安全架构设计Skill architecting-security

安全架构设计技能用于通过防御深度、零信任原则、威胁建模(如STRIDE、PASTA)和控制框架(如NIST CSF、CIS Controls、ISO 27001)来设计和实施全面的安全架构,保护系统、数据和用户。适用于新系统安全设计、现有架构审计、建立安全治理程序、云安全架构和供应链安全。关键词:安全架构、防御深度、零信任、威胁建模、NIST CSF、CIS Controls、ISO 27001、云安全、IAM、安全监控。

零信任架构 0 次安装 0 次浏览 更新于 3/23/2026

名称: 安全架构设计 描述: 使用防御深度、零信任原则、威胁建模(STRIDE、PASTA)和控制框架(NIST CSF、CIS Controls、ISO 27001)设计全面的安全架构。适用于新系统安全设计、审计现有架构或建立安全治理程序。

安全架构

通过分层防御策略、零信任原则和基于风险的安全控制,设计并实施全面的安全架构,以保护系统、数据和用户。

目的

安全架构为构建弹性、合规和可信赖的系统提供战略基础。本技能指导防御深度层、零信任实施、威胁建模方法学以及映射到控制框架(NIST CSF、CIS Controls、ISO 27001)的设计。

与战术性安全技能(如配置防火墙、实施身份验证、扫描漏洞)不同,安全架构侧重于战略规划、全面防御策略和治理框架。

何时使用此技能

在以下情况下使用安全架构:

  • 为绿场系统设计安全(新应用、云迁移)
  • 对现有系统进行安全审计或风险评估
  • 在企业环境中实施零信任架构
  • 建立安全治理程序和合规框架
  • 对应用、API 或微服务架构进行威胁建模
  • 选择和映射安全控制到法规要求(如 SOC 2、HIPAA、PCI DSS)
  • 设计云安全架构(如 AWS、GCP、Azure 多账户策略)
  • 解决供应链安全(如 SLSA 框架、SBOM 实施)

核心安全架构原则

1. 防御深度

实施多个独立的安全控制层,以便如果一层失效,其他层继续保护关键资产。

9 个防御层(2025 模型):

  1. 物理安全: 数据中心访问、环境控制、硬件安全模块(HSM)
  2. 网络边界: 下一代防火墙(NGFW)、DDoS 保护、Web 应用防火墙(WAF)
  3. 网络分段: VLAN、VPC、安全组、微分段
  4. 终端保护: 端点检测与响应(EDR)、防病毒、设备加密、补丁管理
  5. 应用层: 安全编码、WAF、API 安全、静态/动态应用安全测试(SAST/DAST)扫描
  6. 数据层: 加密(静态、传输中、使用中)、数据丢失防护(DLP)、备份/恢复
  7. 身份与访问管理(IAM): 多因素身份验证(MFA)、单点登录(SSO)、基于角色/属性的访问控制(RBAC/ABAC)、特权访问管理(PAM)
  8. 行为分析: 用户和实体行为分析(UEBA)、基于机器学习的异常检测、威胁情报
  9. 安全运营: 安全信息与事件管理(SIEM)、安全编排、自动化与响应(SOAR)、事件响应、持续监控

关键原则: 每层提供独立保护。一层失效不会危及整个系统。

详细分层实施模式,参见 references/defense-in-depth.md

2. 零信任架构

实施“永不信任,始终验证”原则,每个访问请求都经过身份验证、授权和持续验证。

核心零信任原则:

  1. 持续验证: 验证每个访问请求(无隐式信任)
  2. 最小权限访问: 授予所需最小权限,使用即时(JIT)访问
  3. 假设被入侵: 设计系统预期被攻破,限制爆炸半径
  4. 显式验证: 验证用户身份(MFA)、设备健康、应用完整性、上下文(位置、时间、行为)
  5. 微分段: 将网络划分为小的隔离区域,控制东西向流量

零信任架构组件:

