再度思考CSMA(Cyber Security Mesh Architecture)

1、再度厘清概念

CSMA是思考Gartner去年提出的重要战略技术趋势之一 ，全称Cyber Security Mesh Architecture，再度网络安全矩阵架构。思考矩阵，再度在英文中有两个词：Grid  ，思考Mesh。再度其中，思考Grid代表矩阵内都是再度同类型元素，Mesh有异构的思考含义。因此
，再度从这里可以看出，思考CSMA之所以用Mesh
，云计算再度是思考指“不同类型的 、异构的再度安全原子能力
，有机的联系、协同起来组成安全矩阵”的意思。

看看Gartner的定义  ：

Gartner 定义的 CSMA ：能够在任何需要的地方部署任何安全能力，且下发的策略都是一样的服务器租用；这些安全能力可以集成到现有的IT基础设施里面，并且能够弹性扩展 ，还可以协作作战，从而用户可以在任何地方都能够安全地使用数字化资产。

不过还是感觉有点模糊，再看看Gartner定义的架构图 ：

看了以后感觉稍微理解了一些 ，但是依然有点模糊。是的
 ，是这种感觉
，源码库CSMA的架构看起来总感觉有似曾相识的感觉 ，不管在国内还是国外都似乎见过类似的产品，但是又好像不全是 。国内去年以来有不少讲CSMA的文章，但是不知道是因为翻译的原因，或是亿华云没理解透的原因，总觉得读起来很晦涩的感觉 ，所以要我想白话一点来谈谈我的理解，作为抛砖引玉。

从Gartner的架构图我们从左往右看，首先可以看到，CSMA架构定义有一个集中的策略管理中心；这个策略中心的数据来源于右侧的采用了“人工智能、机器学习技术”加持的分析中心；而这个分析中心的模板下载数据 ，来自右侧的安全原子能力矩阵输出的日志和告警，就是CSMA里面的M；再往右
，是代表了被防护对象 ，我们可以看到除了传统的网络边界，还有云端 ，用户 ，等等异构的边界 。

看到这里 ，免费模板就稍微有点清晰了：

首先，CSMA是一个技术路线

飞塔说更像是一个技术哲学 ，不是一个具体的产品 。要构建安全完整的安全体系  ，我们需要理解安全从顶层到底层的层次：首先是安全理论 ，其次是技术路线，再后面就是具体的产品、解决方案 ，这三个层次是从上到下 、一脉相承的关系  。Gartner作为世界顶级的研究机构，擅长的通常是安全理论和技术路线这两个层面，而大部分安全厂商 ，则擅长于技术路线的落地 ，即安全产品和解决方案层面 。解决方案和具体的安全产品比较好理解，那什么是安全理论
、技术路线
？有什么不同？我举个通俗的例子：古代有一个圣人的理想是要天下太平（安全理论）；那么通过什么技术路线落地呢 ？他想了很久 ，提出了修身齐家治国平天下（技术路线）；那么具体他怎么做的呢？好好学习，考取功名；然后把小家庭搞好，家和万事兴人；再然后保家卫国，治理好国家；有了治理国家的能力后，就有能力让天下太平——这就是他的具体落地的“解决方案”。

其次，CSMA是现有技术和产品的演进，并非革命性的创新 。

这个观点在Forti的《fortinet-cybersecurity-mesh-for-dummies》这本书里
，也得到了印证，说CSMA是“现有技术体系的演进 ，而非革命性的改变”。这就是前面为什么感觉有点模糊又有点似曾相识的感觉了  。我们可以看到
，CSMA其实利用了现有的大部分产品和技术
，如EDR、NDR
、WAF、FW、SOC 、安全编排
、IAM ，等等。但是CSMA有它自身的技术理念，通过安全分层以及核心的组件，能够把现有的技术和产品整合起来，以实现它提出的安全矩阵的技术架构，并解决它针对的安全场景中遇到的具体问题。

最后 ，CSMA整体架构相对全面

CSMA框架有着清晰的核心概念和主要分层，能够指导现有绝大部分安全产品协同形成安全矩阵 ，并能够涵盖当下新的安全痛点和安全场景 。这也是Gartner的牛x之处 ，总是能够高屋建瓴的发现规律并提出普适性的理论
，指导产品若干年演进的方向。

