搜索 收起
您的位置  > 互联网

2020年网络安全网格即将成为趋势的背后逻辑?|绎云

chanong 发布于 2024-02-01 14:03:45 阅读()

不久前,网络安全网格(Mesh、CSMA)再次在2022年重要战略技术趋势报告中被提及。 这是它连续第二次在年度技术趋势报告中被提及。 可以看到,这一趋势在过去的一年里不断发展并且越来越明显。

2020年网络安全网格描述

2021 年网络安全网格描述

报告中的寥寥数语并没有明确定义网络安全网格。 我查遍了国内外网站,只找到了一些相关报道。 最后,从副总裁Jay写的一篇关于网络安全网格的分析文章中,我对网络安全网格有了一些初步的了解:

1、网络安全网格是一种分布式架构方法,在分布式策略执行架构中实现集中式策略编排和决策,实现可扩展、灵活、可靠的网络安全控制;

2. 网络安全网格使身份成为安全边界,使任何人或任何事物都能够安全地访问和使用任何数字资产,无论其位于何处,同时提供必要的安全级别,并且是随时随地操作的关键推动者趋势;

3.网络安全网格,一种分布式、模块化架构方法,正在迅速成为分布式身份结构(The)、基于上下文的安全分析、情报和响应(EDR、XDR)、集中式策略管理和编排、ZTNA、云访问安全代理(CASB) 和 SASE 安全网络基础设施。

安防行业有很多细分领域,每年都会出现一些新的概念和术语。 别说外行人,就是专家看了也会感到头晕。 但最终,安全的本质仍然没有改变。 接下来,让我们抛开那些令人困惑的词语,尝试解构即将成为趋势的网络安全网格背后的逻辑。

先说明一下:易云在2019年就已经开始研发信任域安全云网络,早于网络安全网格的首次定义,而且根据定义,网络安全网格只是信任的底层网络基础设施域安全云网络。 ,所以下面的解构不能作为定义网络安全网格的解释。 只能说是我个人对这个技术趋势的理解,供大家参考。

01 分布式网络架构

分布式网络架构并不是什么新技术,但最近却被频繁提及:区块链的底层网络是去中心化的分布式架构,Web3.0的底层网络也是去中心化的分布式架构。 即使是最近异常火热的元宇宙也需要分布式架构。

为什么要采用分布式网络架构? 由于物理服务已经分布式地存在于真实的物理空间中,并且越来越碎片化,网络架构必须为业务架构服务,因此网络架构必须进行自我升级以适应分布式服务。

在企业中,员工可能位于全球任何地方,业务系统可能部署在任意云或数据中心。 无论是人还是系统,他们的职位都会根据个人或业务的需要随时发生变化。 换句话说,我们目前面临的内部业务环境是一个日益碎片化、覆盖全球的全网互联结构,随时可能发生变化。

物理网络由各种路由器、交换机和网元设备组成。 它是一种以云和数据中心为中心、从固定位置访问的静态结构。 通过 VPN 或直接向 公开服务来满足远程访问和移动访问需求。 当前的物理网络无论在灵活性还是安全性方面都无法满足不断变化且日益碎片化的业务环境的要求。

我们不能期望物理网络能够成为灵活的分布式网络。 这样的转型成本太高了。 但我们可以在静态物理网络之上构建一层软件定义的逻辑网络。 该逻辑网络可以是灵活的分布式结构。 员工个人终端和业务系统在该逻辑网络中形成Full-Mesh结构,任意两个网络实体在该逻辑网络中直接相连。

简化复杂网络

这种结构有两个明显的优点:

· 摆脱物理网络限制。 任何物理位置的终端或业务系统都可以随时连接到这个Full-Mesh结构的逻辑网络,而无需考虑物理网络环境。

·简化复杂的网络。 所有网络主体和客体在逻辑上都是点对点直接连接,没有复杂的中间网络。 这种极简的结构扁平化了策略管理,为集中控制和行为分析带来了天然的优势。

02 集中策略编排决策,分布式执行

说到分配,很多人容易将其与去中心化混淆。 其实这是两个完全不同的维度:分布是物理位置上的概念,而去中心化是业务层面上的概念。 所有去中心化系统都采用分布式结构,分布式结构在业务层面可能是中心化的,也可能是去中心化的。 例如:区块链是分布式去中心化结构,而云计算是分布式中心化结构。