  • 策略引擎: 集中化授权决策点(允许/拒绝)
  • 身份提供者(IdP): 用户/机器身份验证(如 Azure AD、Okta)
  • 设备姿态服务: 设备健康检查(如移动设备管理、EDR 集成)
  • 上下文/风险引擎: 行为分析、位置、时间、威胁情报
  • 策略执行点: 强制执行决策的网关(如零信任网络访问、API 网关)

零信任实施路线图和参考架构,参见 references/zero-trust-architecture.md

3. 威胁建模

通过结构化方法系统地识别、优先排序和缓解安全威胁。

主要方法学:

方法学 目的 复杂性 最适合
STRIDE 威胁识别 开发团队、快速威胁分析
PASTA 风险为中心的分析 企业风险管理
DREAD 风险评分 优先排序现有威胁
攻击树 视觉威胁分析 安全架构评审

STRIDE 威胁类别:

  • Spoofing(欺骗):攻击者冒充另一个用户/系统(缓解:MFA、证书验证)
  • Tampering(篡改):未经授权的数据修改(缓解:加密、数字签名)
  • Repudiation(否认):用户无证据否认操作(缓解:审计日志、不可否认)
  • Information Disclosure(信息泄露):机密数据暴露(缓解:加密、访问控制、DLP)
  • Denial of Service(拒绝服务):系统不可用(缓解:速率限制、DDoS 保护、冗余)
  • Elevation of Privilege(权限提升):获得更高权限(缓解:最小权限、输入验证、补丁)

STRIDE 应用流程:

  1. 使用数据流图(DFD)建模系统
  2. 通过应用 STRIDE 到每个组件/数据流识别威胁
  3. 用 STRIDE 类别记录威胁
  4. 使用 DREAD 评分或业务影响优先排序威胁
  5. 设计缓解控制

详细威胁建模方法学、PASTA 流程、DREAD 评分和攻击树,参见 references/threat-modeling.md。威胁建模示例,参见 examples/threat-models/

安全控制框架

映射安全控制到行业框架,以确保全面覆盖和合规。

NIST 网络安全框架(CSF)2.0

6 个核心功能:

  1. GOVERN(治理): 风险管理策略、策略、供应链风险管理
  2. IDENTIFY(识别): 资产清单、风险评估、持续改进
  3. PROTECT(保护): 访问控制、数据安全、平台安全、基础设施弹性
  4. DETECT(检测): 持续监控、异常检测、安全事件分析
  5. RESPOND(响应): 事件管理、分析、通信、缓解
  6. RECOVER(恢复): 恢复规划、执行、事后改进

用途: 映射安全控制到 NIST CSF 类别,以确保覆盖所有安全功能。提供基于风险、灵活的框架用于安全程序。

详细 NIST CSF 类别映射和子类别,参见 references/nist-csf-mapping.md

CIS 关键安全控制 v8

18 个控制,组织为 3 个实施组:

  • IG1(基础): 56 个防护措施,适合小型组织(资产清单、访问控制、日志记录、备份)
  • IG2(中级): 额外 74 个防护措施,适合中等规模组织,有 IT 安全人员
  • IG3(高级): 额外 23 个防护措施,适合大型企业,有专职安全团队

优先控制(IG1):

  1. 企业资产清单和控制
  2. 软件资产清单和控制
  3. 数据保护
  4. 企业资产安全配置
  5. 账户管理
  6. 访问控制管理
  7. 持续漏洞管理
  8. 审计日志管理

用途: CIS 控制提供规定性、可测量的安全基线。从 IG1 开始,随着安全成熟度提升进展到 IG2/IG3。

详细 CIS 控制实施指南,参见 references/cis-controls.md

OWASP Top 10 风险缓解

映射 OWASP Top 10 应用安全风险到架构控制:

