淺析網(wǎng)絡(luò)安全網(wǎng)格概念及其影響

摘要：

“網(wǎng)絡(luò)安全網(wǎng)格（CyberSecurity Mesh）”是 Gartner 提出的網(wǎng)絡(luò)安全技術(shù)發(fā)展新趨勢，近兩年連續(xù)入選其年度重要戰(zhàn)略技術(shù)趨勢研究報告，成為當前網(wǎng)絡(luò)安全領(lǐng)域流行的熱詞，受到網(wǎng)絡(luò)安全從業(yè)者的高度關(guān)注?；?Gartner 相關(guān)報告中對網(wǎng)絡(luò)安全網(wǎng)格概念的描述，研究了網(wǎng)絡(luò)安全網(wǎng)格成為重大技術(shù)發(fā)展趨勢的驅(qū)動因素，剖析了網(wǎng)絡(luò)安全網(wǎng)格概念的具體內(nèi)涵和特點，探討了其架構(gòu)方法與實現(xiàn)途徑，分析了其優(yōu)勢及與其他網(wǎng)絡(luò)安全概念的關(guān)系，展望了其可能帶來的影響，并提出了相關(guān)的對策建議。

隨著組織數(shù)字化轉(zhuǎn)型加快以及新冠肺炎疫情的全球大流行，分布在世界各地的機構(gòu)、資產(chǎn)、員工、客戶和合作伙伴推動了業(yè)務(wù)上云、移動辦公的日益普及，用戶、設(shè)備、應(yīng)用和數(shù)據(jù)逐漸離開了工作地點和數(shù)據(jù)中心。這樣的變化導致越來越多的資產(chǎn)存在于傳統(tǒng)的安全邊界之外，讓邊界變得支離破碎，如今，無法通過構(gòu)建單一的安全邊界來判斷“內(nèi)好外壞”，讓傳統(tǒng)邊界防護方法變得不再有效。網(wǎng)絡(luò)安全需要圍繞個人或事物的身份重新定義，零信任網(wǎng)絡(luò)架構(gòu)逐漸形成共識，身份和上下文將成為分布式環(huán)境中的最終控制平面 ，以支持對分布的資產(chǎn)以及任何地方發(fā)起的安全訪問。

許多組織正在采用多云戰(zhàn)略，使用來自多個云提供商的服務(wù)以提供滿足業(yè)務(wù)需求的彈性。例如，對于具有復雜 IT 體系結(jié)構(gòu)的大型組織（如政府組織、金融機構(gòu)和大型制造企業(yè)）來說，使用多個云和數(shù)據(jù)中心對于保障其業(yè)務(wù)的安全、可靠運行是非常必要的。但由于各個云提供商都支持一套自身的安全策略（例如，阿里云、亞馬遜網(wǎng)絡(luò)服務(wù)和微軟 Azure 等使用不同的方法來保護各自生態(tài)系統(tǒng)中的資產(chǎn)），因此，跨云提供商實現(xiàn)一致的安全控制是一項新的挑戰(zhàn)，而且組織中龐雜的內(nèi)部服務(wù)更將加劇這樣的挑戰(zhàn)。雖然新的技術(shù)標準和產(chǎn)品正在試圖彌補這一問題，但組織更應(yīng)關(guān)注如何找到適應(yīng)這種復雜環(huán)境的統(tǒng)一、靈活、可靠的網(wǎng)絡(luò)安全控制方法。

