安全架构系列

March 31st, 2020

前言

一个项目内部有他的架构,设计模式,语言特性,互相作用下的一个实现业务逻辑的项目或者更底层一些,这是代码层次的架构。一个个项目之间也有他的架构,依靠网络通信,应用之间连接组合。从产品设计到应用的实现,这是应用层次的架构。或者更底层一些,网络布线是怎么样连接,机柜里服务器和交换机的连接。亦或者更为宏观一些,把每个细节放大,不同产品线的应用,基础设施的架构等等都可以称之为算做架构吧。并不为过。

书单

update 2021年11月23日 增加几本最近一年多读的几本安全架构的书籍

Enterprise Security Architecture

Designing Security Architecture Solutions

上面这两本都是比较古老的书籍了,分别成书于2002年2003年,但是不难发现其列出的框架和理想依旧适用。但需要注意去思考,这二十年来,IT的基础设施的变化多带来的软件开发模式已经出现差别。两本书分别从介绍了做安全架构的不同层次,不同内容,以及都关注了企业安全所需要附加的业务属性。

Practical Security Architecture

这本书似乎是2020年出版的。比较具有实战性。目前还在阅读中,但是觉得很不错。所以先放在此处。


有些书还是一两年前读的,可能内容有些记不清了。记得清的就写两句评语。记不清的就算了。 书籍图片来自搜索和豆瓣。 以下按大概时间顺序排列。

大型网站技术架构:核心原理与案例分析

很简单的一本书,帮你能够认识到一些基础的web架构知识

web信息架构:设计大型网站

高可用架构

微服务设计

好像上面四本其实差不多,现在没有给我留下太多很深的印象。都能算作开卷有益,但是算不上深入

代码整洁之道

好书,需要细读,撸过代码的人看了之后知道哪里需要改进。看这本书的时候还应该想想设计模式,我看的是一本叫做《大话设计模式》的书,大学时候看的。

零信任网络:在不可信网络中构建安全系统

放这本书是因为零信任的只有这本书,当时看的时候还没有翻译版本。上面微服务设计也是,当时也没有翻译版,好在计算机类的书籍名词不算多。

分布式服务架构:原理设计与实践

没记错是java的,不和我技术栈。了解了喜爱基础知识。大段的代码基本都被我略过了。

架构整洁之道

绝对好书,需要一定经验,踩过一定坑才行。出了后第一时间就买了,看时可谓爱不释手。后来ATA还看到有人总结过经验以及一份脑图,受益匪浅。

企业应用架构模式

实话来说,这本书没有看懂。也没有转手卖出去,吃灰了。但我觉得暂时看不懂的书应该还算是本好书。可能只是我的经验不足。

软件定义安全

给你一个新的视角, SDN、NFV等新兴技术的引入对安全带来了什么变化,值得思考,如何去应对。

互联网企业安全高级指南

初看时,简单翻翻,觉得一般般。后来去了阿里,遇到瓶颈,再翻到这本书才发现,对方站的视角和思考角度我还没到。当时还是枝叶障目。赵彦现在是美团ciso,但是身居高位,写的依旧非常有深度。另外这本书后面几章不推荐看,比较水。

数据安全架构设计与实战

这本书是我最近在一些安全观点稍微有点突破时看的,发现与书中有些观点不谋而合。但是本书更适合工具参考书,所以不用都记住,多做点书签放那就行了。顺便推荐下赵彦写的一篇关于数据安全治理的文章。可以搜一下,很不错。

大型互联网行业安全架构

看了很多人说不值得,只能说,钱买到知识不也挺好的吗。如果苛求每页纸都有用,也不现实。这本书只看前三章吧。后面的看情况吧。//我是半价买的。哈哈哈

威胁建模 差点忘了这本书了,虽然他就在背后放着。威胁建模这本书以系统化的思维讨论了风险边界的识别和分析。以及如何建立其相关的防御,能够帮助系统化的构建大局观

后语

架构是个很宽泛的话题,成为架构师也是不少技术人追求的目标。同样,安全架构,首先要懂架构。不懂则没有什么底气去做安全架构。而和编程类的技能训练,工具的使用训练不同。学习架构的方法一是读书,二是看真正大厂的实例。比如阿里,你可以看淘系应用,闲鱼,高德,饿了么,口碑等。不一定看全景,能看到景就行。看不到整体架构,你看看风控架构,看看端上架构,多看是没坏处的。多留意下大型会议的议程,事后找下资源。有时候进不来,不代表看不到。