洞見RSA2022|網路安全網格架構（CSMA）分析

RSA2022大會以“Transform（轉型）”為主題，準確概括了近幾年生活、工作、科技等方面的巨大變化。新冠疫情的爆發更深遠地影響了人們的生活和辦公方式，更多人開始在網上購物，更多企業選擇讓員工居家遠端辦公。為滿足人們生活、工作方式的改變，企業紛紛開啟了數字化轉型的征程，例如將更多業務遷移到公有云上，更多采用SaaS化服務等。數字化轉型為企業帶來了更加先進的生產力，使企業獲得了更加可觀的盈收。但同時企業的資產變得無處不在，業務的訪問場所變得捉摸不定。傳統網路邊界被徹底打破，攻擊面也隨之擴大，傳統以網路邊界為主要防護目標的解決方案已經不能應對新的安全防護需求。因此，網路安全架構也勢必要尋求改變。

在2022RSA大會上就出現了大量關於安全策略和架構(SecurityPolicy & Architecture)的議題，以及檢測與響應的自驅技術“The Journey to The Self-Driving SOC”等。這些議題的共同目標是“應變”，它們都在尋找一種廣泛的、整合的、自動的、開放生態的新安全技術架構，來應對當前數字化轉型形勢下網路安全、雲安全、應用安全、資料安全等領域所面對的巨大挑戰。我們發現Gartner在2022年十二大重要戰略技術趨勢報告中提出的CSMA（Cyber Security Mesh Architecture，網路安全網格架構）剛好能完美地契合這一需求。

一、CSMA架構分析
Gartner在其報告中定義CSMA是一種“現代化的安全方法，能夠在需要的地方部署一致性的控制能力，以一種緊密整合、可擴充套件、高度靈活，並富有彈性/韌性的方式，通過提供支援服務層（整合策略管理、控制檯安全情報和身份矩陣）來讓安全工具之間能夠協作而不是各自為戰。能夠讓任何使用者和裝置可以安全地訪問或使用數字化資產，無關乎其所在的物理位置。”其中，Mesh的主要意義旨在打破傳統安全產品豎井式、孤島式的技術架構和部署形式，將各種各樣的安全裝置通過一張相互聯通、相互協作的網路有機聯絡在一起，從而形成一套高可擴充套件性、高靈活性、高彈性、強韌性的網路安全網格架構。CSMA的這些特性要求正是解決混合業務部署場景下網路安全的必要特性，是應對多雲/混合雲安全、雲地一體化、跨域安全分析、多種安全產品能力整合方面安全挑戰的萬能鑰匙。

圖1 Gartner CSMA總體框架

CSMA的概念一經提出，就在業內獲得了極大反響，一些安全廠商便積極響應並迅速推出了符合CSMA理念的安全產品或解決方案。例如，近些年在雲安全領域頗有建樹的老牌安全組織Fortinet，就推出了“Fortinet Security Fabric”安全架構，並宣稱是CSMA的最佳正規化，而從Fortinet的框架圖來看也確實與CSMA框架非常吻合。

圖2 Fortinet Security Fabric與CSMA

No.1統一的策略和態勢管理
Gartner認為CSMA可以“將統一的策略轉換為各個安全工具的本地配置結構，或者作為一種更高階的替代方案來提供動態執行時的授權服務，以確保IT團隊能夠更有效地識別合規風險和錯誤配置問題。”

將此部分作為論述的第一部分，是因為我們認為它是實現CSMA的首要基礎。

統一的安全策略管理是客戶安全需求的最直接表達，它無關安全裝置型別、安全廠商型別、資產或網路的位置。一個成熟的網路架構，應該具備一個強大的策略編排器，能夠根據客戶輸入的統一安全策略，結合統一的資產和身份管理進行對應安全資源、安全策略及業務流量的引流編排。為客戶在正確的位置、為正確的使用者部署滿足其安全和許可權策略。統一的安全策略最終將會被轉換為具體網路位置、具體單體裝置可以處理的形式並下發。

而統一的態勢管理則是根據不同位置、不同型別安全工具所產生的安全資料，結合安全知識庫、安全威脅情報等綜合分析而得。它不僅可以為安全運營人員提供統一的安全態勢資訊，同時也可以結合SOAR等自動化編排技術，為企業提供自動、智慧且持續的安全編排和響應，使企業的業務和資產始終保持在安全的運營狀態。