為達到安全目的，當前的 IT 系統(tǒng)通常會根據(jù)合規(guī)要求和業(yè)務(wù)需要，“一應(yīng)俱全”地部署多種安全工具。2020 年數(shù)據(jù)安全研究中心Ponemon Institute 的統(tǒng)計數(shù)據(jù)顯示，每個組織平均部署了超過45種安全解決方案和技術(shù)產(chǎn)品往往還需要使用到多個供應(yīng)商的產(chǎn)品解決方案。這樣的安全系統(tǒng)建設(shè)方式導致系統(tǒng)過于龐雜，安全分析與運維管理非常困難，例如，安全事件檢測與響應(yīng)經(jīng)常需要在多個工具之間進行協(xié)調(diào)，每個設(shè)備升級時都必須不斷重新配置復雜的安全策略等；同時多種安全工具存在功能重疊，也帶來很多不必要的投資浪費。當用戶提出新的安全需求以及引入新的安全工具時，上述問題將愈加嚴重。許多 IT 管理者都高度重視這一問題，希望找到更優(yōu)的集成方法，通過高效地集成當前最好和未來出現(xiàn)的安全工具，整合安全資源，以減少安全工具的品種數(shù)量，增強網(wǎng)絡(luò)安全整體防護效能，減少系統(tǒng)復雜性并降低建設(shè)成本。

當前網(wǎng)絡(luò)變得更加復雜和分散，各種孤立部署的安全工具由于沒有完全集成（例如，它們可能只是通過支持聯(lián)合身份驗證而實現(xiàn)松散的耦合），難以形成防御合力，從而帶來了很多安全問題與風險。例如，不同安全工具之間缺乏互操作性（甚至互操作意識），安全態(tài)勢語義混亂，造成可見性割裂，且并行使用的安全分析工具很難支持跨域的安全分析，限制了發(fā)現(xiàn)和應(yīng)對威脅的能力；攻擊者不會僅在各個孤立的安全區(qū)域中去尋找和利用漏洞，他們往往通過橫向移動，利用一個區(qū)域的弱點來攻擊相鄰區(qū)域，或者從不同安全區(qū)域之間的結(jié)合部滲透到系統(tǒng)中。因此，完備的安全防御需要從組織角度和技術(shù)角度消除安全孤島。目前，一些安全分析和智能化工具通過使用跨不同安全領(lǐng)域的特定信息來實現(xiàn)統(tǒng)一的安全檢測與事件響應(yīng)，如擴展檢測與響應(yīng)（XDR），但我們還需要一個更加廣泛、集成且自動化的安全分析與管理基礎(chǔ)設(shè)施，讓所有安全工具都可以通過這個基礎(chǔ)設(shè)施實現(xiàn)相互通信并共享信息，提供統(tǒng)一安全管理和可見性，形成整體防御合力，并可自動適應(yīng)網(wǎng)絡(luò)部署的演進變化。

零信任網(wǎng)絡(luò)、微服務(wù)、高級數(shù)據(jù)分析、人工智能、區(qū)塊鏈等技術(shù)的日趨成熟，以及在網(wǎng)絡(luò)安全領(lǐng)域的不斷應(yīng)用，為找到應(yīng)對上述挑戰(zhàn)的網(wǎng)絡(luò)安全架構(gòu)新方法創(chuàng)造了條件。2020 年 10 月，Gartner 在 2021 年重要戰(zhàn)略技術(shù)趨勢報告中第一次提出了“網(wǎng)絡(luò)安全網(wǎng)格”這個概念，并在 2022年重要戰(zhàn)略技術(shù)趨勢報告中再次提及。此外，該概念也進入了 Gartner《2021 年安全與風險管理重要發(fā)展趨勢》報告中，并位列首位，由此可見網(wǎng)絡(luò)安全網(wǎng)格的重要性。但目前 Gartner 對于網(wǎng)絡(luò)安全網(wǎng)格概念的定義尚不清晰和具體，這對于一個剛出現(xiàn)的概念來說是常見的現(xiàn)象。本文基于Gartner 相關(guān)報告中對網(wǎng)絡(luò)安全網(wǎng)格的描述，解剖其概念、架構(gòu)以及與其他網(wǎng)絡(luò)安全概念的關(guān)系，展望其帶來的影響，提出應(yīng)用網(wǎng)絡(luò)安全網(wǎng)格方法的建議，希望能夠?qū)ι钊肜斫馀c認識這個網(wǎng)絡(luò)安全領(lǐng)域的重要發(fā)展趨勢帶來幫助。

