网络安全Mesh的概念及其影响领域内的热门热词已经引起了网络安全从业者的高度关注。基于Gartner相关报告中对网络安全网格概念的描述,研究了网络安全网格成为主要技术发展趋势的驱动因素,提出了网络安全网格概念的具体内涵和特征。对其体系结构方法和实现途径进行了探讨,分析了其优势及其与其他网络安全概念的关系,展望了其可能产生的影响,并提出了相关的对策和建议。随着组织数字化转型的加速和新冠肺炎疫情的全球大流行,分布在全球各地的机构、资产、员工、客户和合作伙伴推动了业务云和移动办公的日益普及,用户、设备、应用和数据逐渐远离工作场所和数据中心。这样的变化导致越来越多的资产存在于传统的安全边界之外,使得边界变得支离破碎。在今天,已经无法通过构建单一的安全边界来判断“内好外坏”,使得传统的边界保护方式变得不再有效。网络安全需要围绕个人或事物的身份重新定义。零信任网络架构逐渐形成共识。身份和上下文将成为分布式环境中的最终控制平面,以支持分布式资产和从任何地方发起的安全访问。许多组织正在采用多云战略,使用来自多个云提供商的服务来提供满足业务需求的弹性。例如,对于IT架构复杂的大型组织,如政府机构、金融机构、大型制造企业等,需要使用多个云和数据中心来保证其业务的安全可靠运行。但是,由于每个云提供商都支持自己的一套安全策略(例如,阿里云、亚马逊网络服务和微软Azure使用不同的方法来保护各自生态系统中的资产),因此很难在云提供商之间实现一致的安全性。控制是一项新的挑战,组织内部服务的无序扩张加剧了这一挑战。尽管新的技术标准和产品正在试图解决这个问题,但组织更应该关注如何找到一种适应这种复杂环境的统一、灵活和可靠的网络安全控制方法。为实现安全目的,当前的IT系统通常会根据合规性要求和业务需求“一体化”部署各种安全工具。2020年数据安全研究中心PonemonInstitute的统计数据显示,每个组织平均部署了超过45种安全解决方案和技术产品,往往需要使用多个供应商的产品解决方案。这样的安全体系构建方式使得系统过于复杂,安全分析和运维管理都非常困难。例如,安全事件的检测和响应往往需要多个工具之间的协调,每个设备在升级时都必须不断地重新配置。安全政策等;同时,多种安全工具功能重叠,也带来了很多不必要的投资浪费。当用户提出新的安全需求,引入新的安全工具时,上述问题会更加严重。很多IT管理者都非常重视这个问题,希望找到更好的集成方式。通过高效整合当前和未来最好的安全工具,整合安全资源,减少安全工具的种类,增强对网络安全的整体保护。效率,降低系统复杂性和降低建设成本。当前网络变得更加复杂和去中心化,孤立部署的各种安全工具没有完全集成(例如,它们可能只是通过支持联邦身份认证来实现松耦合),难以形成防御力量,这带来了很多安全问题和风险。例如,不同安全工具之间缺乏互操作性(甚至互操作意识),安全态势的语义混乱导致可见性碎片化,并行使用的安全分析工具难以支持交叉域安全分析,限制了检测和响应威胁的能力;攻击者不仅会在孤立的安全区域中寻找和利用漏洞,他们往往会利用一个区域的弱点通过横向移动攻击相邻区域,或者从不同安全区域之间的接合处渗透到系统中。因此,完整的安全防御需要从组织和技术两个角度消除安全孤岛。目前,一些安全分析和情报工具,如扩展检测和响应(XDR),通过跨不同安全域的特定信息实现统一的安全检测和事件响应,但我们还需要更广泛、集成和自动化的安全分析和管理基础设施,让所有安全工具通过这个基础设施相互通信和共享信息,提供统一的安全管理和可见性,形成整体防御力量,自动适应网络部署的演进。零信任网络、微服务、高级数据分析、人工智能、区块链等技术的成熟及其在网络安全领域的不断应用,为寻找新的网络安全架构方法应对挑战创造了条件。上述挑战。2020年10月,Gartner在2021年重要战略技术趋势报告中首次提出“网络安全网格”的概念,并在2022年重要战略技术趋势报告中再次提及。