1、厘清概念

CSMA是Gartner去年提出的重要戰略技術趨勢之一，全稱Cyber Security Mesh Architecture，網絡安全矩陣架構。矩陣，在英文中有兩個詞：Grid，Mesh。其中，Grid代表矩陣內都是同類型元素，Mesh有異構的含義。因此，從這里可以看出，CSMA之所以用Mesh，是指“不同類型的、異構的安全原子能力，有機的聯系、協同起來組成安全矩陣”的意思。

看看Gartner的定義：

Gartner 定義的 CSMA ：能夠在任何需要的地方部署任何安全能力，且下發的策略都是一樣的；這些安全能力可以集成到現有的IT基礎設施里面，并且能夠彈性擴展，還可以協作作戰，從而用戶可以在任何地方都能夠安全地使用數字化資產。

不過還是感覺有點模糊，再看看Gartner定義的架構圖：

看了以后感覺稍微理解了一些，但是依然有點模糊。是的，是這種感覺，CSMA的架構看起來總感覺有似曾相識的感覺，不管在國內還是國外都似乎見過類似的產品，但是又好像不全是。國內去年以來有不少講CSMA的文章，但是不知道是因為翻譯的原因，或是沒理解透的原因，總覺得讀起來很晦澀的感覺，所以要我想白話一點來談談我的理解，作為拋磚引玉。

從Gartner的架構圖我們從左往右看，首先可以看到，CSMA架構定義有一個集中的策略管理中心；這個策略中心的數據來源于右側的采用了“人工智能、機器學習技術”加持的分析中心；而這個分析中心的數據，來自右側的安全原子能力矩陣輸出的日志和告警，就是CSMA里面的M；再往右，是代表了被防護對象，我們可以看到除了傳統的網絡邊界，還有云端，用戶，等等異構的邊界。

看到這里，就稍微有點清晰了：

首先，CSMA是一個技術路線

飛塔說更像是一個技術哲學，不是一個具體的產品。要構建安全完整的安全體系，我們需要理解安全從頂層到底層的層次：首先是安全理論，其次是技術路線，再后面就是具體的產品、解決方案，這三個層次是從上到下、一脈相承的關系。Gartner作為世界頂級的研究機構，擅長的通常是安全理論和技術路線這兩個層面，而大部分安全廠商，則擅長于技術路線的落地，即安全產品和解決方案層面。解決方案和具體的安全產品比較好理解，那什么是安全理論、技術路線？有什么不同？我舉個通俗的例子：古代有一個圣人的理想是要天下太平（安全理論）；那么通過什么技術路線落地呢？他想了很久，提出了修身齊家治國平天下（技術路線）；那么具體他怎么做的呢？好好學習，考取功名；然后把小家庭搞好，家和萬事興人；再然后保家衛國，治理好國家；有了治理國家的能力后，就有能力讓天下太平——這就是他的具體落地的“解決方案”。

其次，CSMA是現有技術和產品的演進，并非革命性的創新。

這個觀點在Forti的《fortinet-cybersecurity-mesh-for-dummies》這本書里，也得到了印證，說CSMA是“現有技術體系的演進，而非革命性的改變”。這就是前面為什么感覺有點模糊又有點似曾相識的感覺了。我們可以看到，CSMA其實利用了現有的大部分產品和技術，如EDR、NDR、WAF、FW、SOC、安全編排、IAM，等等。但是CSMA有它自身的技術理念，通過安全分層以及核心的組件，能夠把現有的技術和產品整合起來，以實現它提出的安全矩陣的技術架構，并解決它針對的安全場景中遇到的具體問題。

最后，CSMA整體架構相對全面

CSMA框架有著清晰的核心概念和主要分層，能夠指導現有絕大部分安全產品協同形成安全矩陣，并能夠涵蓋當下新的安全痛點和安全場景。這也是Gartner的牛x之處，總是能夠高屋建瓴的發現規律并提出普適性的理論，指導產品若干年演進的方向。