１

概念與特點

Gartner 發(fā)布的《2021 年重要戰(zhàn)略技術(shù)趨勢》（Top Strategic Technology Trends for 2021）中描述了網(wǎng)絡(luò)安全網(wǎng)格的概念：“網(wǎng)絡(luò)安全網(wǎng)格是一種分布式架構(gòu)方法，能夠?qū)崿F(xiàn)可擴展、靈活和可靠的網(wǎng)絡(luò)安全控制?，F(xiàn)在許多資產(chǎn)存在于傳統(tǒng)安全邊界之外，網(wǎng)絡(luò)安全網(wǎng)格本質(zhì)上允許圍繞人或事物的身份定義安全邊界。通過集中策略編排和分布策略執(zhí)行來實現(xiàn)更加模塊化、更加快速響應(yīng)的安全防護?！?/p>

在 Gartner 發(fā)布的《2022 年重要戰(zhàn)略技術(shù)趨勢 》（Top Strategic Technology Trends for 2022）中對網(wǎng)絡(luò)安全網(wǎng)格概念有了進一步的說明：“數(shù)字業(yè)務(wù)資產(chǎn)分布在云和數(shù)據(jù)中心，基于邊界的傳統(tǒng)、分散的安全方法使組織容易遭受攻擊。網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)提供一種基于身份的可組合安全方法，以創(chuàng)建可擴展和可互操作的服務(wù)。通用的集成結(jié)構(gòu)可以保護任務(wù)組織的任何資產(chǎn)，對于使用這樣的一體化安全工具的組織來說，可將單項安全事件的財務(wù)影響平均減少 90%?！?/p>

從上述 Gartner 報告的描述中可以看出，網(wǎng)絡(luò)安全網(wǎng)格是一種安全架構(gòu)方法或者策略，而不是一種定義明確的架構(gòu)或標準化的技術(shù)方法，更不是某種產(chǎn)品，其目的是找到能夠應(yīng)對不斷發(fā)展的業(yè)務(wù)系統(tǒng)以及網(wǎng)絡(luò)環(huán)境演變所帶來的安全挑戰(zhàn)的新方法，提供比傳統(tǒng)物理邊界防護更強大、更靈活和可擴展的安全能力。

網(wǎng)絡(luò)安全網(wǎng)格主要涉及設(shè)計和建設(shè) IT 安全基礎(chǔ)設(shè)施，采用“水平”分布式方式將各種安全能力集成到網(wǎng)絡(luò)中，而不是采用傳統(tǒng)的“自上而下”、各種安全設(shè)備“一應(yīng)俱全”的集成方式，致力于構(gòu)建一個能在龐大的安全生態(tài)系統(tǒng)中協(xié)同運行，且自動適應(yīng)網(wǎng)絡(luò)環(huán)境演化的全面覆蓋、統(tǒng)一管控、動態(tài)協(xié)同和快速響應(yīng)的安全平臺。

網(wǎng)絡(luò)安全網(wǎng)格的主要特點如下文所述。

（1）通用集成框架。網(wǎng)絡(luò)安全網(wǎng)格提供一種通用的集成框架和方法，實現(xiàn)類似“樂高”化思維的靈活、可組合、可擴展的安全架構(gòu)。通過標準化工具支持可互操作的各種安全服務(wù)編排和協(xié)同，從而實現(xiàn)廣泛分布的不同安全服務(wù)的高效集成，建立起合作的安全生態(tài)系統(tǒng)來保護處于本地、數(shù)據(jù)中心和云中的數(shù)字資產(chǎn)，并基于數(shù)據(jù)分析、情報支持和策略管理等能力的聚合形成更加強大的整體安全防御和響應(yīng)處置能力。

