可观测性是指通过网络系统的运行数据输出(如日志、指标、迹线等)来衡量网络系统工作状态的能力。最初,可观测性被定义为系统的外部监控属性,最早是在工业控制和生产领域提出的。管理人员使用可观察性来查看隐藏在系统中的各种信息数据。例如,水处理厂的操作人员无法从外部直接了解水管内的水流状态、流动方式、水质等。此时,增加可观察性工具(如流量计、传感器等)连接到仪表盘,操作人员可以全面掌握管道中的水流情况,并根据情况及时做出调整,从而显着提高运行可靠性的相关系统。随着现代网络基础设施的复杂性不断提高,各种隐患越来越难以发现,提高网络系统的可观测性对于安全防护的重要性日益凸显。其价值可以体现在以下几个方面:1、帮助安全团队规划和制定网络安全防护流程;2、帮助运维人员提前发现和解决网络安全问题;3、提高网络安全事件检测和响应的效率和准确性。4、提高网络设备系统的使用寿命和运行稳定性。可观察性与传统安全监控的区别在“可观察性”这个词出现之前,我们经常使用“监控”这个概念,但两者有很大的区别。传统的监控模式可以在出现问题时进行追溯,但是可观察性可以让安全团队知道安全事件发生的原因;监控将跟踪网络安全设备的整体健康状况,并根据访问速度、连接性、停机时间等进行分析。可观察性为故障模式提供细粒度分析和上下文洞察能力,并深入研究“内容”应用运行异常的“原因”,进一步发现安全隐患;监控只提供已知问题或故障的答案,具有可观察性的软件系统可以满足开发者探索未知的网络安全风险。可以认为,传统的监控模式就像是从局外人的角度审视安全系统的运行情况,而可观察性则是对安全系统的自我审视,从开发者的角度探索网络安全设备的应用。如何正确呈现自己的状态。另一方面,监控也可以说是可观察性的一个子集。可观察性除了提供更传统的监控度量外,通常还包括观察系统应用体验和业务流程的能力。总的来说,可观察性是一种以多种方式提供价值的服务。它不仅可以监控企业网络安全应用和平台,还可以监控企业业务流程、开发团队效率,甚至各种业务计划的执行情况。除了云环境或数据中心,可观察性还可以扩展到企业数字化业务应用中,为企业提供从功能请求到客户满意度的全面观察和感知。ObservabilityCapabilities通过ObservabilityRiver实现基于数字技术应用体验构建安全监控和可观察能力,帮助用户了解网络中可以采集什么,需要关注什么运行数据类型,从简单的数据流开始并建立一个可供用户综合使用的可观察性解决方案数据集合。构建可观测长河的关键点如下:01从基础安全监控入手accounts,可能包含攻击者的攻击特征,这些信息需要重点关注。02对于网络安全设备、云平台指标和日志监控,长江技术方案需要添加设备的中央处理器(CPU)、记忆棒(RAM)和存储系统的日志信息和运行参数,以及作为Lambda函数的执行等。云平台速度指标。03了解网络安全设备的运行性能加强网络安全设备应用的性能监控,包括功能执行速度、数据库查找时间,甚至基于OpenTelemetry或类似产品的跟踪数据。(OpenTelemetry是云原生计算基金会的可观测项目,旨在提供可观测领域的标准化解决方案,解决观测数据的数据模型、采集、处理、导出等标准化问题,提供中立服务。)04加强员工行为信息采集。真实用户监控(RUM)和综合用户监控(SUM)这两个功能让企业可以进一步了解用户行为路径和实际产品使用情况,并可以基于这些行为分析来改善用户体验。综合用户监控是指在模拟场景下提交需要审计的页面,通过一系列工具和规则运行页面,评估运行页面的性能指标,获取相关审计报告。真实用户监控是对用户访问真实页面数据信息的分析和监控。05具备处理数据的能力收集数据的目的是对数据进行正确的处理,实现数据长河的可视化。图形解释是有效可视化数据的最佳方式。例如,当用户将员工的行为信息和企业的关键敏感数据可视化后,企业安全防护存在的安全隐患和短板将一目了然地展现在仪表盘上,对稳定安全具有重要意义。开展数字业务工作。06增加告警功能当安全事件发生或存在安全隐患时,应及时通知企业内部网络安全团队,并结合上下文数据统计和告警结果做出相应的响应。如何选择合适的可观测性解决方案?以下是用户在选择可观察性安全方案时需要考虑的重点问题:1、企业是否有能够支持可观察性安全方案的团队?在构建可观察性安全解决方案之前,企业首先要了解自己是否具备运行服务的技术水平和能力。一个负责可观测性解决方案的网络安全团队,需要在组建、运营、工作和开发等方面投入大量资金成本和管理精力。从某种程度上来说,直接购买成熟的第三方安防监控系统会更划算。.2、用户是否愿意让监控数据存在于自己“自己的环境”之外?在运行可观察性解决方案时,通常有以下三种选择:防火墙内部:无论从用户感知还是理论上,这都是最安全的选择——即确保数据始终处于网络环境的边界内,监控数据(以及基础设施布局的细节)泄漏到公共领域的风险较小,这是大多数用户选择的选项。软件即服务(SaaS):软件即服务(SaaS)正迅速成为企业购买监控解决方案的主要方式,尤其是在云环境中。将告警、运维等高难度任务交给第三方,降低内部人员技术门槛。但是,这样一来,企业的监控数据可能会存储在多个平台上,增加了泄露的风险。云监控:亚马逊和谷歌等云提供商通常提供完全托管的监控平台(如CloudWatch),以及托管服务(如AWSManagedGrafana和AWSOpenSearchService)来帮助企业构建可观察性。云监控的优缺点可能介于以上两种方案之间,成本比完整的SaaS产品要低。3、企业自身有哪些需要观察和分析的?许多企业都在寻找功能最丰富、最受市场青睐的监控平台和可观察性安全解决方案。但在实际应用中,实际使用到的产品功能可能还不到一半。如此高的投入与实际需求不符。不合理。4.可观测性解决方案支持编程语言企业在购买网络可观测性解决方案时,需要注意这些工具更适合哪些开发语言环境。例如,AppDynamics是企业组织中非常流行的应用性能监控工具,如果企业员工非常擅长Java或C#语言,那么可能就可以了。但如果工作人员只是擅长Python或Rust,结果会差强人意,因为它对这些语言的支持很差。
