信息化觀察網(wǎng)

是時(shí)候聊聊網(wǎng)絡(luò)安全網(wǎng)格了。

連續(xù)兩年進(jìn)入Gartner重大戰(zhàn)略技術(shù)趨勢(shì)的“網(wǎng)絡(luò)安全網(wǎng)格”到底是什么？

前不久，Gartner在2022年重要戰(zhàn)略技術(shù)趨勢(shì)報(bào)告里再一次提到了網(wǎng)絡(luò)安全網(wǎng)格（Cybersecurity Mesh，CSMA），這已經(jīng)是Gartner連續(xù)第二次在年度技術(shù)趨勢(shì)報(bào)告里提到了?？梢?jiàn)，過(guò)去的一年里這一趨勢(shì)還在持續(xù)發(fā)展，且越發(fā)明朗。

Gartner在2020年對(duì)網(wǎng)絡(luò)安全網(wǎng)格的描述

報(bào)告里的只言片語(yǔ)并未對(duì)網(wǎng)絡(luò)安全網(wǎng)格做明確的定義，尋遍了國(guó)內(nèi)外網(wǎng)站，我也只能找到寥寥數(shù)篇相關(guān)報(bào)道。最后從Gartner研究副總裁Jay Heiser的一篇關(guān)于網(wǎng)絡(luò)安全網(wǎng)格的分析文章里，算是對(duì)網(wǎng)絡(luò)安全網(wǎng)格有了一些初步認(rèn)識(shí)：

1.網(wǎng)絡(luò)安全網(wǎng)格是一種分布式架構(gòu)方法，實(shí)現(xiàn)了在分布式策略執(zhí)行架構(gòu)中實(shí)行集中策略編排和決策，用于實(shí)現(xiàn)可擴(kuò)展、靈活和可靠的網(wǎng)絡(luò)安全控制；

2.網(wǎng)絡(luò)安全網(wǎng)格允許身份成為安全邊界，使任何人或事物能夠安全地訪問(wèn)和使用任何數(shù)字資產(chǎn)，無(wú)論其位于何處，同時(shí)提供必要的安全級(jí)別，是隨時(shí)隨地運(yùn)營(yíng)趨勢(shì)的關(guān)鍵推動(dòng)因素；

3.網(wǎng)絡(luò)安全網(wǎng)格這種分布式、模塊化架構(gòu)方法，正迅速成為分布式身份結(jié)構(gòu)（The Distributed Identity Fabric）、基于上下文的安全分析、情報(bào)和響應(yīng)（EDR、XDR）、集中式策略管理和編排、ZTNA、云訪問(wèn)安全代理(CASB)和SASE的安全網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

安全行業(yè)的細(xì)分領(lǐng)域特別多，每年都會(huì)涌現(xiàn)一些新概念、新名詞，別說(shuō)外行了，內(nèi)行看著也會(huì)暈。但究其根本，安全本質(zhì)的東西還是一直未變。接下來(lái)我們拋開(kāi)那些云山霧繞的話述，試著解構(gòu)一下網(wǎng)絡(luò)安全網(wǎng)格即將成為趨勢(shì)的背后邏輯。

先說(shuō)明一下：繹云在2019年就已經(jīng)開(kāi)始研發(fā)信域安全云網(wǎng)，早于Gartner首次對(duì)于網(wǎng)絡(luò)安全網(wǎng)格的定義，而且按照Gartner的定義，網(wǎng)絡(luò)安全網(wǎng)格只是信域安全云網(wǎng)的底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施，因此以下解構(gòu)不能作為對(duì)Gartner定義的網(wǎng)絡(luò)安全網(wǎng)格的解釋，只能說(shuō)是我個(gè)人對(duì)這一技術(shù)趨勢(shì)的認(rèn)知，供大家參考。

