1、厘清概念

CSMA是Gartner去年提出的重要戰(zhàn)略技術(shù)趨勢之一，全稱Cyber Security Mesh Architecture，網(wǎng)絡(luò)安全矩陣架構(gòu)。矩陣，在英文中有兩個詞：Grid，Mesh。其中，Grid代表矩陣內(nèi)都是同類型元素，Mesh有異構(gòu)的含義。因此，從這里可以看出，CSMA之所以用Mesh，是指“不同類型的、異構(gòu)的安全原子能力，有機(jī)的聯(lián)系、協(xié)同起來組成安全矩陣”的意思。

看看Gartner的定義：

Gartner 定義的 CSMA ：能夠在任何需要的地方部署任何安全能力，且下發(fā)的策略都是一樣的；這些安全能力可以集成到現(xiàn)有的IT基礎(chǔ)設(shè)施里面，并且能夠彈性擴(kuò)展，還可以協(xié)作作戰(zhàn)，從而用戶可以在任何地方都能夠安全地使用數(shù)字化資產(chǎn)。

不過還是感覺有點(diǎn)模糊，再看看Gartner定義的架構(gòu)圖：

看了以后感覺稍微理解了一些，但是依然有點(diǎn)模糊。是的，是這種感覺，CSMA的架構(gòu)看起來總感覺有似曾相識的感覺，不管在國內(nèi)還是國外都似乎見過類似的產(chǎn)品，但是又好像不全是。國內(nèi)去年以來有不少講CSMA的文章，但是不知道是因?yàn)榉g的原因，或是沒理解透的原因，總覺得讀起來很晦澀的感覺，所以要我想白話一點(diǎn)來談?wù)勎业睦斫?，作為拋磚引玉。

從Gartner的架構(gòu)圖我們從左往右看，首先可以看到，CSMA架構(gòu)定義有一個集中的策略管理中心；這個策略中心的數(shù)據(jù)來源于右側(cè)的采用了“人工智能、機(jī)器學(xué)習(xí)技術(shù)”加持的分析中心；而這個分析中心的數(shù)據(jù)，來自右側(cè)的安全原子能力矩陣輸出的日志和告警，就是CSMA里面的M；再往右，是代表了被防護(hù)對象，我們可以看到除了傳統(tǒng)的網(wǎng)絡(luò)邊界，還有云端，用戶，等等異構(gòu)的邊界。

看到這里，就稍微有點(diǎn)清晰了：

首先，CSMA是一個技術(shù)路線

飛塔說更像是一個技術(shù)哲學(xué)，不是一個具體的產(chǎn)品。要構(gòu)建安全完整的安全體系，我們需要理解安全從頂層到底層的層次：首先是安全理論，其次是技術(shù)路線，再后面就是具體的產(chǎn)品、解決方案，這三個層次是從上到下、一脈相承的關(guān)系。Gartner作為世界頂級的研究機(jī)構(gòu)，擅長的通常是安全理論和技術(shù)路線這兩個層面，而大部分安全廠商，則擅長于技術(shù)路線的落地，即安全產(chǎn)品和解決方案層面。解決方案和具體的安全產(chǎn)品比較好理解，那什么是安全理論、技術(shù)路線？有什么不同？我舉個通俗的例子：古代有一個圣人的理想是要天下太平（安全理論）；那么通過什么技術(shù)路線落地呢？他想了很久，提出了修身齊家治國平天下（技術(shù)路線）；那么具體他怎么做的呢？好好學(xué)習(xí)，考取功名；然后把小家庭搞好，家和萬事興人；再然后保家衛(wèi)國，治理好國家；有了治理國家的能力后，就有能力讓天下太平——這就是他的具體落地的“解決方案”。

