洞见RSA2022 | 网络安全网格架构(CSMA)分析

RSA2022大会以“Transform(转型)”为主题,准确概括了近几年生活、工作、科技等方面的巨大变化。新冠疫情的爆发更深远地影响了人们的生活和办公方式,更多人开始在网上购物,更多企业选择让员工居家远程办公。为满足人们生活、工作方式的改变,企业纷纷开启了数字化转型的征程,例如将更多业务迁移到公有云上,更多采用SaaS化服务等。数字化转型为企业带来了更加先进的生产力,使企业获得了更加可观的盈收。但同时企业的资产变得无处不在,业务的访问场所变得捉摸不定。传统网络边界被彻底打破,攻击面也随之扩大,传统以网络边界为主要防护目标的解决方案已经不能应对新的安全防护需求。因此,网络安全架构也势必要寻求改变。

在2022RSA大会上就出现了大量关于安全策略和架构(SecurityPolicy & Architecture)的议题,以及检测与响应的自驱技术“The Journey to The Self-Driving SOC”等。这些议题的共同目标是“应变”,它们都在寻找一种广泛的、集成的、自动的、开放生态的新安全技术架构,来应对当前数字化转型形势下网络安全、云安全、应用安全、数据安全等领域所面对的巨大挑战。我们发现Gartner在2022年十二大重要战略技术趋势报告中提出的CSMA(Cyber Security Mesh Architecture,网络安全网格架构)刚好能完美地契合这一需求。

一、CSMA架构分析

Gartner在其报告中定义CSMA是一种“现代化的安全方法,能够在需要的地方部署一致性的控制能力,以一种紧密集成、可扩展、高度灵活,并富有弹性/韧性的方式,通过提供支持服务层(整合策略管理、控制台安全情报和身份矩阵)来让安全工具之间能够协作而不是各自为战。能够让任何用户和设备可以安全地访问或使用数字化资产,无关乎其所在的物理位置。”其中,Mesh的主要意义旨在打破传统安全产品竖井式、孤岛式的技术架构和部署形式,将各种各样的安全设备通过一张相互联通、相互协作的网络有机联系在一起,从而形成一套高可扩展性、高灵活性、高弹性、强韧性的网络安全网格架构。CSMA的这些特性要求正是解决混合业务部署场景下网络安全的必要特性,是应对多云/混合云安全、云地一体化、跨域安全分析、多种安全产品能力整合方面安全挑战的万能钥匙。

图1 Gartner CSMA总体框架

CSMA的概念一经提出,就在业内获得了极大反响,一些安全厂商便积极响应并迅速推出了符合CSMA理念的安全产品或解决方案。例如,近些年在云安全领域颇有建树的老牌安全组织Fortinet,就推出了“Fortinet Security Fabric”安全架构,并宣称是CSMA的最佳范式,而从Fortinet的框架图来看也确实与CSMA框架非常吻合。

图2 Fortinet Security Fabric与CSMA

统一的策略和态势管理

Gartner认为CSMA可以“将统一的策略转换为各个安全工具的本地配置结构,或者作为一种更高级的替代方案来提供动态运行时的授权服务,以确保IT团队能够更有效地识别合规风险和错误配置问题。”

将此部分作为论述的第一部分,是因为我们认为它是实现CSMA的首要基础。

统一的安全策略管理是客户安全需求的最直接表达,它无关安全设备类型、安全厂商类型、资产或网络的位置。一个成熟的网络架构,应该具备一个强大的策略编排器,能够根据客户输入的统一安全策略,结合统一的资产和身份管理进行对应安全资源、安全策略及业务流量的引流编排。为客户在正确的位置、为正确的用户部署满足其安全和权限策略。统一的安全策略最终将会被转换为具体网络位置、具体单体设备可以处理的形式并下发。

而统一的态势管理则是根据不同位置、不同类型安全工具所产生的安全数据,结合安全知识库、安全威胁情报等综合分析而得。它不仅可以为安全运营人员提供统一的安全态势信息,同时也可以结合SOAR等自动化编排技术,为企业提供自动、智能且持续的安全编排和响应,使企业的业务和资产始终保持在安全的运营状态。