此外,这一概念也进入了Gartner《2021 年安全与风险管理重要发展趋势》报告并排名第一,可见网络安全mesh的重要性。然而,目前Gartner对网络安全网格概念的定义并不明确和具体,这对于一个刚刚兴起的概念来说是普遍现象。本文基于Gartner相关报告中对网络安全网格的描述,剖析其概念、架构以及与其他网络安全概念的关系,展望其影响,并提出应用网络安全网格方法的建议,希望能提供对帮助的深刻理解,了解该网络安全领域的重要趋势。一、概念与特征1.概念与特征Gartner发布的《2021 年重要战略技术趋势》(TopStrategicTechnologyTrendsfor2021)描述了网络安全网格的概念:“网络安全网格是一种分布式架构方法,可以实现可扩展、灵活的和可靠的网络安全控制。由于许多资产现在存在于传统安全边界之外,因此网络安全网格本质上允许围绕人或物的身份定义安全边界。通过集中式策略编排和分布式策略实施实现更高的模块化安全保护可以是定制和响应更快。”在Gartner发布的《2022 年重要战略技术趋势 》(TopStrategicTechnologyTrendsfor2022)中,进一步解释了网络安全网格的概念:“数字业务资产分布在云端和数据中心,基于传统的、碎片化的边界安全方法使组织容易受到攻击。网络安全网状架构提供了一种基于身份的方法来实现可组合的安全性,以创建可扩展和可互操作的服务。一个通用的集成结构可以保护任务组织任何资产,对于使用这种一体化安全工具的组织来说,可以减少单个安全事件的财务影响平均降低90%。”从上面Gartner报告中的描述可以看出,网络安全网格是一种安全架构方法或策略,而不是一种定义明确的架构或标准化的技术方法,更不是某种产品,其目的是找到一个能够应对不断演进的业务系统和网络环境带来的安全挑战的新方法,提供比传统物理周界防护更强大、更灵活和可扩展的安全能力。网络安全网格主要涉及IT安全基础设施的设计和建设,将各种安全能力以“横向”分布的方式集成到网络中,而不是采用传统的“自上而下”、“一站式”的方式将各种安全能力整合到网络中。安全设备。致力于构建在庞大的安全生态系统中协同运行、自动适应网络环境演进、全面覆盖、统一管控、动态协同、快速响应的安全平台。网络安全网格的主要特征如下所述。(1)通用集成框架。Cyber??SecurityMesh提供了一个通用的集成框架和方法来实现类似于“乐高”思维的灵活、可组合、可扩展的安全架构。通过标准化工具支持各种可互操作的安全服务的编排和协调,从而实现广泛分布的安全服务的高效集成,建立协作的安全生态系统来保护本地、数据中心和云端的数字资产,并基于聚合数据分析、情报支撑、策略管理等能力,形成更加强大的整体安全防御和响应能力。(2)分布式网络架构。网络安全网格利用了“网格”的去中心化、点对点协作、结构灵活、连接可靠、可扩展性强等特点。它不再专注于围绕所有设备或节点构建“单一”边界,而是围绕每个接入点构建更小的独立边界[5-6]。通过建立与接入点一样多的安全边界,让物理位置广泛分布的用户可以随时随地安全接入,满足零信任网络“微分段”的要求,让网络犯罪分子和黑客更难利用整个网络网络。同时,网络中主体与客体逻辑上点对点的直连关系,无需关注具体的物理网络部署,可以简化安全配置,自动适应网络动态变化。(三)集中管理,分散执行。不同于传统网关的集中访问控制,网络安全网格采用集中的策略编排和权限管理,基于策略的分布式执行,将网络安全控制能力分散到网络中更多的地方,使安全措施更贴近需求的保护。资产一方面有利于消除安全管控盲点,缓解传统集中式安全控制的性能处理瓶颈,适应用户终端和组织服务去中心化发展的需要;一致的安全态势可以实现更精确的安全控制和更快的响应。