曾浩洋

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

隨著組織數(shù)字化轉(zhuǎn)型加快以及新冠肺炎疫情的全球大流行，分布在世界各地的機(jī)構(gòu)、資產(chǎn)、員工、客戶(hù)和合作伙伴推動(dòng)了業(yè)務(wù)上云、移動(dòng)辦公的日益普及，用戶(hù)、設(shè)備、應(yīng)用和數(shù)據(jù)逐漸離開(kāi)了工作地點(diǎn)和數(shù)據(jù)中心。這樣的變化導(dǎo)致越來(lái)越多的資產(chǎn)存在于傳統(tǒng)的安全邊界之外，讓邊界變得支離破碎，如今，無(wú)法通過(guò)構(gòu)建單一的安全邊界來(lái)判斷“內(nèi)好外壞”[1]，讓傳統(tǒng)邊界防護(hù)方法變得不再有效。網(wǎng)絡(luò)安全需要圍繞個(gè)人或事物的身份重新定義，零信任網(wǎng)絡(luò)架構(gòu)逐漸形成共識(shí)，身份和上下文將成為分布式環(huán)境中的最終控制平面[1]，以支持對(duì)分布的資產(chǎn)以及任何地方發(fā)起的安全訪(fǎng)問(wèn)。

許多組織正在采用多云戰(zhàn)略，使用來(lái)自多個(gè)云提供商的服務(wù)以提供滿(mǎn)足業(yè)務(wù)需求的彈性。例如，對(duì)于具有復(fù)雜IT 體系結(jié)構(gòu)的大型組織（如政府組織、金融機(jī)構(gòu)和大型制造企業(yè)）來(lái)說(shuō)，使用多個(gè)云和數(shù)據(jù)中心對(duì)于保障其業(yè)務(wù)的安全、可靠運(yùn)行是非常必要的。但由于各個(gè)云提供商都支持一套自身的安全策略（例如，阿里云、亞馬遜網(wǎng)絡(luò)服務(wù)和微軟Azure 等使用不同的方法來(lái)保護(hù)各自生態(tài)系統(tǒng)中的資產(chǎn)），因此，跨云提供商實(shí)現(xiàn)一致的安全控制是一項(xiàng)新的挑戰(zhàn)，而且組織中龐雜的內(nèi)部服務(wù)更將加劇這樣的挑戰(zhàn)[1]。雖然新的技術(shù)標(biāo)準(zhǔn)和產(chǎn)品正在試圖彌補(bǔ)這一問(wèn)題，但組織更應(yīng)關(guān)注如何找到適應(yīng)這種復(fù)雜環(huán)境的統(tǒng)一、靈活、可靠的網(wǎng)絡(luò)安全控制方法。

為達(dá)到安全目的，當(dāng)前的IT 系統(tǒng)通常會(huì)根據(jù)合規(guī)要求和業(yè)務(wù)需要，“一應(yīng)俱全”地部署多種安全工具。2020年數(shù)據(jù)安全研究中心Ponemon Institute 的統(tǒng)計(jì)數(shù)據(jù)顯示，每個(gè)組織平均部署了超過(guò)45種安全解決方案和技術(shù)產(chǎn)品[1]。由于沒(méi)有一個(gè)安全供應(yīng)商能夠滿(mǎn)足所有安全工具類(lèi)型對(duì)最佳產(chǎn)品的需求，因此往往還需要使用到多個(gè)供應(yīng)商的產(chǎn)品解決方案。這樣的安全系統(tǒng)建設(shè)方式導(dǎo)致系統(tǒng)過(guò)于龐雜，安全分析與運(yùn)維管理非常困難，例如，安全事件檢測(cè)與響應(yīng)經(jīng)常需要在多個(gè)工具之間進(jìn)行協(xié)調(diào)，每個(gè)設(shè)備升級(jí)時(shí)都必須不斷重新配置復(fù)雜的安全策略等；同時(shí)多種安全工具存在功能重疊，也帶來(lái)很多不必要的投資浪費(fèi)。當(dāng)用戶(hù)提出新的安全需求以及引入新的安全工具時(shí)，上述問(wèn)題將愈加嚴(yán)重。許多IT 管理者都高度重視這一問(wèn)題，希望找到更優(yōu)的集成方法，通過(guò)高效地集成當(dāng)前最好和未來(lái)出現(xiàn)的安全工具，整合安全資源，以減少安全工具的品種數(shù)量，增強(qiáng)網(wǎng)絡(luò)安全整體防護(hù)效能，減少系統(tǒng)復(fù)雜性并降低建設(shè)成本。

