從安全創新賽道的“轉變”看網絡安全架構演進

【摘 要】 隨著安全創新賽道不斷轉變，技術、業務不斷變化，網絡安全架構在數字化轉型高速發展期面臨更多的變化與挑戰，架構層面也需要持續演進。本文從安全架構演進的意義、安全架構的演進路線、如何在數字化轉型的背景下進行安全架構演進，以及安全架構演進實踐4個方面展開了討論。

【關鍵詞】 網絡安全架構 自適應安全架構 融合架構 架構演進

1 引言

主題為“Transform”（轉型）的RSAC（Railroad Safety Advisory Committee）會議已于2022年6月在美國舉行。近5年來（自2018至2022年）創新沙盒十強冠軍分別聚焦于身份安全、云安全、供應鏈安全、數據安全，以及云原生安全賽道，可以看出創新沙盒突圍的賽道在持續轉變。伴隨著技術、業務場景、業務需求的不斷變化，安全架構的演進也變得必要。

2 安全架構演進的意義

自2020年起，RSAC的議題便開始有明顯轉變，從單純的技術展望轉變為更高層次的思考和探索。面對新冠肺炎疫情、科洛尼爾管道勒索攻擊、俄烏網絡戰等多重疊加的復雜環境，RSAC議題從2020年的The Human Element（人因）到2021年的Resilience（彈性），再到今年的Transform（轉型），都是為了應對如此復雜的環境而思考出來的新想法、探索出的新發展方向。“Transform”一詞解讀為“轉型”可能并不全面，我們站在議題提出的技術背景下，解讀出該主題3個方面的內容：融合、模態、演化，并將從這3個方面來探討架構演進。

（1）融合融合是安全架構的發展趨勢。未來，以Web3.0、人工智能為基礎技術的數字社會將逐步形成，可能將超越今天的移動支付、車聯網、遠程辦公等場景，產生新的數字化場景，形成一個安全可信的價值互聯網。這就需要一個與數字化場景深度融合的安全體系和架構，如圖1所示。

（2）模態模態是安全架構演化后的新形態（目標形態）。演化后的新安全架構具備模態特性，即統一性和自適應性或者說是彈性。新安全架構消除了與數字化業務、與不同安全產品之間的數據孤島，通過統一的數據模型，與人的交互、與設備的交互及與系統的交互都能以標準化的語言（接口）進行數據采集、分析和響應。新安全架構的數據模型是統一的，但是通過數據模型衍生的安全服務是彈性的，可以見所未見（利用威脅情報、威脅建模、紅藍對抗等手段提前發現問題）、可以實現零信任（通過限制用戶的訪問特權來限制內部的威脅蔓延）、可以提供微隔離（提供7層威脅防御、基于風險的持續多因素認證），這樣就能與網絡攻擊共存，在遭受網絡攻擊時保持數字化業務的可用性及網絡恢復的能力。

（3）演化演化是安全架構的必然要求。在一個與數字化場景深度融合的安全體系下，需要相應的安全架構進行支撐，現有的安全架構往往是獨立于數字化業務場景的“門衛”角色，部署形態不夠靈活、安全事件自動化響應很難實現對數字化業務的“零擾動”， 解決這些問題與實現模態化，都要求對現有安全架構進行升級。

大型軟件架構體系的范式遷移可以作為安全架構升級的參考，從“單體”到面向服務架構（Service-Oriented Architecture，SOA），再到“云原生”的演化路線如圖2所示，核心驅動力就是企業需要適應數字化轉型的發展趨勢，能夠服務更多用戶和客戶的個性化數字場景，能夠降低構建數字化系統的開發和運維成本。時下流行的云原生架構就是基于云原生技術的架構原則和設計模式適應了當前數字化業務場景的最佳實踐，能將數字化應用中的非業務模塊進行最大化剝離，讓公有云或者私有云設施接管應用中大量的非功能特性（如彈性、安全、可觀測性、灰度等），使數字化業務不再受非功能性業務中斷困擾的同時，具備輕量、敏捷、高度自動化的特點。

綜上所述，在數字化轉型的高速發展階段，網絡安全將與全領域各行各業進行深度鏈接，只有轉變才能應對更多變化，只有架構演進才能應對業務、數據、資源的多維度、多場景變化。

3 安全架構演進路線

3.1 傳統架構演進路線

（1）網絡安全架構1.0時代。2014年IT研究與顧問咨詢公司高德納（Gartner）針對高級別攻擊設計了一套自適應網絡安全架構，如圖3所示。

該時代映射于傳統安全產品的單體架構時代，各安全產品都比較獨立，突出表現為產品架構煙囪式發展。

（2）網絡安全架構2.0時代。2017年自適應網絡安全架構進入2.0時期，其在1.0的基礎上進行了理論豐富，加入了一些額外元素，如圖4所示。自適應架構2.0主要有以下3點變化：

①將持續的監控分析改變成持續的可視化和評估，同時加入用戶和實體的行為分析（User and Entity Behavior Analytics，UEBA） 相關內容；