（2）分布式網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)安全網(wǎng)格利用了“網(wǎng)格”的去中心化、對等協(xié)作、結(jié)構(gòu)靈活、連接可靠、擴展性強等優(yōu)勢，不再側(cè)重于圍繞所有設(shè)備或節(jié)點構(gòu)建“單一”邊界，而是圍繞每個接入點創(chuàng)建更小的、單獨的邊界 [5-6]。通過建立與接入點同樣多的安全邊界，保證物理位置廣泛分布的用戶能隨時隨地安全接入，符合零信任網(wǎng)絡(luò)中的“微分段”要求，使得網(wǎng)絡(luò)犯罪分子和黑客更難利用整個網(wǎng)絡(luò)。同時，網(wǎng)絡(luò)中主客體之間在邏輯上都是點對點直連關(guān)系，無須關(guān)注具體的物理網(wǎng)絡(luò)部署，能夠簡化安全配置且能自動適應(yīng)網(wǎng)絡(luò)動態(tài)變化。

（3）集中管理與分散執(zhí)行。與傳統(tǒng)的網(wǎng)關(guān)集中訪問控制不同，網(wǎng)絡(luò)安全網(wǎng)格采用了集中的策略編排和權(quán)限管理，基于策略分布式的執(zhí)行，將網(wǎng)絡(luò)安全控制能力分布到網(wǎng)絡(luò)的更多地方，使安全措施更接近需要保護的資產(chǎn)，一方面，有利于消除安全管控盲點，緩解傳統(tǒng)集中安全控制存在的性能處理瓶頸，適應(yīng)用戶終端和組織業(yè)務(wù)分散化發(fā)展需要；另一方面，有利于實現(xiàn)全局的安全威脅分析，形成更加一致的安全態(tài)勢，從而實現(xiàn)更加精準的安全管控和更加快速的響應(yīng)處置。

（4）圍繞身份定義安全邊界。在當前網(wǎng)絡(luò)協(xié)議中，因缺失身份要素帶來了很多安全問題，物理 IP 地址與人和終端的關(guān)聯(lián)性越來越弱，導致基于地址、流量、日志的安全檢測和威脅分析技術(shù)難以實現(xiàn)針對人的威脅研判；基于網(wǎng)絡(luò)協(xié)議字段特征檢測的傳統(tǒng)邊界訪問控制技術(shù)，同樣使得基于身份的授權(quán)訪問成為天方夜譚。由于網(wǎng)絡(luò)威脅本質(zhì)上是人帶來的威脅，因此難以實現(xiàn)精準高效的安全威脅處置。網(wǎng)絡(luò)安全網(wǎng)格延續(xù)了零信任網(wǎng)絡(luò)的思想，用身份定義網(wǎng)絡(luò)邊界，讓身份成為威脅研判與安全管控的基礎(chǔ)。

２

架構(gòu)與實現(xiàn)

Gartner 提出了網(wǎng)絡(luò)安全網(wǎng)格的具體實現(xiàn)框架，即網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)（CyberSecurity Mesh Architecture，CSMA）。這是一種分布式安全服務(wù)的協(xié)作框架，提供安全分析與情報、統(tǒng)一策略管理、整合操控界面和分布式身份結(jié)構(gòu)等 4個安全基礎(chǔ)設(shè)施（如圖 1 所示）[1]，使不同的安全工具能夠基于該基礎(chǔ)設(shè)施協(xié)同工作并實現(xiàn)統(tǒng)一的配置和管理，提高安全工具的可組合性、可擴展性和互操作性，解決多種安全工具在各個孤立體系中運行時所帶來的問題，實現(xiàn)各種安全能力的有機聚合，適應(yīng)業(yè)務(wù)發(fā)展需要并達到“力量倍增”的效果。

圖 1網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)概念

網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)的組成如圖 2 所示，4 個基礎(chǔ)支撐層之間以及與其他安全系統(tǒng)之間的關(guān)系如下文所述。