去中心化结构的好处是,每个人都是中心,没有一个权威中心可以完全控制。 区块链利用这一优势进行集体记账,达到了无人能否认的特点。 但无人控制是一把双刃剑。 去中心化结构下的执行力很低,事情的走向完全不可控。 这是一个无政府主义的乌托邦。 在我看来,人类还没有进化到这一步。 如果在企业中采用分散管理,结果只能是一团糟。

很多管理者都希望企业的组织架构是扁平化的。 这实际上是一个分布式系统,工作效率比层级组织结构高很多。 但在公司治理方面,管理者希望公司有非常强的执行能力,这是一种中心化的治理方式。

既然我们已经构建了一个与物理位置无关的分布式网络,那么在业务层面,我们应该选择中心化还是去中心化呢? 显然,企业是极权组织,需要分布式中心化的结构。

回到我们的主题,在网络安全网格架构下,每个网络实体在网络控制层面都是分布式结构,但整个分布式网络的策略决策层面却采用集中式结构。

请注意,网络安全网格中访问控制的执行点发生了变化。 访问控制引擎是分布式的、点对点的。 这与我们常见的网关式访问控制不同。 网络控制能力分布在网络各处。 ,可以随时随地控制,不存在性能瓶颈或控制盲点。

这样的网络安全网格架构,既保证了高治理效率,又满足了终端和业务碎片化的实际环境,完全符合当前企业网络的发展趋势。

03 让身份成为安全边界

让身份成为安全边界。 看到这句话,大家肯定会想到零信任网络。 事实上,网络安全网格本身就是一个零信任网络,但零信任网络不一定是网络安全网格。

从什么时候起我们开始担心如何让身份成为安全的边界? 原来的安全边界不是已经不好了吗? 是的,不但不好闻,而且越来越臭。

我们先看几个场景,看看为什么会出现这种情况:

场景一:

某个业务系统在数据中心部署并上线。 该系统是企业所有业务人员使用的,但业务人员分布在全国各个工作场所,也可能跨国出差。 安全管理员只能在网络层开放所有工作场所的访问权限,为每个销售人员分配VPN帐号,仅限制有权限通过业务系统本身的应用层帐号登录和访问的人员。 但非业务员工,坐在分支机构,可以直接打开业务系统登录页面,通过暴力破解轻松登录。

场景2

为了防范攻击,安全管理员在数据中心出口处部署了入侵检测系统,实时检测所有访问流量。 有一天,发现多个攻击行为警报,且所有攻击源均指向同一个IP地址。 但经排查发现,该IP地址是某分支机构的出口IP。 安全管理员无奈,无法禁止。 去分局一一调查已经来不及了。 他清楚地知道,现在有人正在攻击业务系统,甚至窃取数据,但他却无能为力。 ,只能干瞪眼。

场景三

该公司的敏感文件被发现在互联网上公开,初步调查显示该公司的邮箱已被渗透。 从电子邮件系统日志来看,似乎是内部员工帐户登录了邮箱服务器,但从流量日志来看,登录行为来自互联网上的公共IP地址。 员工账户可能被盗。 攻击者使用员工帐户登录。 所有操作均合法,未触发任何警报,所有网络监控系统均出现故障。 所有线索最终都指向了一个公共IP地址,调查彻底中断,调查只能到此为止。 (是不是有点相似?这就是起源)

场景四

该公司花费大量资金购买数据安全产品,希望能够记录每个人对敏感数据的访问情况,及时发现数据被盗的情况。 连接流量日志后,确实记录了所有访问业务的流量。 但问题也随之而来。 成千上万的人访问业务,每天有数千万的流量日志混合在一起。 无法区分哪个流量日志被哪个人访问。 所有基于人的行为检测规则、关联分析规则、机器学习算法和行为建模都只是幻想。 它们听起来很美,但使用时却完全不同。 钱被浪费了。