1.分布式網(wǎng)絡(luò)架構(gòu)分布式網(wǎng)絡(luò)架構(gòu)不是新技術(shù)，但最近卻被經(jīng)常提到：區(qū)塊鏈的底層網(wǎng)絡(luò)是去中心化的分布式架構(gòu)，Web3.0的底層網(wǎng)絡(luò)是去中心化的分布式架構(gòu)，就連最近異?；馃岬脑钪嬉残枰植际降募軜?gòu)。

為什么要分布式網(wǎng)絡(luò)架構(gòu)？因?yàn)閷?shí)體業(yè)務(wù)在現(xiàn)實(shí)物理空間里已經(jīng)分布式地存在了，并且還在越來(lái)越碎片化，網(wǎng)絡(luò)架構(gòu)要服務(wù)于業(yè)務(wù)架構(gòu)，所以網(wǎng)絡(luò)架構(gòu)必須要升級(jí)自己，去適應(yīng)分布式的業(yè)務(wù)。在一個(gè)企業(yè)里，員工可能位于全球任何一個(gè)地方，業(yè)務(wù)系統(tǒng)可能部署在任意云或者數(shù)據(jù)中心里。人也好、系統(tǒng)也好，會(huì)根據(jù)個(gè)人或業(yè)務(wù)的需要隨時(shí)變換位置。換句話說(shuō)，我們當(dāng)前面臨的內(nèi)部業(yè)務(wù)環(huán)境是一個(gè)覆蓋全球的、隨時(shí)可能變化的、越來(lái)越碎片化的全網(wǎng)互聯(lián)結(jié)構(gòu)。物理網(wǎng)絡(luò)由各種路由器、交換機(jī)、網(wǎng)元設(shè)備組成，是一種靜態(tài)的，以云、數(shù)據(jù)中心為中心，從固定場(chǎng)所接入的結(jié)構(gòu)。通過(guò)VPN或者將服務(wù)直接暴露在互聯(lián)網(wǎng)的方式滿足遠(yuǎn)程接入和移動(dòng)接入的需求。無(wú)論是在靈活性或安全性上當(dāng)前的物理網(wǎng)絡(luò)都無(wú)法滿足隨時(shí)變化的、越來(lái)越碎片化的業(yè)務(wù)環(huán)境要求。我們不能期待物理網(wǎng)絡(luò)可以變成一個(gè)靈活的、分布式的網(wǎng)絡(luò)，做這樣的改造成本太高了。但我們可以在靜態(tài)的物理網(wǎng)絡(luò)之上構(gòu)建一層由軟件定義的邏輯網(wǎng)絡(luò)，這個(gè)邏輯網(wǎng)絡(luò)可以是靈活的、分布式的結(jié)構(gòu)。員工的個(gè)人終端和業(yè)務(wù)系統(tǒng)，在這個(gè)邏輯網(wǎng)絡(luò)里形成一種Full-Mesh結(jié)構(gòu)，任意兩個(gè)網(wǎng)絡(luò)實(shí)體之間在邏輯網(wǎng)絡(luò)里都是直連關(guān)系。

把復(fù)雜網(wǎng)絡(luò)簡(jiǎn)單化

這種結(jié)構(gòu)有2個(gè)明顯優(yōu)勢(shì)：

擺脫了物理網(wǎng)絡(luò)限制在任何物理位置上的終端或者業(yè)務(wù)系統(tǒng)，隨時(shí)都可以接入到這個(gè)Full-Mesh結(jié)構(gòu)的邏輯網(wǎng)絡(luò)中，無(wú)需考慮物理網(wǎng)絡(luò)環(huán)境。

復(fù)雜網(wǎng)絡(luò)簡(jiǎn)單化所有網(wǎng)絡(luò)主客體之間在邏輯上都是點(diǎn)對(duì)點(diǎn)直連關(guān)系，沒(méi)有復(fù)雜的中間網(wǎng)絡(luò)。這種極簡(jiǎn)結(jié)構(gòu)讓策略管理變得扁平化，給集中管控和行為分析帶來(lái)了天然優(yōu)勢(shì)。

