加入收藏 | 设为首页 | 会员中心 | 我要投稿 常州站长网 (https://www.0519zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

网络安全网格含义及其影响

发布时间:2022-06-09 18:46:53 所属栏目:安全 来源:互联网
导读:网络安全网格(CyberSecurity Mesh)是 Gartner 提出的网络安全技术发展新趋势,近两年连续入选其年度重要战略技术趋势研究报告,成为当前网络安全领域流行的热词,受到网络安全从业者的高度关注。基于 Gartner 相关报告中对网络安全网格概念的描述,研究了
  “网络安全网格(CyberSecurity Mesh)”是 Gartner 提出的网络安全技术发展新趋势,近两年连续入选其年度重要战略技术趋势研究报告,成为当前网络安全领域流行的热词,受到网络安全从业者的高度关注。基于 Gartner 相关报告中对网络安全网格概念的描述,研究了网络安全网格成为重大技术发展趋势的驱动因素,剖析了网络安全网格概念的具体内涵和特点,探讨了其架构方法与实现途径,分析了其优势及与其他网络安全概念的关系,展望了其可能带来的影响,并提出了相关的对策建议。
 
  随着组织数字化转型加快以及新冠肺炎疫情的全球大流行,分布在世界各地的机构、资产、员工、客户和合作伙伴推动了业务上云、移动办公的日益普及,用户、设备、应用和数据逐渐离开了工作地点和数据中心。这样的变化导致越来越多的资产存在于传统的安全边界之外,让边界变得支离破碎,如今,无法通过构建单一的安全边界来判断“内好外坏”,让传统边界防护方法变得不再有效。网络安全需要围绕个人或事物的身份重新定义,零信任网络架构逐渐形成共识,身份和上下文将成为分布式环境中的最终控制平面 ,以支持对分布的资产以及任何地方发起的安全访问。
 
  许多组织正在采用多云战略,使用来自多个云提供商的服务以提供满足业务需求的弹性。例如,对于具有复杂 IT 体系结构的大型组织(如政府组织、金融机构和大型制造企业)来说,使用多个云和数据中心对于保障其业务的安全、可靠运行是非常必要的。但由于各个云提供商都支持一套自身的安全策略(例如,阿里云、亚马逊网络服务和微软 Azure 等使用不同的方法来保护各自生态系统中的资产),因此,跨云提供商实现一致的安全控制是一项新的挑战,而且组织中庞杂的内部服务更将加剧这样的挑战。虽然新的技术标准和产品正在试图弥补这一问题,但组织更应关注如何找到适应这种复杂环境的统一、灵活、可靠的网络安全控制方法。
 
  为达到安全目的,当前的 IT 系统通常会根据合规要求和业务需要,“一应俱全”地部署多种安全工具。2020 年数据安全研究中心Ponemon Institute 的统计数据显示,每个组织平均部署了超过45种安全解决方案和技术产品往往还需要使用到多个供应商的产品解决方案。这样的安全系统建设方式导致系统过于庞杂,安全分析与运维管理非常困难,例如,安全事件检测与响应经常需要在多个工具之间进行协调,每个设备升级时都必须不断重新配置复杂的安全策略等;同时多种安全工具存在功能重叠,也带来很多不必要的投资浪费。当用户提出新的安全需求以及引入新的安全工具时,上述问题将愈加严重。许多 IT 管理者都高度重视这一问题,希望找到更优的集成方法,通过高效地集成当前最好和未来出现的安全工具,整合安全资源,以减少安全工具的品种数量,增强网络安全整体防护效能,减少系统复杂性并降低建设成本。
  
  网络安全网格的主要特点如下文所述。
 
  (1)通用集成框架。网络安全网格提供一种通用的集成框架和方法,实现类似“乐高”化思维的灵活、可组合、可扩展的安全架构。通过标准化工具支持可互操作的各种安全服务编排和协同,从而实现广泛分布的不同安全服务的高效集成,建立起合作的安全生态系统来保护处于本地、数据中心和云中的数字资产,并基于数据分析、情报支持和策略管理等能力的聚合形成更加强大的整体安全防御和响应处置能力。
 
  (2)分布式网络架构。网络安全网格利用了“网格”的去中心化、对等协作、结构灵活、连接可靠、扩展性强等优势,不再侧重于围绕所有设备或节点构建“单一”边界,而是围绕每个接入点创建更小的、单独的边界 [5-6]。通过建立与接入点同样多的安全边界,保证物理位置广泛分布的用户能随时随地安全接入,符合零信任网络中的“微分段”要求,使得网络犯罪分子和黑客更难利用整个网络。同时,网络中主客体之间在逻辑上都是点对点直连关系,无须关注具体的物理网络部署,能够简化安全配置且能自动适应网络动态变化。
 
  (3)集中管理与分散执行。与传统的网关集中访问控制不同,网络安全网格采用了集中的策略编排和权限管理,基于策略分布式的执行,将网络安全控制能力分布到网络的更多地方,使安全措施更接近需要保护的资产,一方面,有利于消除安全管控盲点,缓解传统集中安全控制存在的性能处理瓶颈,适应用户终端和组织业务分散化发展需要;另一方面,有利于实现全局的安全威胁分析,形成更加一致的安全态势,从而实现更加精准的安全管控和更加快速的响应处置。
 
  (4)围绕身份定义安全边界。在当前网络协议中,因缺失身份要素带来了很多安全问题,物理 IP 地址与人和终端的关联性越来越弱,导致基于地址、流量、日志的安全检测和威胁分析技术难以实现针对人的威胁研判;基于网络协议字段特征检测的传统边界访问控制技术,同样使得基于身份的授权访问成为天方夜谭。由于网络威胁本质上是人带来的威胁,因此难以实现精准高效的安全威胁处置。网络安全网格延续了零信任网络的思想,用身份定义网络边界,让身份成为威胁研判与安全管控的基础。

(编辑:常州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读