其次，CSMA是現(xiàn)有技術(shù)和產(chǎn)品的演進(jìn)，并非革命性的創(chuàng)新。

這個觀點(diǎn)在Forti的《fortinet-cybersecurity-mesh-for-dummies》這本書里，也得到了印證，說CSMA是“現(xiàn)有技術(shù)體系的演進(jìn)，而非革命性的改變”。這就是前面為什么感覺有點(diǎn)模糊又有點(diǎn)似曾相識的感覺了。我們可以看到，CSMA其實(shí)利用了現(xiàn)有的大部分產(chǎn)品和技術(shù)，如EDR、NDR、WAF、FW、SOC、安全編排、IAM，等等。但是CSMA有它自身的技術(shù)理念，通過安全分層以及核心的組件，能夠把現(xiàn)有的技術(shù)和產(chǎn)品整合起來，以實(shí)現(xiàn)它提出的安全矩陣的技術(shù)架構(gòu)，并解決它針對的安全場景中遇到的具體問題。

最后，CSMA整體架構(gòu)相對全面

CSMA框架有著清晰的核心概念和主要分層，能夠指導(dǎo)現(xiàn)有絕大部分安全產(chǎn)品協(xié)同形成安全矩陣，并能夠涵蓋當(dāng)下新的安全痛點(diǎn)和安全場景。這也是Gartner的牛x之處，總是能夠高屋建瓴的發(fā)現(xiàn)規(guī)律并提出普適性的理論，指導(dǎo)產(chǎn)品若干年演進(jìn)的方向。

2、為什么需要CSMA

借鑒Forti的觀點(diǎn)，他們認(rèn)為需要CSMA的核心原因有3點(diǎn)：

1、安全數(shù)據(jù)太多，傳統(tǒng)的SIEM或SOC雖然有用，但是缺少一個安全底層架構(gòu)來整合、分析數(shù)據(jù)，也不能根據(jù)動態(tài)攻擊情況靈活增加安全防護(hù)設(shè)備

2、安全數(shù)據(jù)分析的挑戰(zhàn)，forti的觀點(diǎn)是僅僅把數(shù)據(jù)分類還不夠，不同類型的安全日志需要有效的方法能夠關(guān)聯(lián)起來；另外就是即使數(shù)據(jù)整合了，也還需要有效的分析和定位的工具軟件

3、安全問題需要及時處置，包含快速檢測（MTTD）和快速響應(yīng)（MTTR）

我想再補(bǔ)充3條：

4、傳統(tǒng)的堆砌安全產(chǎn)品的方式，缺乏體系性的安全規(guī)劃和前瞻的安全架構(gòu)，使得安全投資浪費(fèi)嚴(yán)重，且難以發(fā)揮作用，所以需要一個方法論的東西（CSMA）來指導(dǎo)

5、不同廠家的安全產(chǎn)品難以協(xié)同，缺乏1+1>2的效果

6、網(wǎng)絡(luò)邊界越來越模糊，分布式部署的IT資產(chǎn)成為趨勢，傳統(tǒng)的準(zhǔn)入控制方式滿足不了新場景

那么為什么需要CSMA？

1、安全的核心，是數(shù)據(jù)。在CSMA看來，數(shù)據(jù)的采集、分析、處理，是核心的核心。CSMA的架構(gòu)，首先做了分層，其中normalization layer、Security analytics and Intelligence Layer、Centralized lolicy Managenment這三個層次，都是和數(shù)據(jù)相關(guān)。也就是說，CSMA緊緊圍繞網(wǎng)絡(luò)安全的核心——數(shù)據(jù)，做了科學(xué)的分層，通過分層，采集異構(gòu)的安全原子能力的數(shù)據(jù)，并進(jìn)行規(guī)范化處理；通過分層，引入了安全智能和機(jī)器學(xué)習(xí)的技術(shù)，強(qiáng)化對海量數(shù)據(jù)的精準(zhǔn)處理；通過集中化的策略管理中心，將精準(zhǔn)分析后的結(jié)果，轉(zhuǎn)化為具體的策略，下發(fā)到各個安全原子能力，形成安全閉環(huán)。我記得國內(nèi)奇安信在很多年前就提出“數(shù)據(jù)驅(qū)動安全”，這個觀點(diǎn)其實(shí)是安全業(yè)界的共識。