圖 2網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)組成

（1）安全分析與情報層?？膳c來自第三方的安全工具開展聯(lián)合協(xié)同檢測，基于豐富的威脅分析手段，結(jié)合威脅情報，利用機器學習等技術(shù)形成更加準確一致的威脅分析結(jié)果。（2）統(tǒng)一策略管理層。主要包括安全策略編排和安全態(tài)勢管理，將集中的策略轉(zhuǎn)換為各個安全工具的本地配置策略，實現(xiàn)分布式執(zhí)行，并支持動態(tài)策略管理服務(wù)。（3）整合操控界面層。實現(xiàn)安全數(shù)據(jù)可視化，提供安全系統(tǒng)復合視圖，主要包括統(tǒng)一的控制面板、告警、審查、指導手冊和報告等，使安全團隊能夠更快速、更有效地響應(yīng)安全事件。（4）身份架構(gòu)層。主要提供目錄服務(wù)、自適應(yīng)訪問以及去中心化的身份管理、身份驗證和授權(quán)管理等功能，支撐構(gòu)建適合用戶需求的零信任網(wǎng)絡(luò)架構(gòu)。

網(wǎng)絡(luò)安全網(wǎng)格是在物理網(wǎng)絡(luò)之上構(gòu)建的邏輯層，網(wǎng)絡(luò)安全架構(gòu)的應(yīng)用視圖如圖 3 所示，直觀展示了在邏輯層中通過對各種安全能力的編排、執(zhí)行，使得各種安全工具基于 4 個安全基礎(chǔ)層實現(xiàn)互操作，提供統(tǒng)一的安全管控和可見性，而不是在孤島中運行每個安全工具，從而構(gòu)建一個能在龐大的安全生態(tài)中協(xié)同運行，且自動適應(yīng)網(wǎng)絡(luò)環(huán)境演化的安全平臺。

圖 3網(wǎng)絡(luò)安全架構(gòu)應(yīng)用視圖

３

優(yōu)勢及與其他概念關(guān)系

近年來，網(wǎng)絡(luò)安全領(lǐng)域的新概念層出不窮、紛繁復雜且相互關(guān)聯(lián)，因此，厘清網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)所帶來的優(yōu)勢，以及與當前流行的其他安全概念之間的關(guān)系是很有必要的。

3.1網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)優(yōu)勢

網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)的優(yōu)勢主要體現(xiàn)在下文所述的幾個方面。

（1）實現(xiàn)更加可靠的安全防御。網(wǎng)絡(luò)安全網(wǎng)格摒棄了傳統(tǒng)的邊界防護思想，不僅是圍繞網(wǎng)絡(luò)數(shù)據(jù)中心、服務(wù)中心構(gòu)建“邊界”，還圍繞每個接入點創(chuàng)建更小的、獨立的邊界，并由集中的控制中心進行統(tǒng)一管理，從而將安全控制擴展到廣泛分布的資產(chǎn)，在提高威脅應(yīng)對能力的同時，增強了安全系統(tǒng)的可擴展性、靈活性和彈性。

（2）應(yīng)對復雜環(huán)境下的安全需求。通過網(wǎng)絡(luò)安全策略集中編排但分散執(zhí)行的方法，在統(tǒng)一的安全策略控制下，提供一種靈活且易于擴展的安全基礎(chǔ)架構(gòu)，可為混合云和多云等復雜環(huán)境中的資產(chǎn)保護提供所需的安全能力。

（3）實現(xiàn)更加高效的威脅處置。通過安全工具集成，加強了安全數(shù)據(jù)采集和預(yù)測分析之間的協(xié)作，可以更加快速、準確地獲取安全態(tài)勢，及時發(fā)現(xiàn)并應(yīng)對安全威脅，可大幅度增強對違規(guī)和攻擊事件的響應(yīng)處置能力。

（4）構(gòu)建更加開放的安全架構(gòu)。提供了一種可編排的通用集成框架和方法，支持各類安全服務(wù)之間的協(xié)同工作，用戶可自主選擇當前和新興的安全技術(shù)與標準，面向云原生和應(yīng)用程序接口（Application Programming Interface，API） 插 件的環(huán)境更加易于集成，便于定制與擴展，能有效彌補不同供應(yīng)商安全方案之間的能力差距。

