連續(xù)兩年進(jìn)入Gartner重大戰(zhàn)略技術(shù)趨勢的“網(wǎng)絡(luò)安全網(wǎng)格”到底是什么?

作者: 2021年11月22日 來源: 瀏覽量:
字號:T | T
是時(shí)候聊聊網(wǎng)絡(luò)安全網(wǎng)格了。   前不久,Gartner在2022年重要戰(zhàn)略技術(shù)趨勢報(bào)告里再一次提到了網(wǎng)絡(luò)安全網(wǎng)格(CybersecurityMesh,CSMA),這已經(jīng)是Gartner連續(xù)第二次在年度技術(shù)趨勢報(bào)告里提到了??梢?,過去的一年里
  是時(shí)候聊聊網(wǎng)絡(luò)安全網(wǎng)格了。
  前不久,Gartner在2022年重要戰(zhàn)略技術(shù)趨勢報(bào)告里再一次提到了網(wǎng)絡(luò)安全網(wǎng)格(Cybersecurity Mesh,CSMA),這已經(jīng)是Gartner連續(xù)第二次在年度技術(shù)趨勢報(bào)告里提到了??梢?,過去的一年里這一趨勢還在持續(xù)發(fā)展,且越發(fā)明朗。

  Gartner在2020年對網(wǎng)絡(luò)安全網(wǎng)格的描述
  Gartner在2021年對網(wǎng)絡(luò)安全網(wǎng)格的描述
  報(bào)告里的只言片語并未對網(wǎng)絡(luò)安全網(wǎng)格做明確的定義,尋遍了國內(nèi)外網(wǎng)站,我也只能找到寥寥數(shù)篇相關(guān)報(bào)道。最后從Gartner研究副總裁Jay Heiser的一篇關(guān)于網(wǎng)絡(luò)安全網(wǎng)格的分析文章里,算是對網(wǎng)絡(luò)安全網(wǎng)格有了一些初步認(rèn)識:
  1.網(wǎng)絡(luò)安全網(wǎng)格是一種分布式架構(gòu)方法,實(shí)現(xiàn)了在分布式策略執(zhí)行架構(gòu)中實(shí)行集中策略編排和決策,用于實(shí)現(xiàn)可擴(kuò)展、靈活和可靠的網(wǎng)絡(luò)安全控制;
  2.網(wǎng)絡(luò)安全網(wǎng)格允許身份成為安全邊界,使任何人或事物能夠安全地訪問和使用任何數(shù)字資產(chǎn),無論其位于何處,同時(shí)提供必要的安全級別,是隨時(shí)隨地運(yùn)營趨勢的關(guān)鍵推動因素;
  3.網(wǎng)絡(luò)安全網(wǎng)格這種分布式、模塊化架構(gòu)方法,正迅速成為分布式身份結(jié)構(gòu)(The Distributed Identity Fabric)、基于上下文的安全分析、情報(bào)和響應(yīng)(EDR、XDR)、集中式策略管理和編排、ZTNA、云訪問安全代理 (CASB) 和 SASE的安全網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
  安全行業(yè)的細(xì)分領(lǐng)域特別多,每年都會涌現(xiàn)一些新概念、新名詞,別說外行了,內(nèi)行看著也會暈。但究其根本,安全本質(zhì)的東西還是一直未變。接下來我們拋開那些云山霧繞的話述,試著解構(gòu)一下網(wǎng)絡(luò)安全網(wǎng)格即將成為趨勢的背后邏輯。