當(dāng)前網(wǎng)絡(luò)變得更加復(fù)雜和分散，各種孤立部署的安全工具由于沒(méi)有完全集成（例如，它們可能只是通過(guò)支持聯(lián)合身份驗(yàn)證而實(shí)現(xiàn)松散的耦合），難以形成防御合力，從而帶來(lái)了很多安全問(wèn)題與風(fēng)險(xiǎn)。例如，不同安全工具之間缺乏互操作性（甚至互操作意識(shí)），安全態(tài)勢(shì)語(yǔ)義混亂，造成可見(jiàn)性割裂，且并行使用的安全分析工具很難支持跨域的安全分析，限制了發(fā)現(xiàn)和應(yīng)對(duì)威脅的能力；攻擊者不會(huì)僅在各個(gè)孤立的安全區(qū)域中去尋找和利用漏洞，他們往往通過(guò)橫向移動(dòng)，利用一個(gè)區(qū)域的弱點(diǎn)來(lái)攻擊相鄰區(qū)域，或者從不同安全區(qū)域之間的結(jié)合部滲透到系統(tǒng)中。因此，完備的安全防御需要從組織角度和技術(shù)角度消除安全孤島[1]。目前，一些安全分析和智能化工具通過(guò)使用跨不同安全領(lǐng)域的特定信息來(lái)實(shí)現(xiàn)統(tǒng)一的安全檢測(cè)與事件響應(yīng)，如擴(kuò)展檢測(cè)與響應(yīng)（XDR），但我們還需要一個(gè)更加廣泛、集成且自動(dòng)化的安全分析與管理基礎(chǔ)設(shè)施，讓所有安全工具都可以通過(guò)這個(gè)基礎(chǔ)設(shè)施實(shí)現(xiàn)相互通信并共享信息，提供統(tǒng)一安全管理和可見(jiàn)性，形成整體防御合力，并可自動(dòng)適應(yīng)網(wǎng)絡(luò)部署的演進(jìn)變化。

零信任網(wǎng)絡(luò)、微服務(wù)、高級(jí)數(shù)據(jù)分析、人工智能、區(qū)塊鏈等技術(shù)的日趨成熟，以及在網(wǎng)絡(luò)安全領(lǐng)域的不斷應(yīng)用，為找到應(yīng)對(duì)上述挑戰(zhàn)的網(wǎng)絡(luò)安全架構(gòu)新方法創(chuàng)造了條件。2020年10月，Gartner 在2021年重要戰(zhàn)略技術(shù)趨勢(shì)報(bào)告中第一次提出了“網(wǎng)絡(luò)安全網(wǎng)格”這個(gè)概念，并在2022年重要戰(zhàn)略技術(shù)趨勢(shì)報(bào)告中再次提及。此外，該概念也進(jìn)入了Gartner《2021年安全與風(fēng)險(xiǎn)管理重要發(fā)展趨勢(shì)》報(bào)告中，并位列首位，由此可見(jiàn)網(wǎng)絡(luò)安全網(wǎng)格的重要性。但目前Gartner 對(duì)于網(wǎng)絡(luò)安全網(wǎng)格概念的定義尚不清晰和具體，這對(duì)于一個(gè)剛出現(xiàn)的概念來(lái)說(shuō)是常見(jiàn)的現(xiàn)象。本文基于Gartner 相關(guān)報(bào)告中對(duì)網(wǎng)絡(luò)安全網(wǎng)格的描述，解剖其概念、架構(gòu)以及與其他網(wǎng)絡(luò)安全概念的關(guān)系，展望其帶來(lái)的影響，提出應(yīng)用網(wǎng)絡(luò)安全網(wǎng)格方法的建議，希望能夠?qū)ι钊肜斫馀c認(rèn)識(shí)這個(gè)網(wǎng)絡(luò)安全領(lǐng)域的重要發(fā)展趨勢(shì)帶來(lái)幫助。

1 概念與特點(diǎn)

Gartner 發(fā)布的《2021年重要戰(zhàn)略技術(shù)趨勢(shì)》（Top Strategic Technology Trends for2021）中描述了網(wǎng)絡(luò)安全網(wǎng)格的概念：“網(wǎng)絡(luò)安全網(wǎng)格是一種分布式架構(gòu)方法，能夠?qū)崿F(xiàn)可擴(kuò)展、靈活和可靠的網(wǎng)絡(luò)安全控制?，F(xiàn)在許多資產(chǎn)存在于傳統(tǒng)安全邊界之外，網(wǎng)絡(luò)安全網(wǎng)格本質(zhì)上允許圍繞人或事物的身份定義安全邊界。通過(guò)集中策略編排和分布策略執(zhí)行來(lái)實(shí)現(xiàn)更加模塊化、更加快速響應(yīng)的安全防護(hù)?！盵2]

