网络安全之认识网络安全网格架构(CSMA)
“网络安全网格(CyberSecurity Mesh)”是 Gartner 提出的网络安全技术发展新趋势,近两年连续入选其年度重要战略技术趋势研究报告,成为当前网络安全领域流行的热词,受到网络安全从业者的高度关注。
一、概念产生的背景
如今,由于现在平均每个企业在自己的网络上部署了多达45个安全解决方案,使得任何形式的集中管理都几乎无法实现。更糟糕的是,检测和响应网络事件需要在其中的19个工具之间进行协调,导致每次设备升级时都需要不断管理和重新配置。
仅仅依靠连接不同安全技术的变通方法是不够的,企业需要一个全面覆盖、深度集成和动态协同的“网络安全网格平台”,提供集中管理和可见性,支持在一个庞大的解决方案生态系统中协同运行,自动适应网络中的动态变化。
因此有了网络安全网格这个概念。
Gartner 发布的《2021 年重要战略技术趋势》(Top Strategic Technology Trends for 2021)中描述了网络安全网格的概念:“网络安全网格是一种分布式架构方法,能够实现可扩展、灵活和可靠的网络安全控制。现在许多资产存在于传统安全边界之外,网络安全网格本质上允许围绕人或事物的身份定义安全边界。通过集中策略编排和分布策略执行来实现更加模块化、更加快速响应的安全防护。”
在 Gartner 发布的《2022 年重要战略技术趋势 》(Top Strategic Technology Trends for 2022)中对网络安全网格概念有了进一步的说明:“数字业务资产分布在云和数据中心,基于边界的传统、分散的安全方法使组织容易遭受攻击。网络安全网格架构提供一种基于身份的可组合安全方法,以创建可扩展和可互操作的服务。通用的集成结构可以保护任务组织的任何资产,对于使用这样的一体化安全工具的组织来说,可将单项安全事件的财务影响平均减少 90%。”
从上述 Gartner 报告的描述中可以看出,网络安全网格是一种安全架构方法或者策略,而不是一种定义明确的架构或标准化的技术方法,更不是某种产品,其目的是找到能够应对不断发展的业务系统以及网络环境演变所带来的安全挑战的新方法,提供比传统物理边界防护更强大、更灵活和可扩展的安全能力。通过连接、集成和协同管理各种网络安全控制系统、服务和数据来提供综合安全保护的框架。它致力于构建一个灵活、弹性和动态的安全环境,以适应日益复杂和多样化的网络安全威胁。
二、架构与实现
Gartner 提出了网络安全网格的具体实现框架,即网络安全网格架构(CyberSecurity Mesh Architecture,CSMA)。这是一种分布式安全服务的协作框架,提供安全分析与情报、统一策略管理、整合操控界面和分布式身份结构等 4个安全基础设施使不同的安全工具能够基于该基础设施协同工作并实现统一的配置和管理,提高安全工具的可组合性、可扩展性和互操作性,解决多种安全工具在各个孤立体系中运行时所带来的问题,实现各种安全能力的有机聚合,适应业务发展需要并达到“力量倍增”的效果。
网络安全网格架构的组成如上图图所示,4 个基础支撑层之间以及与其他安全系统之间的关系如下:
- 安全分析与情报层。可与来自第三方的安全工具开展联合协同检测,基于丰富的威胁分析手段,结合威胁情报,利用机器学习等技术形成更加准确一致的威胁分析结果。
- 统一策略管理层。主要包括安全策略编排和安全态势管理,将集中的策略转换为各个安全工具的本地配置策略,实现分布式执行,并支持动态策略管理服务。
- 整合操控界面层。实现安全数据可视化,提供安全系统复合视图,主要包括统一的控制面板、告警、审查、指导手册和报告等,使安全团队能够更快速、更有效地响应安全事件。
