1.厘清概念CSMA是Gartner去年提出的重要战略技术趋势之一。全称Cyber??SecurityMeshArchitecture,即网络安全矩阵架构。Matrix,英文有两个词:Grid,Mesh。其中,Grid表示矩阵中包含同类元素,Mesh表示异构。因此,从这里可以看出,CSMA之所以使用Mesh,是指“不同类型的异构安全原子能力有机连接、协调形成安全矩阵”的意思。看看Gartner的定义:Gartner定义的CSMA:任何安全能力都可以部署在需要的地方,发布的策略都是一样的;这些安全能力可以集成到现有的IT基础设施中,可以弹性扩展,也可以协同运营,让用户可以在任何地方安全地使用数字资产。但是感觉还是有点模糊,再看看Gartner定义的架构图:看完感觉理解多了一点,但还是有点模糊。是的,就是这种感觉。CSMA的结构似乎总有一种似曾相识的感觉。好像我们在国内外都看到过类似的产品,但好像都不是。从去年开始,国内有很多关于CSMA的文章,不知道是翻译的原因还是没看懂。作为首发。从Gartner的架构图中,我们从左到右看。首先,我们可以看到CSMA架构定义了一个集中的策略管理中心;该政策中心的数据来自右侧使用“人工智能、机器学习技术”加持的分析中心;这个分析中心的数据来自右边安全原子能力矩阵输出的日志和告警,也就是CSMA中的M;再往右,它代表受保护的对象。我们可以看到,除了传统的网络边界,还有云、用户等异构边界。看到这里,有点明白了:首先,CSMA是一个技术路线飞塔,与其说是一个具体的产品,更像是一种技术理念。要构建一个安全完整的安全体系,我们需要从上到下了解安全的层次:首先是安全理论,其次是技术路线,然后是具体的产品和解决方案。关系。Gartner作为全球顶级研究机构,通常擅长安全理论和技术路线图两个层面,而大多数安全厂商则擅长技术路线图的实施,即安全产品和解决方案层面。解决方案和具体的安全产品都比较容易理解,那么安全理论和技术路线是怎样的呢?有什么不同?我举一个通俗的例子:古代有一个圣人,他的理想是天下太平(安全论);那么它会实现什么样的技术路线呢?他思索良久,提出修身齐家治国平天下(技术路线);那么他到底是怎么做到的呢?努力学习,获得名声;然后做好小家,家业兴旺。然后保卫国家,治理好国家;有了治理国家的能力,就有了平天下的能力——这是他具体实施的“方案”。其次,CSMA是现有技术和产品的演进,不是革命性的创新。这一观点在Forti的《fortinet-cybersecurity-mesh-for-dummies》书中也得到了印证,称CSMA是“对现有技术体系的演进,而不是革命性的改变”。这也是为什么前面感觉有点模糊,又有点眼熟的原因。我们可以看到,CSMA其实利用了大部分现有的产品和技术,比如EDR、NDR、WAF、FW、SOC、安全编排、IAM等等。但是,CSMA有自己的技术概念。通过安全分层和核心组件,整合现有技术和产品,实现其提出的安全矩阵的技术架构,解决其所针对的安全场景中遇到的问题。具体问题。最后,CSMA整体架构相比完整的CSMA框架,核心概念和主要层次清晰,可以引导现有的大部分安全产品形成安全矩阵,可以覆盖当前新的安全痛点和安全场景。这也是Gartner的强项。多年来始终能够从高层次的角度发现规律,提出具有普适性的理论,指导产品演进的方向。2.为什么需要CSMA?借鉴Forti的观点,他们认为需要CSMA的核心原因有3个:1、安全数据太多。传统的SIEM或SOC虽然有用,但缺乏整合分析数据的安全基础设施,无法根据动态的攻击情况灵活增加安全防护设备2.安全数据分析的挑战,forti的观点是不是足以对数据进行分类,不同类型的安全日志需要有效的方法进行关联;另外,即使整合了数据,仍然需要工具软件进行有效的分析和定位3.安全问题需要及时处理,包括快速检测(MTTD)和快速响应(MTTR)。再补充三点:4.传统的安全产品堆叠方式缺乏系统性方法论安全规划和前瞻性安全架构导致安全投资严重浪费,难以发挥作用,所以方法论需要(CSMA)来引导5.不同厂商的安全产品很难协同,缺乏1+1>2的效果。6、网络边界越来越模糊,IT资产分布式部署成为趋势。传统的访问控制方式不能满足新的场景,为什么需要CSMA?1、安全的核心是数据。在CSMA看来,数据的采集、分析、处理是核心中的核心。CSMA体系结构首先是分层的。规范化层、安全分析和智能层以及集中式策略管理都与数据相关。也就是说,CSMA紧紧围绕网络安全的核心——数据,进行了科学的分层。通过分层,对异构安全原子能力数据进行归集和标准化;通过分层,引入安全智能。和机器学习技术,加强对海量数据的精准处理;通过集中的策略管理中心,将精准分析的结果转化为具体的策略,分发到各个安全原子能力中,形成安全闭环。记得国内的奇安信很多年前就提出了“数据驱动安全”。这种观点其实是安防行业的共识。2.CSMA提供了一套全面的数据分析工具。如前所述,传统SOC和SIEM的数据分析能力不足以满足现有的实际情况。具体来说,它是不完整的,缺乏联系,缺乏有效的分析和定位能力。因此,CSMA的架构也引入了安全智能、海量数据处理、安全编排、SOAR、安全日志标准化处理等技术,通过大数据和AI的加持,提升数据分析能力。能够向决策中心提供更准确有效的信息,使决策中心实时生成动态策略,应对安全攻击的最新挑战。