②引入了每個象限的小循環體系，不僅僅是4個象限大循環；

③在大循環中加入了策略和合規要求，同時對大循環的每個步驟說明了循環的目的，保護象限是實施動作，檢測象限是監測動作，響應和預測象限都是調整動作。

網絡安全架構2.0時代映射于傳統安全產品的分布式、面向服務的架構時代。為滿足更大體量的業務和更復雜的業務場景，安全產品間有了一些協同交互。

（3）網絡安全架構3.0時代。Gartner發布的2018年十大安全項目（Top 10 Security Projects for 2018）涉及持續自適應風險與信任（CARTA）、云安全配置管理項目（CSPM）、軟件定義邊界等，網絡安全架構的演進內容較多，正式進入3.0時代，如圖5所示。在云時代，云訪問安全代理（Cloud Access Security Broker，CASB）解決了部分的認證問題，Gartner也使用過自適應安全架構的方法論來對CASB的能力架構進行全面分析，可以說是將CASB自適應的安全架構作為原型挪到此總體架構中。這個架構的核心點在于認證，包括云服務的發現、訪問、監控和管理。

網絡安全架構3.0時代映射于安全產品的云原生、服務化、服務網格架構時代。為滿足數字化轉型背景下用戶業務快速上云、企業業務快速上云需求，對架構提出了基座平臺化、云原生、輕量化、彈性、融合、編排等技術要求。

自適應網絡安全架構的模型從智慧決策、自適應策略、動態執行、全息態勢等元素不斷豐富、優化和演進。自適應網絡安全架構的功能從監測預警、動態防御、態勢感知、決策演進元素不斷演進和豐富。自適應網絡安全架構的核心是決策演進，根據業務場景、網絡安全態勢實現監測策略、防御策略、評估策略和感知策略的生成。

自適應網絡安全架構具有以下3個特點。

①自適應。安全架構整體具有動態自適應的特點，能夠持續地對網絡空間威脅風險進行監測，并動態自適應地調整監測策略、防御策略、評估策略和感知策略，應對持續多變、已知未知的安全威脅。

②執行流程閉環。安全架構包括監測、防御、評估、感知、決策等功能，形成網絡空間安全保密防護的流程閉環，是一個有機的融合整體，能夠對網絡空間安全進行一個全面、完整的安全防護，并不斷迭代更新。

③內外雙驅動演進。安全架構能夠根據系統應對內部實時威脅風險實現內部驅動的防御演進，同時能導入外部新型威脅風險,實現外部驅動的防御預先演進，具有較高的威脅風險應對能力和預防能力。

3.2 數字化時代網絡安全技術框架

Gartner近期發布的2022年七大安全和風險管理趨勢中，網絡安全網格架構（CSMA）無疑體現出在技術架構層面對當前網絡安全產品在新形勢下的整合能力要求，通過集成式的安全架構來保護組織在本地、數據中心和云端資產的安全，如圖6所示。

這種架構有2個明顯優勢：一是擺脫了物理網絡限制。在任何物理位置上的終端或者業務系統，隨時都可以接入全互聯結構（Full-Mesh）的邏輯網絡中，無需考慮物理網絡環境。二是復雜網絡簡單化。所有網絡主客體之間在邏輯上都是點對點直連關系，沒有復雜的中間網絡。這種極簡結構讓策略管理變得扁平化，給集中管控和行為分析帶來了天然優勢。

再回到具體的應用場景，云計算、大數據、物聯網技術的應用使得網絡安全邊界日趨模糊。大數據技術的發展使數據儲量和流量成倍上漲，網絡安全攻擊帶來的損失和傷害也隨之成倍增加；物聯網等領域打通了線上線下的界限，利用設備漏洞控制物聯網，甚至可對物理世界造成威脅；云計算模糊了傳統的安全邊界，安全建設前移成為趨勢，安全攻防的復雜程度也大大增加。傳統網絡安全產品布局方式無法滿足用戶需求，政企用戶對于數字化網絡安全建設需求提升，平臺型、系統性、體系化的網絡安全建設成為其關注重點，其技術框架如圖7所示。

數字化時代網絡安全架構不僅考慮傳統IT基礎設施的安全，還考慮整個數字化生態中全部有形與無形的資產，尤其是數據資產等安全訴求。數字化時代的網絡安全技術框架演進，無論是從1.0時代的單體架構，到2.0時代的能力自適應架構，還是到3.0云化服務化的融合架構，都是緊貼客戶業務發展需要，而不是脫離業務空談架構演進。因此對于安全架構的演進方向，需要深入研究客戶當前業務場景和形態的變化，并且能夠從一定程度預判客戶業務未來的演進方向，以業務驅動架構的持續演進。

4 安全架構的演進方式

在數字化轉型的背景下，對于網絡安全廠商來說，網絡安全架構應圍繞客戶業務轉型而逐漸演進，伴生模式和訂閱模式是架構演進要考慮的關鍵要素。

4.1 架構演進要素一：伴生模式

傳統模式下，客戶業務通常部署在本地或者互聯網數據中心（Internet Data Center，IDC）機房，因此網絡安全廠商通常以硬件的方式伴生在客戶業務服務器旁。此時，網絡安全廠商的網絡設備通常是單一能力硬件盒子方式，客戶需要何種安全能力就購買具備相應能力的安全設備。

