鑽石舞台

隨着組織數字化轉型加快以及新冠肺炎疫情的全球大流行，分布在世界各地的機構、資產、員工、客戶和合作夥伴推動了業務上雲、移動辦公的日益普及，用戶、設備、應用和數據逐漸離開了工作地點和數據中心。這樣的變化導致越來越多的資產存在於傳統的安全邊界之外，讓邊界變得支離破碎，如今，無法通過構建單一的安全邊界來判斷「內好外壞」，讓傳統邊界防護方法變得不再有效。網絡安全需要圍繞個人或事物的身份重新定義，零信任網絡架構逐漸形成共識，身份和上下文將成為分布式環境中的最終控制平面 ，以支持對分布的資產以及任何地方發起的安全訪問。

許多組織正在採用多雲戰略，使用來自多個雲提供商的服務以提供滿足業務需求的彈性。例如，對於具有複雜 IT 體系結構的大型組織（如政府組織、金融機構和大型製造企業）來說，使用多個雲和數據中心對於保障其業務的安全、可靠運行是非常必要的。但由於各個雲提供商都支持一套自身的安全策略（例如，阿里雲、亞馬遜網絡服務和微軟 Azure 等使用不同的方法來保護各自生態系統中的資產），因此，跨雲提供商實現一致的安全控制是一項新的挑戰，而且組織中龐雜的內部服務更將加劇這樣的挑戰。雖然新的技術標準和產品正在試圖彌補這一問題，但組織更應關注如何找到適應這種複雜環境的統一、靈活、可靠的網絡安全控制方法。

為達到安全目的，當前的 IT 系統通常會根據合規要求和業務需要，「一應俱全」地部署多種安全工具。2020 年數據安全研究中心Ponemon Institute 的統計數據顯示，每個組織平均部署了超過45種安全解決方案和技術產品往往還需要使用到多個供應商的產品解決方案。這樣的安全系統建設方式導致系統過於龐雜，安全分析與運維管理非常困難，例如，安全事件檢測與響應經常需要在多個工具之間進行協調，每個設備升級時都必須不斷重新配置複雜的安全策略等；同時多種安全工具存在功能重疊，也帶來很多不必要的投資浪費。當用戶提出新的安全需求以及引入新的安全工具時，上述問題將愈加嚴重。許多 IT 管理者都高度重視這一問題，希望找到更優的集成方法，通過高效地集成當前最好和未來出現的安全工具，整合安全資源，以減少安全工具的品種數量，增強網絡安全整體防護效能，減少系統複雜性並降低建設成本。

當前網絡變得更加複雜和分散，各種孤立部署的安全工具由於沒有完全集成（例如，它們可能只是通過支持聯合身份驗證而實現鬆散的耦合），難以形成防禦合力，從而帶來了很多安全問題與風險。例如，不同安全工具之間缺乏互操作性（甚至互操作意識），安全態勢語義混亂，造成可見性割裂，且並行使用的安全分析工具很難支持跨域的安全分析，限制了發現和應對威脅的能力；攻擊者不會僅在各個孤立的安全區域中去尋找和利用漏洞，他們往往通過橫向移動，利用一個區域的弱點來攻擊相鄰區域，或者從不同安全區域之間的結合部滲透到系統中。因此，完備的安全防禦需要從組織角度和技術角度消除安全孤島。目前，一些安全分析和智能化工具通過使用跨不同安全領域的特定信息來實現統一的安全檢測與事件響應，如擴展檢測與響應（XDR），但我們還需要一個更加廣泛、集成且自動化的安全分析與管理基礎設施，讓所有安全工具都可以通過這個基礎設施實現相互通信並共享信息，提供統一安全管理和可見性，形成整體防禦合力，並可自動適應網絡部署的演進變化。

零信任網絡、微服務、高級數據分析、人工智能、區塊鏈等技術的日趨成熟，以及在網絡安全領域的不斷應用，為找到應對上述挑戰的網絡安全架構新方法創造了條件。2020 年 10 月，Gartner 在 2021 年重要戰略技術趨勢報告中第一次提出了「網絡安全網格」這個概念，並在 2022年重要戰略技術趨勢報告中再次提及。此外，該概念也進入了 Gartner《2021 年安全與風險管理重要發展趨勢》報告中，並位列首位，由此可見網絡安全網格的重要性。但目前 Gartner 對於網絡安全網格概念的定義尚不清晰和具體，這對於一個剛出現的概念來說是常見的現象。本文基於Gartner 相關報告中對網絡安全網格的描述，解剖其概念、架構以及與其他網絡安全概念的關係，展望其帶來的影響，提出應用網絡安全網格方法的建議，希望能夠對深入理解與認識這個網絡安全領域的重要發展趨勢帶來幫助。

