2022年网络安全最大热点：安全网格

在Gartner发布的《2022年十二大主要战略技术趋势》报告中，网络安全领域特别强调了安全网格架构（Cybersecurity Mesh Architecture，以下称安全网格架构或CSMA）这个相对较新的概念（下图）。

Gartner预计，到2024年，全球采用安全网格架构的企业能将网络攻击事件的损失平均减少90%。

Gartner2022年十二个顶级战略技术趋势

Gartner对安全网格的定义和（优点）描述如下：

身份和访问管理以及欺诈检测网络攻击的快速演变和复杂性增加，以及资产向混合多云的迁移导致了一场完美风暴。IT领导者必须使用可组合和可扩展的网络安全网格架构方法将安全工具集成到合作生态系统中，安全网格架构（CSMA）应运而生。

网络安全网格架构是一种可组合且可扩展的方法，可将安全控制扩展到广泛分布的资产。它的灵活性特别适用于与混合多云架构一致的日益模块化的方法。安全网格实现了更可组合、更灵活和更有弹性的安全生态系统。网络安全网格不是每个安全工具都在孤岛中运行，而是使工具能够通过多个支持层进行互操作，例如整合策略管理、安全智能和身份结构。

安全网格为分布式安全服务提供了一种协作方法，以提供力量倍增器，从而以更少的资源获得更具凝聚力的安全态势。

安全网格为人员和机器跨混合和多云环境、渠道和多代应用程序从多个位置安全连接提供了基础，保护了组织的所有数字资产。通过这样做，它可以培养更一致的安全态势，以支持可组合企业提高敏捷性。安全网格允许通过提供一组支持服务来集成安全工具，例如分布式身份结构、安全分析、智能、自动化和触发器，以及集中式策略管理和编排。

安全网格的四个主要优点如下：

• 提供了一个基础支持层，使不同的安全服务能够协同工作以创建动态安全环境；
• 提供更一致的安全态势，以支持可组合企业提高敏捷性。随着组织投资新技术以实现数字化，安全网格提供了一个灵活且可扩展的安全基础，为混合和多云环境中的资产提供附加安全性；
• 通过集成安全工具与检测和预测分析之间的协作方法创建更好的防御态势。结果是增强了对违规和攻击的响应能力；
• 通过这种模式交付的网络安全技术需要更少的时间来部署和维护，同时最大限度地减少无法支持未来需求的安全死胡同的可能性。这使网络安全团队可以腾出时间从事更多增值活动。

简单来说，安全网格为基于身份的安全提供了一种可编排的通用集成框架和方法，进而提供可扩展可互操作的新型安全服务，通过这种通用框架可确保安全服务能够覆盖任意地点的所有资产，以及不同的IT系统。

安全网格解决了三个难题

安全网格的策略是将安全控制集成并将其覆盖范围扩展到广泛分布的资产。它解决了影响企业安全的三个现实难题：

• 攻击者不会孤立地思考，但组织经常部署孤立的安全控制；
• 企业的安全边界正变得更加支离破碎；
• 许多组织正在采用多云战略，这需要一种整合的安全方法。

攻击者不会孤立地思考。网络犯罪（尤其是勒索软件）已导致物理世界的破坏，尤其是当它针对关键基础设施时。

正确的防御态势需要从组织角度和技术角度消除孤岛和低效率。这是因为黑客不会孤立地思考。然而，许多组织都这样做了，而且许多安全工具依然“活在自己的世界观中”，与其他工具的互操作性很差。

黑客经常进行横向移动，利用一个区域的弱点来利用相邻区域。

但希望就在眼前。一些安全分析和智能工具已经使用跨不同安全技术领域的特定领域信息来创建安全控制之间的连接。此外，安全标准已经上升到挑战并支持“一切，任何地方”机制。但是，这些标准中的某些功能尚未普遍使用。

企业的防御边界正变得支离破碎。许多应用程序和数据不再位于公司拥有的数据中心，用户可以从任何地方访问基于云的应用程序。在传统的数据中心，网络外围安全是控制访问的常用机制。在支持无处不在的资产和从任何地方访问的分布式环境中，身份和上下文已成为最终的控制界面。

许多组织正在采用多云战略。根据多项研究，组织倾向于使用来自多个云提供商的服务。由于每个云提供商都支持不同的策略集，因此在云提供商之间创建一致的安全态势是一项挑战。在大多数组织中发现的大量本地服务资产只会加剧挑战。然而，新兴的标准和产品正在缩小这一差距。

安全网格的四层架构

安全网格提供了四个基础支撑层，在集成不同的安全产品时可充当力量倍增器（下图）：

安全网格架构（CSMA）

安全网格有针对性地促进了安全控制的可组合性、可扩展性和互操作性。它提供四个基础层，以使不同的安全控制以协作的方式协同工作并促进其配置和管理。

这四层分别是：

• 安全分析和情报：结合其他安全工具的数据和经验教训，提供威胁分析并触发适当的响应
• 分布式身份结构：提供目录服务、自适应访问、去中心化身份管理、身份证明和授权管理等功能
• 整合策略和状态管理：可以将中央策略转换为单个安全工具的本地配置结构，或者作为更高级的替代方案，提供动态运行时授权服务
• 整合仪表板：提供安全生态系统的综合视图，使安全团队能够更快速、更有效地响应安全事件

为什么安全网格将成为重大趋势？

今天的安全和身份部署由多个工具组成，这些工具通常没有完全集成（例如，它们可能只是通过支持联合身份验证而松散耦合）。在其他情况下，多个工具可能会重复支持功能。操作这些工具需要许多单独的仪表板、多个策略管理点并维护许多临时集成。当新的安全或身份需求浮出水面并发明新的工具类别时，这个问题会更加严重。有太多单独的工具和太多单独的仪表板。