在Gartner 發(fā)布的《2022年重要戰(zhàn)略技術(shù)趨勢(shì)》（Top Strategic Technology Trends for2022）中對(duì)網(wǎng)絡(luò)安全網(wǎng)格概念有了進(jìn)一步的說(shuō)明：“數(shù)字業(yè)務(wù)資產(chǎn)分布在云和數(shù)據(jù)中心，基于邊界的傳統(tǒng)、分散的安全方法使組織容易遭受攻擊。網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)提供一種基于身份的可組合安全方法，以創(chuàng)建可擴(kuò)展和可互操作的服務(wù)。通用的集成結(jié)構(gòu)可以保護(hù)任務(wù)組織的任何資產(chǎn)，對(duì)于使用這樣的一體化安全工具的組織來(lái)說(shuō)，可將單項(xiàng)安全事件的財(cái)務(wù)影響平均減少90%?！盵3]

從上述Gartner 報(bào)告的描述中可以看出，網(wǎng)絡(luò)安全網(wǎng)格是一種安全架構(gòu)方法或者策略，而不是一種定義明確的架構(gòu)或標(biāo)準(zhǔn)化的技術(shù)方法[4]，更不是某種產(chǎn)品，其目的是找到能夠應(yīng)對(duì)不斷發(fā)展的業(yè)務(wù)系統(tǒng)以及網(wǎng)絡(luò)環(huán)境演變所帶來(lái)的安全挑戰(zhàn)的新方法，提供比傳統(tǒng)物理邊界防護(hù)更強(qiáng)大、更靈活和可擴(kuò)展的安全能力。

網(wǎng)絡(luò)安全網(wǎng)格主要涉及設(shè)計(jì)和建設(shè)IT 安全基礎(chǔ)設(shè)施，采用“水平”分布式方式將各種安全能力集成到網(wǎng)絡(luò)中，而不是采用傳統(tǒng)的“自上而下”、各種安全設(shè)備“一應(yīng)俱全”的集成方式，致力于構(gòu)建一個(gè)能在龐大的安全生態(tài)系統(tǒng)中協(xié)同運(yùn)行，且自動(dòng)適應(yīng)網(wǎng)絡(luò)環(huán)境演化的全面覆蓋、統(tǒng)一管控、動(dòng)態(tài)協(xié)同和快速響應(yīng)的安全平臺(tái)。

網(wǎng)絡(luò)安全網(wǎng)格的主要特點(diǎn)如下文所述。

（1）通用集成框架。網(wǎng)絡(luò)安全網(wǎng)格提供一種通用的集成框架和方法，實(shí)現(xiàn)類(lèi)似“樂(lè)高”化思維的靈活、可組合、可擴(kuò)展的安全架構(gòu)。通過(guò)標(biāo)準(zhǔn)化工具支持可互操作的各種安全服務(wù)編排和協(xié)同，從而實(shí)現(xiàn)廣泛分布的不同安全服務(wù)的高效集成，建立起合作的安全生態(tài)系統(tǒng)來(lái)保護(hù)處于本地、數(shù)據(jù)中心和云中的數(shù)字資產(chǎn)，并基于數(shù)據(jù)分析、情報(bào)支持和策略管理等能力的聚合形成更加強(qiáng)大的整體安全防御和響應(yīng)處置能力。

（2）分布式網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)安全網(wǎng)格利用了“網(wǎng)格”的去中心化、對(duì)等協(xié)作、結(jié)構(gòu)靈活、連接可靠、擴(kuò)展性強(qiáng)等優(yōu)勢(shì)，不再側(cè)重于圍繞所有設(shè)備或節(jié)點(diǎn)構(gòu)建“單一”邊界，而是圍繞每個(gè)接入點(diǎn)創(chuàng)建更小的、單獨(dú)的邊界[5-6]。通過(guò)建立與接入點(diǎn)同樣多的安全邊界，保證物理位置廣泛分布的用戶(hù)能隨時(shí)隨地安全接入，符合零信任網(wǎng)絡(luò)中的“微分段”要求，使得網(wǎng)絡(luò)犯罪分子和黑客更難利用整個(gè)網(wǎng)絡(luò)。同時(shí)，網(wǎng)絡(luò)中主客體之間在邏輯上都是點(diǎn)對(duì)點(diǎn)直連關(guān)系，無(wú)須關(guān)注具體的物理網(wǎng)絡(luò)部署，能夠簡(jiǎn)化安全配置且能自動(dòng)適應(yīng)網(wǎng)絡(luò)動(dòng)態(tài)變化。

