網絡安全策略管理技術NSPM的示例分析

本篇文章為大家展示了網絡安全策略管理技術NSPM的示例分析，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

安全牛評

企業的網絡安全能力更多的是一種管理能力，面對疫情和數字化云端轉型帶來的新挑戰：攻擊面增長、IT復雜化、碎片化、影子化，企業網絡安全部門面臨的最大挑戰就是對動態風險的集中化有效管控。而網絡安全策略管理技術則好比企業的空中和地面一體化交通指揮系統，協調管理本地和云端安全策略，為安全團隊、網絡IT團隊和云計算運營團隊提供一個統一的，對應用、網絡、負載和設備高可視化的安全管理平臺，讓IT與安全無縫協同，其重要性不言而喻。下面從網絡安全與風險管理現狀、需求出發，深入介紹了NSPM的概念、構成、格局、優缺點、風險以及采購需知。

網絡安全策略管理工具可以幫助安全管理者，通過跨混合網絡實現安全策略的集中可見與控制、風險分析、實時合規和應用程序映射功能，來滿足多種多樣的使用場景。

概述

主要發現

• 盡管網絡防火墻運維團隊提供了多個防火墻集中管理解決方案，但仍存在許多問題。

• 企業還沒有準備好在混合云環境中展示與內網相同級別的安全策略一致性。

• 使用自助IaaS的開發人員通常使用云提供商的內置功能，網絡安全團隊不具備可見性和控制權。

• 網絡和安全團隊通常難以了解數字業務和微分段工作中關鍵應用程序的連通性。

• 緩解實時風險是企業安全團隊的一個目標，但是多供應商環境中的團隊很難達成這個目標。

建議

對網絡和端點安全、漏洞管理和驅動業務價值的DevSecOps這些負責的安全和風險管理領導者們應當：

• 確定主要的和相鄰的使用案例，并與所有相關的業務主管討論如何有效地利用工具和訂閱。

• 通過供應商概念驗證，評估網絡安全策略管理（NSPM）供應商與目標系統（如IT服務管理工具、安全設備和云平臺）集成的能力。

• 利用供應商的專業服務進行實施和培訓，以有效地管理和運行該工具。

• 與應用程序開發和I&O團隊合作，確定私有云和混合云采用的現有和短期路線圖，以及與DevOps自發性與合規性需求相關的任何安全要求。

戰略規劃假設

到2023年，至少99%的云安全故障都將是客戶自身的錯誤。

到2023年，99%的防火墻漏洞將是由防火墻的錯誤配置引起的，而不是防火墻自身的缺陷。

到2021年，超過75%的大中型企業將采用多種云和/或混合IT戰略。

到2023年，超過25%的使用多個IaaS提供商的企業將部署第三方安全和微分段控制，而不僅僅依賴于內置的IaaS控制，這一比例目前還不到5%。

分析

盡管有多家網絡安全供應商擁有集中管理平臺，但網絡安全團隊仍在努力管理這些多種類以及多供應商的安全策略，以期在異構環境中保持完全的可見性。保持持續的合規性正成為一個更大的挑戰。隨著企業的擴張，這些網絡及其需求也在不斷發展。網絡正在擴展到私有云和公有云。同時，通過DevOps向快速應用程序開發的轉變使企業能夠在保證安全的同時更快地交付。因此，企業正在尋求將網絡安全管理更加自動化和集成到DevOps中的方法，以幫助他們滿足不斷增長的業務需求。通過網絡安全管理工具滿足這些用例，安全和風險管理領導者可以利用NSPM解決方案來幫助管理當今環境中增加的復雜性。

定義

網絡安全策略管理工具超越了防火墻供應商提供的用戶策略管理界面。NSPM為規則優化、更改管理工作流、規則測試、合規性評估和可視化提供分析和審核，通常使用設備和防火墻訪問規則的可視網絡映射覆蓋到多個網絡路徑上。NSPM工具通常在套件中，包含應用程序連接管理、策略優化和面向風險的威脅路徑分析等相鄰功能。

