组织、流程、规范是安全得以落地的关键要素。这其中,组织建设又是关键中的关键。本文就简单描述一下H云的安全组织情况。
公有云的组织架构基本如上图,一些关键组织说明:
公司安全能力中心。这是公司级组织,主要负责:
1)规范的制定,外界有名的安全红线,即是这个组织牵头建立,其它还有很多规范,比如设计规范,测试规范,加密规范,编码规范等。
2)安全工具和方法的引入。一些安全工具,比如代码扫描工具、测试工具等,STRIDE方法等,也由该组织引入。部分情况,也会自研工具,比如Web安全库,敏感信息扫描工具等。
3)赋能。规范制定,发布,工具引入,都会有一系列的培训,试用,推广流程。公司内网实验室。这是公司级组织,用于对版本的验收及稽核。所有公司对外发布的商业版本,要经过此实验室测试验收,验收通过后方可发布。这个实验室独立于所有产品线,以保证其独立性。
云安全实验室。这是公有云的安全组织,承接公司安全能力中心在公有云的功能。由于公司整体走IPD流程,而云使用DevSecOps流程,所以,相关的标准规范需要在云环境中重新适配。适配的主要责任在云安全实验室。该实验室还负责安全工具及安全自动化测试平台的建设运作工作。
各产品部的安全SE(系统工程师),安全TSE(测试系统工程师)负责公司、云的相关要求在本产品部的落地工作。安全SE要独立负责安全部分的架构设计,同时要审视整体架构的安全设计是否合理。安全TSE负责测试方案的设计,并对产品的安全结果负责。一般情况下,100人左右的团队会配一个专职的安全SE和安全TSE,再大的团队会分级,有些产品部下边会有多个产品,比如数据库下会有关系数据库,Nosql等,这时候,产品部会有大安全SE,TSE,产品会有安全SE,TSE,再小的团队,会有人兼职此项工作。
云安全实验室负责对各产品部安全SE,TSE进行赋能,二者共同构成安全研发段的工作。
现网段有两个团队组成,一个是安全运营团队,负责现网安全监控及安全问题处理,安全问题在分析后涉及研发,则同步到云安全实验室在研发范围内改进。二是蓝军,负责对现网的渗透测试,测试涉及到研发问题同时也会转云安全实验室。
安全办公室负责总体的安全治理,这是个非技术部门,主要是负责合规及相关政策落地,违规处罚等。
所有云的安全部门的核心骨干,组成一个虚拟组织—安全TMG(Technology Management Group)。该组织负责重要安全问题的决策,及安全案例分析,经验分享等,其主任一般由云安全实验室主任兼任。该组织确保云安全的整体正确方向,也是安全实验室向SE/TSE赋能的平台,并由该平台向全员赋能。
公有云的自动化平台大部分是自研的,这是一个专门的部门,他们也负责安全自动化平台的开发工作,一般这部分未被划入安全组织。
矩阵管理
公司整体采用矩阵管理,安全也不例外。在上图中,所有实体部门之间没有直接隶属关系,各有各的上级主管部门。但会有关联考核,比如,所有安全SE,TSE实线归各产品部直接管理,但安全实验室主任对他们的考核有建议否决权,这样可以保证其在安全上的投入和方向,避免各搞一套。
2.规划
公有云的DevSecOps流程和传统IPD有一些区别,走持续发布,持续集成的方案。这种情况下,传统基于版本的管理会被弱化,改为OBP(目标商业计划),OBP一年会有一个大的版本,半年会刷新。安全的相关规划也基本以年度和半年为界。年度,各部门会有自己的安全目标规划,在充分讨论对齐后,报各部门审批,并且合入部门的整体规划,在产品线层级审批。大的规划会在TMG讨论,或互相通报,确保各部分的安全目标能够达成一致。
3.人员配置
人员的具体数量比较敏感,有一个数字各位可以参考。专职的安全人员,占研发总体人数的3-5%(只用于确保云及产品自身安全,不包括对客户提供收费的安全服务,比如WAF,主机安全这些)。
其实站在公司的角度,这比例还略大一点点,因为公司的安全能力中心,安全内网实验室这些人,还应该由各产品线分摊,但这个数量不太大,基本可以忽略。
以上信息,仅供参考。如果有问题,可以留言讨论。
END