- 身份架构层。主要提供目录服务、自适应访问以及去中心化的身份管理、身份验证和授权管理等功能,支撑构建适合用户需求的零信任网络架构。
网络安全网格是在物理网络之上构建的逻辑层,网络安全架构的应用视图如下图所示,直观展示了在逻辑层中通过对各种安全能力的编排、执行,使得各种安全工具基于 4 个安全基础层实现互操作,提供统一的安全管控和可见性,而不是在孤岛中运行每个安全工具,从而构建一个能在庞大的安全生态中协同运行,且自动适应网络环境演化的安全平台。
三、主要特点
网络安全网格主要涉及设计和建设 IT 安全基础设施,采用“水平”分布式方式将各种安全能力集成到网络中,而不是采用传统的“自上而下”、各种安全设备“一应俱全”的集成方式,致力于构建一个能在庞大的安全生态系统中协同运行,且自动适应网络环境演化的全面覆盖、统一管控、动态协同和快速响应的安全平台。
-
通用集成框架。网络安全网格提供一种通用的集成框架和方法,实现类似“乐高”化思维的灵活、可组合、可扩展的安全架构。通过标准化工具支持可互操作的各种安全服务编排和协同,从而实现广泛分布的不同安全服务的高效集成,建立起合作的安全生态系统来保护处于本地、数据中心和云中的数字资产,并基于数据分析、情报支持和策略管理等能力的聚合形成更加强大的整体安全防御和响应处置能力。
-
分布式网络架构。网络安全网格利用了“网格”的去中心化、对等协作、结构灵活、连接可靠、扩展性强等优势,不再侧重于围绕所有设备或节点构建“单一”边界,而是围绕每个接入点创建更小的、单独的边界 [5-6]。通过建立与接入点同样多的安全边界,保证物理位置广泛分布的用户能随时随地安全接入,符合零信任网络中的“微分段”要求,使得网络犯罪分子和黑客更难利用整个网络。同时,网络中主客体之间在逻辑上都是点对点直连关系,无须关注具体的物理网络部署,能够简化安全配置且能自动适应网络动态变化。
-
集中管理与分散执行。与传统的网关集中访问控制不同,网络安全网格采用了集中的策略编排和权限管理,基于策略分布式的执行,将网络安全控制能力分布到网络的更多地方,使安全措施更接近需要保护的资产,一方面,有利于消除安全管控盲点,缓解传统集中安全控制存在的性能处理瓶颈,适应用户终端和组织业务分散化发展需要;另一方面,有利于实现全局的安全威胁分析,形成更加一致的安全态势,从而实现更加精准的安全管控和更加快速的响应处置。
-
围绕身份定义安全边界。在当前网络协议中,因缺失身份要素带来了很多安全问题,物理 IP 地址与人和终端的关联性越来越弱,导致基于地址、流量、日志的安全检测和威胁分析技术难以实现针对人的威胁研判;基于网络协议字段特征检测的传统边界访问控制技术,同样使得基于身份的授权访问成为天方夜谭。由于网络威胁本质上是人带来的威胁,因此难以实现精准高效的安全威胁处置。网络安全网格延续了零信任网络的思想,用身份定义网络边界,让身份成为威胁研判与安全管控的基础。
四、应用场景
网络安全网格的应用场景包括:
- 云安全:网络安全网格可用于跨多个云环境提供综合的安全管理和保护,确保云服务的安全性和合规性。
- 边缘安全:网络安全网格可以应用于边缘计算环境,以提供安全的边缘设备管理、数据保护和边缘网络保护。
- 供应链安全:通过网络安全网格,可以实现供应链中各个环节的安全协同,共享安全信息,降低供应链中的安全风险。
- 物联网安全:网络安全网格可以为物联网设备和系统提供统一的安全管理和保护,保障物联网环境的安全性和可信度。
五、价值和优势
网络安全网格的主要价值包括:
- 综合安全保护:网络安全网格可以集成多个安全控制系统和服务,提供全面的安全保护,从网络边界到终端设备,覆盖各个层面和环节的安全需求。