描述

NSPM工具主要通過與多個網絡安全產品集成來提供安全操作（SecOps）功能。這些工具有可能滿足多種網絡安全和應用程序管理用例。NSPM工具擴展了對公共和私有云平臺的可見性和安全策略管理功能。雖然，到目前為止，管理公共和私有云的安全策略是一項不斷發展的技術，只支持有限數量的云平臺提供商，其中最常用的包括VMware NSX、Amazon Web Services（AWS）、Microsoft Azure，有時還有OpenStack。除了網絡安全策略管理功能外，這些工具還提供應用程序發現和連接功能。由于這些工具能夠與主要的網絡設備（如路由器、交換機和負載平衡器）進行通信，因此它們還能夠分析網絡安全風險并執行漏洞評估。

這些產品的關鍵組成部分是（見圖1）：

1.多供應商防火墻和網絡安全設備的安全策略管理

2.變更管理系統

3.風險和脆弱性分析

4.應用連接管理

圖1. 網絡安全策略管理工具組成部分

來源: Gartner ( 2019年2月 )

NSPM工具提供與多供應商安全產品及解決方案的集成和自動化功能。供應商正在將集成擴展到以下一些解決方案：

網絡安全設備（防火墻、路由器、交換機等）

• IT服務管理解決方案

• 公共IaaS平臺

• 軟件定義網絡（SDN）平臺

• 集裝箱網絡

• 漏洞掃描程序

• DevOps自動化工具

• 安全信息和事件管理（SIEM）

• 安全協調、分析和報告（SOAR）

通過這些提供上述功能的工具，它們可以幫助企業滿足多種使用場景。

這些工具通過進行風險分析來自動化網絡安全操作，同時保持持續的合規性。隨著網絡的發展，這些工具正在明確地提供對公共和私有云平臺的訪問和控制；也就是在一直是網絡安全運營團隊的一個灰色地帶的混合網絡中提供集中的可視性和控制。通過應用程序可見性，這些工具為應用程序和信息安全團隊提供了一個共同的平臺，以便協作并更快地交付。

優點與使用

NSPM工具的主要功能是

• 防火墻規則管理：這為多供應商和多防火墻環境中的防火墻規則提供了集中規劃，使集中創建和推送規則更加容易。防火墻策略管理器幫助根據使用案例識別冗余、隱藏、重疊和沖突的規則。用戶可以根據不同的規則組成部分（對象、端口、IP地址），利用所有防火墻的過濾功能進行集中搜索。這個領域的供應商還提供了一個支持元數據的高級搜索功能。高級搜索還提供粒度功能，如兩個設備之間的配置比較、審計跟蹤、報告和自動更改管理。

• 集中式策略管理和可見性：此功能可幫助企業獲得跨網絡的網絡安全策略的集中可見性和控制。可見性控制擴展到第三方網絡安全設備，如路由器、交換機、負載平衡器以及私有和公有云供應商的本機控件。這對于混合網絡來說是一個非常有用的功能，因為它還支持本地SDN和公共IaaS平臺中的本機策略。因此，網絡安全團隊可以跨網絡管理和控制微段網絡安全策略。

• 自動化變更管理：NSPM工具有一個內置的變更請求系統，還可以與第三方ITSM供應商（如ServiceNow）集成。更改控制用于對現有規則進行新規則的請求或進行更改。在NSPM被批準或不批準之前，可以突出顯示專用的或未批準的工作流程和路徑。這些工具還為常規規則提供了完整的端到端自動化。供應商還提供restfulapi來與SOAR automations等其他解決方案集成。例如，SOAR自動化可包括對NSPM API的調用，以隔離由于檢測到的感染而指定IP地址的防火墻端口。NSPM工具將處理此請求并記錄更改。

• 拓撲映射和路徑分析：此功能創建網絡的虛擬映射，提供連接可見性和場景建模功能。在繪制流量圖的同時，它也有助于保持連接和網絡安全態勢地圖的最新狀態，這是一項很難實現的任務。這個特性已經擴展到混合環境，并且提供了私有和公有云環境的映射和可見性，這使得它成為這些工具的一個重要選擇因素。