OWASP 风险 主要控制 框架映射
注入 参数化查询、输入验证 NIST PR.DS、CIS 16
失效的身份验证 MFA、安全会话管理 NIST PR.AC、CIS 5, 6
敏感数据泄露 加密、密钥管理 NIST PR.DS、CIS 3
XXE 禁用外部实体、使用 JSON NIST PR.DS、CIS 16
失效的访问控制 授权检查、RBAC NIST PR.AC、CIS 6
安全配置错误 硬化、最小配置 NIST PR.IP、CIS 4
XSS 输出编码、内容安全策略(CSP) NIST PR.DS、CIS 16
不安全的反序列化 验证对象、安全格式 NIST PR.DS、CIS 16
已知漏洞 补丁管理、SBOM NIST ID.RA、CIS 7
日志记录和监控不足 SIEM、集中化日志记录 NIST DE.CM、CIS 8

详细 OWASP Top 10 缓解策略和代码示例,参见 references/owasp-top10-mitigation.md

架构选择决策框架

根据系统特征选择适当的安全架构方法:

绿场(新系统):

  • 从一开始实施零信任
  • 身份优先架构(MFA、SSO、RBAC/ABAC)
  • 默认微分段
  • 假设被入侵心态(限制爆炸半径)
  • 持续验证和监控

棕场(现有系统):

  • 混合:保持防御深度 + 零信任叠加
  • 保留现有边界控制(防火墙、VPN)
  • 逐步层叠零信任控制
  • 首先分段关键资产(数据、管理访问)
  • 现代化身份和访问管理

合规驱动:

  • 基于要求映射到控制框架:
    • 一般安全: NIST CSF 用于基于风险方法
    • 基线硬化: CIS 控制用于规定性指南
    • 全面信息安全管理体系: ISO 27001 用于认证
    • 行业特定: PCI DSS(支付)、HIPAA 安全规则(医疗)、FedRAMP(政府)

云原生:

  • 使用云提供商参考架构:
    • AWS: 良好架构框架(安全支柱)
    • GCP: 安全最佳实践、安全指挥中心
    • Azure: 安全基准、Microsoft Defender for Cloud
  • 实施云原生安全服务(如 CSPM、CWPP)

混合/多云:

  • 云安全状态管理(CSPM)用于统一策略执行
  • 跨云可见性和监控
  • 云无关 IAM(如 Okta、Azure AD)

详细架构选择决策树,参见 references/defense-in-depth.mdreferences/zero-trust-architecture.md

供应链安全

保护软件供应链免受篡改、后门和受感染依赖项。

SLSA 框架

软件制品供应链级别(4 个级别):

  1. SLSA 级别 1 - 溯源: 构建过程生成溯源元数据(不防篡改)
  2. SLSA 级别 2 - 托管构建: 在可信平台构建(如 GitHub Actions、Cloud Build)
  3. SLSA 级别 3 - 加固构建: 构建平台防止篡改、审计日志
  4. SLSA 级别 4 - 封闭、可重现: 完全封闭构建、可重现、双人评审

实施: 从级别 1 溯源生成开始,进展到级别 2(GitHub Actions),然后级别 3(带审计日志的加固 CI/CD)。

SBOM(软件物料清单)

生成和维护软件组件和依赖项的清单。

SBOM 标准:

  • CycloneDX: OWASP 标准(JSON/XML 格式)
  • SPDX: Linux 基金会标准
  • SWID: ISO/IEC 19770-2 标准

SBOM 用例:

  • 漏洞管理:在 CVE 披露时快速识别受影响组件
  • 许可合规:跟踪开源许可以确保法律合规
  • 供应链风险:第三方代码和依赖项的可见性
  • 事件响应:Log4Shell 类事件的快速评估

依赖项管理最佳实践:

  1. 在 CI/CD 管道中自动生成 SBOM
  2. 使用工具持续扫描(如 Dependabot、Snyk、Trivy、Grype)
  3. 自动化安全补丁更新
  4. 许可合规跟踪和审批工作流
  5. 使用锁定文件固定依赖版本
  6. 最小化依赖以减少攻击面

SLSA 实施指南、SBOM 生成示例和依赖扫描自动化,参见 references/supply-chain-security.md

云安全架构模式

AWS 安全架构

良好架构框架 - 安全支柱原则:

  1. 强大身份基础: 集中化 IAM、最小权限、IAM Identity Center(SSO)
  2. 启用可追溯性: CloudTrail、GuardDuty、Security Hub 用于全面日志记录
  3. 在所有层应用安全: 跨 VPC、实例、应用、数据的防御深度
  4. 自动化安全最佳实践: 基础设施即代码(如 Terraform、CloudFormation)
  5. 保护传输中和静态数据: TLS 1.3、AWS KMS、处处加密

关键 AWS 安全服务:

  • IAM: AWS IAM、IAM Identity Center(SSO)、Cognito(客户身份)
  • 检测: GuardDuty(威胁检测)、Security Hub(集中化发现)、Detective(调查)
  • 网络: AWS WAF、Shield(DDoS)、Network Firewall
  • 数据: KMS(密钥管理)、Secrets Manager、Macie(数据分类)
  • 计算: Systems Manager(补丁管理)、Inspector(漏洞扫描)

多账户策略: 使用 AWS Organizations 与安全组织单元(如安全账户、日志账户、审计账户)和工作负载组织单元(如生产、非生产)。应用服务控制策略(SCP)作为护栏。

AWS 参考架构和多账户安全设置,参见 references/aws-security-architecture.mdexamples/architectures/aws-multi-account-security.md

GCP 安全架构

关键 GCP 安全服务:

  • IAM: Cloud IAM、Identity Platform(客户身份)、Cloud Identity(工作力)
  • 检测: Security Command Center(统一仪表板)、Chronicle(SIEM)、Event Threat Detection
  • 网络: Cloud Armor(DDoS/WAF)、VPC Service Controls(数据外泄预防)、Cloud Firewall
  • 数据: Cloud KMS、Secret Manager、Cloud DLP(数据丢失防护)
  • 计算: Binary Authorization(镜像签名)、Confidential Computing(使用中加密)

组织层次结构: 结构为组织 → 文件夹(如生产、非生产、安全) → 项目。在文件夹级别应用 IAM 策略以继承。

GCP 安全架构模式和组织设置,参见 references/gcp-security-architecture.mdexamples/architectures/gcp-security-hierarchy.md

Azure 安全架构

关键 Azure 安全服务:

  • IAM: Azure AD(Entra ID)、Privileged Identity Management(JIT 访问)、Conditional Access
  • 检测: Microsoft Defender for Cloud(CSPM/CWPP)、Sentinel(SIEM/SOAR)、Azure Monitor
  • 网络: Azure Firewall、Front Door + WAF、DDoS Protection
  • 数据: Key Vault(秘密、密钥、证书)、Information Protection(DLP)、Storage encryption
  • 计算: Just-in-Time VM Access、Azure Policy(合规执行)

中心-辐条着陆区: 实施中心 VNet(共享服务:防火墙、VPN、Azure Bastion)和辐条 VNet(工作负载)。使用管理组进行策略层次结构。

Azure 安全架构和中心-辐条设计,参见 references/azure-security-architecture.mdexamples/architectures/azure-landing-zone.md

身份与访问管理模式

身份验证控制

多因素身份验证(MFA):

  • 类型: TOTP(基于时间的一次性密码)、推送通知、生物识别、硬件令牌(如 YubiKey、FIDO2)
  • 执行: 要求所有用户(工作力和客户)使用 MFA,特别是特权账户
  • 无密码: 过渡到 WebAuthn、FIDO2、passkeys 以消除基于密码的攻击

单点登录(SSO):

  • 协议: SAML 2.0、OAuth 2.0、OpenID Connect(OIDC)
  • 好处: 集中化身份验证、减少密码疲劳、改进安全态势
  • 实施: Azure AD、Okta、Auth0、Ping Identity

授权控制

基于角色的访问控制(RBAC):

  • 用户分配给角色,角色有权限
  • 粗粒度,易于实施
  • 最适合:具有稳定角色结构的组织

基于属性的访问控制(ABAC):

  • 基于属性(如用户部门、资源分类、时间、位置)的细粒度访问
  • 比 RBAC 更灵活
  • 最适合:复杂、动态的访问需求

基于策略的访问控制(PBAC):