2.集中策略編排和決策，分布式執(zhí)行

說(shuō)到分布式，很多人容易把它跟去中心化搞混，事實(shí)上這完全是兩個(gè)不同維度的東西：分布式是物理位置上的概念，而去中心化是在業(yè)務(wù)層面上的概念。所有的去中心化系統(tǒng)都是采用分布式結(jié)構(gòu)，而分布式結(jié)構(gòu)在業(yè)務(wù)層面上可能是中心化也可能是去中心化的。例如：區(qū)塊鏈就是分布式去中心化結(jié)構(gòu)，而云計(jì)算就是分布式中心化結(jié)構(gòu)。

去中心化結(jié)構(gòu)的好處是人人都是中心，沒(méi)有任何權(quán)威中心能完全控制，區(qū)塊鏈就是利用這種優(yōu)勢(shì)進(jìn)行集體記賬，實(shí)現(xiàn)了無(wú)人能抵賴的特性。但無(wú)人能控制是把雙刃劍，去中心化結(jié)構(gòu)下的執(zhí)行力非常低，事情的走向完全不可控，是一種無(wú)政府主義的烏托邦，在我看來(lái)人類還未進(jìn)化到這個(gè)地步，如果在企業(yè)里用去中心化的方式管理，結(jié)果只能是一團(tuán)糟。

有很多管理者都希望企業(yè)的組織架構(gòu)扁平化，這實(shí)際上就是一種分布式系統(tǒng)，工作效率要比等級(jí)森嚴(yán)的組織架構(gòu)要高得多。但在企業(yè)治理上，管理者希望企業(yè)有非常強(qiáng)的執(zhí)行力，也就是中心化治理方式。

現(xiàn)在我們構(gòu)建了一個(gè)與物理位置無(wú)關(guān)的分布式的網(wǎng)絡(luò)，那在業(yè)務(wù)層面上我們選擇中心化還是去中心化呢？很顯然，企業(yè)是集權(quán)主義組織，需要的是分布式中心化結(jié)構(gòu)。

回到我們的主題，在網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)下，每一個(gè)網(wǎng)絡(luò)實(shí)體在網(wǎng)絡(luò)控制層面上是分布式的結(jié)構(gòu)，但在整個(gè)分布式網(wǎng)絡(luò)的策略決策層面上采用的是中心化的結(jié)構(gòu)。

注意，在網(wǎng)絡(luò)安全網(wǎng)格中訪問(wèn)控制的執(zhí)行點(diǎn)變了，訪問(wèn)控制引擎是分布式的、點(diǎn)對(duì)點(diǎn)的，這與我們常見(jiàn)的網(wǎng)關(guān)型訪問(wèn)控制不一樣，網(wǎng)絡(luò)控制能力分布在了網(wǎng)絡(luò)的每一個(gè)地方，任意位置隨時(shí)可控，不存在性能瓶頸或控制盲區(qū)。

這樣的網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)即保證了高效的治理效率，同時(shí)又滿足了終端和業(yè)務(wù)碎片化的實(shí)際環(huán)境，完全符合了當(dāng)前的企業(yè)網(wǎng)發(fā)展趨勢(shì)。

3.讓身份成為安全邊界

讓身份成為安全邊界，看到這句話大家一定會(huì)聯(lián)想到零信任網(wǎng)絡(luò)。確實(shí)，網(wǎng)絡(luò)安全網(wǎng)格本身就是一種零信任網(wǎng)絡(luò)，但零信任網(wǎng)絡(luò)不一定就是網(wǎng)絡(luò)安全網(wǎng)格。從什么時(shí)候開(kāi)始，我們著急的要讓身份成為安全邊界了？原來(lái)的安全邊界不香了嗎？是的，不但不香，還越來(lái)越臭。

