可觀察性(observability)是指通過網(wǎng)絡系統(tǒng)的運行數(shù)據(jù)輸出(例如日志、指標和跟蹤)來衡量其工作狀態(tài)的能力。最初,可觀察性被定義為一種系統(tǒng)的外部監(jiān)控屬性,在工業(yè)控制和生產領域中首次被提出。管理人員通過可觀察性來查看系統(tǒng)中隱藏的各種信息數(shù)據(jù)。比如,水處理廠的操作人員在外部是無法直接知曉水管內的水流狀態(tài)、流動方式、水質情況的,這時在管道內添加可觀察性工具(如流量計、傳感器等),并將這些工具連接到儀表板上,操作人員就可以全掌握管道中水流的情況,并及時根據(jù)狀況進行調整,從而顯著提升相關系統(tǒng)的運行可靠性。
隨著現(xiàn)代網(wǎng)絡基礎設施的復雜性不斷增加,各種故障隱患變得更難以查明,提升網(wǎng)絡系統(tǒng)的可觀察性對于安全防護的重要性也愈發(fā)凸顯。它的價值可以體現(xiàn)在以下方面:
1、幫助安全團隊規(guī)劃和制定網(wǎng)絡安全防護流程;
2、幫助運維人員提前發(fā)現(xiàn)并解決網(wǎng)絡安全問題;
3、提高對網(wǎng)絡安全事件檢測和響應的效率和準確性;
4、提升網(wǎng)絡設備系統(tǒng)的使用周期和運行穩(wěn)定性。
可觀察性與傳統(tǒng)安全監(jiān)控的區(qū)別
在“可觀察性”一詞出現(xiàn)之前,我們常常使用“監(jiān)控”這一概念,其實這二者之間存在很大區(qū)別。
傳統(tǒng)監(jiān)控模式可以用于回溯什么時候出了問題,但可觀察性卻能讓安全團隊知曉造成安全事件的原因;監(jiān)控會跟蹤網(wǎng)絡安全設備的整體運行狀況,并根據(jù)訪問速度、連接性、停機時間等匯總有關系統(tǒng)性能的運行數(shù)據(jù),可觀察性則通過提供其針對故障模式下的細粒度分析和上下文洞察能力,深入研究應用程序異常操作的“內容”和“原因”,進一步發(fā)現(xiàn)安全風險;監(jiān)控僅提供已知問題或故障的答案,而具備可觀察性的軟件系統(tǒng)可以滿足開發(fā)人員對未知網(wǎng)絡安全風險的探索。
可以認為,傳統(tǒng)監(jiān)控模式就像站在局外人的角度,去審視安全系統(tǒng)的運行情況,而可觀察性則是對安全系統(tǒng)的一種自我審視,站在了開發(fā)者的角度去探究網(wǎng)絡安全設備應如何恰當?shù)卣故咀陨淼臓顟B(tài)。另一方面,監(jiān)控也可以說是可觀察性的一個子集。可觀察性除了提供更傳統(tǒng)的監(jiān)控測量之外,通常還包括系統(tǒng)應用體驗和業(yè)務流程的觀測能力。
總體來說,可觀察性是一項能夠為各方面提供價值的服務。它不僅可以監(jiān)控企業(yè)網(wǎng)絡安全應用程序和平臺,還可以監(jiān)控企業(yè)的業(yè)務流程、開發(fā)團隊效率甚至各業(yè)務計劃的執(zhí)行情況,除了云環(huán)境或數(shù)據(jù)中心之外,可觀察性還能擴展到企業(yè)的數(shù)字化業(yè)務應用中,為企業(yè)提供從功能請求到客戶滿意度的全方位觀測與感知。
可觀察性的能力構建
基于數(shù)字技術應用體驗的安全監(jiān)控與可觀察性能力可以通過可觀察性河流(Observability River)這種技術方式來實現(xiàn),它可以幫助用戶了解有哪些可以收集和需要重視的網(wǎng)絡運行數(shù)據(jù)類型,并從簡單的數(shù)據(jù)流開始,不斷累積,直至形成可供用戶綜合使用的可觀察性解決方案數(shù)據(jù)集合。構建可觀察性長河的關鍵點有:
01 從基礎的安全監(jiān)控入手
所有關乎企業(yè)網(wǎng)絡平臺可靠運行的重要信息,如用戶訪問和審核日志、可疑賬戶登錄失敗次數(shù)等都可能包含有攻擊者的攻擊特征,這些信息都需要重點關注。
02 對網(wǎng)絡安全設備、云平臺指標和日志監(jiān)測
可觀察性長河技術方案需要添加有關設備中央處理器(CPU)、內存條(RAM)和存儲系統(tǒng)的日志信息和運行參數(shù),以及有關Lambda函數(shù)等執(zhí)行速度的云平臺指標。
03 了解網(wǎng)絡安全設備的運行性能