安全分析和情报

CSMA可以对大量数据进行集中式的实时收集、合并和分析,通过结合来自不同安全工具的数据和攻防经验,来进行威胁分析并触发适当的响应。这将极大改善企业的风险分析能力和威胁响应时间,并有效减少攻击。

具体说来,需要将企业部署的各种安全设备、安全探针等安全工具所产生的运行日志、安全日志进行归一化、范式化处理,然后结合ATT&CK模型、威胁情报等手段将安全日志分层提取、归并,最后形成高精度的安全事件并自动处置。

图3是Azure对原始日志的归并分层方式,可以看到经过处理后只有小于1%的原始日志最终会发出告警。

图3 Azure事件过滤

统一的仪表盘

CSMA可以为整个安全生态系统提供一个复合视图,使安全团队能够更快速、更有效地响应安全事件,以便部署适当的响应。

仪表盘是安全运营的重要功能,可为相关人员提供安全态势的直观展示,有效提高安全运营人员的工作效率。统一的安全分析是实现统一仪表盘的基础,仪表盘是安全分析结果的直观表达,两者相辅相成。相关安全数据归一化后,通过丰富的统计方法和可视化方法最终形成整合仪表盘。

分布式身份结构

在云的场景中,身份管理始终是安全的最大隐患之一,尤其是在多云、混合云场景下,基础设施的异构性、离散型使得身份管理更加困难。云的大规模和多样性、云上资源的短生命周期、跨云缺乏一致性和标准、特殊权限过多等,使传统的IAM解决方案很难胜任。为解决云上身份认证管理的挑战,我们需要借助分布式企业身份管理来一致地管理企业运行在多个云上应用程序的身份和访问,从而集成不同云平台和预部署系统的身份竖井,以便在多个云平台上执行一致的权限策略。

CSMA的分布式身份结构(Distributed Identify Fabric)基础层可以提供目录服务、自适应访问、去中心化身份管理、身份证明和授权管理等功能,从而解决传统应用的身份锁定问题,消除多云环境带来的碎片化和竖井等身份管理问题。

图4 STRATA公司提供的Maverics分布式身份编排构架(图片来源于官网)

二、绿盟科技CSMA实践

绿盟科技在云安全市场深耕多年,深入理解客户安全需求,并对现有优势产品和方案进行持续提炼、整合和升华,形成了一套统一、自动、开放的云安全运营中心,广泛适配公/私有云、混合云、多云、云原生等场景。绿盟云安全运营中心可通过全局的安全策略编排、统一的安全事件分析和情报管理、统一的安全态势仪表盘及基于CIEM的多云权限管理架构,实现数字化转型大趋势下多云、混合云场景下的网络安全防护需求。其架构理念与Gartner提出的CSMA架构理念不谋而合。

绿盟云安全资源池

绿盟云安全资源池提供广泛的安全能力接入,包括安全能力的多样性、部署位置的广泛性。其中:

1、基于绿盟云平台为客户提供SaaS化安全服务,让客户可以像获取水、电一样方便地获得所需的安全服务,例如WebSafe、云WAF、SASE等安全服务。通过DNS/SDWAN引流的方式将流量牵引到部署在云上的安全资源池,快速实现业务的开通部署,客户无需为安全服务提供基础设施,有效减少了安全投入成本和运营成本。

2、在政务云、行业云客户场景中,客户更希望能够为其私有云平台提供个性化的安全服务,并实现安全增值。在此场景下,安全资源池通常选择本地化部署,通过对接云出口路由器实现按需的流量牵引,并提供基于服务功能链和软件定义的安全服务功能灵活编排和调度。

