随着安全创新赛道不断转变,技术、业务不断变化,网络安全架构在数字化转型高速发展期面临更多的变化与挑战,架构层面也需要持续演进。本文从安全架构的演进路线、如何在数字化转型的背景下进行安全架构演进,以及安全架构演进的实践等方面展开了讨论。
安全架构演进路线
1. 传统架构演进路线
(1)网络安全架构1.0时代。2014年IT研究与顾问咨询公司高德纳(Gartner)针对高级别攻击设计了一套自适应网络安全架构。该时代映射于传统安全产品的单体架构时代,各安全产品都比较独立,突出表现为产品架构烟囱式发展。
(2)网络安全架构2.0时代。2017年自适应网络安全架构进入2.0时期,其在1.0的基础上进行了理论丰富,加入了一些额外元素。自适应架构2.0主要有以下3点变化:
①将持续的监控分析改变成持续的可视化和评估,同时加入用户和实体的行为分析(User and Entity Behavior Analytics,UEBA) 相关内容;
②引入了每个象限的小循环体系,不仅仅是4个象限大循环;
③在大循环中加入了策略和合规要求,同时对大循环的每个步骤说明了循环的目的,保护象限是实施动作,检测象限是监测动作,响应和预测象限都是调整动作。
网络安全架构2.0时代映射于传统安全产品的分布式、面向服务的架构时代。为满足更大体量的业务和更复杂的业务场景,安全产品间有了一些协同交互。
(3)网络安全架构3.0时代。Gartner发布的2018年十大安全项目(Top 10 Security Projects for 2018)涉及持续自适应风险与信任(CARTA)、云安全配置管理项目(CSPM)、软件定义边界等,网络安全架构的演进内容较多,正式进入3.0时代。在云时代,云访问安全代理(Cloud Access Security Broker,CASB)解决了部分的认证问题,Gartner也使用过自适应安全架构的方法论来对CASB的能力架构进行全面分析,可以说是将CASB自适应的安全架构作为原型挪到此总体架构中。这个架构的核心点在于认证,包括云服务的发现、访问、监控和管理。
网络安全架构3.0时代映射于安全产品的云原生、服务化、服务网格架构时代。为满足数字化转型背景下用户业务快速上云、企业业务快速上云需求,对架构提出了基座平台化、云原生、轻量化、弹性、融合、编排等技术要求。
自适应网络安全架构的模型从智慧决策、自适应策略、动态执行、全息态势等元素不断丰富、优化和演进。自适应网络安全架构的功能从监测预警、动态防御、态势感知、决策演进元素不断演进和丰富。自适应网络安全架构的核心是决策演进,根据业务场景、网络安全态势实现监测策略、防御策略、评估策略和感知策略的生成。
自适应网络安全架构具有以下3个特点。
①自适应。安全架构整体具有动态自适应的特点,能够持续地对网络空间威胁风险进行监测,并动态自适应地调整监测策略、防御策略、评估策略和感知策略,应对持续多变、已知未知的安全威胁。
②执行流程闭环。安全架构包括监测、防御、评估、感知、决策等功能,形成网络空间安全保密防护的流程闭环,是一个有机的融合整体,能够对网络空间安全进行全面防护,并不断迭代更新。
③内外双驱动演进。安全架构能够根据系统应对内部实时威胁风险实现内部驱动的防御演进,同时能导入外部新型威胁风险,实现外部驱动的防御预先演进,具有较高的威胁风险应对能力和预防能力。
2. 数字化时代网络安全技术框架
Gartner近期发布的2022年七大安全和风险管理趋势中,网络安全网格架构(CSMA)无疑体现出在技术架构层面对当前网络安全产品在新形势下的整合能力要求,通过集成式的安全架构来保护组织在本地、数据中心和云端资产的安全。
这种架构有2个明显优势:一是摆脱了物理网络限制。在任何物理位置上的终端或者业务系统,随时都可以接入全互联结构(Full-Mesh)的逻辑网络中,无需考虑物理网络环境。二是复杂网络简单化。所有网络主客体之间在逻辑上都是点对点直连关系,没有复杂的中间网络。这种极简结构让策略管理变得扁平化,给集中管控和行为分析带来了天然优势。
再回到具体的应用场景,云计算、大数据、物联网技术的应用使得网络安全边界日趋模糊。大数据技术的发展使数据储量和流量成倍上涨,网络安全攻击带来的损失和伤害也随之成倍增加;物联网等领域打通了线上线下的界限,利用设备漏洞控制物联网,甚至可对物理世界造成威胁;云计算模糊了传统的安全边界,安全建设前移成为趋势,安全攻防的复杂程度也大大增加。传统网络安全产品布局方式无法满足用户需求,政企用户对于数字化网络安全建设需求提升,平台型、系统性、体系化的网络安全建设成为其关注重点。