  先說明一下:繹云在2019年就已經(jīng)開始研發(fā)信域安全云網(wǎng),早于Gartner首次對于網(wǎng)絡(luò)安全網(wǎng)格的定義,而且按照Gartner的定義,網(wǎng)絡(luò)安全網(wǎng)格只是信域安全云網(wǎng)的底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施,因此以下解構(gòu)不能作為對Gartner定義的網(wǎng)絡(luò)安全網(wǎng)格的解釋,只能說是我個(gè)人對這一技術(shù)趨勢的認(rèn)知,供大家參考。
  1.分布式網(wǎng)絡(luò)架構(gòu)
  分布式網(wǎng)絡(luò)架構(gòu)不是新技術(shù),但最近卻被經(jīng)常提到:區(qū)塊鏈的底層網(wǎng)絡(luò)是去中心化的分布式架構(gòu),Web3.0的底層網(wǎng)絡(luò)是去中心化的分布式架構(gòu),就連最近異?;馃岬脑钪嬉残枰植际降募軜?gòu)。
  為什么要分布式網(wǎng)絡(luò)架構(gòu)?因?yàn)閷?shí)體業(yè)務(wù)在現(xiàn)實(shí)物理空間里已經(jīng)分布式地存在了,并且還在越來越碎片化,網(wǎng)絡(luò)架構(gòu)要服務(wù)于業(yè)務(wù)架構(gòu),所以網(wǎng)絡(luò)架構(gòu)必須要升級自己,去適應(yīng)分布式的業(yè)務(wù)。
  在一個(gè)企業(yè)里,員工可能位于全球任何一個(gè)地方,業(yè)務(wù)系統(tǒng)可能部署在任意云或者數(shù)據(jù)中心里。人也好、系統(tǒng)也好,會根據(jù)個(gè)人或業(yè)務(wù)的需要隨時(shí)變換位置。換句話說,我們當(dāng)前面臨的內(nèi)部業(yè)務(wù)環(huán)境是一個(gè)覆蓋全球的、隨時(shí)可能變化的、越來越碎片化的全網(wǎng)互聯(lián)結(jié)構(gòu)。
  物理網(wǎng)絡(luò)由各種路由器、交換機(jī)、網(wǎng)元設(shè)備組成,是一種靜態(tài)的,以云、數(shù)據(jù)中心為中心,從固定場所接入的結(jié)構(gòu)。通過VPN或者將服務(wù)直接暴露在互聯(lián)網(wǎng)的方式滿足遠(yuǎn)程接入和移動接入的需求。無論是在靈活性或安全性上當(dāng)前的物理網(wǎng)絡(luò)都無法滿足隨時(shí)變化的、越來越碎片化的業(yè)務(wù)環(huán)境要求。
  我們不能期待物理網(wǎng)絡(luò)可以變成一個(gè)靈活的、分布式的網(wǎng)絡(luò),做這樣的改造成本太高了。但我們可以在靜態(tài)的物理網(wǎng)絡(luò)之上構(gòu)建一層由軟件定義的邏輯網(wǎng)絡(luò),這個(gè)邏輯網(wǎng)絡(luò)可以是靈活的、分布式的結(jié)構(gòu)。員工的個(gè)人終端和業(yè)務(wù)系統(tǒng),在這個(gè)邏輯網(wǎng)絡(luò)里形成一種Full-Mesh結(jié)構(gòu),任意兩個(gè)網(wǎng)絡(luò)實(shí)體之間在邏輯網(wǎng)絡(luò)里都是直連關(guān)系。

  把復(fù)雜網(wǎng)絡(luò)簡單化
  這種結(jié)構(gòu)有2個(gè)明顯優(yōu)勢:
  - 擺脫了物理網(wǎng)絡(luò)限制在任何物理位置上的終端或者業(yè)務(wù)系統(tǒng),隨時(shí)都可以接入到這個(gè)Full-Mesh結(jié)構(gòu)的邏輯網(wǎng)絡(luò)中,無需考慮物理網(wǎng)絡(luò)環(huán)境。
