域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

安全牛評(píng)

企業(yè)的網(wǎng)絡(luò)安全能力更多的是一種管理能力，面對(duì)疫情和數(shù)字化云端轉(zhuǎn)型帶來的新挑戰(zhàn)：攻擊面增長(zhǎng)、IT復(fù)雜化、碎片化、影子化，企業(yè)網(wǎng)絡(luò)安全部門面臨的最大挑戰(zhàn)就是對(duì)動(dòng)態(tài)風(fēng)險(xiǎn)的集中化有效管控。而網(wǎng)絡(luò)安全策略管理技術(shù)則好比企業(yè)的空中和地面一體化交通指揮系統(tǒng)，協(xié)調(diào)管理本地和云端安全策略，為安全團(tuán)隊(duì)、網(wǎng)絡(luò)IT團(tuán)隊(duì)和云計(jì)算運(yùn)營(yíng)團(tuán)隊(duì)提供一個(gè)統(tǒng)一的，對(duì)應(yīng)用、網(wǎng)絡(luò)、負(fù)載和設(shè)備高可視化的安全管理平臺(tái)，讓IT與安全無縫協(xié)同，其重要性不言而喻。本文從網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)管理現(xiàn)狀、需求出發(fā)，深入介紹了NSPM的概念、構(gòu)成、格局、優(yōu)缺點(diǎn)、風(fēng)險(xiǎn)以及采購(gòu)需知。

網(wǎng)絡(luò)安全策略管理工具可以幫助安全管理者，通過跨混合網(wǎng)絡(luò)實(shí)現(xiàn)安全策略的集中可見與控制、風(fēng)險(xiǎn)分析、實(shí)時(shí)合規(guī)和應(yīng)用程序映射功能，來滿足多種多樣的使用場(chǎng)景。

概述

主要發(fā)現(xiàn)

· 盡管網(wǎng)絡(luò)防火墻運(yùn)維團(tuán)隊(duì)提供了多個(gè)防火墻集中管理解決方案，但仍存在許多問題。

· 企業(yè)還沒有準(zhǔn)備好在混合云環(huán)境中展示與內(nèi)網(wǎng)相同級(jí)別的安全策略一致性。

· 使用自助IaaS的開發(fā)人員通常使用云提供商的內(nèi)置功能，網(wǎng)絡(luò)安全團(tuán)隊(duì)不具備可見性和控制權(quán)。

· 網(wǎng)絡(luò)和安全團(tuán)隊(duì)通常難以了解數(shù)字業(yè)務(wù)和微分段工作中關(guān)鍵應(yīng)用程序的連通性。

· 緩解實(shí)時(shí)風(fēng)險(xiǎn)是企業(yè)安全團(tuán)隊(duì)的一個(gè)目標(biāo)，但是多供應(yīng)商環(huán)境中的團(tuán)隊(duì)很難達(dá)成這個(gè)目標(biāo)。

建議

對(duì)網(wǎng)絡(luò)和端點(diǎn)安全、漏洞管理和驅(qū)動(dòng)業(yè)務(wù)價(jià)值的DevSecOps這些負(fù)責(zé)的安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者們應(yīng)當(dāng)：

· 確定主要的和相鄰的使用案例，并與所有相關(guān)的業(yè)務(wù)主管討論如何有效地利用工具和訂閱。

· 通過供應(yīng)商概念驗(yàn)證，評(píng)估網(wǎng)絡(luò)安全策略管理(NSPM)供應(yīng)商與目標(biāo)系統(tǒng)(如IT服務(wù)管理工具、安全設(shè)備和云平臺(tái))集成的能力。

· 利用供應(yīng)商的專業(yè)服務(wù)進(jìn)行實(shí)施和培訓(xùn)，以有效地管理和運(yùn)行該工具。

· 與應(yīng)用程序開發(fā)和I&O團(tuán)隊(duì)合作，確定私有云和混合云采用的現(xiàn)有和短期路線圖，以及與DevOps自發(fā)性與合規(guī)性需求相關(guān)的任何安全要求。