No.2安全分析和情報
CSMA可以對大量資料進行集中式的實時收集、合併和分析，通過結合來自不同安全工具的資料和攻防經驗，來進行威脅分析並觸發適當的響應。這將極大改善企業的風險分析能力和威脅響應時間，並有效減少攻擊。

具體說來，需要將企業部署的各種安全裝置、安全探針等安全工具所產生的執行日誌、安全日誌進行歸一化、正規化化處理，然後結合ATT&CK模型、威脅情報等手段將安全日誌分層提取、歸併，最後形成高精度的安全事件並自動處置。

圖3是Azure對原始日誌的歸併分層方式，可以看到經過處理後只有小於1%的原始日誌最終會發出告警。

圖3 Azure事件過濾

No.3統一的儀表盤
CSMA可以為整個安全生態系統提供一個複合檢視，使安全團隊能夠更快速、更有效地響應安全事件，以便部署適當的響應。

儀表盤是安全運營的重要功能，可為相關人員提供安全態勢的直觀展示，有效提高安全運營人員的工作效率。統一的安全分析是實現統一儀表盤的基礎，儀表盤是安全分析結果的直觀表達，兩者相輔相成。相關安全資料歸一化後，通過豐富的統計方法和視覺化方法最終形成整合儀表盤。

No.4分散式身份結構
在雲的場景中，身份管理始終是安全的最大隱患之一，尤其是在多雲、混合雲場景下，基礎設施的異構性、離散型使得身份管理更加困難。雲的大規模和多樣性、雲上資源的短生命週期、跨雲缺乏一致性和標準、特殊許可權過多等，使傳統的IAM解決方案很難勝任。為解決雲上身份認證管理的挑戰，我們需要藉助分散式企業身份管理來一致地管理企業執行在多個雲上應用程式的身份和訪問，從而整合不同雲平臺和預部署系統的身份豎井，以便在多個雲平臺上執行一致的許可權策略。

CSMA的分散式身份結構（Distributed Identify Fabric）基礎層可以提供目錄服務、自適應訪問、去中心化身份管理、身份證明和授權管理等功能，從而解決傳統應用的身份鎖定問題，消除多雲環境帶來的碎片化和豎井等身份管理問題。

圖4 STRATA公司提供的Maverics分散式身份編排構架（圖片來源於官網）

二綠盟科技CSMA實踐
綠盟科技在雲安全市場深耕多年，深入理解客戶安全需求，並對現有優勢產品和方案進行持續提煉、整合和昇華，形成了一套統一、自動、開放的雲安全運營中心，廣泛適配公/私有云、混合雲、多雲、雲原生等場景。綠盟雲安全運營中心可通過全域性的安全策略編排、統一的安全事件分析和情報管理、統一的安全態勢儀表盤及基於CIEM的多雲許可權管理架構，實現數字化轉型大趨勢下多雲、混合雲場景下的網路安全防護需求。其架構理念與Gartner提出的CSMA架構理念不謀而合。

No.1綠盟雲安全資源池
綠盟雲安全資源池提供廣泛的安全能力接入，包括安全能力的多樣性、部署位置的廣泛性。其中：

1、基於綠盟雲平臺為客戶提供SaaS化安全服務，讓客戶可以像獲取水、電一樣方便地獲得所需的安全服務，例如WebSafe、雲WAF、SASE等安全服務。通過DNS/SDWAN引流的方式將流量牽引到部署在雲上的安全資源池，快速實現業務的開通部署，客戶無需為安全服務提供基礎設施，有效減少了安全投入成本和運營成本。

2、在政務雲、行業雲客戶場景中，客戶更希望能夠為其私有云平臺提供個性化的安全服務，並實現安全增值。在此場景下，安全資源池通常選擇本地化部署，通過對接雲出口路由器實現按需的流量牽引，並提供基於服務功能鏈和軟體定義的安全服務功能靈活編排和排程。