先說(shuō)幾個(gè)場(chǎng)景：

某業(yè)務(wù)系統(tǒng)在數(shù)據(jù)中心部署上線了，這個(gè)系統(tǒng)是給企業(yè)所有業(yè)務(wù)人員使用的，但業(yè)務(wù)人員分布在全國(guó)所有職場(chǎng)，也有可能出差全國(guó)跑。安全管理員只能在網(wǎng)絡(luò)層上給所有職場(chǎng)都開(kāi)放了訪問(wèn)權(quán)限，給每個(gè)業(yè)務(wù)員分配VPN帳號(hào)，通過(guò)業(yè)務(wù)系統(tǒng)自身的應(yīng)用層帳號(hào)來(lái)限制只有具備權(quán)限的人才能登陸訪問(wèn)。但某個(gè)非業(yè)務(wù)員工，坐在某個(gè)分公司辦公室，直接就能打開(kāi)業(yè)務(wù)系統(tǒng)登錄頁(yè)面，通過(guò)暴力破解，就輕松登錄進(jìn)去了。

為了防止攻擊，安全管理員又在數(shù)據(jù)中心出口部署了入侵檢測(cè)系統(tǒng)，對(duì)所有訪問(wèn)流量進(jìn)行實(shí)時(shí)檢測(cè)。某天發(fā)現(xiàn)有多個(gè)攻擊行為告警，所有攻擊源都指向一個(gè)IP地址。但經(jīng)過(guò)排查，這個(gè)IP地址是某分公司出口IP，安全管理員無(wú)奈了，不能封禁，去分公司逐一排查又來(lái)不及，明明知道當(dāng)前有人在攻擊業(yè)務(wù)系統(tǒng)，甚至已經(jīng)在竊取數(shù)據(jù)了，但沒(méi)辦法，只能干瞪眼。

公司的敏感文件被發(fā)現(xiàn)在互聯(lián)網(wǎng)上公開(kāi)了，初步排查公司郵箱遭到滲透。從郵件系統(tǒng)日志里看是某個(gè)內(nèi)部員工帳號(hào)登陸到郵箱服務(wù)器，但從流量日志上看，登陸行為又來(lái)自于互聯(lián)網(wǎng)的一個(gè)公網(wǎng)IP地址，有可能是員工帳號(hào)被竊取。攻擊者拿著員工帳號(hào)登陸，所有操作都是合法的，沒(méi)有觸發(fā)任何告警，所有網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)全部失效。所有線索最終指向一個(gè)公網(wǎng)IP地址就完全中斷了，調(diào)查也就只能到此為止。（是不是有點(diǎn)像Operation Aurora？這就是BeyondCorp的起源）

吃一塹長(zhǎng)一智，公司花重金買了數(shù)據(jù)安全產(chǎn)品，期望能把所有人訪問(wèn)敏感數(shù)據(jù)的行為都記錄下來(lái)，及時(shí)發(fā)現(xiàn)偷數(shù)據(jù)的情況。接上流量日志后，確實(shí)把所有訪問(wèn)業(yè)務(wù)的流量記錄下來(lái)了。但問(wèn)題也來(lái)了，上千人訪問(wèn)業(yè)務(wù)，每天上千萬(wàn)條流量日志全都混雜在一起，根本區(qū)別不開(kāi)到底哪條流量日志是哪個(gè)人訪問(wèn)的。所有基于人的行為檢測(cè)規(guī)則、關(guān)聯(lián)分析規(guī)則、機(jī)器學(xué)習(xí)算法、行為建模，全都是個(gè)花架子，聽(tīng)起來(lái)挺美，用起來(lái)完全不是這么一回事，這錢打水漂了。