戰(zhàn)略規(guī)劃假設(shè)

到2023年，至少99%的云安全故障都將是客戶自身的錯(cuò)誤。

到2023年，99%的防火墻漏洞將是由防火墻的錯(cuò)誤配置引起的，而不是防火墻自身的缺陷。

到2021年，超過75%的大中型企業(yè)將采用多種云和/或混合IT戰(zhàn)略。

到2023年，超過25%的使用多個(gè)IaaS提供商的企業(yè)將部署第三方安全和微分段控制，而不僅僅依賴于內(nèi)置的IaaS控制，這一比例目前還不到5%。

分析

盡管有多家網(wǎng)絡(luò)安全供應(yīng)商擁有集中管理平臺(tái)，但網(wǎng)絡(luò)安全團(tuán)隊(duì)仍在努力管理這些多種類以及多供應(yīng)商的安全策略，以期在異構(gòu)環(huán)境中保持完全的可見性。保持持續(xù)的合規(guī)性正成為一個(gè)更大的挑戰(zhàn)。隨著企業(yè)的擴(kuò)張，這些網(wǎng)絡(luò)及其需求也在不斷發(fā)展。網(wǎng)絡(luò)正在擴(kuò)展到私有云和公有云。同時(shí)，通過DevOps向快速應(yīng)用程序開發(fā)的轉(zhuǎn)變使企業(yè)能夠在保證安全的同時(shí)更快地交付。因此，企業(yè)正在尋求將網(wǎng)絡(luò)安全管理更加自動(dòng)化和集成到DevOps中的方法，以幫助他們滿足不斷增長(zhǎng)的業(yè)務(wù)需求。通過網(wǎng)絡(luò)安全管理工具滿足這些用例，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者可以利用NSPM解決方案來幫助管理當(dāng)今環(huán)境中增加的復(fù)雜性。

定義

網(wǎng)絡(luò)安全策略管理工具超越了防火墻供應(yīng)商提供的用戶策略管理界面。NSPM為規(guī)則優(yōu)化、更改管理工作流、規(guī)則測(cè)試、合規(guī)性評(píng)估和可視化提供分析和審核，通常使用設(shè)備和防火墻訪問規(guī)則的可視網(wǎng)絡(luò)映射覆蓋到多個(gè)網(wǎng)絡(luò)路徑上。NSPM工具通常在套件中，包含應(yīng)用程序連接管理、策略優(yōu)化和面向風(fēng)險(xiǎn)的威脅路徑分析等相鄰功能。

描述

NSPM工具主要通過與多個(gè)網(wǎng)絡(luò)安全產(chǎn)品集成來提供安全操作(SecOps)功能。這些工具有可能滿足多種網(wǎng)絡(luò)安全和應(yīng)用程序管理用例。NSPM工具擴(kuò)展了對(duì)公共和私有云平臺(tái)的可見性和安全策略管理功能。雖然，到目前為止，管理公共和私有云的安全策略是一項(xiàng)不斷發(fā)展的技術(shù)，只支持有限數(shù)量的云平臺(tái)提供商，其中最常用的包括VMware NSX、Amazon Web Services(AWS)、Microsoft Azure，有時(shí)還有OpenStack。除了網(wǎng)絡(luò)安全策略管理功能外，這些工具還提供應(yīng)用程序發(fā)現(xiàn)和連接功能。由于這些工具能夠與主要的網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī)和負(fù)載平衡器)進(jìn)行通信，因此它們還能夠分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并執(zhí)行漏洞評(píng)估。

這些產(chǎn)品的關(guān)鍵組成部分是(見圖1)：

1.多供應(yīng)商防火墻和網(wǎng)絡(luò)安全設(shè)備的安全策略管理

2.變更管理系統(tǒng)

3.風(fēng)險(xiǎn)和脆弱性分析

4.應(yīng)用連接管理

圖1. 網(wǎng)絡(luò)安全策略管理工具組成部分 來源: Gartner ( 2019年2月 )