数字化时代网络安全架构不仅考虑传统IT基础设施的安全,还考虑整个数字化生态中全部有形与无形的资产,尤其是数据资产等安全诉求。数字化时代的网络安全技术框架演进,无论是从1.0时代的单体架构,到2.0时代的能力自适应架构,还是到3.0云化服务化的融合架构,都是紧贴客户业务发展需要,而不是脱离业务空谈架构演进。因此对于安全架构的演进方向,需要深入研究客户当前业务场景和形态的变化,并且能够从一定程度预判客户业务未来的演进方向,以业务驱动架构的持续演进。
安全架构的演进方式
在数字化转型的背景下,对于网络安全厂商来说,网络安全架构应围绕客户业务转型而逐渐演进,伴生模式和订阅模式是架构演进要考虑的关键要素。
1. 架构演进要素一:伴生模式
传统模式下,客户业务通常部署在本地或者互联网数据中心(Internet Data Center,IDC)机房,因此网络安全厂商通常以硬件的方式伴生在客户业务服务器旁。此时,网络安全厂商的网络设备通常是单一能力硬件盒子方式,客户需要何种安全能力就购买具备相应能力的安全设备。
随着云资源、云业务的发展,客户将业务迁移到云环境之后,本地部署安全能力的方案不再奏效。网络安全厂商的安全架构也随之迁移,提供云化部署,包括虚拟私有云(Virtual Private Cloud,VPC)或者容器部署,伴生于客户的云上业务。同时网络安全厂商也将服务目标转向云服务提供商,为其提供资源池等方案。
在伴生模式的推动下,安全产品部署随着客户的业务迁移而变化,因此安全架构需要能支持多样的部署环境,并适应不同的部署场景。
2. 架构演进要素二:订阅模式
线下订阅模式,本质上是伴生模式的演进,即安全能力依然部署在业务侧,同时引入了“订阅”机制。随着客户数字化转型下的业务变化,其所需的安全能力也在不断变化,不再是传统的需要什么安全能力就购买相应安全装置,这种模式会导致安全能力的浪费,同时不能快速适应业务发展。因此,网络安全架构需要支持多能力融合,即“多合一”模式,一套装置能够提供多种安全能力,并根据不同的“订阅”模式提供不同的安全能力组合。
线上订阅模式,即安全能力部署不再是伴生模式,是一种远端方式。随着客户业务模式由单一节点到多节点的转变,传统的一对一伴生模式将导致安全成本过高,同时缺乏全局视野,因此安全和网络融合的安全访问服务边缘(Secure Access Service Edge,SASE)架构应运而生。该架构能够将客户多个节点的流量引至远端提供安全服务,客户不再依赖于本地部署安全装置,而是在任何时间、任何地方都能获得安全服务。
在订阅模式的推动下,安全架构支持将多安全能力以组件的方式平滑集成和融合,不再仅提供单一能力。同时,安全架构在整体方案上不能仅仅只支持云端或者地端,而是要支持云地联动能力互补,为客户提供云、管、边、端场景端到端的安全服务。
综上所述,架构是演进的,而不是设计的。安全架构应该围绕客户业务的“转型”,以能够为客户提供最优的安全解决方案目标而演进,同时与时俱进,融合IT产业的优秀架构思想和最佳实践。
安全架构演进的实践
鉴于传统的安全能力耦合严重、接口封闭、能力无法复用等问题,本文提出了一套安全能力原子化解耦、安全原子能力云原生池化的架构。基于新架构将云原生化的原子安全能力构建成融合、弹性的安全解决方案,以应对数字化转型时代的复杂安全风险,这是数字化转型过程中应对复杂业务、技术的一种解题思路。由此,实践层面从传统的安全产品烟囱式架构演进为支持多安全能力融合、可编排、可调度、可订阅的云原生服务化架构。
伴生模式架构意味着安全服务和客户的业务一起伴生、融合。实践落地过程中架构需支持基础设施平滑迁移、安全业务融合,架构要支持安全能力按需编排。实践架构中通过抽象层屏蔽底层不同基础设施差异,实现安全业务产品支持在不同基础设施平滑迁移。通过更细粒度、更内聚的安全能力解耦实现安全能力分而治之、合而御之的安全运营能力。通过安全能力服务化及安全能力服务化的编排,实现客户场景的按资源所动、据不同场景的安全威胁按需编排安全能力。订阅模式的架构实践通过安全能力实现服务化的接口,满足客户不同场景的按需订阅。
(胡怀茂 ,邓军等,文章来源:《保密科学技术》2022年8月刊,有删减;图片来源:百度图库。)
声明:本文来自保密科学技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
