查看原文
其他

再度思考CSMA架构和落地

hook FreeBuf安全咨询 2023-02-12
作者 | hook
编 | Yanni


01

厘清概念


CSMA是Gartner去年提出的重要战略技术趋势之一,全称Cyber Security Mesh Architecture,网络安全矩阵架构。矩阵,在英文中有两个词:Grid,Mesh。其中,Grid代表矩阵内都是同类型元素,Mesh有异构的含义。因此,从这里可以看出,CSMA之所以用Mesh,是指“不同类型的、异构的安全原子能力,有机的联系、协同起来组成安全矩阵”的意思。


看看Gartner的定义:


Gartner 定义的 CSMA :能够在任何需要的地方部署任何安全能力,且下发的策略都是一样的;这些安全能力可以集成到现有的IT基础设施里面,并且能够弹性扩展,还可以协作作战,从而用户可以在任何地方都能够安全地使用数字化资产。


不过还是感觉有点模糊,再看看Gartner定义的架构图:



看了以后感觉稍微理解了一些,但是依然有点模糊。是的,是这种感觉,CSMA的架构看起来总感觉有似曾相识的感觉,不管在国内还是国外都似乎见过类似的产品,但是又好像不全是。国内去年以来有不少讲CSMA的文章,但是不知道是因为翻译的原因,或是没理解透的原因,总觉得读起来很晦涩的感觉,所以要我想白话一点来谈谈我的理解,作为抛砖引玉。


从Gartner的架构图我们从左往右看,首先可以看到,CSMA架构定义有一个集中的策略管理中心;这个策略中心的数据来源于右侧的采用了“人工智能、机器学习技术”加持的分析中心;而这个分析中心的数据,来自右侧的安全原子能力矩阵输出的日志和告警,就是CSMA里面的M;再往右,是代表了被防护对象,我们可以看到除了传统的网络边界,还有云端,用户,等等异构的边界。


看到这里,就稍微有点清晰了:


首先,CSMA是一个技术路线


飞塔(Forti)说更像是一个技术哲学,不是一个具体的产品。要构建安全完整的安全体系,我们需要理解安全从顶层到底层的层次:首先是安全理论,其次是技术路线,再后面就是具体的产品、解决方案,这三个层次是从上到下、一脉相承的关系。


Gartner作为世界顶级的研究机构,擅长的通常是安全理论和技术路线这两个层面,而大部分安全厂商,则擅长于技术路线的落地,即安全产品和解决方案层面。


解决方案和具体的安全产品比较好理解,那什么是安全理论、技术路线?有什么不同?我举个通俗的例子:古代有一个圣人的理想是要天下太平(安全理论);那么通过什么技术路线落地呢?他想了很久,提出了修身齐家治国平天下(技术路线);那么具体他怎么做的呢?好好学习,考取功名;然后把小家庭搞好,家和万事兴人;再然后保家卫国,治理好国家;有了治理国家的能力后,就有能力让天下太平——这就是他的具体落地的“解决方案”。


其次,CSMA是现有技术和产品的演进,并非革命性的创新。


这个观点在Forti的《fortinet-cybersecurity-mesh-for-dummies》这本书里,也得到了印证,说CSMA是“现有技术体系的演进,而非革命性的改变”。这就是前面为什么感觉有点模糊又有点似曾相识的感觉了。


我们可以看到,CSMA其实利用了现有的大部分产品和技术,如EDR、NDR、WAF、FW、SOC、安全编排、IAM,等等。但是CSMA有它自身的技术理念,通过安全分层以及核心的组件,能够把现有的技术和产品整合起来,以实现它提出的安全矩阵的技术架构,并解决它针对的安全场景中遇到的具体问题。


最后,CSMA整体架构相对全面


CSMA框架有着清晰的核心概念和主要分层,能够指导现有绝大部分安全产品协同形成安全矩阵,并能够涵盖当下新的安全痛点和安全场景。这也是Gartner的牛x之处,总是能够高屋建瓴的发现规律并提出普适性的理论,指导产品若干年演进的方向。