3、CSMA提供了快速检测和快速响应的能力。一般来说,这个点是为了应对最严重的0day攻击情况。这个比较容易理解,这里不再赘述。4.作为一种方法论,CSMA比传统的推送解决方案和特定产品具有更高级别的安全规划。在我的印象中,除了高端行业客户,企业客户很少有意识地做安全规划,所以往往很头疼,最后堆满了一大堆安全产品,而这些产品又缺乏统一规划,各自为政。效果非常有限。CSMA提供了一个很好的安全框架模型,企业可以用这个理论来指导自己未来几年的安全建设节奏,可以清晰的衡量和运营整个安全技术设施。5、我们知道,不同厂商的安全产品缺乏统一的接口和安全实体的抽象,协作起来非常困难。CSMA设计了数据规范层,不仅是日志的规范处理,还包含了安全元素的抽象建模,显然更近了一步。通过安全抽象建模,整合不同厂商原子能力的日志理解和统一策略分发,让不同厂商的产品真正能够很好的协同,这是非常有意义的。6.CSMA强调人类身份是新的边界。网络边界的现状已经非常模糊。目前影响它的因素主要有两个:一是混合云的普及,二是企业网络和IT资产的分布式部署规模越来越大。因此,CSMA非常强调IAM,即以人为边界,以软件定义的方式重新定义边界,重新设计动态准入机制。用大白话来说,以人为界是CSMA的重要观点之一。我觉得核心就是以上几点。回过头来看,确实比较完整。它不仅解决了方法论问题,还涵盖了几乎所有新的安全挑战和安全场景。这就是我之前所说的。Gartner在这方面非常擅长。从高层次的角度寻找规律,提出普适性的理论,指导产品进化方向。从这一点来看,CSMA的价值是突出的,存在的必要性是非常充足的。3、CSMA是如何落地Forti的SecurityFabric架构的,据说最适合CSMA的落地实践。的确,Forti在多年前就根据这个架构提出并实现了好几款产品,而且Forti还专门写了一本书,《fortinet-cybersecurity-mesh-for-dummies》,官网可以下载,花了40多页详细阐述了他们的做法。所以,这里以飞塔为例,看看CSMA的具体方案是怎样的。飞塔对CSMA的实施有自己的看法。首先,飞塔认为CSMA的核心要素是三层:数据集成层(Dataintegration)、安全智能层(Broadsecurityintelligence)、自动响应层(Automatedoperations)。每一层都有一个内聚的功能和明确的外部借口,可以科学地将飞塔的不同产品放入不同的逻辑层。对应Gertner的CSMA,Fortinet给出了相应的远景图:Fortifer的CSMA具体架构设计如下:首先看底层——自动化操作(Automatedoperations),包括具体产品有FortiAnalyzer、FortiManager、FortiSOAR等。据飞塔介绍,这一级别的产品,以Automated为目标,拓展了技术路线,将大量AI技术融入其中,目的是让响应动作尽可能自动化,缩小Detect和Response之间的差距。倒数第二层是安全智能层(Broadsecurityintelligence)。这部分产品主要是安全中台,利用大数据、人工智能、机器学习等技术,接入易百安全原子能力提供的数据源。汇总和分析数据以向自动响应层提供输入。上层是数据集成层(Dataintegration),主要包括不同类型的安全原子能力和标准API接口。此外,据飞塔介绍,在这个层面上,官方还可以接入超过500款第三方产品,可见生态组织能力。该层包含了Fortinet几乎所有的独立安全产品,如Forti-ZTNA、Forti-NGFW、Forti-IPS、Forti-SWG、Forti-VPN、Forti-SDWAN、Forti-NAC、云环境虚拟化系列、Forti-IAM,等等。相比国内安全厂商多变模糊的架构设计,我更喜欢Fortinet简洁有力的总结:Broad,Integrated,Automated,这就是Forti-CSMA;或者Paloalto提出的“云+AI”=futureSafety,这样一个简单明了又有力的slogan。国内提出的CSMA-like架构,不是安全专业厂商,而是我印象最深的那个。2020年,行业领先客户提出,他们将安全架构分为“眼、脑、手”,不同的产品与之对应。在不同的层次上,这也是我看到的最清晰最清晰的接近CSMA的架构案例。不管CSMA的视角或所谓的什么,其实国内安全厂商已经意识到,未来的安全解决方案将不再只是单一产品,而是系统化,接入广泛的安全原子能力,并加入大量数据和AI的集中处理,最终通过自动化SOAR、SIEM等集中策略管理中心,快速自动响应安全问题,完成安全从检测到响应的闭环。现在的趋势确实是朝着这个方向发展的。如果要说国内CSMA开发和国外的区别,我觉得最大的区别不在产品层面,而是在实现层面:技术路线是否足够清晰,产品细节是否足够清晰,适用场景是否足够广泛,接入的API和实体抽象是否足够标准,这四个方面是最大的区别。CSMA不仅对安全厂商具有重要意义,对客户也具有重要意义:即不再是产品采购模式碎片化、堆叠化的低级安全建设,而是安全规划的前瞻意识,通过合理的规划、科学的规划采购、科学计量、系统化安全运营,提升企业安全态势水平,走上更高层次的安全建设模式,这对甲乙双方来说是一个极为有利的转变。
