深度 | HiSec Insight，用標準化微服務架構重塑安全應用開發模式

在移動互聯網高速發展的今天，各類惡意軟件層出不窮，時刻威脅著每一個企業、每一個用戶的切身利益。

網絡安全環境瞬息萬變，你怕了嗎？

根據不完全統計數據顯示：全球每年新增惡意軟件數量接近上億，每天都能出現30萬個以上的新的病毒樣本。且隨著數字經濟的發展，用戶面臨的網絡安全威脅也在不斷增加。

網絡安全環境如此複雜而多變，企業該如何快速應對？目前，行業主流的解決思路有兩種：

引入自適應的安全框架（ASA，Adaptive Security Architecture）。通過持續地對安全威脅進行動態檢測分析，自動適應不斷變化的網絡和威脅環境，並不斷優化自身的安全防禦機制，以提升安全檢測與響應能力；

採用開放的微服務軟件架構。通過架構開放，建立生態體系，發揮集體智慧，以微服務架構代替傳統單體架構，重塑應用開發模式，提升網絡安全態勢感知專題應用的開發效率，持續豐富網絡安全的專項檢測分析與響應能力。

以下著重闡述第2種解決思路。

目前，業界大多數安全應用開發商採用傳統的單體架構應用開發模式，即：“底層平臺選型->數據接入->數據處理->數據治理->檢測分析->前臺展示”等環節，需要端到端通盤考慮，全部獨立開發。

基於傳統單體架構的應用開發模式，主要存在如下缺點：

開發週期長：一個應用從需求分析到完成開發、部署上線通常需要3~6個月，週期長，投入大，很難跟上外部惡意軟件的發佈節奏；

技術門檻高：大數據技術和安全檢測技術發展越來越快，技術架構也變得越來越來越複雜，一個應用開發廠商掌握所有相關技術的難度可想而知，很難做精。

基於標準微服務架構，重塑安全應用開發模式，你愛了嗎？

要想解決當前單體架構應用開發模式存在的問題，開放、標準化、服務化是唯一有效的途徑。近年來，隨著雲服務行業的興起，基於微服務架構的軟件開發模式已逐漸成為業界主流。那麼，網絡安全態勢感知應用的開發為什麼不能引入微服務架構，不能像搭建樂高積木一樣簡單、高效呢？

微服務技術架構成熟度模型

1、HiSec Insight服務架構

針對當前安全態勢感知應用開發中存在的弊端，華為在HiSec Insight安全態勢感知系統中率先引入了開放解耦、標準化和服務化的設計理念，全力打造安全態勢感知領域的生態體系。

在整體架構設計上，華為HiSec Insight 基於分層解耦的原則，同時參照了其他行業相關的成功經驗，將系統劃分為四層，即：平臺服務層、數據服務層、分析服務層和安全應用層。在每一層，可以將一個個功能都抽象成獨立的微服務，並提供給安全應用層使用。

平臺服務層

當前，許多安全廠商採用的都是開源社區Apache Hadoop或Cloudera CDH免費版(Cloudera Express)，在安全性、可靠性、性能、服務支持等方面均得不到保障。2020年2月4日，Cloudera宣佈正式發佈CDH6.3.3，宣佈從CDH6.3.3開始，將不再提供免費版。對安全應用廠商來說，以後再也沒有免費午餐了。HiSec Insight則基於華為自研大數據平臺（FusionInsight），為上層應用提供Hadoop、Spark、Flume、Flink、Kafka、HDFS、Hive、Hbase、ES、Redis、GaussDB、圖數據庫等基礎的數據計算和存儲服務能力。

數據服務層

提供統一的系統日誌、網絡流量等不同數據源的採集、處理、治理、組織等功能，數據經過加工處理後最終形成統一的面向不同主題的各類安全數據庫，如：日誌庫、事件庫、資產庫、漏洞庫、情報庫、黑客畫像等，並以標準化接口形式對外開放數據服務。

分析服務層

提供面向不同主題的專項分析引擎和服務調用，如：日誌分析服務、文件分析服務、情報分析服務、流量異常分析服務、攻擊推理服務等等。

• 安全應用層

根據實際業務需要，直接調用平臺服務層、數據服務層和分析服務層提供的相關服務能力，再通過簡單的業務邏輯編排，以及少量定製開發，快速開發出新的安全態勢感知應用，解決用戶在安全運營過程中碰到的問題。

HiSec Insight微服務架構及應用開發實例

2、華為微服務引擎（CSE）

HiSec Insight採用了華為自研的微服務引擎（CSE，Cloud Service Engine），它是以開源的Apache ServiceComb為基礎的，提供高性能微服務框架和服務註冊、服務治理、配置管理等全場景能力；幫助用戶實現微服務應用的快速開發和高可用運維；支持多語言、多運行時；支持Spring Cloud、ServiceComb（JavaChassis/GoChassis）框架和Mesher服務網格。

注：Apache ServiceComb是由華為公司最早貢獻的業界第一個Apache微服務頂級項目。

CSE微服務架構

微服務引擎技術原理

CSE微服務技術原理

• 服務提供商啟動時把服務註冊到註冊中心
• 註冊中心把服務信息保存到存儲中
• Consumer啟動時，從註冊中心獲取Provider的實例列表。
• Consumer獲取後保存在本地的cache中
• Consumer與註冊中心建立web socket連接，只要註冊中心provider列表有更新，就會通知對應Consumer
• Provider定期（30s）向註冊中心發送心跳。如果N次沒有收到心跳響應，則註冊中心刪除對應的service實例。
• Provider列表發生變化時，註冊中心會通知Consumer。
• 從cache獲取Provider列表，負載均衡選擇一個具體的Provider實例進行調用。

微服務生命週期管理

華為微服務引擎（CSE）不僅是一個開發框架，同時還提供了完善的微服務生命週期管理能力。

CSE微服務生命週期管理

安全應用開發與適配對接

由於HiSec Insight跟華為雲上的ServiceComb是同源的，因此安全應用廠商可以藉助華為雲上的海量資源進行開發、調測，應用廠商只要在華為雲上完成與CSE適配對接，就可以快速移植到與HiSec Insight平臺上。

華為雲微服務引擎CSE

微服務架構已成為業界普遍認可的趨勢。通過將微服務架構引入安全態勢感知領域，將一個龐大的安全檢測分析系統化整為零，降低耦合，獨立開發，獨立部署，不僅可以提高系統的彈性伸縮能力；更重要的是，通過公共服務能力重用，避免了廠商間重複造輪子，產生新煙囪，從而大大縮短了應用開發週期；從長遠來看，通過實施分層解耦，讓專業的人做專業的事，廠商更聚焦自身的核心業務，更有利於構建安全態勢感知的行業生態體系，彙集眾家之所長，方能創造無限可能。