02

为什么需要CSMA


借鉴Forti的观点,他们认为需要CSMA的核心原因有3点


1、安全数据太多,传统的SIEM或SOC虽然有用,但是缺少一个安全底层架构来整合、分析数据,也不能根据动态攻击情况灵活增加安全防护设备


2、安全数据分析的挑战,forti的观点是仅仅把数据分类还不够,不同类型的安全日志需要有效的方法能够关联起来;另外就是即使数据整合了,也还需要有效的分析和定位的工具软件


3、安全问题需要及时处置,包含快速检测(MTTD)和快速响应(MTTR)


我想再补充3条:


4、传统的堆砌安全产品的方式,缺乏体系性的安全规划和前瞻的安全架构,使得安全投资浪费严重,且难以发挥作用,所以需要一个方法论的东西(CSMA)来指导


5、不同厂家的安全产品难以协同,缺乏1+1>2的效果


6、网络边界越来越模糊,分布式部署的IT资产成为趋势,传统的准入控制方式满足不了新场景


那么为什么需要CSMA?


1、安全的核心,是数据。在CSMA看来,数据的采集、分析、处理,是核心的核心。CSMA的架构,首先做了分层,其中normalization layer、Security analytics and Intelligence Layer、Centralized lolicy Managenment这三个层次,都是和数据相关。也就是说,CSMA紧紧围绕网络安全的核心——数据,做了科学的分层,通过分层,采集异构的安全原子能力的数据,并进行规范化处理;通过分层,引入了安全智能和机器学习的技术,强化对海量数据的精准处理;通过集中化的策略管理中心,将精准分析后的结果,转化为具体的策略,下发到各个安全原子能力,形成安全闭环。我记得国内奇安信在很多年前就提出“数据驱动安全”,这个观点其实是安全业界的共识。


2、CSMA提供了全面的一整套数据分析的工具集。前面提到过,传统的SOC,SIEM的数据分析能力,不足以满足现有实际情况。具体来说,就是不完整,缺乏关联,也缺乏有效的分析和定位的能力。因此,CSMA的架构里,还引入了诸如安全智能的技术、海量数据处理的技术、安全编排技术、SOAR的技术,以及安全日志规范化处理的技术,通过大数据和AI的加持,来完善数据分析的能力,从而给决策中心提供更准确有效的信息,使得决策中心能够实时生成动态策略,以应对安全攻击的最新挑战。


3、CSMA提供了快速检测和快速响应的能力,这一点,通俗来说,就是应对当下最严峻的0day攻击的情况,这个比较容易理解,不再赘述。


4、CSMA作为方法论,相较于传统推解决方案和具体产品,带有更高层次的安全规划的意味。在我的印象里,除了高端行业客户,企业客户很少有意识会去做安全规划,因此往往是头痛医头,到头来堆砌了大量的安全产品,而这些产品缺乏统一的规划而各自为政,实际上发挥的效力很有限。CSMA提供了一个很好的安全框架模型,企业能够通过这个理论指导自己未来若干年的安全建设节奏,并且能清晰的度量、运营好整个安全技术设施。


5、我们知道,不同厂家安全产品,缺乏统一接口,也缺乏安全实体的抽象,非常难以协同起来。CSMA设计了一个数据规范层,这个层不仅仅是日志的规范处理,还包含了安全元素的抽象建模,这分明就是更近了一步。通过安全抽象建模,拉通不同厂家的原子能力的日志理解和统一策略下发,使得不同厂家的产品能真的协同好,这是非常有意义的


6、CSMA强调以人的身份作为新的边界。网络边界现状已经非常的模糊,目前看影响的因素主要有两个:一个是混合云的流行,一个是企业网络和IT资产的分布式部署规模越来越大,所以CSMA非常强调IAM,意思是以人为边界,以软件定义的方式重新定义边界,以及重新设计动态准入的机制。白话来讲,以人为边界,这是CSMA的重要观点之一。


