是时候聊聊网络安全网格了。
前不久,Gartner在2022年重要战略技术趋势报告里再一次提到了网络安全网格(Cybersecurity Mesh,CSMA),这已经是Gartner连续第二次在年度技术趋势报告里提到了。可见,过去的一年里这一趋势还在持续发展,且越发明朗。
Gartner在2020年对网络安全网格的描述
Gartner在2021年对网络安全网格的描述
报告里的只言片语并未对网络安全网格做明确的定义,寻遍了国内外网站,我也只能找到寥寥数篇相关报道。最后从Gartner研究副总裁Jay Heiser的一篇关于网络安全网格的分析文章里,算是对网络安全网格有了一些初步认识:
网络安全网格是一种分布式架构方法,实现了在分布式策略执行架构中实行集中策略编排和决策,用于实现可扩展、灵活和可靠的网络安全控制;
网络安全网格允许身份成为安全边界,使任何人或事物能够安全地访问和使用任何数字资产,无论其位于何处,同时提供必要的安全级别,是随时随地运营趋势的关键推动因素;
网络安全网格这种分布式、模块化架构方法,正迅速成为分布式身份结构(The Distributed Identity Fabric)、基于上下文的安全分析、情报和响应(EDR、XDR)、集中式策略管理和编排、ZTNA、云访问安全代理 (CASB) 和 SASE的安全网络基础设施。
安全行业的细分领域特别多,每年都会涌现一些新概念、新名词,别说外行了,内行看着也会晕。但究其根本,安全本质的东西还是一直未变。接下来我们抛开那些云山雾绕的话述,试着解构一下网络安全网格即将成为趋势的背后逻辑。
1.分布式网络架构
分布式网络架构不是新技术,但最近却被经常提到:区块链的底层网络是去中心化的分布式架构,Web3.0的底层网络是去中心化的分布式架构,就连最近异常火热的元宇宙也需要分布式的架构。
为什么要分布式网络架构?因为实体业务在现实物理空间里已经分布式地存在了,并且还在越来越碎片化,网络架构要服务于业务架构,所以网络架构必须要升级自己,去适应分布式的业务。
在一个企业里,员工可能位于全球任何一个地方,业务系统可能部署在任意云或者数据中心里。人也好、系统也好,会根据个人或业务的需要随时变换位置。换句话说,我们当前面临的内部业务环境是一个覆盖全球的、随时可能变化的、越来越碎片化的全网互联结构。
物理网络由各种路由器、交换机、网元设备组成,是一种静态的,以云、数据中心为中心,从固定场所接入的结构。通过VPN或者将服务直接暴露在互联网的方式满足远程接入和移动接入的需求。无论是在灵活性或安全性上当前的物理网络都无法满足随时变化的、越来越碎片化的业务环境要求。
我们不能期待物理网络可以变成一个灵活的、分布式的网络,做这样的改造成本太高了。但我们可以在静态的物理网络之上构建一层由软件定义的逻辑网络,这个逻辑网络可以是灵活的、分布式的结构。员工的个人终端和业务系统,在这个逻辑网络里形成一种Full-Mesh结构,任意两个网络实体之间在逻辑网络里都是直连关系。
把复杂网络简单化
这种结构有2个明显优势:
摆脱了物理网络限制
在任何物理位置上的终端或者业务系统,随时都可以接入到这个Full-Mesh结构的逻辑网络中,无需考虑物理网络环境。
复杂网络简单化
所有网络主客体之间在逻辑上都是点对点直连关系,没有复杂的中间网络。这种极简结构让策略管理变得扁平化,给集中管控和行为分析带来了天然优势。
**2.****集中策略编排和决策,**分布式执行
说到分布式,很多人容易把它跟去中心化搞混,事实上这完全是两个不同维度的东西:分布式是物理位置上的概念,而去中心化是在业务层面上的概念。所有的去中心化系统都是采用分布式结构,而分布式结构在业务层面上可能是中心化也可能是去中心化的。例如:区块链就是分布式去中心化结构,而云计算就是分布式中心化结构。
