1 引言
随着互联网承载的内容和形式越来越丰富,其所面临的安全威胁也越来越
多。在互联网经济发展的浪潮中,云计算时代的开启,使得网络环境更加开放 、
复杂,网络边界愈发模糊
[1]
,攻击目标也逐步从公共互联网向工业互联网转移,
国家网络空间安全受到更深层次挑战
[2]
。攻击者可利用安全薄弱设备对其他链路
设备发起安全攻击,以其为跳板将木马病毒、蠕虫病毒或其他(如拒绝服务攻
击等)恶意威胁通过内部流量快速感染至其他主机。与此同时,安全策略不统
一、管理环境复杂同样是一项巨大挑战,在物理机/虚拟机、私有云/公有云共存
时,复杂的云环境无法满足安全管理策略和安全防护能力的协同统一。除此之
外,安全产品自身属性也随之发生变化,目前多数安全产品基于政策并受合规
驱动,而非来源于用户的实际需求,市场整体趋于碎片化。传统的安全设备以
硬件为主,具有部署繁复、功能重叠、无法处理多层流量和数据、无法灵活编
排等劣势。但从安全的本质来看,安全是敏捷的、持续发展的,随着黑客攻击
和威胁数量的增加以及安全设备与智能终端更加开放泛化
[3]
,针对关键信息基础
设施的高级威胁持续增加,安全威胁变得更加具有针对性、技术含量也更高,
目前而言高级定向攻击已经能绕过传统防火墙和黑白名单的预防机制进行定向
攻击。
由此可见,随着网络边界模糊、安全硬件固化、安全终端泛连接的特点日
益显著,应急响应的安全服务模式已经不能满足未来对于新型攻击和未知威胁
的需要。在这种严峻的网络安全形势下,企业对高水平网络安全的需求日益增
加,传统安全体系框架在面对新的威胁和攻击显得已经力不从心,在此背景下,
具有较为明显优势的自适应安全架构(adaptive security architecture, ASA)
应运而出,以应对上述诸多问题。
2 自适应安全与 SDS 软件定义安全概述
ASA 是 Gartner 于 2014 年提出的面向下一代的安全体系框架,以应对万物
互联时代所面临的高危攻击频发的安全形势,自适应安全框架的发展经历了
1.0、2.0、3.0 的更新与蜕变
[4]
。
美 国 国 家 标 准 与 技 术 研 究 院 ( National Institute of Standards and
Technology,NIST)在 2014 年发布了 1.0 的网络安全整体架构,分为三大组件,
核心层、实施层和实例化层。核心层的整体结构与自适应安全架构的 3 个领域
概念互相重合,分别是保护、检测和响应,同时在实施的第四层设置为“自适应”
层。由于自适应安全架构受到了 网 络 安 全 整 体 架构 的 影响 , 因 而 2014 年 到
2016 年可以定义为自适应安全架构 1.0 时期
[5]
。2017 年自适应安全架构发展进
入了 2.0 时期,主要是在 1.0 的基础上进行了相关的理论丰富,自适应架构 2.0
如图 1 所示
[4]
。与自适应架构 1.0 相比,自适应架构 2.0 的主要变化包括持续的
可视化和评估及 UEBA 相关的内容;在 4 个维度形成闭环之外,形成各自小循
环体系以表示各维度所承担的角色功能;在大循环以政策和合规为准线,对框
架进行约束。 此架构的提出,主要针对的是高级攻击而形成的高级防御架构,
同时将策略与合规问题吸纳进来,将自适应安全架构的外延整体扩大,增强了
此架构的普适性。
图 1