我觉得核心就是上述这几点,回头再看确实也比较完善,既解决了方法论的问题,也能涵盖住几乎所有的新的安全挑战和安全场景,这也就是我前面说的,Gartner很擅长高屋建瓴的找规律,提出普适性的理论,指导产品演进方向。从这个角度来看,CSMA的价值突出,存在的必要性非常充分。


03

CSMA如何落地


飞塔的Security Fabric架构,号称是最匹配CSMA的落地实践。确实,很多年前Forti就提出并且按照这个架构落地了若干产品,而且Forti还专门写了一本书,《fortinet-cybersecurity-mesh-for-dummies》,在它的官网能下载到,花了洋洋洒洒40多页来阐述他们的实践。


所以,这里就用飞塔的例子,来看看CSMA落地的具体方案是什么样的。


飞塔关于CSMA的落地有自己的观点,首先,飞塔认为CSMA的核心要素是三个分层:


  1. 数据整合层(Data integration)

  2. 安全智能层(Broad security intelligence)

  3. 自动响应层(Automated operations)


通过合理的分层,每一层有着内聚的功能和明确的对外借口,并且飞塔不同的产品,可以科学的放入不同逻辑分层中去。


对应Gertner的CSMA,飞塔给出了对应的设想图:


塔的CSMA具体的架构设计如下:

先看最底下一层——自动响应层(Automated operations),包含具体产品是FortiAnalyzer、FortiManager、FortiSOAR等。按照飞塔的说法,这个层面的产品,按照Automated为目标,展开技术路线,融入了很多AI的技术在里面,目的是尽可能是的响应的动作能够自动进行,减少Detect和Response之间的gap。


倒数第二层——是安全智能层(Broad security intelligence),这部分的产品主要是安全中台,采用大数据和AI、机器学习等技术,接入易购的安全原子能力提供的数据源,整合并分析数据,为自动响应层提供输入。


在上面一层——是数据整合层(Data integration),主要包含不同类型的安全原子能力,以及标准的API接口。另外,按照飞塔的说法,在这一层官方还能够接入超过500个第三方的产品,生态组织能力可见一斑。这一层包含了飞塔几乎所有的独立安全产品,如Forti-ZTNA、Forti-NGFW、Forti-IPS、Forti-SWG、Forti-VPN、Forti-SDWAN、Forti-NAC、云环境下的虚拟化系列、Forti-IAM,等等。


相较于国内安全厂商多变且模糊的架构设计,我更喜欢飞塔的简洁有力的概括:Broad、Integrated、Automated,这就是Forti-CSMA;亦或Paloalto提出的“云端+AI”=未来的安全,类似这样简洁、明确、有力的口号。国内提出类似CSMA的架构的,不是安全专业厂商,反而是我映像最深的在2020年,一个行业头部客户提的,他们把安全架构层次分为“眼、脑、手”,不同的产品对应到不同的层次,这也是我见过最清晰明确的贴近CSMA的架构案例。


不论视角CSMA或是叫其他什么,其实国内的安全厂商已经意识到,未来的安全解决方案再也不会只是单个的产品,而是体系化的、通过广泛的安全原子能力接入、加上大数据和AI的中台处理、最后通过自动化的SOAR、SIEM等集中策略管理中心,快速、自动的响应安全问题,完成安全从检测到响应的闭环,目前看趋势也确实在朝着这个方向走。


如果要说国内的CSMA发展和国外有什么区别,我觉得最大的区别不在产品层面,而是在落地层面:技术路线是否足够清晰,产品细节是否足够清晰,适应的场景是否足够广泛,接入的API和实体抽象是否足够标准,这四个方面是最大的差异。


CSMA,不仅仅是对安全厂商,对客户而言,也有重大的意义:那就是不再以割裂的、堆砌的产品采购模式进行低水平的安全建设,而是有安全规划的前瞻意识,通过合理的计划、科学的采购、科学的度量、系统性的安全运营,改善企业安全态势水平,走上更高层次的安全建设模式中来,这对甲方乙方都是极为有益的变化。

精彩推荐


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存