1　概念與特點

Gartner 發布的《2021 年重要戰略技術趨勢》（Top Strategic Technology Trends for 2021）中描述了網絡安全網格的概念：「網絡安全網格是一種分布式架構方法，能夠實現可擴展、靈活和可靠的網絡安全控制。現在許多資產存在於傳統安全邊界之外，網絡安全網格本質上允許圍繞人或事物的身份定義安全邊界。通過集中策略編排和分布策略執行來實現更加模塊化、更加快速響應的安全防護。」

在 Gartner 發布的《2022 年重要戰略技術趨勢 》（Top Strategic Technology Trends for 2022）中對網絡安全網格概念有了進一步的說明：「數字業務資產分布在雲和數據中心，基於邊界的傳統、分散的安全方法使組織容易遭受攻擊。網絡安全網格架構提供一種基於身份的可組合安全方法，以創建可擴展和可互操作的服務。通用的集成結構可以保護任務組織的任何資產，對於使用這樣的一體化安全工具的組織來說，可將單項安全事件的財務影響平均減少 90%。」

從上述 Gartner 報告的描述中可以看出，網絡安全網格是一種安全架構方法或者策略，而不是一種定義明確的架構或標準化的技術方法，更不是某種產品，其目的是找到能夠應對不斷發展的業務系統以及網絡環境演變所帶來的安全挑戰的新方法，提供比傳統物理邊界防護更強大、更靈活和可擴展的安全能力。

網絡安全網格主要涉及設計和建設 IT 安全基礎設施，採用「水平」分布式方式將各種安全能力集成到網絡中，而不是採用傳統的「自上而下」、各種安全設備「一應俱全」的集成方式，致力於構建一個能在龐大的安全生態系統中協同運行，且自動適應網絡環境演化的全面覆蓋、統一管控、動態協同和快速響應的安全平台。

網絡安全網格的主要特點如下文所述。

（1）通用集成框架。網絡安全網格提供一種通用的集成框架和方法，實現類似「樂高」化思維的靈活、可組合、可擴展的安全架構。通過標準化工具支持可互操作的各種安全服務編排和協同，從而實現廣泛分布的不同安全服務的高效集成，建立起合作的安全生態系統來保護處於本地、數據中心和雲中的數字資產，並基於數據分析、情報支持和策略管理等能力的聚合形成更加強大的整體安全防禦和響應處置能力。

（2）分布式網絡架構。網絡安全網格利用了「網格」的去中心化、對等協作、結構靈活、連接可靠、擴展性強等優勢，不再側重於圍繞所有設備或節點構建「單一」邊界，而是圍繞每個接入點創建更小的、單獨的邊界 [5-6]。通過建立與接入點同樣多的安全邊界，保證物理位置廣泛分布的用戶能隨時隨地安全接入，符合零信任網絡中的「微分段」要求，使得網絡犯罪分子和黑客更難利用整個網絡。同時，網絡中主客體之間在邏輯上都是點對點直連關係，無須關注具體的物理網絡部署，能夠簡化安全配置且能自動適應網絡動態變化。

（3）集中管理與分散執行。與傳統的網關集中訪問控制不同，網絡安全網格採用了集中的策略編排和權限管理，基於策略分布式的執行，將網絡安全控制能力分布到網絡的更多地方，使安全措施更接近需要保護的資產，一方面，有利於消除安全管控盲點，緩解傳統集中安全控制存在的性能處理瓶頸，適應用戶終端和組織業務分散化發展需要；另一方面，有利於實現全局的安全威脅分析，形成更加一致的安全態勢，從而實現更加精準的安全管控和更加快速的響應處置。