2、為什么需要CSMA

借鑒Forti的觀點，他們認為需要CSMA的核心原因有3點：

1、安全數據太多，傳統的SIEM或SOC雖然有用，但是缺少一個安全底層架構來整合、分析數據，也不能根據動態攻擊情況靈活增加安全防護設備

2、安全數據分析的挑戰，forti的觀點是僅僅把數據分類還不夠，不同類型的安全日志需要有效的方法能夠關聯起來；另外就是即使數據整合了，也還需要有效的分析和定位的工具軟件

3、安全問題需要及時處置，包含快速檢測（MTTD）和快速響應（MTTR）

我想再補充3條：

4、傳統的堆砌安全產品的方式，缺乏體系性的安全規劃和前瞻的安全架構，使得安全投資浪費嚴重，且難以發揮作用，所以需要一個方法論的東西（CSMA）來指導

5、不同廠家的安全產品難以協同，缺乏1+1>2的效果

6、網絡邊界越來越模糊，分布式部署的IT資產成為趨勢，傳統的準入控制方式滿足不了新場景

那么為什么需要CSMA？

1、安全的核心，是數據。在CSMA看來，數據的采集、分析、處理，是核心的核心。CSMA的架構，首先做了分層，其中normalization layer、Security analytics and Intelligence Layer、Centralized lolicy Managenment這三個層次，都是和數據相關。也就是說，CSMA緊緊圍繞網絡安全的核心——數據，做了科學的分層，通過分層，采集異構的安全原子能力的數據，并進行規范化處理；通過分層，引入了安全智能和機器學習的技術，強化對海量數據的精準處理；通過集中化的策略管理中心，將精準分析后的結果，轉化為具體的策略，下發到各個安全原子能力，形成安全閉環。我記得國內奇安信在很多年前就提出“數據驅動安全”，這個觀點其實是安全業界的共識。

2、CSMA提供了全面的一整套數據分析的工具集。前面提到過，傳統的SOC，SIEM的數據分析能力，不足以滿足現有實際情況。具體來說，就是不完整，缺乏關聯，也缺乏有效的分析和定位的能力。因此，CSMA的架構里，還引入了諸如安全智能的技術、海量數據處理的技術、安全編排技術、SOAR的技術，以及安全日志規范化處理的技術，通過大數據和AI的加持，來完善數據分析的能力，從而給決策中心提供更準確有效的信息，使得決策中心能夠實時生成動態策略，以應對安全攻擊的最新挑戰。

3、CSMA提供了快速檢測和快速響應的能力，這一點，通俗來說，就是應對當下最嚴峻的0day攻擊的情況，這個比較容易理解，不再贅述。

4、CSMA作為方法論，相較于傳統推解決方案和具體產品，帶有更高層次的安全規劃的意味。在我的印象里，除了高端行業客戶，企業客戶很少有意識會去做安全規劃，因此往往是頭痛醫頭，到頭來堆砌了大量的安全產品，而這些產品缺乏統一的規劃而各自為政，實際上發揮的效力很有限。CSMA提供了一個很好的安全框架模型，企業能夠通過這個理論指導自己未來若干年的安全建設節奏，并且能清晰的度量、運營好整個安全技術設施。

5、我們知道，不同廠家安全產品，缺乏統一接口，也缺乏安全實體的抽象，非常難以協同起來。CSMA設計了一個數據規范層，這個層不僅僅是日志的規范處理，還包含了安全元素的抽象建模，這分明就是更近了一步。通過安全抽象建模，拉通不同廠家的原子能力的日志理解和統一策略下發，使得不同廠家的產品能真的協同好，這是非常有意義的。

6、CSMA強調以人的身份作為新的邊界。網絡邊界現狀已經非常的模糊，目前看影響的因素主要有兩個：一個是混合云的流行，一個是企業網絡和IT資產的分布式部署規模越來越大，所以CSMA非常強調IAM，意思是以人為邊界，以軟件定義的方式重新定義邊界，以及重新設計動態準入的機制。白話來講，以人為邊界，這是CSMA的重要觀點之一。