（5）降低建設(shè)維護的成本與難度。用戶可以有效減少管理一組龐大的孤立安全解決方案的開銷，同時，安全能力部署和維護所需的時間更少、成本更低，易于與用戶已建設(shè)的身份識別與訪問管理（Identity and Access Management，IAM）、安全信息和事件管理（Security Information and Event Management，SIEM）、 安 全運營中心（Security Operations Center，SOC）、態(tài)勢感知等安全系統(tǒng)共存，也方便對接已建設(shè)的專線、軟件定義廣域網(wǎng)（Software-Defined Wide Area Network，SD-WAN）等網(wǎng)絡(luò)服務(wù)。

3.2與其他安全概念的關(guān)系

（1）零信任網(wǎng)絡(luò)。談及網(wǎng)絡(luò)安全網(wǎng)格，就不得不提到零信任網(wǎng)絡(luò)，這兩個都是當前網(wǎng)絡(luò)安全領(lǐng)域的熱門術(shù)語，涉及網(wǎng)絡(luò)安全架構(gòu)的方法論。零信任網(wǎng)絡(luò)的思想早在 20 年前就已經(jīng)出現(xiàn)，但直到近三四年才開始逐漸流行起來。與之不同的是，不到 1 年時間，網(wǎng)絡(luò)安全網(wǎng)格就被引入到大量的安全總體設(shè)計中。

網(wǎng)絡(luò)安全網(wǎng)格本身是遵從零信任網(wǎng)絡(luò)思想的，人或機器都須通過嚴格的身份驗證和授權(quán)才可以從任何地方安全地訪問設(shè)備、服務(wù)、數(shù)據(jù)和應(yīng)用，但零信任網(wǎng)絡(luò)不一定就是網(wǎng)絡(luò)安全網(wǎng)格。兩者的區(qū)別主要體現(xiàn)在：①網(wǎng)絡(luò)安全網(wǎng)格從圍繞數(shù)據(jù)中心創(chuàng)建邊界擴展到圍繞主體和對象創(chuàng)建邊界；②網(wǎng)絡(luò)安全網(wǎng)格支持將云服務(wù)納入零信任網(wǎng)絡(luò)基礎(chǔ)架構(gòu)；③網(wǎng)絡(luò)安全網(wǎng)格的關(guān)鍵要素是全面分析主體和客體的自適應(yīng)訪問控制。

（2） 安 全 編 排 自 動 化 與 響 應(yīng)（Security Orchestration, Automation and Response，SOAR）。SOAR 同樣也是 Gartner 提出的概念，是安全分析人員在統(tǒng)一的平臺中集成工作流管理的一種方式。SOAR 涉及安全編排與自動化、安全事件響應(yīng)平臺和威脅情報平臺等多種工具的融合，通過監(jiān)測各種安全事件信息（包括各種安全系統(tǒng)產(chǎn)生的告警），并對之進行分析，在標準工作流程的指引下，幫助安全運維人員實施標準化的事件響應(yīng)活動。在構(gòu)建網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)的支撐層時，可以注意到的是，實現(xiàn)分布式安全解決方案之間互操作性的工具對于安全網(wǎng)格至關(guān)重要。最快、最合理的途徑是采用基于 API 驅(qū)動的標準化技術(shù)和可擴展的分析平臺，利用標準化通信來打破孤島，在不同技術(shù)之間實現(xiàn)語義感知的編排，并通過自動化手段實現(xiàn)所有工具之間的實時共享以及靈活、可擴展的安全態(tài)勢。由此可見，SOAR 作為滿足編排和自動化需求而開發(fā)的工具，可以融合到網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)所需的安全分析與情報層，將成為網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)的重要支柱技術(shù)之一。

（3）其他安全概念。網(wǎng)絡(luò)安全網(wǎng)格與當前流行的其他安全概念之間并不沖突。擴展檢測和響應(yīng)為安全供應(yīng)商提供了將其產(chǎn)品整合至統(tǒng)一平臺中的一種新的方式，因此可以說，XDR是 CSMA 進行安全分析和情報收集的潛在基礎(chǔ)。安全信息和事件管理（SIEM）也同樣如此，可以為網(wǎng)絡(luò)安全網(wǎng)格中的安全分析與情報層提供更多的價值。安全訪問服務(wù)邊緣（Secure Access Service Edge，SASE）技術(shù)是一種通過集成方式提供不同功能的網(wǎng)格方法，與之相比，安全網(wǎng)格通過構(gòu)建網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的方式，得到更廣泛的適用范圍。