• 安全策略的審核和合規性管理/報告：這些工具具有多個內置的合規性配置文件，在違反準則時會發出警報。用戶可以根據自己的標準創建自己的自定義安全指南。這有助于保持對所有策略和合規性和定期審核，并使外部審核體驗更輕松。這些工具有助于實時識別合規性差距，并支持工作流來糾正違反的現有規則。在任何違反合規性的情況下，特別是在任何新的更改請求期間，都會生成警報。用戶可以在需要時提取基于合規性的報告，并將其用于審計目的。

• 應用程序發現和連接管理：NSPM工具提供網絡安全策略的應用程序可見性。這有助于根據應用程序而不僅僅是IP地址請求來更改請求。對應用程序使用情況的可見性有助于識別活動應用程序和停用非活動應用程序。應用程序的端到端連接有助于對運行該應用程序所涉及的所有網絡組件（應用程序服務器、防火墻、負載平衡器）進行識別和在不中斷任何連接的情況下進行更改。一些供應商還提供應用程序遷移工作流來安全地遷移應用程序。

• 漏洞和風險評估：風險評估功能根據優先級列出現有網絡安全策略和配置中的風險和漏洞。它還有助于在批準任何更改之前識別與新更改請求相關的風險。NSPM工具與第三方漏洞掃描器集成，能夠導入結果并使其成為工作流的一部分并且基于漏洞來識別風險。一些供應商通過與資產和補丁管理解決方案以及威脅情報平臺等產品集成，在這方面提供了更先進的功能以執行持續的風險和影響分析。這些供應商提供自動化的工作流程來運行掃描并根據風險進行更改。它們還提供基于風險的評分，以便于安全和風險管理領導人們進行影響分析。

由于NSPM工具提供了多種功能，它們有可能滿足多個業務用例。NSPM工具的關鍵使用案例如下：

關鍵使用案例

1、多種類/多品牌防火墻規則的集中管理

在理想的情況下，網絡安全和運營團隊將部署單一品牌的防火墻，以最大限度地降低管理復雜性和減少錯誤配置的可能性。然而，現實是，現在每個組織都有異構的需求。多品牌在擁有如下情況的公司機構中已經是一種現實情況:

• 通過并購成長

• 在公有云或SDN環境中使用云本機防火墻

• 在全球分階段部署新的防火墻品牌

• 擁有分散IT，其中根據不同的業務部門或地理位置做出不同的防火墻選擇決策

在這種情況下，網絡安全和運營團隊以及審計人員將面臨錯綜復雜的規則集 合、管理控制臺和零碎的防火墻報告。

NSPM概念最初是為了應對這一挑戰而制定的。隨著防火墻供應商獲得市場份額，NSPM工具建立了統一理解和管理其策略的能力。使用NSPM作為管理真相的單一來源有助于網絡安全團隊降低復雜性并清楚地看到潛在的配置問題（見圖2）。

圖2.管理多種類和多供應商防火墻的集中接口

來源: Tufin

2、跨混合網絡和多云環境的網絡安全策略可見性和管理

隨著網絡向混合或多云環境中發展壯大，在這些平臺上實現可見性是一個日益嚴峻的挑戰，這使得網絡安全運營團隊幾乎不可能在這些環境中管理和維護正確的網絡安全策略。網絡安全團隊需要對本機和第三方網絡安全控制進行更多的可見性和控制。

NSPM解決方案提供了對安全設備（如防火墻和跨多個供應商的云本機安全配置）的可見性和集中管理。這有助于簡化整個企業的安全策略規則管理，并減少由于安全設備配置錯誤而導致的安全風險。供應商正在將這種支持擴展到混合云和公有云，從而能夠對所有企業基礎設施環境的中策略和規則集進行集中管理（請參見圖3）。

圖3.跨混合環境的拓撲映射

來源: Skybox

3、微分段

因為缺乏對跨不同應用程序和環境的網絡流和連接的可見性和了解，所以網絡安全運營團隊經常將微分段視為一項挑戰。與此同時，微分段已成為緩解東西通信量相關風險的關鍵措施。安全團隊需要了解網絡的所有本機控件以及第三方控件，以及應用程序連接映射，以便成功地實現和維護微分段。保持多個合規級別也是非常重要的。