当今分布式和快速增长的数字环境提出了复杂的需求，需要一种新的安全架构方法。现有的架构方法过于分散。这会增加安全风险和运营开销，尤其是在做出良好风险决策需要协调越来越多的风险信号的环境中，采用安全网格架构能够提高管理员和最终用户的可用性。

现有的身份和安全架构方法也不足以满足当今快速变化的资产保护需求。安全网格架构有助于提供通用、集成的安全结构和状态来保护所有资产，无论它们是在本地、数据中心还是在云中。安全网格使独立的解决方案能够以互补的方式协同工作，通过标准化工具互连方式来改善整体安全状况。

例如，安全网格集中了策略管理，并将控制点移动到更靠近它们需要保护的资产。

用户、设备、应用程序和数据已经离开了传统的办公室和数据中心。这意味着不再存在单一的网络边界来判断“内好外坏”。身份和上下文已成为分布式环境中的终极控制平面，支持来自任何地方的资产和访问。安全网格的分布式身份结构为我们的员工、客户、业务合作伙伴和事物提供可信的访问。

最终，安全网格架构为IT领导者提供了一个模型，使他们能够：

• 减少部署时间和安全故障。
• 提高敏捷性和弹性。
• 专注于更高价值的努力。

安全产品整合

许多IT领导者希望整合他们的安全支出并降低复杂性。根据2020年Ponemon Institute的报告，组织平均部署了超过45种安全解决方案和技术。IT领导者们希望减少供应商，而每个供应商都提供更多更好的集成功能。理想情况下，大型安全供应商的产品将具有全面且集成良好的功能。然而，现实情况是，安全供应商在成熟度和完整性的不同阶段提供了一些集成功能。IT领导者必须用其他安全点产品填补现有和新兴的空白。

几家大型生态系统供应商（如IBM、McAfee、Microsoft和Symantec）提供安全堆栈，其中包括多个集成安全控制，可以保护传统的本地资产以及云资产。一般来说，选择主要供应商（不一定是单一供应商）的优点是：

• 更好的集成和集中管理界面和仪表板。
• 合并（通常更便宜）的许可费用。

然而，没有一个安全供应商会拥有同类最佳的组件（安全控制）——一些组件会比其他组件更好。每个供应商都会在其产品中存在差距，需要使用其他供应商的解决方案，甚至是开源解决方案来填补。很少有组织可以整合到单一的安全供应商，甚至是更小的一组安全供应商。集成多种安全工具仍然是必要的。

企业可以通过混合开放标准和接口、专有API和点集成（例如，供应商工具之间的临时集成）来实现集成。一些供应商的产品可能是为安全网格构建一个或多个支持层并以可组合方式集成进一步安全控制的良好起点。当开放标准支持存在差距时，或者当安全标准出现或发展时，开放源代码工具可以成为抢先使用最新功能的简单方法。

跨域安全分析

大多数已经部署的安全分析工具都是特定于域的，并且组织通常以非集成的方式将多个安全分析工具并行使用。

一些供应商现在提供安全工具，通过使用跨不同安全域的域特定信息，甚至来自安全工具的孤立分析功能的数据，从单个工具提供多个分析用例。例如，安全产品可能有自己的本地分析引擎，用于计算特定会话、用户或交易的风险评分。然后，更广泛的安全分析和情报工具可以使用此风险评分，将其应用到与最初预期不同的环境中。扩展检测和响应工具（XDR）就是这一趋势的一个例子。

这些先进技术的用户往往是安全运营高度成熟的组织，但这种趋势正变得越来越主流。Gartner预计这一趋势将渗透到规模较小且不太成熟的安全组织中。

多云环境

在保护资产时，多云中的分布式IT资产增加了碎片问题。例如，阿里云、亚马逊网络服务(AWS)、谷歌和微软Azure使用不同的方法来保护各自生态系统中的资产。

但是，组织寻求在多云中采用一致的安全态势。近年来，出现了新技术来帮助应对这一挑战。

给IT领导者的安全网格战略和行动建议：

• 提高安全基础设施的集成度，专注于集中管理和分布式的策略执行，来应对安全复杂性的增加。
• 选择网络安全技术时，重点考察其是否能够通过API插件实现扩展功能、扩展分析、定制化或支持标准，从而为企业打造一个安全的未来。
• 在选择安全解决方案时优先考虑可组合性和互操作性，并投资构建通用框架以将它们集成以产生协同效应。
• 使用最新的和新兴的安全标准，缩小不同供应商解决方案之间的互操作性差距。
• 选择承诺并跟踪采用新兴安全和身份标准的供应商，因为标准合规性变得越来越重要。
• 通过选择主要供应商主导的方法填补能力差距，或从一开始就使用同类最佳方法，为长期安全网格战略部署支持层。充分利用安全网格的支持层：安全分析、身份结构、策略管理和集成仪表板。
• 选择面向安全网格的新工具，从而能够使用标准核心功能，同时作为更大网络安全网格的一部分运行，而不是另一个孤岛。优先考虑已开放其政策框架的安全供应商，使政策决策能够在工具之外做出。
• 使用安全网格架构重新调整组织的安全和身份愿景。
• 重新确定组织的规划路线图的优先级，以使用安全网格原则并连接现在相关的现有项目。例如，转向零信任架构并通过自适应访问改善多因素身份验证用户体验。
• 从传统VPN过渡到与访问管理工具集成的，可靠、灵活和安全的云交付、零信任网络访问。