落地实践 | 网络安全网格架构（CSMA）的正确打开姿势

近日，Gartner发布了2022年主要安全和风险管理趋势，指出随着网络攻击面的不断扩大以及日益复杂的网络威胁态势，“如何保护日益分散化的企业，同时解决资深安全人员的短缺问题”成为当下企业面临的主要挑战，“新的应对措施”、“安全实践的演变和重构”以及“对技术新思考”等也成为影响网络安全实践的三大趋势，由此覆盖了受攻击面扩大、数字供应链风险、身份威胁检测和响应、分布式决策、超越安全意识培训、厂商合并和网络安全网格等七个重要方面。

图片来自Gartner 《Top Trends in Cybersecurity 2022》报告

Fortinet认为，网络安全网格架构（CSMA）无疑是这些相互依存和加强的趋势中的关键，有助于提供一个通用的集成式安全架构和态势来保证所有本地、数据中心和云端资产的安全。CSMA旨在构建一套跨数字基础设施实现安全解决方案协作互联的生态系统。其主要目标是将安全防护覆盖至网络的任意边缘，即便接入网络的用户、设备以及应用程序数量呈量级增长或物理位置频繁切换，也能为其提供协调一致的安全防护。

网络安全网格架构理念意味着什么？

随着边缘设备的爆发式增长、网络架构复杂度的不断升级，网络安全防护任务也愈加繁重。过去，网络加上一定的安全方案，便可实现一定程度的安全防护效能。这种 “网络叠加安全”的传统组网方法，早已无法满足当今的防护需求。

因为这意味着随着时间的推移，企业的安全基础设施将变得越来庞大和繁杂。这不仅带来了安全管理、网络管理、网络构建等各方面的挑战，更造成了在多品牌的安全防护产品之间协同的阻隔。

Gartner在其《2022年重要战略技术趋势：网络安全网格》报告中也指出，许多高管都曾坦言，希望能将其架构中部署的多达40到50个供应商产品，精简至5到10个产品，以便更加易于管理。也正因为此，支持可见性并能触发超快速防御机制的集成式自动化平台，正被各类企业采纳和部署。

网络安全环境异常复杂，并非通过简单删减设备便可完成简化管理。如果可行的话，想必企业组织还需部署更多工具以检测未来更为隐蔽的攻击策略和技术。为降低组网复杂度，本地防护设备需支持实时共享威胁情报，及时修复已被攻击者利用的漏洞。为了在不缩减安全覆盖范围的情况下进行组网简化，还需要实现设备之间的互操作和动态协同。

同时，网络技术的增加通常会以牺牲安全性为代价。以前，企业往往忽视对覆盖整个网络环境的安全防护，而侧重于单个产品的简单叠加。这种理念除了带来体系庞杂的弊端之外，还造成了企业缺乏对整个网络的可见性，不能及时发现异常事件并作出有效响应。

一段时间以来，首席信息官们持续关注安全技术和功能的整合。很多技术领导者几乎都表示希望转变单点产品持续叠加的传统模式，减少不必要的单一功能产品和节点部件，转而构建更具凝聚力的创新平台架构，CSMA在这种背景下呼之欲出。

新型安全架构的关键属性是什么？

不可忽视的是，疫情的全球肆虐也加速了CSMA的发展。Fortinet FortiGuard实验室调研报告显示，在过去2年中，对于大部分网络办公人员而言，办公室办公、移动办公和居家办公等任意场景下随时随地办公（WFA）已成为新的常态，由此引发的边缘爆发式扩展已然成为未来的发展趋势。在这种边缘泛在化的时代，传统安全防护思维难以为继，许多组织也因此开始专注探索平台和集成式管理的发展。

例如，针对OT环境的防护需求，已经不仅限于典型IT资产清单，还需在更广泛的范围下进行检测、监控和响应。想要实现这种可见性，要求跨越企业边界，深入数据包。与此同时，各种规模的企业均认为，需将零信任网络访问（ZTNA）、端点检测和响应（EDR）等策略作为其防护策略的一部分，原生集成于网络安全产品之中。由于人脑的计算速度有限，无法实时关联和评估不同物理位置各类威胁事件的损害程度，因此自动化也必须整合其中。

这些全新需求属性的出现，也让网络安全网格架构（CSMA）理念的诞生顺理成章。它以高级安全策略为基础进行设计，广泛的覆盖范围、原生集成并基于人工智能的高级自动化功能，是CSMA解决方案的关键属性，也正是2016年Fortinet推出的Security Fabric安全架构的核心属性。