NSPM工具提供了對不同網絡、第三方防火墻和應用程序連接的集中可見性和控制，以便網絡安全團隊可以在保持合規性的同時應用微分段。在混合網絡團隊的支持下，安全團隊無需登錄多個不同的控件即可集中查看和控制SDN和公有云平臺的本地策略。所有更改都會被跟蹤，任何違規行為都會被突出顯示，這樣就可以在不破壞應用程序的情況下進行修復。盡管涉及多個不同的設備、網絡和應用程序，這些功能能夠共同幫助企業保持有效的微分段控制。

4、持續審核和安全策略的合規性

敏感數據和與之相關的安全控制越來越分散在多個環境和供應商之間。不同的法規，如《薩班斯-奧克斯利法案》（SOX）、《支付卡行業數據安全標準》（PCI DSS）、《通用數據保護條例》（GDPR）和《健康保險便攜性與責任法案》（HIPAA）等，要求公司定期展示合規性。如果沒有一種自動化的方法來驗證審計人員的合規性，網絡安全團隊必須花時間在多個位置手動檢查和驗證控件。

NSPM解決方案提供了多種現成的合規性配置文件，這些配置文件可以在違反策略時發出警報，也可以提供顯示實時合規狀態的儀表板。創建特定于企業策略的自定義安全指導原則是一個擴展到固定的常規合規性模板之外的功能。例如，一家公司擔心存儲在本地存儲區域中的敏感數據可以從外部訪問，可以創建一個定制的合規性規則，該規則將檢測到任何時間將數據暴露在公共互聯網上的行為（參見圖4）。

圖4.定制評估報告樣本

來源: FireMon

5、變更管理與網絡安全運行自動化

使用手動更改過程來更新安全策略的網絡安全團隊通常會發現響應安全事件和遵守更改管理流程非常麻煩，而且容易出錯。快速、安全地進行更改是在確保環境得到保護的同時保護公司運營正常運行時間的關鍵。因此，NSPM工具的變更管理系統是其中最重要的組成部分之一。

NSPM供應商提供內置的變更控制系統，支持變更管理的整個周期，以允許受控變更并防止計劃外停機。更改控制用于請求新規則或對現有規則的更改。一旦發出請求，它們將執行流量分析，然后列出與此更改相關的所有躍點（網關、服務器）。變更管理系統檢查請求，并在違反任何標準時發出警報；它還突出顯示與更改相關的任何風險。一旦解決了所有警報和風險，請求就會得到批準并得到實施。這使管理員能夠暫存在狹窄的更改窗口期間自動發生的更改。

在實施新的變更之前，還可以執行變更影響分析。此功能為用戶提供了一個模擬環境，在該環境中，可以在尋求進一步批準之前分析更改的影響。它還使用戶能夠跳過任何更改過程，并自動執行可能不需要批準或風險分析的常規日常規則。因此，可以為選定的規則實現端到端的自動化（參見圖5）。

圖5. 變更管理工作流

來源: Gartner (February 2019)

6、遷移

2019年，數據中心和網絡處于不斷變化的狀態。為了提高效率和靈活性，組織正在采用軟件設計的網絡原則，并將工作負載轉移到公有云中——通常是多個公有云。將應用程序遷移到云或其他數據中心而不中斷應用程序連接或創建安全漏洞是一項挑戰。不斷的基礎設施演進會導致一個混亂的網絡安全政策環境，在這種環境中，網絡安全和運營領導人爭先恐后地保持防火墻政策的最新性和相關性。

NSPM解決方案提供了一種附加到特定應用程序的管理策略的方法，而不管應用程序駐留在何處。NSPM描述了應用程序遷移之前、期間和之后的應用程序流，確保通信流在整個過程中保持不中斷。這些解決方案有助于從安全性和連接性的角度規劃、執行和跟蹤遷移項目的所有階段。遷移后，NSPM可以幫助刪除無關的、遺留的防火墻規則。

7、連續網絡安全風險分析與脆弱性評估

隨著多個安全漏洞和安全事件的發生，業務主管和網絡安全運營團隊不斷尋求基于風險的方法來查看其基礎架構和應用程序。隨著多種技術和多種漏洞掃描器的出現，風險分析和關聯的工作變得更具挑戰性。