2、CSMA提供了全面的一整套數(shù)據(jù)分析的工具集。前面提到過，傳統(tǒng)的SOC，SIEM的數(shù)據(jù)分析能力，不足以滿足現(xiàn)有實(shí)際情況。具體來說，就是不完整，缺乏關(guān)聯(lián)，也缺乏有效的分析和定位的能力。因此，CSMA的架構(gòu)里，還引入了諸如安全智能的技術(shù)、海量數(shù)據(jù)處理的技術(shù)、安全編排技術(shù)、SOAR的技術(shù)，以及安全日志規(guī)范化處理的技術(shù)，通過大數(shù)據(jù)和AI的加持，來完善數(shù)據(jù)分析的能力，從而給決策中心提供更準(zhǔn)確有效的信息，使得決策中心能夠?qū)崟r生成動態(tài)策略，以應(yīng)對安全攻擊的最新挑戰(zhàn)。

3、CSMA提供了快速檢測和快速響應(yīng)的能力，這一點(diǎn)，通俗來說，就是應(yīng)對當(dāng)下最嚴(yán)峻的0day攻擊的情況，這個比較容易理解，不再贅述。

4、CSMA作為方法論，相較于傳統(tǒng)推解決方案和具體產(chǎn)品，帶有更高層次的安全規(guī)劃的意味。在我的印象里，除了高端行業(yè)客戶，企業(yè)客戶很少有意識會去做安全規(guī)劃，因此往往是頭痛醫(yī)頭，到頭來堆砌了大量的安全產(chǎn)品，而這些產(chǎn)品缺乏統(tǒng)一的規(guī)劃而各自為政，實(shí)際上發(fā)揮的效力很有限。CSMA提供了一個很好的安全框架模型，企業(yè)能夠通過這個理論指導(dǎo)自己未來若干年的安全建設(shè)節(jié)奏，并且能清晰的度量、運(yùn)營好整個安全技術(shù)設(shè)施。

5、我們知道，不同廠家安全產(chǎn)品，缺乏統(tǒng)一接口，也缺乏安全實(shí)體的抽象，非常難以協(xié)同起來。CSMA設(shè)計了一個數(shù)據(jù)規(guī)范層，這個層不僅僅是日志的規(guī)范處理，還包含了安全元素的抽象建模，這分明就是更近了一步。通過安全抽象建模，拉通不同廠家的原子能力的日志理解和統(tǒng)一策略下發(fā)，使得不同廠家的產(chǎn)品能真的協(xié)同好，這是非常有意義的。

6、CSMA強(qiáng)調(diào)以人的身份作為新的邊界。網(wǎng)絡(luò)邊界現(xiàn)狀已經(jīng)非常的模糊，目前看影響的因素主要有兩個：一個是混合云的流行，一個是企業(yè)網(wǎng)絡(luò)和IT資產(chǎn)的分布式部署規(guī)模越來越大，所以CSMA非常強(qiáng)調(diào)IAM，意思是以人為邊界，以軟件定義的方式重新定義邊界，以及重新設(shè)計動態(tài)準(zhǔn)入的機(jī)制。白話來講，以人為邊界，這是CSMA的重要觀點(diǎn)之一。

我覺得核心就是上述這幾點(diǎn)，回頭再看確實(shí)也比較完善，既解決了方法論的問題，也能涵蓋住幾乎所有的新的安全挑戰(zhàn)和安全場景，這也就是我前面說的，Gartner很擅長高屋建瓴的找規(guī)律，提出普適性的理論，指導(dǎo)產(chǎn)品演進(jìn)方向。從這個角度來看，CSMA的價值突出，存在的必要性非常充分。

3、CSMA如何落地

飛塔（Forti）的Security Fabric架構(gòu)，號稱是最匹配CSMA的落地實(shí)踐。確實(shí)，很多年前Forti就提出并且按照這個架構(gòu)落地了若干產(chǎn)品，而且Forti還專門寫了一本書，《fortinet-cybersecurity-mesh-for-dummies》，在它的官網(wǎng)能下載到，花了洋洋灑灑40多頁來闡述他們的實(shí)踐。

所以，這里就用飛塔的例子，來看看CSMA落地的具體方案是什么樣的。

飛塔關(guān)于CSMA的落地有自己的觀點(diǎn)，首先，飛塔認(rèn)為CSMA的核心要素是三個分層：

1. 數(shù)據(jù)整合層（Data integration）
2. 安全智能層（Broad security intelligence）
3. 自動響應(yīng)層（Automated operations）