3、在公有云/多云场景下,绿盟云安全运营中心除提供SaaS的安全服务外,还可以将下一代防火墙、堡垒机、数据库审计等安全设备以虚拟机的形式部署到租户的VPC内。

4、绿盟云安全运营中心还支持纳管客户云本地部署的安全设备,包括存量设备的利旧,从而实现云地协同,为客户提供云上、云下统一的安全配置及风险态势管理。

客户的安全设备无论是部署在公有云、私有云、IDC还是本地网络,绿盟云安全运营中心都可以将这些云上、云下安全设备或安全服务进行集中纳管,并通过统一的安全策略编排来实现客户多云环境下安全配置的一致性,减少配置错误。结合统一的安全分析和安全态势管理,以及自动化的安全编排响应能力,持续为客户的多云环境提供安全服务,从而大大提高安全运营效率。

图5 绿盟云安全网络安全风格架构

统一的策略编排

绿盟云安全产品通过统一的安全控制器实现对安全资源的统一管理,并将不同类型、厂商的安全设备API,通过插件化架构抽象为标准的北向服务化API对上层提供服务。

北向服务接口实现了包含NIST的IPDRR、绿盟科技标准互操作接口等多套通用标准接口规范,提供了良好的系统开放性,利于与第三方系统协同构建全面的安全生态体系,同时也保留了未来扩展空间。

南向同样对各安全原子能力进行抽象建模,屏蔽不同厂商、不同设备之间的差异,形成统一的安全能力控制面接口,有利于编排控制层对安全能力的统一高度编排。同时,南向为不同设备提供对应的适配插件,将抽象的原子能力控制策略转换为设备具体的安全策略或指令,提供了非常便捷的异构安全能力接入能力,从而保障平台在安全能力接入层面的生态开放性。

图6 绿盟云安全运营中心分层架构

安全分析和统一态势管理

目前绿盟云安全产品在架构上实现了统一的安全大数据分析中心,可以对接包含绿盟科技自身在内的多厂商安全产品日志、云平台日志、业务日志等,并实现归一化处理,可结合资产信息、威胁情报等对归一化日志进行信息增强。通过绿盟科技自研的威胁感知、用户行为分析等多种安全分析引擎进行分层分析提取出高精度安全事件,支撑高效的安全运营。

借助绿盟云安全产品统一安全大数据分析中心组件的态势感知特性,客户可以实现统一的安全整合仪表盘,内容包含:攻击类型统计、网络安全分析、综合风险统计指数、安全事件发生趋势、源目的攻击统计等多维度安全可视化统计。

图7 绿盟云安全产品综合风险态势仪表盘

分布式身份安全

最近Gartner的CIEM(Cloud Infrastructure Entitlements Management)方案被越来越多的提及,方案旨在打通多云间的认证授权管理,保障用户使用云基础设施和服务时的最低权限访问原则,帮助企业抵御数据泄露、恶意攻击及过多云权限带来的其他风险。

为解决传统应用的身份锁定问题,消除多云环境带来的碎片化和竖井等身份管理问题,绿盟科技依据CIEM架构,推出了相应的去集中化身份安全解决方案。方案集成多云管理特性,在实现多云资产权限集中管理的同时,落地并实践了CIEM。能够对当前国内主流公有云的租户云基础设施访问进行统一管理,并在整个单云和多云环境中建立最低权限访问。为IT和安全组织提供对云权限的精细化控制,以及对权限的完全可见性,并通过识别和删除过多的权限,帮助企业增强安全性、降低风险并加速云原生应用程序和服务的应用。

图8 分布式身份管理

在云安全领域,CSMA将是不可阻挡的趋势。而各云安全厂商其实都准备走上或已经走在CSMA这条路线上,只是还没有与CSMA直接对标。云上安全首先需要依托于统一的安全大脑,也同样需要具有灵活性、韧性、可扩展的安全编排能力,这正是CSMA的精髓。未来,绿盟科技将凭借多年的技术和产品积累,结合CSMA架构的先进理念,继续在云安全领域进行探索和创新,应对不断变化的网络安全挑战,为数字化转型时代背景下的网络业务保驾护航。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author