NSPM工具提供基于風險的分析，其中還包括與第三方漏洞分析掃描儀的集成。實時網絡漏洞管理功能和集中的基于風險的儀表板視圖等功能可幫助企業持續了解其網絡中的風險。該產品的一個強大功能是在批準和不批準任何更改之前基于資產脆弱性的影響分析。

8、應用程序連接管理

應用程序及其可用性對于許多以應用程序為中心的業務至關重要。應用程序可用性對于此類企業的業務連續性至關重要。NSPM工具通過提供應用程序發現和連接功能來解決這個使用案例。

這些工具還提供應用程序自動發現功能以檢測企業中使用的應用程序。它們在維護連接圖的同時提供實時應用程序連接細節。不同的企業所有者可以生成基于應用程序的更改管理請求，網絡安全操作團隊可以實施更改，同時對應用程序連接性和合規性要求進行影響評估。應用程序連接性映射還幫助網絡安全操作團隊通過對應用程序連接性執行影響分析來跨數據中心和云平臺遷移應用程序，從而避免意外停機（見圖6）。它也有助于識別未使用的應用程序，以便可以安全地從網絡中停用它們。

圖6.應用程序連接映射

來源: AlgoSec

DevOps

對應用程序驅動的安全設備策略更改的緩慢審查和批準是DevOps團隊實現最大速度的主要挑戰。這些過程可以為發布周期增加幾周時間，而一些高級DevOps團隊的目標周期時間不到一小時。

一些NSPM供應商通過實現安全評估和執行的自動化來為DevOps用例提供支持。這允許開發團隊和安全團隊進行協作，并將自動化的安全問題作為構建管道的一部分。供應商可以提供與構建工具（如Jenkins）或開發自動化解決方案（如Chef或Ansible）的本地集成。第三方DevOps工具鏈供應商的支持因NSPM解決方案而異，但NSPM供應商提供的API集成通常可供DevOps團隊利用。安全和DevOps團隊需要仔細評估應用程序開發的傳統安全控制的自動化，而不是本地云安全工具的實現，如云工作負載保護平臺（CWPP）和云安全策略管理解決方案。

采用率

第三方網絡安全策略管理是一個快速發展的市場。多供應商防火墻規則管理在這些工具中已經非常成熟。現在，隨著云應用的增加，這些工具正在增強其為云平臺提供可見性和管理支持的能力，這將進一步推動增長。除了網絡安全策略管理之外，根據合規性和基于審計的報告維護安全策略也是采用這些工具的主要用例。Gartner還將網絡脆弱性評估和風險分析視為采用這些工具的新興使用案例。采用的主要驅動因素各不相同。

風險

• 將NSPM工具添加到規模較小的安全組織的解決方案組合中是很昂貴的。

• 由于這些工具與多供應商設備和環境（包括防火墻、路由器、交換機以及私有和公有云）交互，如果這些工具沒有正確實施，企業通常會面臨實施和初始管理問題。

• 企業在將這些產品引入市場之前往往無法對其進行適當的評估，最終將面臨與現有網絡安全設備和變更管理工具的集成問題。

• 這些工具正在將其對可見性和控制的支持擴展到混合環境中，但對私有和公有云的支持僅擴展到少數有限的功能有限的提供商。

• 在沒有明確安全策略管理實施目標的情況下，網絡安全運營主管可能會過度購買平臺模塊，而這些模塊不會立即為其組織帶來好處，從而導致一些模塊在組織支付支持費用時處于休眠狀態。

• 相反，購買這些解決方案的網絡安全運營主管往往低估了其預期使用情形的范圍，因此購買的容量不夠大。一些Gartner客戶內部有多個NSPM工具，其中大多數都以有限的方式使用，很有可能成為擱置軟件。

• 這一領域的供應商通常非常擅長于支持操作使用案例（例如，防火墻策略管理）或風險和漏洞管理使用案例，但不能同時支持這兩個使用案例。這對于那些希望擁有一系列功能的買家來說是令人失望的。購買時沒有概念驗證（POC）可能導致期望值未得到滿足，以及與許多網絡安全產品的集成不完整。

