网络安全网格的主要特点如下文所述。
(1)通用集成框架。网络安全网格提供一种通用的集成框架和方法,实现类似“乐高”化思维的灵活、可组合、可扩展的安全架构。通过标准化工具支持可互操作的各种安全服务编排和协同,从而实现广泛分布的不同安全服务的高效集成,建立起合作的安全生态系统来保护处于本地、数据中心和云中的数字资产,并基于数据分析、情报支持和策略管理等能力的聚合形成更加强大的整体安全防御和响应处置能力。
(3)集中管理与分散执行。与传统的网关集中访问控制不同,网络安全网格采用了集中的策略编排和权限管理,基于策略分布式的执行,将网络安全控制能力分布到网络的更多地方,使安全措施更接近需要保护的资产,一方面,有利于消除安全管控盲点,缓解传统集中安全控制存在的性能处理瓶颈,适应用户终端和组织业务分散化发展需要;另一方面,有利于实现全局的安全威胁分析,形成更加一致的安全态势,从而实现更加精准的安全管控和更加快速的响应处置。
Gartner提出了网络安全网格的具体实现框架,即网络安全网格架构(CyberSecurityMeshArchitecture,CSMA)。这是一种分布式安全服务的协作框架,提供安全分析与情报、统一策略管理、整合操控界面和分布式身份结构等4个安全基础设施(如图1所示)[1],使不同的安全工具能够基于该基础设施协同工作并实现统一的配置和管理,提高安全工具的可组合性、可扩展性和互操作性,解决多种安全工具在各个孤立体系中运行时所带来的问题,实现各种安全能力的有机聚合,适应业务发展需要并达到“力量倍增”的效果。
图1网络安全网格架构概念图
网络安全网格架构的组成如图2所示,4个基础支撑层之间以及与其他安全系统之间的关系如下文所述。
图2网络安全网格架构组成
网络安全网格是在物理网络之上构建的逻辑层,网络安全架构的应用视图如图3所示,直观展示了在逻辑层中通过对各种安全能力的编排、执行,使得各种安全工具基于4个安全基础层实现互操作,提供统一的安全管控和可见性,而不是在孤岛中运行每个安全工具,从而构建一个能在庞大的安全生态中协同运行,且自动适应网络环境演化的安全平台。
图3网络安全架构应用视图
近年来,网络安全领域的新概念层出不穷、纷繁复杂且相互关联,因此,厘清网络安全网格架构所带来的优势,以及与当前流行的其他安全概念之间的关系是很有必要的。
网络安全网格架构的优势主要体现在下文所述的几个方面。
(1)实现更加可靠的安全防御。网络安全网格摒弃了传统的边界防护思想,不仅是围绕网络数据中心、服务中心构建“边界”,还围绕每个接入点创建更小的、独立的边界,并由集中的控制中心进行统一管理,从而将安全控制扩展到广泛分布的资产,在提高威胁应对能力的同时,增强了安全系统的可扩展性、灵活性和弹性。
(2)应对复杂环境下的安全需求。通过网络安全策略集中编排但分散执行的方法,在统一的安全策略控制下,提供一种灵活且易于扩展的安全基础架构,可为混合云和多云等复杂环境中的资产保护提供所需的安全能力。
(3)实现更加高效的威胁处置。通过安全工具集成,加强了安全数据采集和预测分析之间的协作,可以更加快速、准确地获取安全态势,及时发现并应对安全威胁,可大幅度增强对违规和攻击事件的响应处置能力。
(4)构建更加开放的安全架构。提供了一种可编排的通用集成框架和方法,支持各类安全服务之间的协同工作,用户可自主选择当前和新兴的安全技术与标准,面向云原生和应用程序接口(ApplicationProgrammingInterface,API)插件的环境更加易于集成,便于定制与扩展,能有效弥补不同供应商安全方案之间的能力差距。
(2)安全编排自动化与响应(SecurityOrchestration,AutomationandResponse,SOAR)。SOAR同样也是Gartner提出的概念,是安全分析人员在统一的平台中集成工作流管理的一种方式。SOAR涉及安全编排与自动化、安全事件响应平台和威胁情报平台等多种工具的融合,通过监测各种安全事件信息(包括各种安全系统产生的告警),并对之进行分析,在标准工作流程的指引下,帮助安全运维人员实施标准化的事件响应活动。在构建网络安全网格架构的支撑层时,可以注意到的是,实现分布式安全解决方案之间互操作性的工具对于安全网格至关重要。最快、最合理的途径是采用基于API驱动的标准化技术和可扩展的分析平台,利用标准化通信来打破孤岛,在不同技术之间实现语义感知的编排,并通过自动化手段实现所有工具之间的实时共享以及灵活、可扩展的安全态势。由此可见,SOAR作为满足编排和自动化需求而开发的工具,可以融合到网络安全网格架构所需的安全分析与情报层,将成为网络安全网格架构的重要支柱技术之一。