  - 復(fù)雜網(wǎng)絡(luò)簡單化所有網(wǎng)絡(luò)主客體之間在邏輯上都是點(diǎn)對點(diǎn)直連關(guān)系,沒有復(fù)雜的中間網(wǎng)絡(luò)。這種極簡結(jié)構(gòu)讓策略管理變得扁平化,給集中管控和行為分析帶來了天然優(yōu)勢。
  2.集中策略編排和決策,分布式執(zhí)行
  說到分布式,很多人容易把它跟去中心化搞混,事實(shí)上這完全是兩個(gè)不同維度的東西:分布式是物理位置上的概念,而去中心化是在業(yè)務(wù)層面上的概念。所有的去中心化系統(tǒng)都是采用分布式結(jié)構(gòu),而分布式結(jié)構(gòu)在業(yè)務(wù)層面上可能是中心化也可能是去中心化的。例如:區(qū)塊鏈就是分布式去中心化結(jié)構(gòu),而云計(jì)算就是分布式中心化結(jié)構(gòu)。
  去中心化結(jié)構(gòu)的好處是人人都是中心,沒有任何權(quán)威中心能完全控制,區(qū)塊鏈就是利用這種優(yōu)勢進(jìn)行集體記賬,實(shí)現(xiàn)了無人能抵賴的特性。但無人能控制是把雙刃劍,去中心化結(jié)構(gòu)下的執(zhí)行力非常低,事情的走向完全不可控,是一種無政府主義的烏托邦,在我看來人類還未進(jìn)化到這個(gè)地步,如果在企業(yè)里用去中心化的方式管理,結(jié)果只能是一團(tuán)糟。
  有很多管理者都希望企業(yè)的組織架構(gòu)扁平化,這實(shí)際上就是一種分布式系統(tǒng),工作效率要比等級森嚴(yán)的組織架構(gòu)要高得多。但在企業(yè)治理上,管理者希望企業(yè)有非常強(qiáng)的執(zhí)行力,也就是中心化治理方式。
  現(xiàn)在我們構(gòu)建了一個(gè)與物理位置無關(guān)的分布式的網(wǎng)絡(luò),那在業(yè)務(wù)層面上我們選擇中心化還是去中心化呢?很顯然,企業(yè)是集權(quán)主義組織,需要的是分布式中心化結(jié)構(gòu)。
  回到我們的主題,在網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)下,每一個(gè)網(wǎng)絡(luò)實(shí)體在網(wǎng)絡(luò)控制層面上是分布式的結(jié)構(gòu),但在整個(gè)分布式網(wǎng)絡(luò)的策略決策層面上采用的是中心化的結(jié)構(gòu)。
  注意,在網(wǎng)絡(luò)安全網(wǎng)格中訪問控制的執(zhí)行點(diǎn)變了,訪問控制引擎是分布式的、點(diǎn)對點(diǎn)的,這與我們常見的網(wǎng)關(guān)型訪問控制不一樣,網(wǎng)絡(luò)控制能力分布在了網(wǎng)絡(luò)的每一個(gè)地方,任意位置隨時(shí)可控,不存在性能瓶頸或控制盲區(qū)。                
  這樣的網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)即保證了高效的治理效率,同時(shí)又滿足了終端和業(yè)務(wù)碎片化的實(shí)際環(huán)境,完全符合了當(dāng)前的企業(yè)網(wǎng)發(fā)展趨勢。
  3.讓身份成為安全邊界
  讓身份成為安全邊界,看到這句話大家一定會聯(lián)想到零信任網(wǎng)絡(luò)。確實(shí),網(wǎng)絡(luò)安全網(wǎng)格本身就是一種零信任網(wǎng)絡(luò),但零信任網(wǎng)絡(luò)不一定就是網(wǎng)絡(luò)安全網(wǎng)格。