- 动态适应能力:网络安全网格具备弹性和动态适应的特性,能够快速识别和响应新的威胁,并自动调整安全策略和控制措施以提供即时和有效的保护。
- 协同合作:网络安全网格促进了不同安全系统和服务之间的协同合作和信息共享。通过共享威胁情报和安全事件信息,提高整体的安全防御能力,并加强各方之间的合作与配合。
- 可扩展性和灵活性:网络安全网格具备高度的可扩展性,可以根据实际需求快速部署和调整安全控制系统,适用于各种规模和复杂度的网络环境。
网络安全网格与传统网络安全方法在以下几个方面存在区别:
- 集成性:传统网络安全方法通常是独立而孤立的解决方案,每个安全设备或系统都有自己的管理界面和策略。而网络安全网格强调集成不同的安全控制系统和服务,通过连接和协同工作来提供综合的安全保护,实现整体的安全扩展性和一致性。
- 动态适应性:传统网络安全方法通常是静态的,在部署后很少变动,而网络安全网格具备弹性和动态适应的特性。它可以根据实际需求自动调整安全策略和控制措施,灵活应对不断变化的威胁环境。
- 协同合作:传统网络安全方法主要依赖于各个安全设备或系统的独立工作,缺乏跨系统的协同合作。而网络安全网格通过实现安全控制系统和服务之间的协同和信息共享,提高整体的安全防御能力,并加强各方之间的合作与配合。
- 统一视图和管理:传统网络安全方法通常需要使用多个不同的管理界面来管理各个安全设备或系统,使得安全管理变得复杂而繁琐。而网络安全网格提供统一的视图和管理平台,使得管理员可以更便捷地管理和监控整个安全环境,提高管理效率和反应速度。
- 灵活性和可扩展性:传统网络安全方法在部署和扩展时通常需要考虑设备间的兼容性和差异性。而网络安全网格具备高度的灵活性和可扩展性,可以根据实际需求灵活部署和调整安全控制系统,适用于各种规模和复杂度的网络环境。
网络安全网格架构的优势主要体现以下几个方面:
- 实现更加可靠的安全防御。网络安全网格摒弃了传统的边界防护思想,不仅是围绕网络数据中心、服务中心构建“边界”,还围绕每个接入点创建更小的、独立的边界,并由集中的控制中心进行统一管理,从而将安全控制扩展到广泛分布的资产,在提高威胁应对能力的同时,增强了安全系统的可扩展性、灵活性和弹性。
- 应对复杂环境下的安全需求。通过网络安全策略集中编排但分散执行的方法,在统一的安全策略控制下,提供一种灵活且易于扩展的安全基础架构,可为混合云和多云等复杂环境中的资产保护提供所需的安全能力。
- 实现更加高效的威胁处置。通过安全工具集成,加强了安全数据采集和预测分析之间的协作,可以更加快速、准确地获取安全态势,及时发现并应对安全威胁,可大幅度增强对违规和攻击事件的响应处置能力。
- 构建更加开放的安全架构。提供了一种可编排的通用集成框架和方法,支持各类安全服务之间的协同工作,用户可自主选择当前和新兴的安全技术与标准,面向云原生和应用程序接口(Application Programming Interface,API) 插 件的环境更加易于集成,便于定制与扩展,能有效弥补不同供应商安全方案之间的能力差距。
- 降低建设维护的成本与难度。用户可以有效减少管理一组庞大的孤立安全解决方案的开销,同时,安全能力部署和维护所需的时间更少、成本更低,易于与用户已建设的身份识别与访问管理(Identity and Access Management,IAM)、安全信息和事件管理(Security Information and Event Management,SIEM)、 安 全运营中心(Security Operations Center,SOC)、态势感知等安全系统共存,也方便对接已建设的专线、软件定义广域网(Software-Defined Wide Area Network,SD-WAN)等网络服务。