（4）圍繞身份定義安全邊界。在當前網絡協議中，因缺失身份要素帶來了很多安全問題，物理 IP 地址與人和終端的關聯性越來越弱，導致基於地址、流量、日誌的安全檢測和威脅分析技術難以實現針對人的威脅研判；基於網絡協議字段特徵檢測的傳統邊界訪問控制技術，同樣使得基於身份的授權訪問成為天方夜譚。由於網絡威脅本質上是人帶來的威脅，因此難以實現精準高效的安全威脅處置。網絡安全網格延續了零信任網絡的思想，用身份定義網絡邊界，讓身份成為威脅研判與安全管控的基礎。

Gartner 提出了網絡安全網格的具體實現框架，即網絡安全網格架構（CyberSecurity Mesh Architecture，CSMA）。這是一種分布式安全服務的協作框架，提供安全分析與情報、統一策略管理、整合操控界面和分布式身份結構等 4個安全基礎設施（如圖 1 所示）[1]，使不同的安全工具能夠基於該基礎設施協同工作並實現統一的配置和管理，提高安全工具的可組合性、可擴展性和互操作性，解決多種安全工具在各個孤立體系中運行時所帶來的問題，實現各種安全能力的有機聚合，適應業務發展需要並達到「力量倍增」的效果。

圖 1　網絡安全網格架構概念

網絡安全網格架構的組成如圖 2 所示，4 個基礎支撐層之間以及與其他安全系統之間的關係如下文所述。

圖 2　網絡安全網格架構組成

（1）安全分析與情報層。可與來自第三方的安全工具開展聯合協同檢測，基於豐富的威脅分析手段，結合威脅情報，利用機器學習等技術形成更加準確一致的威脅分析結果。（2）統一策略管理層。主要包括安全策略編排和安全態勢管理，將集中的策略轉換為各個安全工具的本地配置策略，實現分布式執行，並支持動態策略管理服務。（3）整合操控界面層。實現安全數據可視化，提供安全系統複合視圖，主要包括統一的控制面板、告警、審查、指導手冊和報告等，使安全團隊能夠更快速、更有效地響應安全事件。（4）身份架構層。主要提供目錄服務、自適應訪問以及去中心化的身份管理、身份驗證和授權管理等功能，支撐構建適合用戶需求的零信任網絡架構。

網絡安全網格是在物理網絡之上構建的邏輯層，網絡安全架構的應用視圖如圖 3 所示，直觀展示了在邏輯層中通過對各種安全能力的編排、執行，使得各種安全工具基於 4 個安全基礎層實現互操作，提供統一的安全管控和可見性，而不是在孤島中運行每個安全工具，從而構建一個能在龐大的安全生態中協同運行，且自動適應網絡環境演化的安全平台。

圖 3　網絡安全架構應用視圖

近年來，網絡安全領域的新概念層出不窮、紛繁複雜且相互關聯，因此，釐清網絡安全網格架構所帶來的優勢，以及與當前流行的其他安全概念之間的關係是很有必要的。

3.1　網絡安全網格架構優勢

網絡安全網格架構的優勢主要體現在下文所述的幾個方面。

（1）實現更加可靠的安全防禦。網絡安全網格摒棄了傳統的邊界防護思想，不僅是圍繞網絡數據中心、服務中心構建「邊界」，還圍繞每個接入點創建更小的、獨立的邊界，並由集中的控制中心進行統一管理，從而將安全控制擴展到廣泛分布的資產，在提高威脅應對能力的同時，增強了安全系統的可擴展性、靈活性和彈性。

（2）應對複雜環境下的安全需求。通過網絡安全策略集中編排但分散執行的方法，在統一的安全策略控制下，提供一種靈活且易於擴展的安全基礎架構，可為混合雲和多雲等複雜環境中的資產保護提供所需的安全能力。

（3）實現更加高效的威脅處置。通過安全工具集成，加強了安全數據採集和預測分析之間的協作，可以更加快速、準確地獲取安全態勢，及時發現並應對安全威脅，可大幅度增強對違規和攻擊事件的響應處置能力。

（4）構建更加開放的安全架構。提供了一種可編排的通用集成框架和方法，支持各類安全服務之間的協同工作，用戶可自主選擇當前和新興的安全技術與標準，面向雲原生和應用程序接口（Application Programming Interface，API） 插 件的環境更加易於集成，便於定製與擴展，能有效彌補不同供應商安全方案之間的能力差距。