４

影響展望與對策建議

網(wǎng)絡(luò)安全網(wǎng)格作為網(wǎng)絡(luò)安全領(lǐng)域的重要技術(shù)發(fā)展趨勢，將給網(wǎng)絡(luò)安全行業(yè)帶來多方面的重要影響，網(wǎng)絡(luò)安全行業(yè)的參與者應(yīng)緊跟發(fā)展形勢，積極尋找應(yīng)對策略。

4.1帶來的影響

網(wǎng)絡(luò)安全網(wǎng)格將為網(wǎng)絡(luò)安全行業(yè)帶來以下 5個方面的深入影響。

（1）助力 IT 系統(tǒng)開發(fā)中安全設(shè)計流程的升級。網(wǎng)絡(luò)安全網(wǎng)格方法意味著整個 IT 設(shè)計過程的重新配置，在 IT 系統(tǒng)和網(wǎng)絡(luò)設(shè)計之初就須考慮安全措施的集成。也就是說，安全措施不再是事后“打補丁”，而是在網(wǎng)絡(luò)架構(gòu)設(shè)計過程中同步開展的，IT 設(shè)計開發(fā)團隊將大量參與其中并將安全設(shè)計在時間軸上進一步“向左”移動 ，以確保實現(xiàn)更高效、更可靠的安全防御。

（2）支持大部分的 IAM 請求。如上文所述，由于企業(yè)所在場所之外存在越來越多的數(shù)字資產(chǎn)、身份和設(shè)備，傳統(tǒng)的邊界安全模型難以實施有效的保護。Gartner 預(yù)測，網(wǎng)絡(luò)安全網(wǎng)格將有助于處理超過 50% 的 IAM 請求，支持更具適應(yīng)性、移動性和統(tǒng)一的訪問管理 。借助安全網(wǎng)格方法，企業(yè)可以獲得比傳統(tǒng)安全邊界保護更集成、可擴展、更靈活和更可靠的數(shù)字資產(chǎn)訪問控制點和控制方法。

（3）推動安全托管服務(wù)提供商（Managed Security Service Provider，MSSP）的發(fā)展。Gartner預(yù)測，到 2023 年，近 40% 的 IAM 應(yīng)用融合將由MSSP 推動。MSSP 可以為各類企業(yè)提供一流的資源和所需的能力來規(guī)劃、開發(fā)、獲取和實施綜合的 IAM 解決方案。相比產(chǎn)品供應(yīng)商，MSSP 通過集成方式更有能力和意愿為客戶提供同樣場景下的最佳安全解決方案，這樣的發(fā)展趨勢將導致產(chǎn)品供應(yīng)商的作用和影響發(fā)生重大轉(zhuǎn)變。

（4）促進在員工身份管理生命周期中納入新的身份驗證工具。隨時隨地辦公的要求使得遠程交互變得越來越普遍，讓組織更加難以準確識別真正的合規(guī)用戶和惡意攻擊者，迫切需要實現(xiàn)更加有效的身份注冊和管理工具。Gartner預(yù)測，到 2024 年，30% 的大型企業(yè)將實施新的身份驗證工具，以解決員工身份管理全生命周期過程中頻頻出現(xiàn)的問題。

（5）加速去中心化身份標準的應(yīng)用。身份數(shù)據(jù)的集中式管理方法使得提供隱私保護和假名變得非常困難，利用安全網(wǎng)格模型和最新的區(qū)塊鏈技術(shù)，基于去中心化的方法可以實施更好的隱私保護，讓請求者僅提供少量信息量來驗證訪問請求，符合各國已出臺的數(shù)據(jù)安全保護法規(guī)要求。Gartner 預(yù)測，到 2024 年，市場上將出現(xiàn)真正的全球性、便攜化、去中心化身份標準，以滿足商業(yè)、個人、社交和社會的需要。