我覺得核心就是上述這幾點，回頭再看確實也比較完善，既解決了方法論的問題，也能涵蓋住幾乎所有的新的安全挑戰和安全場景，這也就是我前面說的，Gartner很擅長高屋建瓴的找規律，提出普適性的理論，指導產品演進方向。從這個角度來看，CSMA的價值突出，存在的必要性非常充分。

3、CSMA如何落地

飛塔（Forti）的Security Fabric架構，號稱是最匹配CSMA的落地實踐。確實，很多年前Forti就提出并且按照這個架構落地了若干產品，而且Forti還專門寫了一本書，《fortinet-cybersecurity-mesh-for-dummies》，在它的官網能下載到，花了洋洋灑灑40多頁來闡述他們的實踐。

所以，這里就用飛塔的例子，來看看CSMA落地的具體方案是什么樣的。

飛塔關于CSMA的落地有自己的觀點，首先，飛塔認為CSMA的核心要素是三個分層：

1. 數據整合層（Data integration）
2. 安全智能層（Broad security intelligence）
3. 自動響應層（Automated operations）

通過合理的分層，每一層有著內聚的功能和明確的對外借口，并且飛塔不同的產品，可以科學的放入不同邏輯分層中去。

對應Gertner的CSMA，飛塔給出了對應的設想圖：

飛塔的CSMA具體的架構設計如下：

先看最底下一層——自動響應層（Automated operations），包含具體產品是FortiAnalyzer、FortiManager、FortiSOAR等。按照飛塔的說法，這個層面的產品，按照Automated為目標，展開技術路線，融入了很多AI的技術在里面，目的是盡可能是的響應的動作能夠自動進行，減少Detect和Response之間的gap。

倒數第二層——是安全智能層（Broad security intelligence），這部分的產品主要是安全中臺，采用大數據和AI、機器學習等技術，接入易購的安全原子能力提供的數據源，整合并分析數據，為自動響應層提供輸入。

在上面一層——是數據整合層（Data integration），主要包含不同類型的安全原子能力，以及標準的API接口。另外，按照飛塔的說法，在這一層官方還能夠接入超過500個第三方的產品，生態組織能力可見一斑。這一層包含了飛塔幾乎所有的獨立安全產品，如Forti-ZTNA、Forti-NGFW、Forti-IPS、Forti-SWG、Forti-VPN、Forti-SDWAN、Forti-NAC、云環境下的虛擬化系列、Forti-IAM，等等。

相較于國內安全廠商多變且模糊的架構設計，我更喜歡飛塔的簡潔有力的概括：Broad、Integrated、Automated，這就是Forti-CSMA；亦或Paloalto提出的“云端+AI”=未來的安全，類似這樣簡潔、明確、有力的口號。國內提出類似CSMA的架構的，不是安全專業廠商，反而是我映像最深的在2020年，一個行業頭部客戶提的，他們把安全架構層次分為“眼、腦、手”，不同的產品對應到不同的層次，這也是我見過最清晰明確的貼近CSMA的架構案例。

不論視角CSMA或是叫其他什么，其實國內的安全廠商已經意識到，未來的安全解決方案再也不會只是單個的產品，而是體系化的、通過廣泛的安全原子能力接入、加上大數據和AI的中臺處理、最后通過自動化的SOAR、SIEM等集中策略管理中心，快速、自動的響應安全問題，完成安全從檢測到響應的閉環，目前看趨勢也確實在朝著這個方向走。如果要說國內的CSMA發展和國外有什么區別，我覺得最大的區別不在產品層面，而是在落地層面：技術路線是否足夠清晰，產品細節是否足夠清晰，適應的場景是否足夠廣泛，接入的API和實體抽象是否足夠標準，這四個方面是最大的差異。

CSMA，不僅僅是對安全廠商，對客戶而言，也有重大的意義：那就是不再以割裂的、堆砌的產品采購模式進行低水平的安全建設，而是有安全規劃的前瞻意識，通過合理的計劃、科學的采購、科學的度量、系統性的安全運營，改善企業安全態勢水平，走上更高層次的安全建設模式中來，這對甲方乙方都是極為有益的變化。