(hù)在選擇可觀察性安全解決方案時(shí)需要重點(diǎn)考慮的問(wèn)題:
1、企業(yè)是否擁有一個(gè)能夠支撐可觀察性安全解決方案的團(tuán)隊(duì)?
企業(yè)在構(gòu)建可觀察性安全解決方案之前,首先要了解自身是否具備運(yùn)行該服務(wù)的技術(shù)水平與能力。一個(gè)負(fù)責(zé)可觀察性解決方案的網(wǎng)絡(luò)安全團(tuán)隊(duì)從組建、運(yùn)營(yíng)、工作和發(fā)展需要投入大量的資金成本和管理精力,從某種程度上來(lái)說(shuō),直接采購(gòu)成熟的第三方安全監(jiān)測(cè)系統(tǒng)會(huì)更有性?xún)r(jià)比優(yōu)勢(shì)。
2、用戶(hù)是否愿意讓監(jiān)控?cái)?shù)據(jù)存在于“自身環(huán)境”之外?
運(yùn)行可觀察性解決方案時(shí),通常有三個(gè)選擇:
在防火墻內(nèi):無(wú)論從用戶(hù)認(rèn)知上,還是理論上,這都是最安全的選擇——即確保了數(shù)據(jù)始終在網(wǎng)絡(luò)環(huán)境邊界以?xún)?nèi),監(jiān)控?cái)?shù)據(jù)(以及基礎(chǔ)設(shè)施布局的細(xì)節(jié))泄漏到公共領(lǐng)域的風(fēng)險(xiǎn)較小,這也是大多數(shù)用戶(hù)所選擇的方案。
軟件即服務(wù)(SaaS):軟件即服務(wù)(SaaS)正迅速成為企業(yè)購(gòu)買(mǎi)監(jiān)控解決方案的主要方式,尤其是在云環(huán)境中。它將報(bào)警、運(yùn)維等高難度任務(wù)轉(zhuǎn)嫁到了第三方,降低了對(duì)企業(yè)內(nèi)部人員技術(shù)門(mén)檻的需求。但這種方式下,企業(yè)的監(jiān)控?cái)?shù)據(jù)可能存儲(chǔ)在多個(gè)平臺(tái)之中,泄漏風(fēng)險(xiǎn)增加。
云監(jiān)控:亞馬遜和谷歌等云提供商經(jīng)常會(huì)提供完全托管的監(jiān)控平臺(tái)(如CloudWatch),以及從托管服務(wù)(例如AWS Managed Grafana和AWS OpenSearch Service)來(lái)幫助企業(yè)構(gòu)建可觀察能力。云監(jiān)控的優(yōu)缺點(diǎn)可能處于上述兩個(gè)選項(xiàng)之間,相比完整的SaaS化產(chǎn)品成本更低。
3、企業(yè)自身想要觀察和分析的需求有哪些?
很多企業(yè)都在尋找功能最豐富的、最受市場(chǎng)青睞的監(jiān)控平臺(tái)及可觀察性安全解決方案,但在實(shí)際應(yīng)用中,真正利用到的產(chǎn)品功能可能不足一半,這樣的高額投入與實(shí)際需求并不合理。
4、可觀察性解決方案對(duì)編程語(yǔ)言的支持
企業(yè)在選購(gòu)網(wǎng)絡(luò)可觀察性解決方案時(shí),需要注意這些工具更適用于哪些開(kāi)發(fā)語(yǔ)言環(huán)境。例如,AppDynamics是企業(yè)組織中非常流行的應(yīng)用程序性能監(jiān)測(cè)工具,如果企業(yè)員工非常擅長(zhǎng)Java 或C#語(yǔ)言,那么它可能沒(méi)問(wèn)題。但如果員工只對(duì)Python或Rust語(yǔ)言更擅長(zhǎng),結(jié)果就會(huì)不如人意,因?yàn)樗鼘?duì)這些語(yǔ)言的支持效果很差。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<