4.2對策建議

積極應(yīng)用網(wǎng)絡(luò)安全網(wǎng)格方法是順應(yīng)發(fā)展趨勢的需要，網(wǎng)絡(luò)安全建設(shè)和運營的主管人員應(yīng)關(guān)注以下幾點建議。

（1）重新審視組織的網(wǎng)絡(luò)安全建設(shè)規(guī)劃，盡快從傳統(tǒng)的邊界防護轉(zhuǎn)向零信任網(wǎng)絡(luò)，并積極實施網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)方法，整合現(xiàn)有的安全相關(guān)項目，以及時、高效地應(yīng)對越來越復雜的網(wǎng)絡(luò)環(huán)境與業(yè)務(wù)需要。

（2）實施網(wǎng)絡(luò)安全網(wǎng)格方法，并不需要大刀闊斧地開展網(wǎng)絡(luò)與安全系統(tǒng)的重建和改造，無須推倒重來，可以在已有系統(tǒng)上按照安全網(wǎng)格架構(gòu)方法要求逐步改造與遷移，實現(xiàn)對已有投資的充分“利舊”。

（3）在構(gòu)建通用集成框架方面投入必要的資金，重點投入和抓好安全網(wǎng)格基礎(chǔ)支撐層（安全分析與情報、策略管理、操控界面和身份架構(gòu)）的建設(shè)，通過高效的系統(tǒng)集成產(chǎn)生匯聚效應(yīng)，提升整體安全防御效能。

（4）有效甄別安全供應(yīng)商的類安全網(wǎng)格集成 方 式， 例 如，F(xiàn)ortinet、McAfee、 微 軟、Palo AltoNetworks 等公司都構(gòu)建了安全系統(tǒng)平臺，可以使用戶提升安全能力和擴展性，并降低建設(shè)和運維成本，但還缺乏廣泛的互操作性，仍有可能受制于供應(yīng)商。

（5）在選擇新的安全工具時，應(yīng)該優(yōu)先考察其支持可組合性、互操作性方面的能力，例如，支持可擴展和定制的 API 插件等，避免帶來一個個獨立的安全“煙囪”，造成低效費比的投資，增加運維難度、降低運維效率。

（6）鑒于標準化對于網(wǎng)絡(luò)安全網(wǎng)格的建設(shè)尤為重要，應(yīng)盡量使用最新的安全技術(shù)標準，同時優(yōu)先選擇在采納新興技術(shù)標準方面有著良好記錄的供應(yīng)商，降低不同供應(yīng)商技術(shù)之間可能存在的互操作性差異。

５

結(jié)語

當前網(wǎng)絡(luò)安全形勢越來越嚴峻，一方面，網(wǎng)絡(luò)攻擊無孔不入、愈演愈烈；另一方面，組織架構(gòu)越來越分散，資產(chǎn)、人員、客戶、合作伙伴遍布各個地方，業(yè)務(wù)上云、多云運行、隨時隨地辦公等新的業(yè)務(wù)范式不斷涌現(xiàn)，對網(wǎng)絡(luò)安全提出新的挑戰(zhàn)。網(wǎng)絡(luò)安全防御如何與時俱進，跟上組織架構(gòu)和業(yè)務(wù)發(fā)展需求，需要有新思路、新理念。網(wǎng)絡(luò)安全網(wǎng)格提出了一種靈活的、可組合的安全架構(gòu)方法，可以高效集成廣泛分布且不同功能的安全服務(wù)來滿足業(yè)務(wù)系統(tǒng)發(fā)展及網(wǎng)絡(luò)環(huán)境變化需要。通過上述分析，可以看出，網(wǎng)絡(luò)安全網(wǎng)格可以說是零信任網(wǎng)絡(luò)概念的進一步擴展，雖然“網(wǎng)絡(luò)安全網(wǎng)格”這個術(shù)語是否有必要和是否準確也許會存在爭議，但它所帶來的思想還是很有必要的，值得網(wǎng)絡(luò)安全相關(guān)人員高度關(guān)注。

審核編輯：劉清