  從什么時(shí)候開始,我們著急的要讓身份成為安全邊界了?原來的安全邊界不香了嗎?是的,不但不香,還越來越臭。
  先說幾個(gè)場景:
  - 某業(yè)務(wù)系統(tǒng)在數(shù)據(jù)中心部署上線了,這個(gè)系統(tǒng)是給企業(yè)所有業(yè)務(wù)人員使用的,但業(yè)務(wù)人員分布在全國所有職場,也有可能出差全國跑。安全管理員只能在網(wǎng)絡(luò)層上給所有職場都開放了訪問權(quán)限,給每個(gè)業(yè)務(wù)員分配VPN帳號,通過業(yè)務(wù)系統(tǒng)自身的應(yīng)用層帳號來限制只有具備權(quán)限的人才能登陸訪問。但某個(gè)非業(yè)務(wù)員工,坐在某個(gè)分公司辦公室,直接就能打開業(yè)務(wù)系統(tǒng)登錄頁面,通過暴力破解,就輕松登錄進(jìn)去了。
  - 為了防止攻擊,安全管理員又在數(shù)據(jù)中心出口部署了入侵檢測系統(tǒng),對所有訪問流量進(jìn)行實(shí)時(shí)檢測。某天發(fā)現(xiàn)有多個(gè)攻擊行為告警,所有攻擊源都指向一個(gè)IP地址。但經(jīng)過排查,這個(gè)IP地址是某分公司出口IP,安全管理員無奈了,不能封禁,去分公司逐一排查又來不及,明明知道當(dāng)前有人在攻擊業(yè)務(wù)系統(tǒng),甚至已經(jīng)在竊取數(shù)據(jù)了,但沒辦法,只能干瞪眼。
  - 公司的敏感文件被發(fā)現(xiàn)在互聯(lián)網(wǎng)上公開了,初步排查公司郵箱遭到滲透。從郵件系統(tǒng)日志里看是某個(gè)內(nèi)部員工帳號登陸到郵箱服務(wù)器,但從流量日志上看,登陸行為又來自于互聯(lián)網(wǎng)的一個(gè)公網(wǎng)IP地址,有可能是員工帳號被竊取。攻擊者拿著員工帳號登陸,所有操作都是合法的,沒有觸發(fā)任何告警,所有網(wǎng)絡(luò)監(jiān)測系統(tǒng)全部失效。所有線索最終指向一個(gè)公網(wǎng)IP地址就完全中斷了,調(diào)查也就只能到此為止。(是不是有點(diǎn)像Operation Aurora?這就是BeyondCorp的起源)
  - 吃一塹長一智,公司花重金買了數(shù)據(jù)安全產(chǎn)品,期望能把所有人訪問敏感數(shù)據(jù)的行為都記錄下來,及時(shí)發(fā)現(xiàn)偷數(shù)據(jù)的情況。接上流量日志后,確實(shí)把所有訪問業(yè)務(wù)的流量記錄下來了。但問題也來了,上千人訪問業(yè)務(wù),每天上千萬條流量日志全都混雜在一起,根本區(qū)別不開到底哪條流量日志是哪個(gè)人訪問的。所有基于人的行為檢測規(guī)則、關(guān)聯(lián)分析規(guī)則、機(jī)器學(xué)習(xí)算法、行為建模,全都是個(gè)花架子,聽起來挺美,用起來完全不是這么一回事,這錢打水漂了。
  - 公司部署了態(tài)勢感知系統(tǒng),采集了各種安全系統(tǒng)告警日志、流量日志,進(jìn)行匯總統(tǒng)計(jì)、關(guān)聯(lián)分析,用大屏展示著各種花花綠綠的圖表。領(lǐng)導(dǎo)來視察工作,看見漂亮的大屏贊不絕口,順口問了句:“那個(gè)攻擊最多的IP是誰?” 安全主管答不上來,氣氛開始尷尬。領(lǐng)導(dǎo)又說:“好吧,不管是誰,趕緊處理吧!” 安全主管心想,萬一這是哪個(gè)下級單位出口IP怎么辦?不敢封禁,再次尷尬,主管心想“是時(shí)候該刷刷自己簡歷了吧”。
  CSO、安全主管們對這些場景應(yīng)該很熟悉吧?
