在“安全网格这瓜保熟吗?”一文中,我们曾简要介绍过企业如何尝试启动安全网格(网络安全网格架构,CSMA)策略。
安全网格最大的优点就是解决了网络安全行业最大的痛点:(不同厂商的产品和服务)缺乏可扩展性和可操作性。
在Gartner看来,安全网格专注于(安全产品方案和服务)的可组合性、可扩展性和互操作性,以创建安全工具的协作生态系统。Gartner乐观地预测:
到2024年,采用安全网格架构来集成安全工具,形成协作安全生态系统的组织将平均减少90%的个人安全事件的财务影响。
去中心化、多云环境、远程办公等企业IT趋势正在倒逼网络安全行业的变革:云计算、DevSecOps、物联网和数字化转型的创新应用都需要灵活可扩展的网络安全策略,以及可扩展、集成和自动化的网络安全网格架构的支撑。
以下,我们从安全网格的概念入手,分析为什么安全网格并非Gartner的炒作,而是企业IT的大势所趋。
什么是安全网格?
Gartner指出,安全工具之间的互操作性越来越差,此外多个设备和软件存在功能重叠和浪费,但企业仍需要为每个设备和软件支付许可费用。
根据Gartner的报告,安全网格有四个基本层面:
-
安全分析和情报
-
综合仪表板
-
分布式身份结构
-
统一的政策和态势管理
以密钥管理为例,在微软Azure中存储密钥与在亚马逊AWS或谷歌云中存储密钥是不同的,例如:
-
Azure密钥库;
-
AWS CloudHSM;
-
谷歌云密钥;
-
本地HSM设备。
虽然每个应用程序/服务在技术和操作上都是不同的,但他们被用于满足类似的安全策略目标(防止密钥/敏感信息暴露或者被未授权访问)。因此,相同的整合策略和状态管理转化为不同配置和部署,即分布式安全控制。
同样,整合的策略和状态管理将抽象的策略目标转换为各厂商(产品方案)的特定配置。例如,开发人员经常重复使用密钥来访问不同的资源,而忘记将其与产品开发分开。
例如,云安全态势管理平台可以帮助确保所有加密密钥访问都受到监控并符合公司政策或安全标准,还可使所有配置都与不同的厂商保持一致。
网络安全的“通用语言”
为了更好地让所有安全工具协同工作和“交谈”。网络安全行业会使用一些“通用语言”,例如我们熟悉的“IOC”——威胁情报共享中的失陷指标。但是,如果安全厂商没有标准化的IOC,那么这种分享就无法实现。
同样,安全网格也需要通用语言,例如开放标准和通用API,以支持不同安全厂商的集成,以下使现有通用标准的一些示例:
IOC——STIX/TAXII、SIGMA
威胁情报——OpenDXL(McAfee)、SCAP v2(NIST)
网络——Netflow、IPfix
身份验证——SAML、OAuth、FIDO2
框架——MITRE ATT&CK和D3FEND、CVSS、OWASP TOP10
威胁搜索——Yara、Snort、ZEEK
在实施安全网格架构的SOC环境中,我们需要一个标准流程来收集和关联事件和日志。为了开展威胁情报工作,我们还需要汇总有关威胁和资产的信息。因此,不仅是从所有安全设备导出的数据,还应该对身份和资产的上下文信息等其他数据源进行标准化。
最后,数据流的每个部分都进行了集成,以使安全工具无缝地协同工作。作为安全专业人员,我们可以根据多云或者远程办公的不同需求灵活调整策略,按需组合任意数量的安全产品来搭建对应的安全网格的四层架构。此外,采用安全网格架构还有助于消除企业安全堆栈中的孤岛。
正如零信任架构推动了网络安全厂商的技术创新和产品整合,安全网格作为一种可行的架构策略能够简化(如果不是终结)围绕多云、混合云、容器安全以及安全编排和响应的架构的讨论。
总结
安全网格解决方案的特点是通过API优先的方法灵活地扩展安全架构。安全网格还为网络安全命名了通用框架——从威胁分析到威胁情报,以及通过API集成的安全控制。
实用的安全网格架构将需要更强大、更统一的策略管理和治理。例如,协调更合适的“最小权限”访问策略至关重要,企业可以使用分布式执行的集中策略管理引擎来达成这些策略。