2 、为什么需要CSMA

借鉴Forti的观点，他们认为需要CSMA的核心原因有3点：

1 、安全数据太多 ，传统的SIEM或SOC虽然有用
，但是缺少一个安全底层架构来整合 、分析数据
，也不能根据动态攻击情况灵活增加安全防护设备

2、安全数据分析的挑战，forti的观点是仅仅把数据分类还不够 ，不同类型的安全日志需要有效的方法能够关联起来；另外就是即使数据整合了，也还需要有效的分析和定位的工具软件

3、安全问题需要及时处置，包含快速检测（MTTD）和快速响应（MTTR）

我想再补充3条 ：

4、传统的堆砌安全产品的方式，缺乏体系性的安全规划和前瞻的安全架构  ，使得安全投资浪费严重，且难以发挥作用 ，所以需要一个方法论的东西（CSMA）来指导

5、不同厂家的安全产品难以协同 ，缺乏1+1>2的效果

6、网络边界越来越模糊  ，分布式部署的IT资产成为趋势，传统的准入控制方式满足不了新场景

那么为什么需要CSMA ？

1
、安全的核心，是数据。在CSMA看来
，数据的采集、分析
、处理，是核心的核心
。CSMA的架构，首先做了分层，其中normalization layer、Security analytics and Intelligence Layer
、Centralized lolicy Managenment这三个层次 
，都是和数据相关。也就是说，CSMA紧紧围绕网络安全的核心——数据 ，做了科学的分层 ，通过分层，采集异构的安全原子能力的数据，并进行规范化处理；通过分层 ，引入了安全智能和机器学习的技术，强化对海量数据的精准处理；通过集中化的策略管理中心  ，将精准分析后的结果，转化为具体的策略 ，下发到各个安全原子能力，形成安全闭环
。我记得国内奇安信在很多年前就提出“数据驱动安全”，这个观点其实是安全业界的共识 。

2、CSMA提供了全面的一整套数据分析的工具集 。前面提到过
，传统的SOC，SIEM的数据分析能力 ，不足以满足现有实际情况  。具体来说，就是不完整，缺乏关联 ，也缺乏有效的分析和定位的能力。因此 ，CSMA的架构里
，还引入了诸如安全智能的技术、海量数据处理的技术 、安全编排技术 、SOAR的技术，以及安全日志规范化处理的技术，通过大数据和AI的加持 ，来完善数据分析的能力  ，从而给决策中心提供更准确有效的信息 ，使得决策中心能够实时生成动态策略，以应对安全攻击的最新挑战 。

3、CSMA提供了快速检测和快速响应的能力
，这一点 ，通俗来说，就是应对当下最严峻的0day攻击的情况 ，这个比较容易理解，不再赘述。

4 、CSMA作为方法论，相较于传统推解决方案和具体产品
，带有更高层次的安全规划的意味。在我的印象里 ，除了高端行业客户 ，企业客户很少有意识会去做安全规划，因此往往是头痛医头，到头来堆砌了大量的安全产品 ，而这些产品缺乏统一的规划而各自为政 ，实际上发挥的效力很有限 。CSMA提供了一个很好的安全框架模型
，企业能够通过这个理论指导自己未来若干年的安全建设节奏 ，并且能清晰的度量、运营好整个安全技术设施 。

5、我们知道，不同厂家安全产品，缺乏统一接口，也缺乏安全实体的抽象 ，非常难以协同起来。CSMA设计了一个数据规范层 ，这个层不仅仅是日志的规范处理，还包含了安全元素的抽象建模
 ，这分明就是更近了一步
 。通过安全抽象建模 ，拉通不同厂家的原子能力的日志理解和统一策略下发，使得不同厂家的产品能真的协同好，这是非常有意义的。

6、CSMA强调以人的身份作为新的边界。网络边界现状已经非常的模糊 ，目前看影响的因素主要有两个 ：一个是混合云的流行，一个是企业网络和IT资产的分布式部署规模越来越大，所以CSMA非常强调IAM
，意思是以人为边界，以软件定义的方式重新定义边界，以及重新设计动态准入的机制 。白话来讲，以人为边界 ，这是CSMA的重要观点之一。