公司部署了態(tài)勢(shì)感知系統(tǒng)，采集了各種安全系統(tǒng)告警日志、流量日志，進(jìn)行匯總統(tǒng)計(jì)、關(guān)聯(lián)分析，用大屏展示著各種花花綠綠的圖表。領(lǐng)導(dǎo)來(lái)視察工作，看見(jiàn)漂亮的大屏贊不絕口，順口問(wèn)了句：“那個(gè)攻擊最多的IP是誰(shuí)？”安全主管答不上來(lái)，氣氛開(kāi)始尷尬。領(lǐng)導(dǎo)又說(shuō)：“好吧，不管是誰(shuí)，趕緊處理吧！”安全主管心想，萬(wàn)一這是哪個(gè)下級(jí)單位出口IP怎么辦？不敢封禁，再次尷尬，主管心想“是時(shí)候該刷刷自己簡(jiǎn)歷了吧”。

CSO、安全主管們對(duì)這些場(chǎng)景應(yīng)該很熟悉吧？

導(dǎo)致這種問(wèn)題的根本原因在于一直以來(lái)我們都是用IP地址在網(wǎng)絡(luò)上執(zhí)行身份錨定和訪問(wèn)控制，但在業(yè)務(wù)逐漸碎片化的趨勢(shì)下，網(wǎng)絡(luò)也開(kāi)始碎片化，IP地址與人的關(guān)系越來(lái)越弱，用IP地址作為邊界的安全體系成本越來(lái)越高，效果越來(lái)越差，最終會(huì)走向完全失效。唯一的解決辦法就是不再用IP來(lái)作為邊界，而是用身份。

有了IAM就是身份作為邊界了嗎？當(dāng)然不是，有IAM只能說(shuō)有了統(tǒng)一身份，大多數(shù)企業(yè)早就做到了，不代表已經(jīng)用身份作為網(wǎng)絡(luò)邊界了；SDP？在網(wǎng)絡(luò)層依然是用IP地址劃分邊界（從SPA實(shí)現(xiàn)原理就能看出來(lái)）；SMG？隔離場(chǎng)景有限，隔離邏輯也不是基于身份。

那什么才叫做用身份作為邊界？

所有的網(wǎng)絡(luò)數(shù)據(jù)包都實(shí)名制

互聯(lián)網(wǎng)是自由的，但自由的前提是遵守法律和道德底線。所有陰暗的勾當(dāng)都喜歡完全匿名，匿名者知道自己的行為是不合法不道德的，害怕被人指認(rèn)出來(lái)，要用完全匿名的方式既滿足私欲，又躲避責(zé)罰，不愿擔(dān)當(dāng)，比如說(shuō)暗網(wǎng)。

暗網(wǎng)交易（截圖來(lái)自于互聯(lián)網(wǎng)新聞報(bào)道）

完全匿名的網(wǎng)絡(luò)下只會(huì)滋生罪惡，但罪惡可不是互聯(lián)網(wǎng)的初衷。試想一下，元宇宙里每個(gè)人都是完全匿名的，這個(gè)元宇宙里會(huì)發(fā)生什么？

每一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包都實(shí)名，從任意一個(gè)數(shù)據(jù)包里我們都能看到是什么人用了哪個(gè)終端做了什么事情，這本身就是一種威懾，是先于攻擊者意圖的防御。

干掉IP地址，用身份來(lái)管控網(wǎng)絡(luò)

先有網(wǎng)絡(luò)，再有的網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全的發(fā)展整體滯后于網(wǎng)絡(luò)的發(fā)展。網(wǎng)絡(luò)先驅(qū)們最初在設(shè)計(jì)網(wǎng)絡(luò)協(xié)議的時(shí)候并未考慮身份的事情，而是在網(wǎng)絡(luò)世界里簡(jiǎn)單的用IP地址來(lái)錨定人的身份。這種方式在網(wǎng)絡(luò)建設(shè)初期還能應(yīng)付，但如今的網(wǎng)絡(luò)早已不像當(dāng)初，多分支、混合云、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)，早已將網(wǎng)絡(luò)堆砌成一個(gè)動(dòng)態(tài)變化的龐雜環(huán)境，在這種環(huán)境下用IP地址錨定人的做法在安全領(lǐng)域就越來(lái)越捉襟見(jiàn)肘了。