（3）集中管理與分散執(zhí)行。與傳統(tǒng)的網(wǎng)關(guān)集中訪(fǎng)問(wèn)控制不同，網(wǎng)絡(luò)安全網(wǎng)格采用了集中的策略編排和權(quán)限管理，基于策略分布式的執(zhí)行，將網(wǎng)絡(luò)安全控制能力分布到網(wǎng)絡(luò)的更多地方，使安全措施更接近需要保護(hù)的資產(chǎn)，一方面，有利于消除安全管控盲點(diǎn)，緩解傳統(tǒng)集中安全控制存在的性能處理瓶頸，適應(yīng)用戶(hù)終端和組織業(yè)務(wù)分散化發(fā)展需要；另一方面，有利于實(shí)現(xiàn)全局的安全威脅分析，形成更加一致的安全態(tài)勢(shì)，從而實(shí)現(xiàn)更加精準(zhǔn)的安全管控和更加快速的響應(yīng)處置。

（4）圍繞身份定義安全邊界。在當(dāng)前網(wǎng)絡(luò)協(xié)議中，因缺失身份要素帶來(lái)了很多安全問(wèn)題，物理IP 地址與人和終端的關(guān)聯(lián)性越來(lái)越弱，導(dǎo)致基于地址、流量、日志的安全檢測(cè)和威脅分析技術(shù)難以實(shí)現(xiàn)針對(duì)人的威脅研判；基于網(wǎng)絡(luò)協(xié)議字段特征檢測(cè)的傳統(tǒng)邊界訪(fǎng)問(wèn)控制技術(shù)，同樣使得基于身份的授權(quán)訪(fǎng)問(wèn)成為天方夜譚。由于網(wǎng)絡(luò)威脅本質(zhì)上是人帶來(lái)的威脅，因此難以實(shí)現(xiàn)精準(zhǔn)高效的安全威脅處置。網(wǎng)絡(luò)安全網(wǎng)格延續(xù)了零信任網(wǎng)絡(luò)的思想，用身份定義網(wǎng)絡(luò)邊界，讓身份成為威脅研判與安全管控的基礎(chǔ)。

2 架構(gòu)與實(shí)現(xiàn)

Gartner 提出了網(wǎng)絡(luò)安全網(wǎng)格的具體實(shí)現(xiàn)框架，即網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)（CyberSecurity Mesh Architecture，CSMA）。這是一種分布式安全服務(wù)的協(xié)作框架，提供安全分析與情報(bào)、統(tǒng)一策略管理、整合操控界面和分布式身份結(jié)構(gòu)等4個(gè)安全基礎(chǔ)設(shè)施（如圖1所示）[1]，使不同的安全工具能夠基于該基礎(chǔ)設(shè)施協(xié)同工作并實(shí)現(xiàn)統(tǒng)一的配置和管理，提高安全工具的可組合性、可擴(kuò)展性和互操作性，解決多種安全工具在各個(gè)孤立體系中運(yùn)行時(shí)所帶來(lái)的問(wèn)題，實(shí)現(xiàn)各種安全能力的有機(jī)聚合，適應(yīng)業(yè)務(wù)發(fā)展需要并達(dá)到“力量倍增”的效果。

網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)的組成如圖2所示，4 個(gè)基礎(chǔ)支撐層之間以及與其他安全系統(tǒng)之間的關(guān)系如下文所述。

（1）安全分析與情報(bào)層?？膳c來(lái)自第三方的安全工具開(kāi)展聯(lián)合協(xié)同檢測(cè)，基于豐富的威脅分析手段，結(jié)合威脅情報(bào)，利用機(jī)器學(xué)習(xí)等技術(shù)形成更加準(zhǔn)確一致的威脅分析結(jié)果。

（2）統(tǒng)一策略管理層。主要包括安全策略編排和安全態(tài)勢(shì)管理，將集中的策略轉(zhuǎn)換為各個(gè)安全工具的本地配置策略，實(shí)現(xiàn)分布式執(zhí)行，并支持動(dòng)態(tài)策略管理服務(wù)。

（3）整合操控界面層。實(shí)現(xiàn)安全數(shù)據(jù)可視化，提供安全系統(tǒng)復(fù)合視圖，主要包括統(tǒng)一的控制面板、告警、審查、指導(dǎo)手冊(cè)和報(bào)告等，使安全團(tuán)隊(duì)能夠更快速、更有效地響應(yīng)安全事件。

（4）身份架構(gòu)層。主要提供目錄服務(wù)、自適應(yīng)訪(fǎng)問(wèn)以及去中心化的身份管理、身份驗(yàn)證和授權(quán)管理等功能，支撐構(gòu)建適合用戶(hù)需求的零信任網(wǎng)絡(luò)架構(gòu)。