  導(dǎo)致這種問題的根本原因在于一直以來我們都是用IP地址在網(wǎng)絡(luò)上執(zhí)行身份錨定和訪問控制,但在業(yè)務(wù)逐漸碎片化的趨勢下,網(wǎng)絡(luò)也開始碎片化,IP地址與人的關(guān)系越來越弱,用IP地址作為邊界的安全體系成本越來越高,效果越來越差,最終會走向完全失效。唯一的解決辦法就是不再用IP來作為邊界,而是用身份。
  有了IAM就是身份作為邊界了嗎?當(dāng)然不是,有IAM只能說有了統(tǒng)一身份,大多數(shù)企業(yè)早就做到了,不代表已經(jīng)用身份作為網(wǎng)絡(luò)邊界了;SDP?在網(wǎng)絡(luò)層依然是用IP地址劃分邊界(從SPA實(shí)現(xiàn)原理就能看出來);SMG?隔離場景有限,隔離邏輯也不是基于身份。
  那什么才叫做用身份作為邊界?
  所有的網(wǎng)絡(luò)數(shù)據(jù)包都實(shí)名制
  互聯(lián)網(wǎng)是自由的,但自由的前提是遵守法律和道德底線。所有陰暗的勾當(dāng)都喜歡完全匿名,匿名者知道自己的行為是不合法不道德的,害怕被人指認(rèn)出來,要用完全匿名的方式既滿足私欲,又躲避責(zé)罰,不愿擔(dān)當(dāng),比如說暗網(wǎng)。

  暗網(wǎng)交易(截圖來自于互聯(lián)網(wǎng)新聞報(bào)道)
  完全匿名的網(wǎng)絡(luò)下只會滋生罪惡,但罪惡可不是互聯(lián)網(wǎng)的初衷。試想一下,元宇宙里每個(gè)人都是完全匿名的,這個(gè)元宇宙里會發(fā)生什么?        
  每一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包都實(shí)名,從任意一個(gè)數(shù)據(jù)包里我們都能看到是什么人用了哪個(gè)終端做了什么事情,這本身就是一種威懾,是先于攻擊者意圖的防御。
  干掉IP地址,用身份來管控網(wǎng)絡(luò)
  先有網(wǎng)絡(luò),再有的網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全的發(fā)展整體滯后于網(wǎng)絡(luò)的發(fā)展。網(wǎng)絡(luò)先驅(qū)們最初在設(shè)計(jì)網(wǎng)絡(luò)協(xié)議的時(shí)候并未考慮身份的事情,而是在網(wǎng)絡(luò)世界里簡單的用IP地址來錨定人的身份。這種方式在網(wǎng)絡(luò)建設(shè)初期還能應(yīng)付,但如今的網(wǎng)絡(luò)早已不像當(dāng)初,多分支、混合云、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng),早已將網(wǎng)絡(luò)堆砌成一個(gè)動態(tài)變化的龐雜環(huán)境,在這種環(huán)境下用IP地址錨定人的做法在安全領(lǐng)域就越來越捉襟見肘了。
  在企業(yè)網(wǎng)絡(luò)里,我們一直在用防火墻來設(shè)置安全邊界。之所以只能用基于IP地址的訪問控制模型來設(shè)置邊界,是因?yàn)榫W(wǎng)絡(luò)流量里只有IP地址可以用于區(qū)分訪問主客體。而現(xiàn)在我們讓所有的網(wǎng)絡(luò)數(shù)據(jù)包都實(shí)名制了,每個(gè)數(shù)據(jù)包都帶有身份信息,完全可以用身份來作為訪問控制的基礎(chǔ)。
  是時(shí)候?qū)⒒贗P的防火墻升級為基于身份的防火墻了。