在企業(yè)網(wǎng)絡(luò)里，我們一直在用防火墻來(lái)設(shè)置安全邊界。之所以只能用基于IP地址的訪問(wèn)控制模型來(lái)設(shè)置邊界，是因?yàn)榫W(wǎng)絡(luò)流量里只有IP地址可以用于區(qū)分訪問(wèn)主客體。而現(xiàn)在我們讓所有的網(wǎng)絡(luò)數(shù)據(jù)包都實(shí)名制了，每個(gè)數(shù)據(jù)包都帶有身份信息，完全可以用身份來(lái)作為訪問(wèn)控制的基礎(chǔ)。

是時(shí)候?qū)⒒贗P的防火墻升級(jí)為基于身份的防火墻了。

要想實(shí)現(xiàn)讓身份作為邊界，那就先讓每個(gè)數(shù)據(jù)包都實(shí)名制，然后干掉安全系統(tǒng)對(duì)IP地址的依賴，構(gòu)建分布式的、基于身份的網(wǎng)絡(luò)防火墻，讓所有安全管控和分析研判以身份為基礎(chǔ)。

這就是我理解的“讓身份作為邊界”。

4.是其他安全系統(tǒng)的基礎(chǔ)設(shè)施

前面已經(jīng)解釋了網(wǎng)絡(luò)安全網(wǎng)格具備分布式點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)架構(gòu)，分布式策略執(zhí)行，集中策略管理，在完全身份化的網(wǎng)絡(luò)里用身份重新構(gòu)建安全邊界這些特性。

在這些前提下，我們?cè)偃タ?ldquo;網(wǎng)絡(luò)安全網(wǎng)格正迅速成為成為分布式身份結(jié)構(gòu)、基于上下文的安全分析、情報(bào)和響應(yīng)、集中式策略管理和編排、ZTNA、CASB和SASE的安全網(wǎng)絡(luò)基礎(chǔ)設(shè)施”就很好理解了。

網(wǎng)絡(luò)安全網(wǎng)格為企業(yè)構(gòu)建了一個(gè)全新的輕量級(jí)安全網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

說(shuō)它新，是因?yàn)樗窃谖锢砭W(wǎng)絡(luò)之上構(gòu)建的一個(gè)新的虛擬層，讓安全檢測(cè)和管控在這個(gè)虛擬層里編排、執(zhí)行，讓安全能力不再糾纏在龐雜的網(wǎng)絡(luò)結(jié)構(gòu)里，而是聚焦在人和行為身上。

說(shuō)它輕，是因?yàn)檫@個(gè)架構(gòu)與物理網(wǎng)絡(luò)并不沖突，企業(yè)實(shí)施一套網(wǎng)絡(luò)安全網(wǎng)格并不需要大費(fèi)周章的做網(wǎng)絡(luò)改造，而是在現(xiàn)有網(wǎng)絡(luò)上一點(diǎn)點(diǎn)遷移就行。開(kāi)放的架構(gòu)可以對(duì)接企業(yè)已建的IAM、SSO、SIEM、SOC、態(tài)勢(shì)感知等安全系統(tǒng)，也可以對(duì)接已建專線、SD-WAN這樣的網(wǎng)絡(luò)服務(wù)，分布式架構(gòu)天生就是用來(lái)構(gòu)建超大規(guī)模網(wǎng)絡(luò)的。

也許下一次，領(lǐng)導(dǎo)再來(lái)視察的時(shí)候，看到態(tài)勢(shì)感知大屏上的各種告警就不會(huì)再問(wèn)攻擊者是誰(shuí)了，因?yàn)榇笃辽弦呀?jīng)顯示了這個(gè)人的名字。如果領(lǐng)導(dǎo)說(shuō)趕緊處理下，安全主管只需點(diǎn)下鼠標(biāo)，也就處置完了，或者，系統(tǒng)早就已經(jīng)自動(dòng)處置了。

這才是一個(gè)可信企業(yè)網(wǎng)該有的樣子。