大多数 CSO 和安全主管应该熟悉这些场景。 从事网络安全行业20多年,能够感同身受安全从业者的工作。

造成这个问题的根本原因是我们一直使用IP地址对网络进行身份锚定和访问控制。 然而,随着业务碎片化的趋势,网络也开始碎片化,IP地址与人的关系也越来越碎片化。 使用 IP 地址作为边界的安全系统变得越来越昂贵且效率越来越低,并且最终将变得完全无效。 唯一的解决办法就是不再使用IP作为边界,而是使用身份。

那么以身份为边界意味着什么呢? ——所有网络数据包均为实名制

互联网是免费的,但自由的前提是遵守法律和道德底线。 所有见不得人的活动都喜欢完全匿名。 匿名人士知道自己的行为是非法和不道德的,并且害怕被识别。 他们想用完全匿名的方式来满足自己的私欲,同时避免受到惩罚,不愿意承担责任。 例如《卧底网》。

暗网交易(网络新闻报道截图)

完全匿名的互联网只会滋生邪恶,但邪恶并不是互联网的初衷。 想象一下,虚拟宇宙中的每个人都是完全匿名的。 在这个虚拟宇宙中会发生什么?

每个网络数据包都有一个真实的名字。 从任何数据包中,我们都可以看到谁使用了哪个终端并做了什么。 这本身就是一种先于攻击者意图的威慑和防御。

摆脱 IP 地址并使用身份来控制网络

首先是网络,然后是网络安全。 网络安全的发展滞后于整个网络的发展。 网络先驱者在最初设计网络协议时并没有考虑身份。 相反,他们只是使用 IP 地址来锚定人们在网络世界中的身份。 这种方法在网络建设的早期阶段仍然可以使用,但是今天的网络已经不再是以前的样子了。 多分支、混合云、移动互联网、物联网已经将网络堆积成一个动态变化的复杂环境。 在这种环境下,使用IP地址锚定的做法在安全领域变得越来越困难。

在企业网络中,我们一直使用防火墙来设置安全边界。 之所以只能使用基于IP地址的访问控制模型来设置边界,是因为网络流量中只有IP地址才能区分访问主体和客体。 现在我们所有的网络数据包都是实名的,每个数据包都携带身份信息。 身份可以作为访问控制的基础。

是时候将基于 IP 的防火墙升级为基于身份的防火墙了

想要以身份为边界,首先必须让每一个数据包都实名化,然后消除安全系统对IP地址的依赖,构建分布式、基于身份的网络防火墙,让所有的安全控制和分析都可以进行。基于身份。 根据。

这就是我理解的“以身份为边界”。

04

是其他安全系统的基础设施

前面已经解释过,网络安全网格具有分布式点对点网络架构、分布式策略执行、集中式策略管理以及在完全基于身份的网络中利用身份重构安全边界的特点。

在这些前提下,让我们看看“网络安全网格正在迅速成为分布式身份结构、基于上下文的安全分析、情报和响应、集中策略管理和编排、ZTNA、CASB 和 SASE 的安全网络基础设施。 “这很容易理解。

网络安全网格为企业构建全新的轻量级安全网络基础设施。

说它轻,是因为这种架构与物理网络不冲突。 企业实施网络安全网格不需要花费大量时间进行网络改造,而是可以在现有网络上一点点迁移。 开放架构可以连接企业现有的IAM、SSO、SIEM、SOC、态势感知等安全系统,以及已建专线、SD-WAN等网络服务。 分布式架构自然是用来构建超大规模网络的。 。

或许下次领导来视察时,看到态势感知大屏上的各种警报就不会再问袭击者是谁了,因为大屏上已经显示了这个人的名字。 如果领导说赶紧处理,安全经理只需点一下鼠标,事情就已经处理了,或者系统已经自动处理了。

这就是值得信赖的企业网络应有的样子。 易云科技是一家创新型公司,致力于用技术创新让网络连接更安全、业务协作更高效。 核心团队大部分来自知名网络安全公司和互联网公司,拥有近20年的网络基础设施设计、身份认证技术研发、网络加密、安全攻防经验。

标签:
打赏 点赞( )

相关文章