網(wǎng)絡(luò)安全網(wǎng)格是在物理網(wǎng)絡(luò)之上構(gòu)建的邏輯層，網(wǎng)絡(luò)安全架構(gòu)的應(yīng)用視圖如圖3所示[7]，直觀(guān)展示了在邏輯層中通過(guò)對(duì)各種安全能力的編排、執(zhí)行，使得各種安全工具基于4 個(gè)安全基礎(chǔ)層實(shí)現(xiàn)互操作，提供統(tǒng)一的安全管控和可見(jiàn)性，而不是在孤島中運(yùn)行每個(gè)安全工具，從而構(gòu)建一個(gè)能在龐大的安全生態(tài)中協(xié)同運(yùn)行，且自動(dòng)適應(yīng)網(wǎng)絡(luò)環(huán)境演化的安全平臺(tái)。

3 優(yōu)勢(shì)及與其他概念關(guān)系

近年來(lái)，網(wǎng)絡(luò)安全領(lǐng)域的新概念層出不窮、紛繁復(fù)雜且相互關(guān)聯(lián)，因此，厘清網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)所帶來(lái)的優(yōu)勢(shì)，以及與當(dāng)前流行的其他安全概念之間的關(guān)系是很有必要的。

3.1 網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)優(yōu)勢(shì)

網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)的優(yōu)勢(shì)主要體現(xiàn)在下文所述的幾個(gè)方面。

（1）實(shí)現(xiàn)更加可靠的安全防御。網(wǎng)絡(luò)安全網(wǎng)格摒棄了傳統(tǒng)的邊界防護(hù)思想，不僅是圍繞網(wǎng)絡(luò)數(shù)據(jù)中心、服務(wù)中心構(gòu)建“邊界”，還圍繞每個(gè)接入點(diǎn)創(chuàng)建更小的、獨(dú)立的邊界，并由集中的控制中心進(jìn)行統(tǒng)一管理，從而將安全控制擴(kuò)展到廣泛分布的資產(chǎn)，在提高威脅應(yīng)對(duì)能力的同時(shí)，增強(qiáng)了安全系統(tǒng)的可擴(kuò)展性、靈活性和彈性。

（2）應(yīng)對(duì)復(fù)雜環(huán)境下的安全需求。通過(guò)網(wǎng)絡(luò)安全策略集中編排但分散執(zhí)行的方法，在統(tǒng)一的安全策略控制下，提供一種靈活且易于擴(kuò)展的安全基礎(chǔ)架構(gòu)，可為混合云和多云等復(fù)雜環(huán)境中的資產(chǎn)保護(hù)提供所需的安全能力。

（3）實(shí)現(xiàn)更加高效的威脅處置。通過(guò)安全工具集成，加強(qiáng)了安全數(shù)據(jù)采集和預(yù)測(cè)分析之間的協(xié)作，可以更加快速、準(zhǔn)確地獲取安全態(tài)勢(shì)，及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)安全威脅，可大幅度增強(qiáng)對(duì)違規(guī)和攻擊事件的響應(yīng)處置能力。

（4）構(gòu)建更加開(kāi)放的安全架構(gòu)。提供了一種可編排的通用集成框架和方法，支持各類(lèi)安全服務(wù)之間的協(xié)同工作，用戶(hù)可自主選擇當(dāng)前和新興的安全技術(shù)與標(biāo)準(zhǔn)，面向云原生和應(yīng)用程序接口（Application Programming Interface，API）插件的環(huán)境更加易于集成，便于定制與擴(kuò)展，能有效彌補(bǔ)不同供應(yīng)商安全方案之間的能力差距。

（5）降低建設(shè)維護(hù)的成本與難度。用戶(hù)可以有效減少管理一組龐大的孤立安全解決方案的開(kāi)銷(xiāo)，同時(shí)，安全能力部署和維護(hù)所需的時(shí)間更少、成本更低，易于與用戶(hù)已建設(shè)的身份識(shí)別與訪(fǎng)問(wèn)管理（Identity and Access Management，IAM）、安全信息和事件管理（Security Information and Event Management，SIEM）、安全運(yùn)營(yíng)中心（Security Operations Center，SOC）、態(tài)勢(shì)感知等安全系統(tǒng)共存，也方便對(duì)接已建設(shè)的專(zhuān)線(xiàn)、軟件定義廣域網(wǎng)（Software-Defined Wide Area Network，SD-WAN）等網(wǎng)絡(luò)服務(wù)。