  • 集中化策略引擎(如 Open Policy Agent - OPA、AWS Cedar)
  • 策略以声明式定义并版本化
  • 最适合:微服务、API 网关、云原生架构

特权访问管理(PAM)

即时(JIT)访问:

  • 为特定任务的临时提升权限
  • 时间限制访问授予(如 4 小时)
  • 减少常设特权访问

凭证库:

  • 集中化存储特权凭证(如 CyberArk、HashiCorp Vault、Azure Key Vault)
  • 自动密码轮换
  • 会话记录和审计

详细 IAM 实施模式、MFA 配置和 PAM 设置,参见 references/iam-patterns.md

安全监控与运营

SIEM(安全信息与事件管理)

集中化日志聚合、关联和安全事件警报。

领先 SIEM 平台:

  • Splunk、Elastic Security、Microsoft Sentinel、Chronicle

SIEM 架构:

  1. 日志收集: 从所有层(网络、终端、应用、云)摄取日志
  2. 规范化: 标准化日志格式以进行关联
  3. 关联: 应用规则检测模式(如失败登录 → 暴力攻击)
  4. 警报: 通知安全运营中心(SOC)团队高优先级事件
  5. 调查: 提供搜索和可视化以进行事件分析

SOAR(安全编排、自动化与响应)

自动化事件响应工作流以减少平均响应时间(MTTR)。

SOAR 能力:

  • 剧本: 自动化响应工作流(如阻止 IP、隔离终端、撤销凭证)
  • 编排: 集成安全工具(如 SIEM、EDR、防火墙、IAM)
  • 案例管理: 跟踪事件、分配给分析师、记录解决方案

领先 SOAR 平台:

  • Splunk SOAR、Palo Alto Cortex XSOAR、IBM Resilient

检测策略

UEBA(用户和实体行为分析):

  • 基于机器学习的异常检测
  • 检测:账户被攻破、内部威胁、数据外泄
  • 基线正常行为,在偏差时报警

威胁情报:

  • 集成威胁源(如 MISP、ThreatConnect、ISAC)
  • 用威胁上下文(已知恶意 IP、IOC)丰富警报
  • 使用 TTP(如 MITRE ATT&CK 框架)进行主动威胁狩猎

SIEM 架构、SOAR 剧本示例和检测策略,参见 references/security-operations.md

快速参考:控制框架映射

使用此表映射风险到适当的控制框架:

风险/要求 框架 关键控制
一般安全程序 NIST CSF 2.0 所有 6 个功能(GV、ID、PR、DE、RS、RC)
合规基线 CIS Controls v8 IG1:控制 1-18(56 个防护措施)
ISO 认证 ISO 27001/27002 114 个控制,跨 14 个域
应用安全 OWASP ASVS 286 个安全要求(3 个级别)
云安全(AWS) AWS 良好架构 安全支柱:10 个设计原则
云安全(GCP) GCP 安全最佳实践 Security Command Center 架构
云安全(Azure) Azure 安全基准 Defender for Cloud 控制
供应链安全 SLSA + SBOM 级别 2+ SLSA、CycloneDX SBOM
零信任架构 NIST SP 800-207 ZTA 原则、部署模型
隐私/GDPR NIST 隐私框架 隐私工程目标

与相关技能的集成

安全架构为战术性安全实施提供战略基础:

  • infrastructure-as-code 以代码形式实施安全架构(安全默认值、硬化)
  • kubernetes-operations 应用 K8s 安全架构(RBAC、Pod 安全、网络策略)
  • secret-management 架构秘密管理(KMS、Vault、轮换策略)
  • building-ci-pipelines 安全 CI/CD 架构(SAST/DAST 集成、制品签名)
  • configuring-firewalls 实施防御深度的网络边界层
  • vulnerability-management 将漏洞扫描集成到安全架构中
  • auth-security 实施 IAM 层细节(MFA、RBAC/ABAC、会话管理)
  • siem-logging 实施安全监控架构(SIEM、日志聚合)
  • compliance-frameworks 映射安全架构到合规要求