（5）降低建設維護的成本與難度。用戶可以有效減少管理一組龐大的孤立安全解決方案的開銷，同時，安全能力部署和維護所需的時間更少、成本更低，易於與用戶已建設的身份識別與訪問管理（Identity and Access Management，IAM）、安全信息和事件管理（Security Information and Event Management，SIEM）、 安 全運營中心（Security Operations Center，SOC）、態勢感知等安全系統共存，也方便對接已建設的專線、軟件定義廣域網（Software-Defined Wide Area Network，SD-WAN）等網絡服務。

3.2　與其他安全概念的關係

（1）零信任網絡。談及網絡安全網格，就不得不提到零信任網絡，這兩個都是當前網絡安全領域的熱門術語，涉及網絡安全架構的方法論。零信任網絡的思想早在 20 年前就已經出現，但直到近三四年才開始逐漸流行起來。與之不同的是，不到 1 年時間，網絡安全網格就被引入到大量的安全總體設計中。

網絡安全網格本身是遵從零信任網絡思想的，人或機器都須通過嚴格的身份驗證和授權才可以從任何地方安全地訪問設備、服務、數據和應用，但零信任網絡不一定就是網絡安全網格。兩者的區別主要體現在：①網絡安全網格從圍繞數據中心創建邊界擴展到圍繞主體和對象創建邊界；②網絡安全網格支持將雲服務納入零信任網絡基礎架構；③網絡安全網格的關鍵要素是全面分析主體和客體的自適應訪問控制。

（2） 安 全 編 排 自 動 化 與 響 應（Security Orchestration, Automation and Response，SOAR）。SOAR 同樣也是 Gartner 提出的概念，是安全分析人員在統一的平台中集成工作流管理的一種方式。SOAR 涉及安全編排與自動化、安全事件響應平台和威脅情報平台等多種工具的融合，通過監測各種安全事件信息（包括各種安全系統產生的告警），並對之進行分析，在標準工作流程的指引下，幫助安全運維人員實施標準化的事件響應活動。在構建網絡安全網格架構的支撐層時，可以注意到的是，實現分布式安全解決方案之間互操作性的工具對於安全網格至關重要。最快、最合理的途徑是採用基於 API 驅動的標準化技術和可擴展的分析平台，利用標準化通信來打破孤島，在不同技術之間實現語義感知的編排，並通過自動化手段實現所有工具之間的實時共享以及靈活、可擴展的安全態勢。由此可見，SOAR 作為滿足編排和自動化需求而開發的工具，可以融合到網絡安全網格架構所需的安全分析與情報層，將成為網絡安全網格架構的重要支柱技術之一。

（3）其他安全概念。網絡安全網格與當前流行的其他安全概念之間並不衝突。擴展檢測和響應為安全供應商提供了將其產品整合至統一平台中的一種新的方式，因此可以說，XDR是 CSMA 進行安全分析和情報收集的潛在基礎。安全信息和事件管理（SIEM）也同樣如此，可以為網絡安全網格中的安全分析與情報層提供更多的價值。安全訪問服務邊緣（Secure Access Service Edge，SASE）技術是一種通過集成方式提供不同功能的網格方法，與之相比，安全網格通過構建網絡安全基礎設施的方式，得到更廣泛的適用範圍。

網絡安全網格作為網絡安全領域的重要技術發展趨勢，將給網絡安全行業帶來多方面的重要影響，網絡安全行業的參與者應緊跟發展形勢，積極尋找應對策略。

4.1　帶來的影響

網絡安全網格將為網絡安全行業帶來以下 5個方面的深入影響。

（1）助力 IT 系統開發中安全設計流程的升級。網絡安全網格方法意味着整個 IT 設計過程的重新配置，在 IT 系統和網絡設計之初就須考慮安全措施的集成。也就是說，安全措施不再是事後「打補丁」，而是在網絡架構設計過程中同步開展的，IT 設計開發團隊將大量參與其中並將安全設計在時間軸上進一步「向左」移動 ，以確保實現更高效、更可靠的安全防禦。

（2）支持大部分的 IAM 請求。如上文所述，由於企業所在場所之外存在越來越多的數字資產、身份和設備，傳統的邊界安全模型難以實施有效的保護。Gartner 預測，網絡安全網格將有助於處理超過 50% 的 IAM 請求，支持更具適應性、移動性和統一的訪問管理 。藉助安全網格方法，企業可以獲得比傳統安全邊界保護更集成、可擴展、更靈活和更可靠的數字資產訪問控制點和控制方法。