隨著云資源、云業務的發展，客戶將業務遷移到云環境之后，本地部署安全能力的方案不再奏效。網絡安全廠商的安全架構也隨之遷移，提供云化部署，包括虛擬私有云（Virtual Private Cloud，VPC）或者容器部署，伴生于客戶的云上業務。同時網絡安全廠商也將服務目標轉向云服務提供商，為其提供資源池等方案。

在伴生模式的推動下，安全產品部署隨著客戶的業務遷移而變化，因此安全架構需要能支持多樣的部署環境，并適應不同的部署場景。

4.2 架構演進要素二：訂閱模式

線下訂閱模式，本質上是伴生模式的演進，即安全能力依然部署在業務側，同時引入了“訂閱”機制。隨著客戶數字化轉型下的業務變化，其所需的安全能力也在不斷變化，不再是傳統的需要什么安全能力就購買相應安全裝置，這種模式會導致安全能力的浪費，同時不能快速適應業務發展。因此，網絡安全架構需要支持多能力融合，即“多合一”模式，一套裝置能夠提供多種安全能力，并根據不同的“訂閱”模式提供不同的安全能力組合。

線上訂閱模式，即安全能力部署不再是伴生模式，是一種遠端方式。隨著客戶業務模式由單一節點到多節點的轉變，傳統的一對一伴生模式將導致安全成本過高，同時缺乏全局視野，因此安全和網絡融合的安全訪問服務邊緣（Secure Access Service Edge，SASE）架構應運而生。該架構能夠將客戶多個節點的流量引至遠端提供安全服務，客戶不再依賴于本地部署安全裝置，而是在任何時間、任何地方都能獲得安全服務。

在訂閱模式的推動下，安全架構支持將多安全能力以組件的方式平滑集成和融合，不再僅提供單一能力。同時，安全架構在整體方案上不能僅僅只支持云端或者地端，而是要支持云地聯動能力互補，為客戶提供云、管、邊、端場景端到端的安全服務。

綜上所述，架構是演進的，而不是設計的。安全架構應該圍繞客戶業務的“轉型”，以能夠為客戶提供最優的安全解決方案目標而演進，同時與時俱進，融合IT產業的優秀架構思想和最佳實踐。

5 安全架構演進的實踐

5.1 傳統架構的痛點

傳統的安全產品能力各自獨立生長，由于歷史原因部分安全產品長期迭代，其產品架構呈煙囪式發展，導致各安全產品中的安全能力內生耦合嚴重、接口封閉、能力無法復用。傳統的安全解決方案是將各安全產品進行堆疊，構建滿足客戶場景的解決方案。傳統安全能力產品需要較高的硬件資源、較長周期的開發迭代、較長時間的集成調試，綜合成本較高。

以上情形對于傳統的基于較大規模的客戶防護場景是可執行的。在數字化轉型高速發展的強力助推作用下，千行百業上云過程中將傳統安全產品堆疊上云，傳統的安全架構已經不能滿足云上資源、客戶業務不斷的服務化、輕量化的發展趨勢。敏捷、融合、彈性、可訂閱的安全能力編排和調度需求越來越強烈，傳統的安全架構需要進行轉變。

5.2 架構演進實踐

鑒于傳統的安全能力耦合嚴重、接口封閉、能力無法復用等問題，本文提出了一套安全能力原子化解耦、安全原子能力云原生池化的架構。基于新架構將云原生化的原子安全能力構建成融合、彈性的安全解決方案，以應對數字化轉型時代的復雜安全風險，這是數字化轉型過程中應對復雜業務、技術的一種解題思路。由此，實踐層面從傳統的安全產品煙囪式架構演進為支持多安全能力融合、可編排、可調度、可訂閱的云原生服務化架構。

伴生模式架構意味著安全服務和客戶的業務一起伴生、融合。實踐落地過程中架構需支持基礎設施平滑遷移、安全業務融合，架構要支持安全能力按需編排，架構演進實踐如圖8所示。實踐架構中通過抽象層屏蔽底層不同基礎設施差異，實現安全業務產品支持在不同基礎設施平滑遷移。通過更細粒度、更內聚的安全能力解耦實現安全能力分而治之、合而御之的安全運營能力。通過安全能力服務化及安全能力服務化的編排，實現客戶場景的按資源所動、據不同場景的安全威脅按需編排安全能力。訂閱模式的架構實踐通過安全能力實現服務化的接口，滿足客戶不同場景的按需訂閱。

6 結語

在數字化轉型的高速發展階段，還將有更多的變化與挑戰，安全產品的架構也將持續不斷地演進，以為客戶提供長期持續的全方位安全運營服務，保障各行各業在數字化轉型過程中云、管、邊、端全場景的安全底線。

（原載于《保密科學技術》雜志2022年8月刊）