(4)围绕身份定义安全边界。在当前的网络协议中,很多安全问题都是由于身份元素的缺失造成的,物理IP地址与人和终端的关联性越来越弱,使得基于地址的安全检测和威胁分析技术难以实现,流量和日志。威胁研判;传统的基于网络协议字段特征检测的边界访问控制技术也使得基于身份的授权访问成为不可能。由于网络威胁本质上是人为带来的威胁,因此很难做到准确高效的安全威胁处理。网络安全网格延续了零信任网络的思想,用身份来定义网络边界,让身份成为威胁研究和安全管控的基础。2.ArchitectureandImplementationGartner提出了Cyber??SecurityMesh的具体实现框架,即Cyber??SecurityMeshArchitecture(CSMA)。这是一个分布式安全服务的协作框架,它提供了四大安全基础设施(如图1所示)[1],包括安全分析和智能、统一策略管理、集成控制接口和分布式身份结构,使安全工具可以工作共同基于该基础架构并实现统一配置和管理,提高安全工具的可组合性、可扩展性和互操作性,解决多种安全工具运行在各种孤立系统中带来的问题,实现各种安全能力的有机聚合,适应业务发展需要,达到“力量倍增”的效果。图1 网络安全网格架构概念网络安全网格架构的组成如图2所示,下面介绍四个基本支撑层与其他安全体系的关系。图2 网络安全网格架构组成(1)安全分析与情报层。可与第三方安全工具进行联合协同检测,基于丰富的威胁分析手段,结合威胁情报,利用机器学习等技术,形成更加准确、一致的威胁分析结果。(2)统一战略管理。主要包括安全策略编排和安全态势管理,将集中策略转化为各安全工具本地配置策略,实现分布式执行,支持动态策略管理服务。(3)集成控制接口层。实现安全数据的可视化,提供安全系统的综合视图,主要包括统一的控制面板、告警、审查、使用说明书和报告等,使安全团队能够更快速有效地应对安全事件。(4)身份架构层。主要提供目录服务、自适应访问、去中心化身份管理、身份验证、授权管理等功能,支持构建适合用户需求的零信任网络架构。网络安全网格是建立在物理网络之上的逻辑层。网络安全架构的应用视图如图3所示,直观地展示了在逻辑层,通过对各种安全能力的安排和执行,各种安全工具基于四个安全基础层实现互操作,提供统一的安全控制和可见性,而不是在孤岛中运行每个安全工具,从而构建一个可以在庞大的安全生态系统中协同工作并自动适应网络环境演进的安全平台。图3 网络安全架构应用视图三.优点及与其他概念的关系近年来,网络安全领域的新概念层出不穷,错综复杂,相互关联。因此,有必要明确网络安全网格架构所带来的优势,并且与目前流行的其他安全概念的关系。3.1 网络安全网格架构的优势网络安全网格架构的优势主要体现在以下几个方面。(一)实现更加可靠的安全防御。网络安全网格摒弃了传统的边界防护思路,不仅围绕网络数据中心和服务中心构建“边界”,还在每个接入点周围创建更小、独立的边界,并由一个集中控制中心统一管理,从而延伸安全性控制广泛分布的资产,增强安全系统的可扩展性、灵活性和弹性,同时提高威胁响应能力。(2)应对复杂环境下的安全需求。网络安全策略集中编排分散执行,在统一安全策略的管控下,提供灵活、易扩展的安全基础设施,能够为混合云、多云等复杂环境下的资产保护提供所需的安全保障能力.(3)实现更高效的威胁处置。通过安全工具的融合,加强安全数据采集与预测分析的协同,更快、更准确地获取安全态势,及时发现和应对安全威胁,增强应对违规行为的能力和攻击可以大大增强。(四)构建更加开放的安全架构。提供可编排的通用集成框架和方法,支持各种安全服务之间的协同工作,用户可以自主选择当前和新兴的安全技术和标准,是面向云原生和应用编程接口(ApplicationProgrammingInterface,API)的插件-in环境更易于集成,易于定制和扩展,可以有效弥合不同供应商安全解决方案之间的能力差距。