  要想實(shí)現(xiàn)讓身份作為邊界,那就先讓每個(gè)數(shù)據(jù)包都實(shí)名制,然后干掉安全系統(tǒng)對IP地址的依賴,構(gòu)建分布式的、基于身份的網(wǎng)絡(luò)防火墻,讓所有安全管控和分析研判以身份為基礎(chǔ)。
  這就是我理解的“讓身份作為邊界”。

  4.是其他安全系統(tǒng)的基礎(chǔ)設(shè)施
  前面已經(jīng)解釋了網(wǎng)絡(luò)安全網(wǎng)格具備分布式點(diǎn)對點(diǎn)網(wǎng)絡(luò)架構(gòu),分布式策略執(zhí)行,集中策略管理,在完全身份化的網(wǎng)絡(luò)里用身份重新構(gòu)建安全邊界這些特性。
  在這些前提下,我們再去看“網(wǎng)絡(luò)安全網(wǎng)格正迅速成為成為分布式身份結(jié)構(gòu)、基于上下文的安全分析、情報(bào)和響應(yīng)、集中式策略管理和編排、ZTNA、CASB 和 SASE的安全網(wǎng)絡(luò)基礎(chǔ)設(shè)施”就很好理解了。
  網(wǎng)絡(luò)安全網(wǎng)格為企業(yè)構(gòu)建了一個(gè)全新的輕量級安全網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
  說它新,是因?yàn)樗窃谖锢砭W(wǎng)絡(luò)之上構(gòu)建的一個(gè)新的虛擬層,讓安全檢測和管控在這個(gè)虛擬層里編排、執(zhí)行,讓安全能力不再糾纏在龐雜的網(wǎng)絡(luò)結(jié)構(gòu)里,而是聚焦在人和行為身上。
  說它輕,是因?yàn)檫@個(gè)架構(gòu)與物理網(wǎng)絡(luò)并不沖突,企業(yè)實(shí)施一套網(wǎng)絡(luò)安全網(wǎng)格并不需要大費(fèi)周章的做網(wǎng)絡(luò)改造,而是在現(xiàn)有網(wǎng)絡(luò)上一點(diǎn)點(diǎn)遷移就行。開放的架構(gòu)可以對接企業(yè)已建的IAM、SSO、SIEM、SOC、態(tài)勢感知等安全系統(tǒng),也可以對接已建專線、SD-WAN這樣的網(wǎng)絡(luò)服務(wù),分布式架構(gòu)天生就是用來構(gòu)建超大規(guī)模網(wǎng)絡(luò)的。
  也許下一次,領(lǐng)導(dǎo)再來視察的時(shí)候,看到態(tài)勢感知大屏上的各種告警就不會再問攻擊者是誰了,因?yàn)榇笃辽弦呀?jīng)顯示了這個(gè)人的名字。如果領(lǐng)導(dǎo)說趕緊處理下,安全主管只需點(diǎn)下鼠標(biāo),也就處置完了,或者,系統(tǒng)早就已經(jīng)自動處置了。
  這才是一個(gè)可信企業(yè)網(wǎng)該有的樣子。
全球化工設(shè)備網(wǎng)(http://www.bhmbl.cn )友情提醒,轉(zhuǎn)載請務(wù)必注明來源:全球化工設(shè)備網(wǎng)!違者必究.

標(biāo)簽:

分享到:
免責(zé)聲明:1、本文系本網(wǎng)編輯轉(zhuǎn)載或者作者自行發(fā)布,本網(wǎng)發(fā)布文章的目的在于傳遞更多信息給訪問者,并不代表本網(wǎng)贊同其觀點(diǎn),同時(shí)本網(wǎng)亦不對文章內(nèi)容的真實(shí)性負(fù)責(zé)。
2、如涉及作品內(nèi)容、版權(quán)和其它問題,請?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間作出適當(dāng)處理!有關(guān)作品版權(quán)事宜請聯(lián)系:+86-571-88970062