通過合理的分層，每一層有著內(nèi)聚的功能和明確的對外借口，并且飛塔不同的產(chǎn)品，可以科學(xué)的放入不同邏輯分層中去。

對應(yīng)Gertner的CSMA，飛塔給出了對應(yīng)的設(shè)想圖：

飛塔的CSMA具體的架構(gòu)設(shè)計如下：

先看最底下一層——自動響應(yīng)層（Automated operations），包含具體產(chǎn)品是FortiAnalyzer、FortiManager、FortiSOAR等。按照飛塔的說法，這個層面的產(chǎn)品，按照Automated為目標(biāo)，展開技術(shù)路線，融入了很多AI的技術(shù)在里面，目的是盡可能是的響應(yīng)的動作能夠自動進(jìn)行，減少Detect和Response之間的gap。

倒數(shù)第二層——是安全智能層（Broad security intelligence），這部分的產(chǎn)品主要是安全中臺，采用大數(shù)據(jù)和AI、機(jī)器學(xué)習(xí)等技術(shù)，接入易購的安全原子能力提供的數(shù)據(jù)源，整合并分析數(shù)據(jù)，為自動響應(yīng)層提供輸入。

在上面一層——是數(shù)據(jù)整合層（Data integration），主要包含不同類型的安全原子能力，以及標(biāo)準(zhǔn)的API接口。另外，按照飛塔的說法，在這一層官方還能夠接入超過500個第三方的產(chǎn)品，生態(tài)組織能力可見一斑。這一層包含了飛塔幾乎所有的獨(dú)立安全產(chǎn)品，如Forti-ZTNA、Forti-NGFW、Forti-IPS、Forti-SWG、Forti-VPN、Forti-SDWAN、Forti-NAC、云環(huán)境下的虛擬化系列、Forti-IAM，等等。

相較于國內(nèi)安全廠商多變且模糊的架構(gòu)設(shè)計，我更喜歡飛塔的簡潔有力的概括：Broad、Integrated、Automated，這就是Forti-CSMA；亦或Paloalto提出的“云端+AI”=未來的安全，類似這樣簡潔、明確、有力的口號。國內(nèi)提出類似CSMA的架構(gòu)的，不是安全專業(yè)廠商，反而是我映像最深的在2020年，一個行業(yè)頭部客戶提的，他們把安全架構(gòu)層次分為“眼、腦、手”，不同的產(chǎn)品對應(yīng)到不同的層次，這也是我見過最清晰明確的貼近CSMA的架構(gòu)案例。

不論視角CSMA或是叫其他什么，其實(shí)國內(nèi)的安全廠商已經(jīng)意識到，未來的安全解決方案再也不會只是單個的產(chǎn)品，而是體系化的、通過廣泛的安全原子能力接入、加上大數(shù)據(jù)和AI的中臺處理、最后通過自動化的SOAR、SIEM等集中策略管理中心，快速、自動的響應(yīng)安全問題，完成安全從檢測到響應(yīng)的閉環(huán)，目前看趨勢也確實(shí)在朝著這個方向走。如果要說國內(nèi)的CSMA發(fā)展和國外有什么區(qū)別，我覺得最大的區(qū)別不在產(chǎn)品層面，而是在落地層面：技術(shù)路線是否足夠清晰，產(chǎn)品細(xì)節(jié)是否足夠清晰，適應(yīng)的場景是否足夠廣泛，接入的API和實(shí)體抽象是否足夠標(biāo)準(zhǔn)，這四個方面是最大的差異。

CSMA，不僅僅是對安全廠商，對客戶而言，也有重大的意義：那就是不再以割裂的、堆砌的產(chǎn)品采購模式進(jìn)行低水平的安全建設(shè)，而是有安全規(guī)劃的前瞻意識，通過合理的計劃、科學(xué)的采購、科學(xué)的度量、系統(tǒng)性的安全運(yùn)營，改善企業(yè)安全態(tài)勢水平，走上更高層次的安全建設(shè)模式中來，這對甲方乙方都是極為有益的變化。