3、在公有云/多雲場景下，綠盟雲安全運營中心除提供SaaS的安全服務外，還可以將下一代防火牆、堡壘機、資料庫審計等安全裝置以虛擬機器的形式部署到租戶的VPC內。

4、綠盟雲安全運營中心還支援納管客戶雲本地部署的安全裝置，包括存量裝置的利舊，從而實現雲地協同，為客戶提供雲上、雲下統一的安全配置及風險態勢管理。

客戶的安全裝置無論是部署在公有云、私有云、IDC還是本地網路，綠盟雲安全運營中心都可以將這些雲上、雲下安全裝置或安全服務進行集中納管，並通過統一的安全策略編排來實現客戶多雲環境下安全配置的一致性，減少配置錯誤。結合統一的安全分析和安全態勢管理，以及自動化的安全編排響應能力，持續為客戶的多雲環境提供安全服務，從而大大提高安全運營效率。

No.2統一的策略編排
綠盟雲安全產品通過統一的安全控制器實現對安全資源的統一管理，並將不同型別、廠商的安全裝置API，通過外掛化架構抽象為標準的北向服務化API對上層提供服務。

北向服務介面實現了包含NIST的IPDRR、綠盟科技標準互操作介面等多套通用標準介面規範，提供了良好的系統開放性，利於與第三方系統協同構建全面的安全生態體系，同時也保留了未來擴充套件空間。

南向同樣對各安全原子能力進行抽象建模，遮蔽不同廠商、不同裝置之間的差異，形成統一的安全能力控制面介面，有利於編排控制層對安全能力的統一高度編排。同時，南向為不同裝置提供對應的適配外掛，將抽象的原子能力控制策略轉換為裝置具體的安全策略或指令，提供了非常便捷的異構安全能力接入能力，從而保障平臺在安全能力接入層面的生態開放性。

圖6 綠盟雲安全運營中心分層架構

No.3安全分析和統一態勢管理
目前綠盟雲安全產品在架構上實現了統一的安全大資料分析中心，可以對接包含綠盟科技自身在內的多廠商安全產品日誌、雲平臺日誌、業務日誌等，並實現歸一化處理，可結合資產資訊、威脅情報等對歸一化日誌進行資訊增強。通過綠盟科技自研的威脅感知、使用者行為分析等多種安全分析引擎進行分層分析提取出高精度安全事件，支撐高效的安全運營。

藉助綠盟雲安全產品統一安全大資料分析中心元件的態勢感知特性，客戶可以實現統一的安全整合儀表盤，內容包含：攻擊型別統計、網路安全分析、綜合風險統計指數、安全事件發生趨勢、源目的攻擊統計等多維度安全視覺化統計。

No.4分散式身份安全
最近Gartner的CIEM(Cloud Infrastructure Entitlements Management)方案被越來越多的提及，方案旨在打通多雲間的認證授權管理，保障使用者使用雲基礎設施和服務時的最低許可權訪問原則，幫助企業抵禦資料洩露、惡意攻擊及過多雲許可權帶來的其他風險。

為解決傳統應用的身份鎖定問題，消除多雲環境帶來的碎片化和豎井等身份管理問題，綠盟科技依據CIEM架構，推出了相應的去集中化身份安全解決方案。方案整合多雲管理特性，在實現多雲資產許可權集中管理的同時，落地並實踐了CIEM。能夠對當前國內主流公有云的租戶雲基礎設施訪問進行統一管理，並在整個單雲和多雲環境中建立最低許可權訪問。為IT和安全組織提供對雲許可權的精細化控制，以及對許可權的完全可見性，並通過識別和刪除過多的許可權，幫助企業增強安全性、降低風險並加速雲原生應用程式和服務的應用。

在雲安全領域，CSMA將是不可阻擋的趨勢。而各雲安全廠商其實都準備走上或已經走在CSMA這條路線上，只是還沒有與CSMA直接對標。雲上安全首先需要依託於統一的安全大腦，也同樣需要具有靈活性、韌性、可擴充套件的安全編排能力，這正是CSMA的精髓。未來，綠盟科技將憑藉多年的技術和產品積累，結合CSMA架構的先進理念，繼續在雲安全領域進行探索和創新，應對不斷變化的網路安全挑戰，為數字化轉型時代背景下的網路業務保駕護航。

更多精彩內容請訪問：
https://rsac2022.nsfocus.com.cn/html/548/