去中心化结构的好处是人人都是中心,没有任何权威中心能完全控制,区块链就是利用这种优势进行集体记账,实现了无人能抵赖的特性。但无人能控制是把双刃剑,去中心化结构下的执行力非常低,事情的走向完全不可控,是一种无政府主义的乌托邦,在我看来人类还未进化到这个地步,如果在企业里用去中心化的方式管理,结果只能是一团糟。
有很多管理者都希望企业的组织架构扁平化,这实际上就是一种分布式系统,工作效率要比等级森严的组织架构要高得多。但在企业治理上,管理者希望企业有非常强的执行力,也就是中心化治理方式。
现在我们构建了一个与物理位置无关的分布式的网络,那在业务层面上我们选择中心化还是去中心化呢?很显然,企业是集权主义组织,需要的是分布式中心化结构。
回到我们的主题,在网络安全网格架构下,每一个网络实体在网络控制层面上是分布式的结构,但在整个分布式网络的策略决策层面上采用的是中心化的结构。
注意,在网络安全网格中访问控制的执行点变了,访问控制引擎是分布式的、点对点的,这与我们常见的网关型访问控制不一样,网络控制能力分布在了网络的每一个地方,任意位置随时可控,不存在性能瓶颈或控制盲区。
这样的网络安全网格架构即保证了高效的治理效率,同时又满足了终端和业务碎片化的实际环境,完全符合了当前的企业网发展趋势。
3.让身份成为安全边界
让身份成为安全边界,看到这句话大家一定会联想到零信任网络。确实,网络安全网格本身就是一种零信任网络,但零信任网络不一定就是网络安全网格。
从什么时候开始,我们着急的要让身份成为安全边界了?原来的安全边界不香了吗?是的,不但不香,还越来越臭。
先说几个场景:
某业务系统在数据中心部署上线了,这个系统是给企业所有业务人员使用的,但业务人员分布在全国所有职场,也有可能出差全国跑。安全管理员只能在网络层上给所有职场都开放了访问权限,给每个业务员分配VPN帐号,通过业务系统自身的应用层帐号来限制只有具备权限的人才能登陆访问。但某个非业务员工,坐在某个分公司办公室,直接就能打开业务系统登录页面,通过暴力破解,就轻松登录进去了。
为了防止攻击,安全管理员又在数据中心出口部署了入侵检测系统,对所有访问流量进行实时检测。某天发现有多个攻击行为告警,所有攻击源都指向一个IP地址。但经过排查,这个IP地址是某分公司出口IP,安全管理员无奈了,不能封禁,去分公司逐一排查又来不及,明明知道当前有人在攻击业务系统,甚至已经在窃取数据了,但没办法,只能干瞪眼。
公司的敏感文件被发现在互联网上公开了,初步排查公司邮箱遭到渗透。从邮件系统日志里看是某个内部员工帐号登陆到邮箱服务器,但从流量日志上看,登陆行为又来自于互联网的一个公网IP地址,有可能是员工帐号被窃取。攻击者拿着员工帐号登陆,所有操作都是合法的,没有触发任何告警,所有网络监测系统全部失效。所有线索最终指向一个公网IP地址就完全中断了,调查也就只能到此为止。(是不是有点像Operation Aurora?这就是BeyondCorp的起源)
吃一堑长一智,公司花重金买了数据安全产品,期望能把所有人访问敏感数据的行为都记录下来,及时发现偷数据的情况。接上流量日志后,确实把所有访问业务的流量记录下来了。但问题也来了,上千人访问业务,每天上千万条流量日志全都混杂在一起,根本区别不开到底哪条流量日志是哪个人访问的。所有基于人的行为检测规则、关联分析规则、机器学习算法、行为建模,全都是个花架子,听起来挺美,用起来完全不是这么一回事,这钱打水漂了。
公司部署了态势感知系统,采集了各种安全系统告警日志、流量日志,进行汇总统计、关联分析,用大屏展示着各种花花绿绿的图表。领导来视察工作,看见漂亮的大屏赞不绝口,顺口问了句:“那个攻击最多的IP是谁?” 安全主管答不上来,气氛开始尴尬。领导又说:“好吧,不管是谁,赶紧处理吧!” 安全主管心想,万一这是哪个下级单位出口IP怎么办?不敢封禁,再次尴尬,主管心想“是时候该刷刷自己简历了吧”。
CSO、安全主管们对这些场景应该很熟悉吧?