3.2 與其他安全概念的關(guān)系

（1）零信任網(wǎng)絡(luò)。談及網(wǎng)絡(luò)安全網(wǎng)格，就不得不提到零信任網(wǎng)絡(luò)，這兩個(gè)都是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的熱門(mén)術(shù)語(yǔ)，涉及網(wǎng)絡(luò)安全架構(gòu)的方法論。零信任網(wǎng)絡(luò)的思想早在20年前就已經(jīng)出現(xiàn)，但直到近三四年才開(kāi)始逐漸流行起來(lái)。與之不同的是，不到1年時(shí)間，網(wǎng)絡(luò)安全網(wǎng)格就被引入到大量的安全總體設(shè)計(jì)中。

網(wǎng)絡(luò)安全網(wǎng)格本身是遵從零信任網(wǎng)絡(luò)思想的，人或機(jī)器都須通過(guò)嚴(yán)格的身份驗(yàn)證和授權(quán)才可以從任何地方安全地訪(fǎng)問(wèn)設(shè)備、服務(wù)、數(shù)據(jù)和應(yīng)用，但零信任網(wǎng)絡(luò)不一定就是網(wǎng)絡(luò)安全網(wǎng)格。兩者的區(qū)別主要體現(xiàn)在[8]：①網(wǎng)絡(luò)安全網(wǎng)格從圍繞數(shù)據(jù)中心創(chuàng)建邊界擴(kuò)展到圍繞主體和對(duì)象創(chuàng)建邊界；②網(wǎng)絡(luò)安全網(wǎng)格支持將云服務(wù)納入零信任網(wǎng)絡(luò)基礎(chǔ)架構(gòu)；③網(wǎng)絡(luò)安全網(wǎng)格的關(guān)鍵要素是全面分析主體和客體的自適應(yīng)訪(fǎng)問(wèn)控制。

（2）安全編排自動(dòng)化與響應(yīng)（Security Orchestration, Automation and Response，SOAR）。SOAR 同樣也是Gartner 提出的概念，是安全分析人員在統(tǒng)一的平臺(tái)中集成工作流管理的一種方式。SOAR 涉及安全編排與自動(dòng)化、安全事件響應(yīng)平臺(tái)和威脅情報(bào)平臺(tái)等多種工具的融合，通過(guò)監(jiān)測(cè)各種安全事件信息（包括各種安全系統(tǒng)產(chǎn)生的告警），并對(duì)之進(jìn)行分析，在標(biāo)準(zhǔn)工作流程的指引下，幫助安全運(yùn)維人員實(shí)施標(biāo)準(zhǔn)化的事件響應(yīng)活動(dòng)。

在構(gòu)建網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)的支撐層時(shí)，可以注意到的是，實(shí)現(xiàn)分布式安全解決方案之間互操作性的工具對(duì)于安全網(wǎng)格至關(guān)重要。最快、最合理的途徑是采用基于API 驅(qū)動(dòng)的標(biāo)準(zhǔn)化技術(shù)和可擴(kuò)展的分析平臺(tái)，利用標(biāo)準(zhǔn)化通信來(lái)打破孤島，在不同技術(shù)之間實(shí)現(xiàn)語(yǔ)義感知的編排，并通過(guò)自動(dòng)化手段實(shí)現(xiàn)所有工具之間的實(shí)時(shí)共享以及靈活、可擴(kuò)展的安全態(tài)勢(shì)。由此可見(jiàn)，SOAR 作為滿(mǎn)足編排和自動(dòng)化需求而開(kāi)發(fā)的工具，可以融合到網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)所需的安全分析與情報(bào)層，將成為網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)的重要支柱技術(shù)之一[9]。

（3）其他安全概念。網(wǎng)絡(luò)安全網(wǎng)格與當(dāng)前流行的其他安全概念之間并不沖突。擴(kuò)展檢測(cè)和響應(yīng)為安全供應(yīng)商提供了將其產(chǎn)品整合至統(tǒng)一平臺(tái)中的一種新的方式，因此可以說(shuō)，XDR是CSMA 進(jìn)行安全分析和情報(bào)收集的潛在基礎(chǔ)。安全信息和事件管理（SIEM）也同樣如此，可以為網(wǎng)絡(luò)安全網(wǎng)格中的安全分析與情報(bào)層提供更多的價(jià)值。安全訪(fǎng)問(wèn)服務(wù)邊緣（Secure Access Service Edge，SASE）技術(shù)是一種通過(guò)集成方式提供不同功能的網(wǎng)格方法，與之相比，安全網(wǎng)格通過(guò)構(gòu)建網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的方式，得到更廣泛的適用范圍[7]。