常见安全架构模式

模式 1:零信任网络访问(ZTNA)

用基于身份的访问替换 VPN 以访问应用。

架构:

  1. 用户身份验证到身份提供者(如 Azure AD、Okta)
  2. 设备姿态检查验证设备健康
  3. 策略引擎评估访问请求(用户、设备、上下文)
  4. 通过安全连接器授予访问(无网络访问)

好处: 消除横向移动、减少攻击面、改进用户体验

模式 2:Web 应用的防御深度

分层多个安全控制以保护 Web 应用。

层:

  1. DDoS 保护(如 Cloudflare、AWS Shield)
  2. WAF(应用防火墙、OWASP Top 10 规则)
  3. API 网关(身份验证、速率限制)
  4. 应用安全(SAST/DAST、安全编码)
  5. 数据库安全(加密、最小权限)
  6. 日志记录和监控(SIEM、异常检测)

模式 3:云安全状态管理(CSPM)

持续监控和执行云环境中的安全配置。

架构:

  1. 资产发现:清单所有云资源
  2. 配置评估:比较安全基线(如 CIS 基准)
  3. 合规监控:跟踪法规合规(如 SOC 2、ISO 27001)
  4. 修复:自动化修复或指导工作流
  5. 漂移检测:对配置更改报警

领先 CSPM 工具: Wiz、Orca Security、Prisma Cloud、Microsoft Defender for Cloud

资源与参考

防御深度:

  • references/defense-in-depth.md - 9 层防御模型、实施模式、失效影响分析

零信任架构:

  • references/zero-trust-architecture.md - ZTA 原则、参考架构、实施路线图

威胁建模:

  • references/threat-modeling.md - STRIDE、PASTA、DREAD、攻击树方法学
  • examples/threat-models/web-app-stride.md - Web 应用 STRIDE 分析示例
  • examples/threat-models/api-threat-model.md - REST API 威胁模型示例
  • examples/threat-models/microservices-threat-model.md - 微服务威胁模型示例

控制框架:

  • references/nist-csf-mapping.md - NIST CSF 2.0 功能、类别、子类别
  • references/cis-controls.md - CIS Controls v8、实施组、防护措施
  • references/owasp-top10-mitigation.md - OWASP Top 10 风险和缓解策略

供应链安全:

  • references/supply-chain-security.md - SLSA 框架、SBOM 生成、依赖扫描

云安全:

  • references/aws-security-architecture.md - AWS 良好架构安全支柱、服务、模式
  • references/gcp-security-architecture.md - GCP 安全最佳实践、服务、组织设计
  • references/azure-security-architecture.md - Azure 安全基准、Defender for Cloud、着陆区

IAM 和运营:

  • references/iam-patterns.md - 身份验证、授权、MFA、RBAC/ABAC、PAM
  • references/security-operations.md - SIEM、SOAR、UEBA、威胁情报、事件响应

架构示例:

  • examples/architectures/aws-multi-account-security.md - AWS Organizations 安全设置
  • examples/architectures/gcp-security-hierarchy.md - GCP 文件夹/项目安全层次结构
  • examples/architectures/azure-landing-zone.md - Azure 中心-辐条着陆区
  • examples/architectures/zero-trust-network.md - 零信任网络设计

脚本:

  • scripts/threat-model-template.py - 生成 STRIDE 威胁模型模板
  • scripts/control-gap-analysis.sh - 比较当前控制与框架
  • scripts/sbom-generate.sh - 生成 CycloneDX 格式的 SBOM
  • scripts/security-checklist.sh - 自动化安全架构检查表

总结

安全架构需要在多个层进行战略规划,从物理安全到安全运营。实施防御深度以进行全面保护,采用零信任原则以适用于现代云环境,使用威胁建模主动识别风险,并映射控制到框架以确保合规和完整性。

从风险评估开始以理解威胁,选择适当的架构方法(绿场用零信任、棕场用混合),实施分层控制,并持续监控和改进安全态势。