导致这种问题的根本原因在于一直以来我们都是用IP地址在网络上执行身份锚定和访问控制,但在业务逐渐碎片化的趋势下,网络也开始碎片化,IP地址与人的关系越来越弱,用IP地址作为边界的安全体系成本越来越高,效果越来越差,最终会走向完全失效。唯一的解决办法就是不再用IP来作为边界,而是用身份。
有了IAM就是身份作为边界了吗?当然不是,有IAM只能说有了统一身份,大多数企业早就做到了,不代表已经用身份作为网络边界了;SDP?在网络层依然是用IP地址划分边界(从SPA实现原理就能看出来);SMG?隔离场景有限,隔离逻辑也不是基于身份。
那什么才叫做用身份作为边界?
所有的网络数据包都实名制
互联网是自由的,但自由的前提是遵守法律和道德底线。所有阴暗的勾当都喜欢完全匿名,匿名者知道自己的行为是不合法不道德的,害怕被人指认出来,要用完全匿名的方式既满足私欲,又躲避责罚,不愿担当,比如说暗网。
暗网交易(截图来自于互联网新闻报道)
完全匿名的网络下只会滋生罪恶,但罪恶可不是互联网的初衷。试想一下,元宇宙里每个人都是完全匿名的,这个元宇宙里会发生什么?
每一个网络数据包都实名,从任意一个数据包里我们都能看到是什么人用了哪个终端做了什么事情,这本身就是一种威慑,是先于攻击者意图的防御。
干掉IP地址,用身份来管控网络
先有网络,再有的网络安全,网络安全的发展整体滞后于网络的发展。网络先驱们最初在设计网络协议的时候并未考虑身份的事情,而是在网络世界里简单的用IP地址来锚定人的身份。这种方式在网络建设初期还能应付,但如今的网络早已不像当初,多分支、混合云、移动互联网、物联网,早已将网络堆砌成一个动态变化的庞杂环境,在这种环境下用IP地址锚定人的做法在安全领域就越来越捉襟见肘了。
在企业网络里,我们一直在用防火墙来设置安全边界。之所以只能用基于IP地址的访问控制模型来设置边界,是因为网络流量里只有IP地址可以用于区分访问主客体。而现在我们让所有的网络数据包都实名制了,每个数据包都带有身份信息,完全可以用身份来作为访问控制的基础。
是时候将基于IP的防火墙升级为基于身份的防火墙了。
要想实现让身份作为边界,那就先让每个数据包都实名制,然后干掉安全系统对IP地址的依赖,构建分布式的、基于身份的网络防火墙,让所有安全管控和分析研判以身份为基础。
这就是我理解的“让身份作为边界”。
4.是其他安全系统的基础设施
前面已经解释了网络安全网格具备分布式点对点网络架构,分布式策略执行,集中策略管理,在完全身份化的网络里用身份重新构建安全边界这些特性。
在这些前提下,我们再去看“网络安全网格正迅速成为成为分布式身份结构、基于上下文的安全分析、情报和响应、集中式策略管理和编排、ZTNA、CASB 和 SASE的安全网络基础设施”就很好理解了。
网络安全网格为企业构建了一个全新的轻量级安全网络基础设施。
说它新,是因为它是在物理网络之上构建的一个新的虚拟层,让安全检测和管控在这个虚拟层里编排、执行,让安全能力不再纠缠在庞杂的网络结构里,而是聚焦在人和行为身上。
说它轻,是因为这个架构与物理网络并不冲突,企业实施一套网络安全网格并不需要大费周章的做网络改造,而是在现有网络上一点点迁移就行。开放的架构可以对接企业已建的IAM、SSO、SIEM、SOC、态势感知等安全系统,也可以对接已建专线、SD-WAN这样的网络服务,分布式架构天生就是用来构建超大规模网络的。
也许下一次,领导再来视察的时候,看到态势感知大屏上的各种告警就不会再问攻击者是谁了,因为大屏上已经显示了这个人的名字。如果领导说赶紧处理下,安全主管只需点下鼠标,也就处置完了,或者,系统早就已经自动处置了。
这才是一个可信企业网该有的样子。
一个新概念在早期定义得模糊一点其实挺好,能把大方向和趋势说清楚就行了,等待市场的一步步验证,可以一边验证一边修正,永远不会错。反而那种把各种实现细节都写得很具体的概念就很危险,大家一窝蜂去争相模仿,各路大神都说自己是正宗原味,最后发现所有人都把路走歪了,集体掉沟里了,这多尴尬。
八仙过海,各显神通,才最有意思。