(5)降低建设和维护的成本和难度。用户可以有效减少管理大量孤立的安全解决方案的开销。同时,安全能力的部署和维护需要更少的时间和成本,并且易于与用户已经构建的身份和访问管理(IdentityandAccessManagement)集成。、IAM)、安全信息与事件管理(SecurityInformationandEventManagement,SIEM)、安全运营中心(SecurityOperationsCenter,SOC)、态势感知等安全系统共存,也方便与已建立的专线和软件定义广域网(Software-DefinedWideAreaNetwork,SD-WAN)等网络服务。3.2 与其他安全概念的关系(1)零信任网络。说到网络安全网格,就不得不提到零信任网络,这两个都是网络安全领域的热门名词,涉及到网络安全架构的方法论。零信任网络的想法早在20年前就已经出现,但直到近三四年才开始流行起来。相比之下,在不到一年的时间里,网络安全网格已经被引入到大量的安全总体设计中。网络安全网格本身就符合零信任网络的思想。人或机器必须通过严格的身份验证和授权才能从任何地方安全地访问设备、服务、数据和应用程序,但零信任网络并不一定意味着网络安全。网格。两者的区别主要体现在:①网络安全网格从围绕数据中心划界扩展到围绕主体和客体划界;②网络安全网格支持将云服务集成到零信任网络基础设施中;③网络安全网格的关键要素是综合分析主客体自适应访问控制。(2)安全编排自动化和响应(SecurityOrchestration,AutomationandResponse,SOAR)。SOAR也是Gartner的一个概念,是安全分析师将工作流管理集成到统一平台中的一种方式。SOAR涉及安全编排与自动化、安全事件响应平台、威胁情报平台等多种工具的集成。通过监控和分析各种安全事件信息(包括各种安全系统产生的告警),可用于标准工作流程。在安全运维人员的指导下,实施标准化的事件响应活动。在构建网络安全网格架构的支持层时,可以注意到,支持分布式安全解决方案之间互操作性的工具对于安全网格至关重要。最快和最合乎逻辑的路径是采用标准化的API驱动技术和可扩展的分析平台,使用标准化的通信来打破孤岛,实现不同技术之间的语义感知编排,并自动化所有工具之间的通信。实时共享和灵活、可扩展的安全态势。由此可见,SOAR作为为满足编排和自动化需求而开发的工具,可以融入网络安全网格架构所需的安全分析和智能层,将成为网络的重要支柱技术之一。安全网格架构。(3)其他安全概念。网络安全网格与当前流行的其他安全概念之间没有冲突。ExtendedDetectionandResponse为安全供应商提供了一种将其产品集成到统一平台的新方法,因此XDR是CSMA安全分析和情报收集的潜在基础。安全信息和事件管理(SIEM)也是如此,它可以为网络安全网格中的安全分析和情报层提供额外的价值。安全访问服务边缘(SecureAccessServiceEdge,SASE)技术是一种通过集成提供不同功能的网格方法。与之相比,安全网格通过构建网络安全基础设施获得了更广泛的应用范围。.四、影响展望及对策建议网络安全网格作为网络安全领域重要的技术发展趋势,将给网络安全行业带来诸多重要影响。网络安全行业从业者应紧跟发展形势,积极寻求对策。4.1影响网络安全网格将在以下五个方面对网络安全产业产生深远的影响。(1)帮助升级IT系统开发中的安全设计流程。网络安全网格方法意味着重新配置整个IT设计过程,从IT系统和网络设计之初就考虑安全措施的集成。也就是说,安全措施不再是事后“打补丁”,而是在网络架构设计过程中同步进行。IT设计和开发团队将大量参与并将安全设计在时间轴上进一步“向左”移动。确保更高效可靠的安全防御。(2)支持大部分IAM请求。