NSPM工具提供與多供應(yīng)商安全產(chǎn)品及解決方案的集成和自動(dòng)化功能。供應(yīng)商正在將集成擴(kuò)展到以下一些解決方案：

網(wǎng)絡(luò)安全設(shè)備(防火墻、路由器、交換機(jī)等)

· IT服務(wù)管理解決方案

· 公共IaaS平臺(tái)

· 軟件定義網(wǎng)絡(luò)(SDN)平臺(tái)

· 集裝箱網(wǎng)絡(luò)

· 漏洞掃描程序

· DevOps自動(dòng)化工具

· 安全信息和事件管理(SIEM)

· 安全協(xié)調(diào)、分析和報(bào)告(SOAR)

通過這些提供上述功能的工具，它們可以幫助企業(yè)滿足多種使用場(chǎng)景。

這些工具通過進(jìn)行風(fēng)險(xiǎn)分析來自動(dòng)化網(wǎng)絡(luò)安全操作，同時(shí)保持持續(xù)的合規(guī)性。隨著網(wǎng)絡(luò)的發(fā)展，這些工具正在明確地提供對(duì)公共和私有云平臺(tái)的訪問和控制;也就是在一直是網(wǎng)絡(luò)安全運(yùn)營(yíng)團(tuán)隊(duì)的一個(gè)灰色地帶的混合網(wǎng)絡(luò)中提供集中的可視性和控制。通過應(yīng)用程序可見性，這些工具為應(yīng)用程序和信息安全團(tuán)隊(duì)提供了一個(gè)共同的平臺(tái)，以便協(xié)作并更快地交付。

優(yōu)點(diǎn)與使用

NSPM工具的主要功能是

· 防火墻規(guī)則管理：這為多供應(yīng)商和多防火墻環(huán)境中的防火墻規(guī)則提供了集中規(guī)劃，使集中創(chuàng)建和推送規(guī)則更加容易。防火墻策略管理器幫助根據(jù)使用案例識(shí)別冗余、隱藏、重疊和沖突的規(guī)則。用戶可以根據(jù)不同的規(guī)則組成部分(對(duì)象、端口、IP地址)，利用所有防火墻的過濾功能進(jìn)行集中搜索。這個(gè)領(lǐng)域的供應(yīng)商還提供了一個(gè)支持元數(shù)據(jù)的高級(jí)搜索功能。高級(jí)搜索還提供粒度功能，如兩個(gè)設(shè)備之間的配置比較、審計(jì)跟蹤、報(bào)告和自動(dòng)更改管理。

· 集中式策略管理和可見性：此功能可幫助企業(yè)獲得跨網(wǎng)絡(luò)的網(wǎng)絡(luò)安全策略的集中可見性和控制。可見性控制擴(kuò)展到第三方網(wǎng)絡(luò)安全設(shè)備，如路由器、交換機(jī)、負(fù)載平衡器以及私有和公有云供應(yīng)商的本機(jī)控件。這對(duì)于混合網(wǎng)絡(luò)來說是一個(gè)非常有用的功能，因?yàn)樗€支持本地SDN和公共IaaS平臺(tái)中的本機(jī)策略。因此，網(wǎng)絡(luò)安全團(tuán)隊(duì)可以跨網(wǎng)絡(luò)管理和控制微段網(wǎng)絡(luò)安全策略。

· 自動(dòng)化變更管理：NSPM工具有一個(gè)內(nèi)置的變更請(qǐng)求系統(tǒng)，還可以與第三方ITSM供應(yīng)商(如ServiceNow)集成。更改控制用于對(duì)現(xiàn)有規(guī)則進(jìn)行新規(guī)則的請(qǐng)求或進(jìn)行更改。在NSPM被批準(zhǔn)或不批準(zhǔn)之前，可以突出顯示專用的或未批準(zhǔn)的工作流程和路徑。這些工具還為常規(guī)規(guī)則提供了完整的端到端自動(dòng)化。供應(yīng)商還提供restfulapi來與SOAR automations等其他解決方案集成。例如，SOAR自動(dòng)化可包括對(duì)NSPM API的調(diào)用，以隔離由于檢測(cè)到的感染而指定IP地址的防火墻端口。NSPM工具將處理此請(qǐng)求并記錄更改。