4 影響展望與對(duì)策建議

網(wǎng)絡(luò)安全網(wǎng)格作為網(wǎng)絡(luò)安全領(lǐng)域的重要技術(shù)發(fā)展趨勢(shì)，將給網(wǎng)絡(luò)安全行業(yè)帶來(lái)多方面的重要影響，網(wǎng)絡(luò)安全行業(yè)的參與者應(yīng)緊跟發(fā)展形勢(shì)，積極尋找應(yīng)對(duì)策略。

4.1 帶來(lái)的影響

網(wǎng)絡(luò)安全網(wǎng)格將為網(wǎng)絡(luò)安全行業(yè)帶來(lái)以下5個(gè)方面的深入影響。

（1）助力IT 系統(tǒng)開(kāi)發(fā)中安全設(shè)計(jì)流程的升級(jí)。網(wǎng)絡(luò)安全網(wǎng)格方法意味著整個(gè)IT 設(shè)計(jì)過(guò)程的重新配置，在IT 系統(tǒng)和網(wǎng)絡(luò)設(shè)計(jì)之初就須考慮安全措施的集成。也就是說(shuō)，安全措施不再是事后“打補(bǔ)丁”，而是在網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)過(guò)程中同步開(kāi)展的，IT 設(shè)計(jì)開(kāi)發(fā)團(tuán)隊(duì)將大量參與其中并將安全設(shè)計(jì)在時(shí)間軸上進(jìn)一步“向左”移動(dòng)[10]，以確保實(shí)現(xiàn)更高效、更可靠的安全防御。

（2）支持大部分的IAM 請(qǐng)求。如上文所述，由于企業(yè)所在場(chǎng)所之外存在越來(lái)越多的數(shù)字資產(chǎn)、身份和設(shè)備，傳統(tǒng)的邊界安全模型難以實(shí)施有效的保護(hù)。Gartner 預(yù)測(cè)，網(wǎng)絡(luò)安全網(wǎng)格將有助于處理超過(guò)50%的IAM 請(qǐng)求，支持更具適應(yīng)性、移動(dòng)性和統(tǒng)一的訪(fǎng)問(wèn)管理[11]。借助安全網(wǎng)格方法，企業(yè)可以獲得比傳統(tǒng)安全邊界保護(hù)更集成、可擴(kuò)展、更靈活和更可靠的數(shù)字資產(chǎn)訪(fǎng)問(wèn)控制點(diǎn)和控制方法。

（3）推動(dòng)安全托管服務(wù)提供商（Managed Security Service Provider，MSSP）的發(fā)展。Gartner預(yù)測(cè)，到2023年，近40%的IAM 應(yīng)用融合將由MSSP 推動(dòng)。MSSP 可以為各類(lèi)企業(yè)提供一流的資源和所需的能力來(lái)規(guī)劃、開(kāi)發(fā)、獲取和實(shí)施綜合的IAM 解決方案[11]。相比產(chǎn)品供應(yīng)商，MSSP 通過(guò)集成方式更有能力和意愿為客戶(hù)提供同樣場(chǎng)景下的最佳安全解決方案，這樣的發(fā)展趨勢(shì)將導(dǎo)致產(chǎn)品供應(yīng)商的作用和影響發(fā)生重大轉(zhuǎn)變。

（4）促進(jìn)在員工身份管理生命周期中納入新的身份驗(yàn)證工具。隨時(shí)隨地辦公的要求使得遠(yuǎn)程交互變得越來(lái)越普遍，讓組織更加難以準(zhǔn)確識(shí)別真正的合規(guī)用戶(hù)和惡意攻擊者，迫切需要實(shí)現(xiàn)更加有效的身份注冊(cè)和管理工具。Gartner預(yù)測(cè)，到2024年，30%的大型企業(yè)將實(shí)施新的身份驗(yàn)證工具，以解決員工身份管理全生命周期過(guò)程中頻頻出現(xiàn)的問(wèn)題[11]。

（5）加速去中心化身份標(biāo)準(zhǔn)的應(yīng)用。身份數(shù)據(jù)的集中式管理方法使得提供隱私保護(hù)和假名變得非常困難，利用安全網(wǎng)格模型和最新的區(qū)塊鏈技術(shù)，基于去中心化的方法可以實(shí)施更好的隱私保護(hù)，讓請(qǐng)求者僅提供少量信息量來(lái)驗(yàn)證訪(fǎng)問(wèn)請(qǐng)求，符合各國(guó)已出臺(tái)的數(shù)據(jù)安全保護(hù)法規(guī)要求。Gartner 預(yù)測(cè)，到2024年，市場(chǎng)上將出現(xiàn)真正的全球性、便攜化、去中心化身份標(biāo)準(zhǔn)，以滿(mǎn)足商業(yè)、個(gè)人、社交和社會(huì)的需要[11]。

