《Google 安全白皮书：构建安全、可靠的系统 》读书笔记

背景 & 目标

看一线行业前辈经验（沉淀来的东西），比一个人探索的效率要高很多。尤其周围的朋友已经看完&用起来了，因此这本书需要反复精读。

读书笔记需要覆盖：

• Part1 这本书目标是什么？为了实现这个目标 主要讲了什么？
• Part2 对企业安全建设的帮助点在哪里？
• Part3 对个人来说有哪些todo？

其他：

• 开始时间：2024年01月07日
• 预计结束时间：2024年01月31日
• 在线版本阅读：https://google.github.io/building-secure-and-reliable-systems/raw/toc.html
• https://sre.google/books/

Part1 本书主要目标 & 内容

0. 本书目标

google系统架构解密的目标：构建安全、可靠的系统（secure reliable）

目标的完成客观规律是：PDCA（任何时候都不会改变。因此本书主要围绕：计划（设计）、执行（构建）、检查（维护）介1绍每个层面的原则和方法论。（这也说明了这本书谈到了本质，是一本好书）。

1. 第 1 章　安全性与可靠性的交集（目标&怎么实现的？）

客观规律1：secure + reliable是一个系统的固有属性（隐式特征），和系统的发展迭代速度是存在一定冲突的（发展的快则安全可靠相对弱一点，但也不能只为了安全可靠而龟速发展），两者需要取得平衡。正常人、国内很多公司都会在生存下来之前选择发展这一策略。（这一点我很早就意识到了，也就是一定是企业规模发展大了之后才会需要安全人员介入，安全人员介入时面临的大概率是一个烂摊子）

客观规律2：隐患在有苗头时就消灭此时付出的代价是最小的，安全介入越早越好，避免后期大家都痛苦。=》内生安全。本书就是告诉我们一些方法论，在系统生命周期早期的时候应该怎么做，避免后续付出较大的成本。

构建一个安全&可靠的系统要怎么做呢？最关键的几个步骤/注意事项有哪些？

1、风险建模：不同价值的系统面临的风险不同，根据不同的风险做设计和措施（可靠面临的风险可能是非恶意的、安全面临的风险是恶意的如他人攻击等）。

2、安全&可靠 特点&原则：

• 常规情况下都是隐形的、对用户无感知的
• 需要结合失效时额代价成本 来能评估投入的成本
• 系统设计原则：简洁、减少复杂性（有助于提高 安全&可靠）
• 两者是动态变化的：系统变化、两者属性也会变化
• 系统设计：应该是具备弹性的、自适应的（有助于提高 安全&可靠），随之带来的是 最小权限原则、和多方授权原则
• 系统构建：SDL（安全review） + 充分测试 ，实际部署时：可灰度 + 可降级 + 可灰姑娘
• 系统运行：可观测（日志，不能包含PII，个人身份信息）
• 假设失效（plan B）：安全/稳定性事件发生时的 协同管理（IMAG google实践管理）的建设 + 日常的演练（DiRT 灾难恢复测试系统）
• 具备止损恢复机制&组织建设：修复方案的确认、通告时间点选择的决策、推修节奏紧迫性等（综合评估）

2. 第二章 了解攻击者

2024年1月8日 下午9:32:17

了解攻击者的方法论：了解他们动机、了解他们常见的画像、了解他们的常见方法。

值得记录：

• 攻击者用来实现目标的具体策略、技术和程序（tactic,technique, and procedures，TTP）。
• 头部对标：TTPs 最早在1986就有苗头以及专业方法论，了解外部头部经验很重要，非闭门造车。
• 迭代反馈：case驱动的反馈可以让系统/事物 迭代得更加频繁，进步更快，成长更快。平时也需要主动关注负面反馈，逐渐迭代。『成长型思维』

1. 知道风险在哪里，知道攻击者在研究什么、常用的攻击手法、ttps等

其他

一些读书笔记摘要：

• 作者（牛人）：Adam Stubblefield、Massimiliano Poletto、Piotr Lewandowski、David Huska 和 Betsy Beyer

• [美]希瑟·阿德金斯（Heather Adkins），[美]贝齐·拜尔（Betsy Beyer），[美]保罗·布兰肯希普（Paul Blankinship），[波]彼得·莱万多夫斯基（Piotr Lewandowski），[德]阿那·奥普雷亚（Ana Oprea），[美]亚当·斯塔布菲尔德（Adam Stubblefield）

  • 02年 Rice大学毕业、05年约翰霍普金斯硕士毕业，硕士毕业之后开了安全咨询公司。 https://www.cs.jhu.edu/~astubble/cv.pdf

  • 他人评价：Adam Stubblefield: Adam co-leads Stripe security and is a former distinguished engineer at Google. He is one of the world’s best security thinkers and has a fantastic ability to relate to and motivate people.（1. 联系、激励他人） He developed engineering security thought leaders（2. 成就他人具备领导能力） who could balance business needs with security and privacy risks. He always asked excellent questions to help people understand the gaps in their thinking that guided them toward good decisions（3. 让别人思考而不是直接告诉答案） rather than telling them the answers. He cared deeply about structured paths for developing people. https://material.security/blog/security-through-humility-gordon-chaffee

Part2 个人思考部分