· 拓?fù)溆成浜吐窂椒治觯捍斯δ軇?chuàng)建網(wǎng)絡(luò)的虛擬映射，提供連接可見性和場(chǎng)景建模功能。在繪制流量圖的同時(shí)，它也有助于保持連接和網(wǎng)絡(luò)安全態(tài)勢(shì)地圖的最新狀態(tài)，這是一項(xiàng)很難實(shí)現(xiàn)的任務(wù)。這個(gè)特性已經(jīng)擴(kuò)展到混合環(huán)境，并且提供了私有和公有云環(huán)境的映射和可見性，這使得它成為這些工具的一個(gè)重要選擇因素。

· 安全策略的審核和合規(guī)性管理/報(bào)告：這些工具具有多個(gè)內(nèi)置的合規(guī)性配置文件，在違反準(zhǔn)則時(shí)會(huì)發(fā)出警報(bào)。用戶可以根據(jù)自己的標(biāo)準(zhǔn)創(chuàng)建自己的自定義安全指南。這有助于保持對(duì)所有策略和合規(guī)性和定期審核，并使外部審核體驗(yàn)更輕松。這些工具有助于實(shí)時(shí)識(shí)別合規(guī)性差距，并支持工作流來糾正違反的現(xiàn)有規(guī)則。在任何違反合規(guī)性的情況下，特別是在任何新的更改請(qǐng)求期間，都會(huì)生成警報(bào)。用戶可以在需要時(shí)提取基于合規(guī)性的報(bào)告，并將其用于審計(jì)目的。

· 應(yīng)用程序發(fā)現(xiàn)和連接管理：NSPM工具提供網(wǎng)絡(luò)安全策略的應(yīng)用程序可見性。這有助于根據(jù)應(yīng)用程序而不僅僅是IP地址請(qǐng)求來更改請(qǐng)求。對(duì)應(yīng)用程序使用情況的可見性有助于識(shí)別活動(dòng)應(yīng)用程序和停用非活動(dòng)應(yīng)用程序。應(yīng)用程序的端到端連接有助于對(duì)運(yùn)行該應(yīng)用程序所涉及的所有網(wǎng)絡(luò)組件(應(yīng)用程序服務(wù)器、防火墻、負(fù)載平衡器)進(jìn)行識(shí)別和在不中斷任何連接的情況下進(jìn)行更改。一些供應(yīng)商還提供應(yīng)用程序遷移工作流來安全地遷移應(yīng)用程序。

· 漏洞和風(fēng)險(xiǎn)評(píng)估：風(fēng)險(xiǎn)評(píng)估功能根據(jù)優(yōu)先級(jí)列出現(xiàn)有網(wǎng)絡(luò)安全策略和配置中的風(fēng)險(xiǎn)和漏洞。它還有助于在批準(zhǔn)任何更改之前識(shí)別與新更改請(qǐng)求相關(guān)的風(fēng)險(xiǎn)。NSPM工具與第三方漏洞掃描器集成，能夠?qū)虢Y(jié)果并使其成為工作流的一部分并且基于漏洞來識(shí)別風(fēng)險(xiǎn)。一些供應(yīng)商通過與資產(chǎn)和補(bǔ)丁管理解決方案以及威脅情報(bào)平臺(tái)等產(chǎn)品集成，在這方面提供了更先進(jìn)的功能以執(zhí)行持續(xù)的風(fēng)險(xiǎn)和影響分析。這些供應(yīng)商提供自動(dòng)化的工作流程來運(yùn)行掃描并根據(jù)風(fēng)險(xiǎn)進(jìn)行更改。它們還提供基于風(fēng)險(xiǎn)的評(píng)分，以便于安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)人們進(jìn)行影響分析。