如上所述,传统的边界安全模型难以有效保护企业场所之外不断增长的数字资产、身份和设备。Gartner预测,Web安全网格将有助于处理超过50%的所有IAM请求,从而实现更具适应性、移动性和统一的访问管理。通过安全网格方式,企业可以获得比传统安全边界保护更集成、可扩展、灵活和可靠的数字资产访问控制点和控制方式。(3)促进托管安全服务提供商(MSSP)的发展。Gartner预测,到2023年,近40%的IAM应用融合将由MSSP推动。MSSP可以为各类企业提供一流的资源以及规划、开发、获取和实施综合IAM解决方案所需的能力。与产品供应商相比,MSSP更有能力也更愿意通过集成为客户提供同场景下最佳的安全解决方案。这种发展趋势将导致产品供应商的角色和影响力发生重大变化。(4)促进将新的身份验证工具纳入员工身份管理生命周期。随时随地工作的需求使得远程交互越来越普遍,组织机构更难准确识别真正的合规用户和恶意攻击者,迫切需要实施更有效的身份注册和管理工具。Gartner预测,到2024年,30%的大型企业将实施新的身份验证工具,以解决整个员工身份管理生命周期中反复出现的问题。(五)加快去中心化身份标准应用。身份数据的集中管理方式使得隐私保护和假名化变得非常困难。使用安全网格模型和最新的区块链技术,基于去中心化的方式可以实现更好的隐私保护,让请求者只需要提供少量的信息就可以用来验证访问请求,符合颁布的数据安全保护条例的要求被各个国家。Gartner预测,到2024年,市场上将出现真正全球化、可移植、去中心化的身份标准,以满足商业、个人、社交和社会需求。4.2对策与建议积极应用网络安全网格法符合发展趋势的需要,网络安全建设和运行的监管者应注意以下建议。(1)重新审视组织的网络安全建设方案,尽快从传统的边界保护转向零信任网络,积极实施网络安全网格架构方法,整合现有安全相关项目,应对日益复杂的情况网络环境和业务需求。(2)网络安全网格方式的实施不需要对网络和安全系统进行大刀阔斧的改造和改造,不需要重新发明轮子。现有系统可以按照安全网格架构方法的要求逐步改造和迁移,实现现有投资的“以旧换新”。(3)投入必要资金建设通用集成框架,重点投入并做好安全网格基础支撑层(安全分析与情报、策略管理、控制接口、身份架构)建设,并通过高效的系统集成产生融合效应,提升整体安全防御效能。(4)有效识别安全提供商的安全网格状集成方式。例如,Fortinet、McAfee、Microsoft、PaloAltoNetworks等公司构建了安全系统平台,可以使用户提高安全能力和可扩展性,降低建设和运营成本。维护成本,但也缺乏广泛的互操作性,并且可能仍受制于供应商锁定。(5)在选择新的安全工具时,应优先考虑其支持组合性和互操作性的能力,例如支持可扩展和定制的API插件等,避免带来独立的安全“烟囱”,导致投资成本低,增加运维难度,降低运维效率。(6)鉴于标准化对于网络安全网格建设尤为重要,应尽可能采用最新的安全技术标准,同时,采用新兴技术有良好记录的供应商应首选标准以减少不同供应商技术之间可能存在的差异。互操作性差异。5.结语当前网络安全形势日趋严峻。一方面,网络攻击无孔不入、愈演愈烈;另一方面,组织架构越来越分散,资产、人员、客户、合作伙伴无处不在,业务运营上云、多云。、随时随地办公等新的业务范式不断涌现,对网络安全提出了新的挑战。如何与时俱进,紧跟组织架构和业务发展的需要,需要新的网络安全防御思路和理念。网络安全网格提出了一种灵活、可组合的安全架构方法,可以高效地集成分布广泛、功能各异的安全服务,以满足业务系统发展和网络环境变化的需要。通过以上分析可以看出,网络安全网格可以说是零信任网络概念的进一步延伸。虽然“网络安全网格”这个词可能是必要的、准确的,也可能存在争议,但它带来的思想还是非常必要的,值得网络安全人员高度重视。