4.2 對(duì)策建議

積極應(yīng)用網(wǎng)絡(luò)安全網(wǎng)格方法是順應(yīng)發(fā)展趨勢(shì)的需要，網(wǎng)絡(luò)安全建設(shè)和運(yùn)營(yíng)的主管人員應(yīng)關(guān)注以下幾點(diǎn)建議。

（1）重新審視組織的網(wǎng)絡(luò)安全建設(shè)規(guī)劃，盡快從傳統(tǒng)的邊界防護(hù)轉(zhuǎn)向零信任網(wǎng)絡(luò)，并積極實(shí)施網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)方法，整合現(xiàn)有的安全相關(guān)項(xiàng)目，以及時(shí)、高效地應(yīng)對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)環(huán)境與業(yè)務(wù)需要。

（2）實(shí)施網(wǎng)絡(luò)安全網(wǎng)格方法，并不需要大刀闊斧地開(kāi)展網(wǎng)絡(luò)與安全系統(tǒng)的重建和改造，無(wú)須推倒重來(lái)，可以在已有系統(tǒng)上按照安全網(wǎng)格架構(gòu)方法要求逐步改造與遷移，實(shí)現(xiàn)對(duì)已有投資的充分“利舊”。

（3）在構(gòu)建通用集成框架方面投入必要的資金，重點(diǎn)投入和抓好安全網(wǎng)格基礎(chǔ)支撐層（安全分析與情報(bào)、策略管理、操控界面和身份架構(gòu)）的建設(shè)，通過(guò)高效的系統(tǒng)集成產(chǎn)生匯聚效應(yīng)，提升整體安全防御效能。

（4）有效甄別安全供應(yīng)商的類(lèi)安全網(wǎng)格集成方式，例如，F(xiàn)ortinet、McAfee、微軟、Palo AltoNetworks 等公司都構(gòu)建了安全系統(tǒng)平臺(tái)，可以使用戶(hù)提升安全能力和擴(kuò)展性，并降低建設(shè)和運(yùn)維成本，但還缺乏廣泛的互操作性，仍有可能受制于供應(yīng)商。

（5）在選擇新的安全工具時(shí)，應(yīng)該優(yōu)先考察其支持可組合性、互操作性方面的能力，例如，支持可擴(kuò)展和定制的API 插件等，避免帶來(lái)一個(gè)個(gè)獨(dú)立的安全“煙囪”，造成低效費(fèi)比的投資，增加運(yùn)維難度、降低運(yùn)維效率。

（6）鑒于標(biāo)準(zhǔn)化對(duì)于網(wǎng)絡(luò)安全網(wǎng)格的建設(shè)尤為重要，應(yīng)盡量使用最新的安全技術(shù)標(biāo)準(zhǔn)，同時(shí)優(yōu)先選擇在采納新興技術(shù)標(biāo)準(zhǔn)方面有著良好記錄的供應(yīng)商，降低不同供應(yīng)商技術(shù)之間可能存在的互操作性差異。

5 結(jié) 語(yǔ)

當(dāng)前網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻，一方面，網(wǎng)絡(luò)攻擊無(wú)孔不入、愈演愈烈；另一方面，組織架構(gòu)越來(lái)越分散，資產(chǎn)、人員、客戶(hù)、合作伙伴遍布各個(gè)地方，業(yè)務(wù)上云、多云運(yùn)行、隨時(shí)隨地辦公等新的業(yè)務(wù)范式不斷涌現(xiàn)，對(duì)網(wǎng)絡(luò)安全提出新的挑戰(zhàn)。網(wǎng)絡(luò)安全防御如何與時(shí)俱進(jìn)，跟上組織架構(gòu)和業(yè)務(wù)發(fā)展需求，需要有新思路、新理念。網(wǎng)絡(luò)安全網(wǎng)格提出了一種靈活的、可組合的安全架構(gòu)方法，可以高效集成廣泛分布且不同功能的安全服務(wù)來(lái)滿(mǎn)足業(yè)務(wù)系統(tǒng)發(fā)展及網(wǎng)絡(luò)環(huán)境變化需要。通過(guò)上述分析，可以看出，網(wǎng)絡(luò)安全網(wǎng)格可以說(shuō)是零信任網(wǎng)絡(luò)概念的進(jìn)一步擴(kuò)展，雖然“網(wǎng)絡(luò)安全網(wǎng)格”這個(gè)術(shù)語(yǔ)是否有必要和是否準(zhǔn)確也許會(huì)存在爭(zhēng)議，但它所帶來(lái)的思想還是很有必要的，值得網(wǎng)絡(luò)安全相關(guān)人員高度關(guān)注。