由于NSPM工具提供了多種功能，它們有可能滿足多個(gè)業(yè)務(wù)用例。NSPM工具的關(guān)鍵使用案例如下：

關(guān)鍵使用案例

1、多種類/多品牌防火墻規(guī)則的集中管理

在理想的情況下，網(wǎng)絡(luò)安全和運(yùn)營(yíng)團(tuán)隊(duì)將部署單一品牌的防火墻，以最大限度地降低管理復(fù)雜性和減少錯(cuò)誤配置的可能性。然而，現(xiàn)實(shí)是，現(xiàn)在每個(gè)組織都有異構(gòu)的需求。多品牌在擁有如下情況的公司機(jī)構(gòu)中已經(jīng)是一種現(xiàn)實(shí)情況:

• 通過并購(gòu)成長(zhǎng)

• 在公有云或SDN環(huán)境中使用云本機(jī)防火墻

• 在全球分階段部署新的防火墻品牌

• 擁有分散IT，其中根據(jù)不同的業(yè)務(wù)部門或地理位置做出不同的防火墻選擇決策

在這種情況下，網(wǎng)絡(luò)安全和運(yùn)營(yíng)團(tuán)隊(duì)以及審計(jì)人員將面臨錯(cuò)綜復(fù)雜的規(guī)則集合、管理控制臺(tái)和零碎的防火墻報(bào)告。

NSPM概念最初是為了應(yīng)對(duì)這一挑戰(zhàn)而制定的。隨著防火墻供應(yīng)商獲得市場(chǎng)份額，NSPM工具建立了統(tǒng)一理解和管理其策略的能力。使用NSPM作為管理真相的單一來源有助于網(wǎng)絡(luò)安全團(tuán)隊(duì)降低復(fù)雜性并清楚地看到潛在的配置問題(見圖2)。

圖2.管理多種類和多供應(yīng)商防火墻的集中接口 來源: Tufin

2、跨混合網(wǎng)絡(luò)和多云環(huán)境的網(wǎng)絡(luò)安全策略可見性和管理

隨著網(wǎng)絡(luò)向混合或多云環(huán)境中發(fā)展壯大，在這些平臺(tái)上實(shí)現(xiàn)可見性是一個(gè)日益嚴(yán)峻的挑戰(zhàn)，這使得網(wǎng)絡(luò)安全運(yùn)營(yíng)團(tuán)隊(duì)幾乎不可能在這些環(huán)境中管理和維護(hù)正確的網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全團(tuán)隊(duì)需要對(duì)本機(jī)和第三方網(wǎng)絡(luò)安全控制進(jìn)行更多的可見性和控制。

NSPM解決方案提供了對(duì)安全設(shè)備(如防火墻和跨多個(gè)供應(yīng)商的云本機(jī)安全配置)的可見性和集中管理。這有助于簡(jiǎn)化整個(gè)企業(yè)的安全策略規(guī)則管理，并減少由于安全設(shè)備配置錯(cuò)誤而導(dǎo)致的安全風(fēng)險(xiǎn)。供應(yīng)商正在將這種支持?jǐn)U展到混合云和公有云，從而能夠?qū)λ衅髽I(yè)基礎(chǔ)設(shè)施環(huán)境的中策略和規(guī)則集進(jìn)行集中管理(請(qǐng)參見圖3)。

圖3.跨混合環(huán)境的拓?fù)溆成?來源: Skybox

3、微分段

因?yàn)槿狈?duì)跨不同應(yīng)用程序和環(huán)境的網(wǎng)絡(luò)流和連接的可見性和了解，所以網(wǎng)絡(luò)安全運(yùn)營(yíng)團(tuán)隊(duì)經(jīng)常將微分段視為一項(xiàng)挑戰(zhàn)。與此同時(shí)，微分段已成為緩解東西通信量相關(guān)風(fēng)險(xiǎn)的關(guān)鍵措施。安全團(tuán)隊(duì)需要了解網(wǎng)絡(luò)的所有本機(jī)控件以及第三方控件，以及應(yīng)用程序連接映射，以便成功地實(shí)現(xiàn)和維護(hù)微分段。保持多個(gè)合規(guī)級(jí)別也是非常重要的。