（3）推動安全託管服務提供商（Managed Security Service Provider，MSSP）的發展。Gartner預測，到 2023 年，近 40% 的 IAM 應用融合將由MSSP 推動。MSSP 可以為各類企業提供一流的資源和所需的能力來規劃、開發、獲取和實施綜合的 IAM 解決方案。相比產品供應商，MSSP 通過集成方式更有能力和意願為客戶提供同樣場景下的最佳安全解決方案，這樣的發展趨勢將導致產品供應商的作用和影響發生重大轉變。

（4）促進在員工身份管理生命周期中納入新的身份驗證工具。隨時隨地辦公的要求使得遠程交互變得越來越普遍，讓組織更加難以準確識別真正的合規用戶和惡意攻擊者，迫切需要實現更加有效的身份註冊和管理工具。Gartner預測，到 2024 年，30% 的大型企業將實施新的身份驗證工具，以解決員工身份管理全生命周期過程中頻頻出現的問題。

（5）加速去中心化身份標準的應用。身份數據的集中式管理方法使得提供隱私保護和假名變得非常困難，利用安全網格模型和最新的區塊鏈技術，基於去中心化的方法可以實施更好的隱私保護，讓請求者僅提供少量信息量來驗證訪問請求，符合各國已出台的數據安全保護法規要求。Gartner 預測，到 2024 年，市場上將出現真正的全球性、便攜化、去中心化身份標準，以滿足商業、個人、社交和社會的需要。

4.2　對策建議

積極應用網絡安全網格方法是順應發展趨勢的需要，網絡安全建設和運營的主管人員應關注以下幾點建議。

（1）重新審視組織的網絡安全建設規劃，儘快從傳統的邊界防護轉向零信任網絡，並積極實施網絡安全網格架構方法，整合現有的安全相關項目，以及時、高效地應對越來越複雜的網絡環境與業務需要。

（2）實施網絡安全網格方法，並不需要大刀闊斧地開展網絡與安全系統的重建和改造，無須推倒重來，可以在已有系統上按照安全網格架構方法要求逐步改造與遷移，實現對已有投資的充分「利舊」。

（3）在構建通用集成框架方面投入必要的資金，重點投入和抓好安全網格基礎支撐層（安全分析與情報、策略管理、操控界面和身份架構）的建設，通過高效的系統集成產生匯聚效應，提升整體安全防禦效能。

（4）有效甄別安全供應商的類安全網格集成 方 式， 例 如，Fortinet、McAfee、 微 軟、Palo AltoNetworks 等公司都構建了安全系統平台，可以使用戶提升安全能力和擴展性，並降低建設和運維成本，但還缺乏廣泛的互操作性，仍有可能受制於供應商。

（5）在選擇新的安全工具時，應該優先考察其支持可組合性、互操作性方面的能力，例如，支持可擴展和定製的 API 插件等，避免帶來一個個獨立的安全「煙囪」，造成低效費比的投資，增加運維難度、降低運維效率。

（6）鑑於標準化對於網絡安全網格的建設尤為重要，應儘量使用最新的安全技術標準，同時優先選擇在採納新興技術標準方面有着良好記錄的供應商，降低不同供應商技術之間可能存在的互操作性差異。

當前網絡安全形勢越來越嚴峻，一方面，網絡攻擊無孔不入、愈演愈烈；另一方面，組織架構越來越分散，資產、人員、客戶、合作夥伴遍布各個地方，業務上雲、多雲運行、隨時隨地辦公等新的業務範式不斷湧現，對網絡安全提出新的挑戰。網絡安全防禦如何與時俱進，跟上組織架構和業務發展需求，需要有新思路、新理念。網絡安全網格提出了一種靈活的、可組合的安全架構方法，可以高效集成廣泛分布且不同功能的安全服務來滿足業務系統發展及網絡環境變化需要。通過上述分析，可以看出，網絡安全網格可以說是零信任網絡概念的進一步擴展，雖然「網絡安全網格」這個術語是否有必要和是否準確也許會存在爭議，但它所帶來的思想還是很有必要的，值得網絡安全相關人員高度關注。