我觉得核心就是上述这几点 ，回头再看确实也比较完善 ，既解决了方法论的问题 ，也能涵盖住几乎所有的新的安全挑战和安全场景，这也就是我前面说的，Gartner很擅长高屋建瓴的找规律 ，提出普适性的理论，指导产品演进方向 。从这个角度来看，CSMA的价值突出 ，存在的必要性非常充分
 。

3 、CSMA如何落地

飞塔（Forti）的Security Fabric架构 ，号称是最匹配CSMA的落地实践  。确实 ，很多年前Forti就提出并且按照这个架构落地了若干产品 ，而且Forti还专门写了一本书，《fortinet-cybersecurity-mesh-for-dummies》
，在它的官网能下载到
 ，花了洋洋洒洒40多页来阐述他们的实践
。

所以，这里就用飞塔的例子 ，来看看CSMA落地的具体方案是什么样的。

飞塔关于CSMA的落地有自己的观点，首先
，飞塔认为CSMA的核心要素是三个分层 ：

数据整合层（Data integration）安全智能层（Broad security intelligence）自动响应层（Automated operations）

通过合理的分层，每一层有着内聚的功能和明确的对外借口 ，并且飞塔不同的产品，可以科学的放入不同逻辑分层中去。

对应Gertner的CSMA
，飞塔给出了对应的设想图：

飞塔的CSMA具体的架构设计如下：

先看最底下一层——自动响应层（Automated operations）
 ，包含具体产品是FortiAnalyzer、FortiManager 、FortiSOAR等。按照飞塔的说法 ，这个层面的产品 ，按照Automated为目标 ，展开技术路线，融入了很多AI的技术在里面，目的是尽可能是的响应的动作能够自动进行，减少Detect和Response之间的gap
。

倒数第二层——是安全智能层（Broad security intelligence），这部分的产品主要是安全中台 ，采用大数据和AI、机器学习等技术，接入易购的安全原子能力提供的数据源，整合并分析数据，为自动响应层提供输入。

在上面一层——是数据整合层（Data integration），主要包含不同类型的安全原子能力，以及标准的API接口 。另外
，按照飞塔的说法 ，在这一层官方还能够接入超过500个第三方的产品 ，生态组织能力可见一斑。这一层包含了飞塔几乎所有的独立安全产品，如Forti-ZTNA 、Forti-NGFW 、Forti-IPS  、Forti-SWG 、Forti-VPN 、Forti-SDWAN
 、Forti-NAC 、云环境下的虚拟化系列、Forti-IAM
，等等。

相较于国内安全厂商多变且模糊的架构设计，我更喜欢飞塔的简洁有力的概括：Broad
、Integrated 、Automated，这就是Forti-CSMA；亦或Paloalto提出的“云端+AI”=未来的安全 ，类似这样简洁
 、明确、有力的口号 。国内提出类似CSMA的架构的
，不是安全专业厂商，反而是我映像最深的在2020年
，一个行业头部客户提的，他们把安全架构层次分为“眼、脑、手” ，不同的产品对应到不同的层次，这也是我见过最清晰明确的贴近CSMA的架构案例。

不论视角CSMA或是叫其他什么，其实国内的安全厂商已经意识到，未来的安全解决方案再也不会只是单个的产品
 ，而是体系化的、通过广泛的安全原子能力接入 、加上大数据和AI的中台处理、最后通过自动化的SOAR 、SIEM等集中策略管理中心 ，快速、自动的响应安全问题，完成安全从检测到响应的闭环，目前看趋势也确实在朝着这个方向走。如果要说国内的CSMA发展和国外有什么区别
，我觉得最大的区别不在产品层面，而是在落地层面：技术路线是否足够清晰
，产品细节是否足够清晰 ，适应的场景是否足够广泛，接入的API和实体抽象是否足够标准，这四个方面是最大的差异。

CSMA ，不仅仅是对安全厂商，对客户而言，也有重大的意义
：那就是不再以割裂的、堆砌的产品采购模式进行低水平的安全建设 ，而是有安全规划的前瞻意识 ，通过合理的计划
、科学的采购、科学的度量、系统性的安全运营，改善企业安全态势水平 ，走上更高层次的安全建设模式中来，这对甲方乙方都是极为有益的变化 。