加強對網(wǎng)絡安全設備應用程序的性能監(jiān)控,包括函數(shù)的執(zhí)行速度、數(shù)據(jù)庫查找時間,甚至可以包括基于OpenTelemetry或類似產品的跟蹤數(shù)據(jù)。(OpenTelemetry是云原生計算基金會的一個可觀察性項目,旨在提供可觀察性領域的標準化方案,解決觀察數(shù)據(jù)的數(shù)據(jù)模型、采集、處理、導出等的標準化問題,提供中立性服務。)
04 加強對員工行為信息的收集
真實用戶監(jiān)控(Real User Monitoring,RUM)和合成用戶監(jiān)控(Synthetic User Monitoring,SUM)兩項功能可以讓企業(yè)進一步了解到用戶的行為路徑和產品的實際使用情況,并可以根據(jù)這些行為分析提升用戶的使用體驗。合成用戶監(jiān)控是指在一個模擬場景里,提交一個需要進行性能審計的頁面,并通過一系列的工具和規(guī)則將該頁面運行起來,并對運行后的頁面進行性能指標評估,得出相關審計報告。而真實用戶監(jiān)控則是針對用戶在真實頁面上訪問數(shù)據(jù)信息進行的分析與監(jiān)控。
05 具備處理數(shù)據(jù)的能力
收集數(shù)據(jù)的目的,就是要正確的處理數(shù)據(jù),并實現(xiàn)數(shù)據(jù)長河的可視化,其中通過圖形釋義是將數(shù)據(jù)進行有效可視化轉變的最佳方式。比如,當用戶將員工的行為信息和企業(yè)關鍵敏感數(shù)據(jù)進行可視化處理后,儀表板上就會清晰的展示出企業(yè)潛在的安全風險和安全防護短板,這對數(shù)字化業(yè)務工作的穩(wěn)定安全開展意義重大。
06 添加報警功能
當發(fā)生安全事件或存在潛在的安全風險時,企業(yè)內部的網(wǎng)絡安全團隊應該及時收到通知,并結合上下文的數(shù)據(jù)統(tǒng)計情況和報警結果做出適當?shù)捻憫?/p>
如何選擇正確的可觀察性解決方案?
以下是用戶在選擇可觀察性安全解決方案時需要重點考慮的問題:
1、企業(yè)是否擁有一個能夠支撐可觀察性安全解決方案的團隊?
企業(yè)在構建可觀察性安全解決方案之前,首先要了解自身是否具備運行該服務的技術水平與能力。一個負責可觀察性解決方案的網(wǎng)絡安全團隊從組建、運營、工作和發(fā)展需要投入大量的資金成本和管理精力,從某種程度上來說,直接采購成熟的第三方安全監(jiān)測系統(tǒng)會更有性價比優(yōu)勢。
2、用戶是否愿意讓監(jiān)控數(shù)據(jù)存在于“自身環(huán)境”之外?
運行可觀察性解決方案時,通常有三個選擇:
在防火墻內:無論從用戶認知上,還是理論上,這都是最安全的選擇——即確保了數(shù)據(jù)始終在網(wǎng)絡環(huán)境邊界以內,監(jiān)控數(shù)據(jù)(以及基礎設施布局的細節(jié))泄漏到公共領域的風險較小,這也是大多數(shù)用戶所選擇的方案。
軟件即服務(SaaS):軟件即服務(SaaS)正迅速成為企業(yè)購買監(jiān)控解決方案的主要方式,尤其是在云環(huán)境中。它將報警、運維等高難度任務轉嫁到了第三方,降低了對企業(yè)內部人員技術門檻的需求。但這種方式下,企業(yè)的監(jiān)控數(shù)據(jù)可能存儲在多個平臺之中,泄漏風險增加。
云監(jiān)控:亞馬遜和谷歌等云提供商經常會提供完全托管的監(jiān)控平臺(如CloudWatch),以及從托管服務(例如AWS Managed Grafana和AWS OpenSearch Service)來幫助企業(yè)構建可觀察能力。云監(jiān)控的優(yōu)缺點可能處于上述兩個選項之間,相比完整的SaaS化產品成本更低。
3、企業(yè)自身想要觀察和分析的需求有哪些?
很多企業(yè)都在尋找功能最豐富的、最受市場青睞的監(jiān)控平臺及可觀察性安全解決方案,但在實際應用中,真正利用到的產品功能可能不足一半,這樣的高額投入與實際需求并不合理。
4、可觀察性解決方案對編程語言的支持
企業(yè)在選購網(wǎng)絡可觀察性解決方案時,需要注意這些工具更適用于哪些開發(fā)語言環(huán)境。例如,AppDynamics是企業(yè)組織中非常流行的應用程序性能監(jiān)測工具,如果企業(yè)員工非常擅長Java 或C#語言,那么它可能沒問題。但如果員工只對Python或Rust語言更擅長,結果就會不如人意,因為它對這些語言的支持效果很差。
更多信息可以來這里獲取==>>電子技術應用-AET<<