• 供應商對公有云和私有云中的Linux容器提供有限的支持，例如Amazon Elastic Container Service（ECS）、Amazon Elastic Container Service for Kubernetes（EKS）、AWS Fargate和Azure Kubernetes Service（AKS）、Google Kubernetes Engine以及Red Hat OpenShift等產品的內部部署。

• 這些工具的許多功能與其他網絡操作（NetOps）工具（如網絡配置和更改管理（NCCM）工具和防火墻管理工具）重疊。同一組織中的NetOps團隊可能會使用這些SecOps團隊可能不知道的具有基本安全操作能力的工具，從而最終購買提供類似功能的重復工具。

網絡安全策略管理替代方案

大多數現有的安全供應商都在擴展對混合環境的支持。這些供應商包括防火墻、入侵檢測和預防系統（IDPS）、漏洞掃描、SIEM、端點安全等等。如果客戶對合規性、規則管理和威脅可見性有基本要求，建議他們與現有的解決方案提供商聯系。例如，大多數防火墻供應商都提供集中管理器來管理多個防火墻。雖然集中式管理器并沒有提供前面在關鍵用例和定義部分中提到的所有功能，但是它們確實提供了集中的防火墻規則管理。

有一些示例替代供應商提供了一些功能，并滿足了關鍵使用案例部分中提到的一些使用案例：

• 防火墻供應商:

• Check Point Software Technologies CloudGuard Dome9

• Cisco Stealthwatch Cloud and Cisco Tetration

• Fortinet Security Fabric

• Juniper Networks Junos Space Security Director

• Palo Alto Networks RedLock

• 管理本地云的安全處理管理供應商:

• CloudCheckr

• Cloudvisory

• 網絡自動化供應商:

• AppViewX

• Nuage Networks from Nokia

• Red Hat Ansible

• 多種云風險與漏洞管理供應商:

• AlienVault

• RedSeal

• Tenable

• 基于主服務器的微分段供應商:

• Alcide

• Guardicore

• Illumio

建議

負責網絡安全運營的安全和風險管理領導人們:

• 在入圍供應商之前，將確定主要和初始使用案例作為主要需求。閱讀“優點和使用”部分，以確定最能定義您的需求的使用案例。

• 如果主要目標是跨私有網絡和混合網絡進行防火墻策略管理，則評估現有集中式防火墻管理器供應商的能力，因為這些供應商也在發展對公有云（如AWS和Azure）的支持。

• 識別相鄰的使用案例，并與能夠協作和評估這些工具的相應業務主管交談。

• 避免在未對主要和相鄰使用案例進行適當評估的情況下，最終確定購買任何NSPM工具。評估因素必須包括對不同網絡安全產品當前固件版本的支持。

• 根據您的使用案例準備一份環境中正在使用的設備和工具的列表，以檢查NSPM供應商提供的集成功能。這個列表應該超越防火墻和路由器，包括漏洞掃描程序、SOAR、ITSM和DevOps工具。

• 如果它們是您當前或未來使用案例的一部分的話，評估對私有和公有云的混合網絡的支持，因為這種支持是一個不斷發展的功能，NSPM供應商支持的功能有限。

• 利用這些供應商提供的專業執行服務來實現穩定的實施。確保管理員和業務主管接受此工具的全面培訓，以最佳方式利用其所有功能。

• 在通過評估NSPM解決方案來啟用DevOps時，驗證網絡安全控制是否是自動持續集成/連續交付（CI/CD）管道中的瓶頸。如果不是這樣，就不要強調這些能力。如果安全是主要的瓶頸，那么安全團隊需要與DevOps團隊密切合作，以了解應用程序的安全需求，以確定NSPM工具是否可以幫助消除這種限制。

• 如果您是一個有成本意識或規模較小的安全團隊，那么就減少現有供應商，而不是將另一個供應商添加到已經很復雜的安全產品組合中，如果這樣您可能會發現NSPM工具很昂貴。

上述內容就是網絡安全策略管理技術NSPM的示例分析，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注億速云行業資訊頻道。