(3)其他安全概念。网络安全网格与当前流行的其他安全概念之间并不冲突。扩展检测和响应为安全供应商提供了将其产品整合至统一平台中的一种新的方式,因此可以说,XDR是CSMA进行安全分析和情报收集的潜在基础。安全信息和事件管理(SIEM)也同样如此,可以为网络安全网格中的安全分析与情报层提供更多的价值。安全访问服务边缘(SecureAccessServiceEdge,SASE)技术是一种通过集成方式提供不同功能的网格方法,与之相比,安全网格通过构建网络安全基础设施的方式,得到更广泛的适用范围。
网络安全网格作为网络安全领域的重要技术发展趋势,将给网络安全行业带来多方面的重要影响,网络安全行业的参与者应紧跟发展形势,积极寻找应对策略。
网络安全网格将为网络安全行业带来以下5个方面的深入影响。
(2)支持大部分的IAM请求。如上文所述,由于企业所在场所之外存在越来越多的数字资产、身份和设备,传统的边界安全模型难以实施有效的保护。Gartner预测,网络安全网格将有助于处理超过50%的IAM请求,支持更具适应性、移动性和统一的访问管理。借助安全网格方法,企业可以获得比传统安全边界保护更集成、可扩展、更灵活和更可靠的数字资产访问控制点和控制方法。
(3)推动安全托管服务提供商(ManagedSecurityServiceProvider,MSSP)的发展。Gartner预测,到2023年,近40%的IAM应用融合将由MSSP推动。MSSP可以为各类企业提供一流的资源和所需的能力来规划、开发、获取和实施综合的IAM解决方案。相比产品供应商,MSSP通过集成方式更有能力和意愿为客户提供同样场景下的最佳安全解决方案,这样的发展趋势将导致产品供应商的作用和影响发生重大转变。
(4)促进在员工身份管理生命周期中纳入新的身份验证工具。随时随地办公的要求使得远程交互变得越来越普遍,让组织更加难以准确识别真正的合规用户和恶意攻击者,迫切需要实现更加有效的身份注册和管理工具。Gartner预测,到2024年,30%的大型企业将实施新的身份验证工具,以解决员工身份管理全生命周期过程中频频出现的问题。
(5)加速去中心化身份标准的应用。身份数据的集中式管理方法使得提供隐私保护和假名变得非常困难,利用安全网格模型和最新的区块链技术,基于去中心化的方法可以实施更好的隐私保护,让请求者仅提供少量信息量来验证访问请求,符合各国已出台的数据安全保护法规要求。Gartner预测,到2024年,市场上将出现真正的全球性、便携化、去中心化身份标准,以满足商业、个人、社交和社会的需要。
(2)实施网络安全网格方法,并不需要大刀阔斧地开展网络与安全系统的重建和改造,无须推倒重来,可以在已有系统上按照安全网格架构方法要求逐步改造与迁移,实现对已有投资的充分“利旧”。
(3)在构建通用集成框架方面投入必要的资金,重点投入和抓好安全网格基础支撑层(安全分析与情报、策略管理、操控界面和身份架构)的建设,通过高效的系统集成产生汇聚效应,提升整体安全防御效能。
(4)有效甄别安全供应商的类安全网格集成方式,例如,Fortinet、McAfee、微软、PaloAltoNetworks等公司都构建了安全系统平台,可以使用户提升安全能力和扩展性,并降低建设和运维成本,但还缺乏广泛的互操作性,仍有可能受制于供应商。
(5)在选择新的安全工具时,应该优先考察其支持可组合性、互操作性方面的能力,例如,支持可扩展和定制的API插件等,避免带来一个个独立的安全“烟囱”,造成低效费比的投资,增加运维难度、降低运维效率。
(6)鉴于标准化对于网络安全网格的建设尤为重要,应尽量使用最新的安全技术标准,同时优先选择在采纳新兴技术标准方面有着良好记录的供应商,降低不同供应商技术之间可能存在的互操作性差异。