Fortinet总结认为，CSMA所遵循的关键理念是：

01、全面集成各类安全设备、工具和应用程序，以识别、阻止和隔离各类攻击。

02、各类设备应通过直接交互通信实时共享威胁情报，且使用标准化格式，而非通过SIEM或SOAR间接模式。

03、网格中的设备应能从各种外部来源获取集成式威胁情报，如网络威胁联盟、MITRE、CISA以及各类提供商。

04、安全网格应能将脚本、工作流、人工智能和机器学习整合为一体，以实时关联、分析和响应威胁、攻击及异常行为。

CSMA旨在将可见性、策略管理、身份验证以及威胁情报，高效整合至一个覆盖所有攻击面的单一管理平台之中，全面集成所有安全产品和服务，从而比单独部署这些解决方案更经济高效地减少安全漏洞和盲点。

企业组织应该考虑部署何种解决方案？

虽然Gartner首次在业内提出“网络安全网格架构（CSMA）”这一解决方案，并为此奠定了理论和实践基础。但其实早在多年前，Fortinet已为企业部署了同样的网格架构，这就是广受市场青睐的Fortinet Security Fabric安全架构。从这个角度来看，CSMA实际早已被市场所广泛采纳。或者说，Fortinet Security Fabric可以作为目前CSMA方案部署的典范。

CSMA作为一种全新的安全战略，为希望加速网络转型升级的企业组织提供广泛一致的安全防护。然而，CSMA的方案部署并非一蹴而就。企业组织仍需向已搭建好的体系架构中逐次添加不同的安全模块。新增安全工具时，应首选那些支持互通协作理念的解决方案。

Fortinet Security Fabric安全架构是迄今为止最成熟、定义最明确的CSMA示例，已历经多年考验。支持用户在资产利旧的基础上，通过迭代方法打造完整的CSMA方案，实现更全面的集成的显著优势和发展机遇。亦即随着时间的推移，以及防护需求的不断升级，用户可以不断为其架构添砖加瓦。或许他们是从部署下一代防火墙开始，之后再添加入侵防护，接着是端点检测和响应，并以此类推。

网格架构方法的关键支柱是什么？

实现网络和安全技术的全面整合，是成功打造CSMA策略和方案的先决条件。Fortinet将此理念称为安全驱动型网络。企业组织无需在网络性能及卓越安全性二者之间做出任何妥协。CSMA应能保护任意网络上的用户、设备和数据安全，无论其穿梭在任意网络边缘。除了安全驱动型网络之外，零信任网络访问、自适应云安全和开放架构也是CSMA设计中的基本构建要素。

防火墙则是构建CSMA方案的核心，为所有网络边缘提供更高级别的安全防护和更深层次的内容检测，以实现实时、高效的威胁检测和响应。任何CSMA方案的构建都必须围绕下一代防火墙、身份验证和访问管理、网络，以及集成管理、分析和响应工具。所有这些解决方案均应支持适用于数据中心、云端、分支机构和远程服务的不同版本。此外，至为关键的是，随着企业防护需求的不断扩展，还应能够适应扩展其他工具，设备和应用程序。

Fortinet的NGFW产品具备诸多安全防护“智能”化设计因素，赋予其深度数据包检测及L7高速分析等优势功能。除了集成并关联安全工具及智能威胁情报以外，实时识别和检测网络环境中的用户和内容也至关重要，因此身份验证和访问两大功能支柱，还应支持远程访问、分支机构互连、身份验证管理及零信任策略。

因为在接入网络的设备和用户更加趋于分散且有多个来源的情况下，零信任策略能够实时身份验证并评估网络安全态势。随着CSMA方案的深入推进，部署EDR和XDR端点防护策略同样至关重要。此外，还应具有支持开放API端口的统一策略管理和编排引擎，以实现本地环境和第三方合作伙伴的全面互联协作，及支持全面整合的自动化和智能化架构。

而所有这一切，都已经原生集成在Fortinet Security Fabric体系中，支持用户灵活选用构建自己的CSMA方案。当下，Fortinet Security Fabric已经成为业界“网络安全网格架构（CSMA）”理念最佳落地实践。在威胁形势日益复杂、网络攻击在快速演进的当下，网络安全创新、演进和重构已经是大势所趋， 网络安全网格平台是企业整合安全能力，应对复杂威胁，且具备可持续演进能力的理想选择。

资料来源：

Gartner《Top Trends in Cybersecurity 2022》报告

Gartner《2022年重要战略技术趋势：网络安全网格》报告