NSPM工具提供了對(duì)不同網(wǎng)絡(luò)、第三方防火墻和應(yīng)用程序連接的集中可見性和控制，以便網(wǎng)絡(luò)安全團(tuán)隊(duì)可以在保持合規(guī)性的同時(shí)應(yīng)用微分段。在混合網(wǎng)絡(luò)團(tuán)隊(duì)的支持下，安全團(tuán)隊(duì)無需登錄多個(gè)不同的控件即可集中查看和控制SDN和公有云平臺(tái)的本地策略。所有更改都會(huì)被跟蹤，任何違規(guī)行為都會(huì)被突出顯示，這樣就可以在不破壞應(yīng)用程序的情況下進(jìn)行修復(fù)。盡管涉及多個(gè)不同的設(shè)備、網(wǎng)絡(luò)和應(yīng)用程序，這些功能能夠共同幫助企業(yè)保持有效的微分段控制。

4、持續(xù)審核和安全策略的合規(guī)性

敏感數(shù)據(jù)和與之相關(guān)的安全控制越來越分散在多個(gè)環(huán)境和供應(yīng)商之間。不同的法規(guī)，如《薩班斯-奧克斯利法案》(SOX)、《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI DSS)、《通用數(shù)據(jù)保護(hù)條例》(GDPR)和《健康保險(xiǎn)便攜性與責(zé)任法案》(HIPAA)等，要求公司定期展示合規(guī)性。如果沒有一種自動(dòng)化的方法來驗(yàn)證審計(jì)人員的合規(guī)性，網(wǎng)絡(luò)安全團(tuán)隊(duì)必須花時(shí)間在多個(gè)位置手動(dòng)檢查和驗(yàn)證控件。

NSPM解決方案提供了多種現(xiàn)成的合規(guī)性配置文件，這些配置文件可以在違反策略時(shí)發(fā)出警報(bào)，也可以提供顯示實(shí)時(shí)合規(guī)狀態(tài)的儀表板。創(chuàng)建特定于企業(yè)策略的自定義安全指導(dǎo)原則是一個(gè)擴(kuò)展到固定的常規(guī)合規(guī)性模板之外的功能。例如，一家公司擔(dān)心存儲(chǔ)在本地存儲(chǔ)區(qū)域中的敏感數(shù)據(jù)可以從外部訪問，可以創(chuàng)建一個(gè)定制的合規(guī)性規(guī)則，該規(guī)則將檢測(cè)到任何時(shí)間將數(shù)據(jù)暴露在公共互聯(lián)網(wǎng)上的行為(參見圖4)。

圖4.定制評(píng)估報(bào)告樣本 來源: FireMon

5、變更管理與網(wǎng)絡(luò)安全運(yùn)行自動(dòng)化

使用手動(dòng)更改過程來更新安全策略的網(wǎng)絡(luò)安全團(tuán)隊(duì)通常會(huì)發(fā)現(xiàn)響應(yīng)安全事件和遵守更改管理流程非常麻煩，而且容易出錯(cuò)?？焖?、安全地進(jìn)行更改是在確保環(huán)境得到保護(hù)的同時(shí)保護(hù)公司運(yùn)營(yíng)正常運(yùn)行時(shí)間的關(guān)鍵。因此，NSPM工具的變更管理系統(tǒng)是其中最重要的組成部分之一。

NSPM供應(yīng)商提供內(nèi)置的變更控制系統(tǒng)，支持變更管理的整個(gè)周期，以允許受控變更并防止計(jì)劃外停機(jī)。更改控制用于請(qǐng)求新規(guī)則或?qū)ΜF(xiàn)有規(guī)則的更改。一旦發(fā)出請(qǐng)求，它們將執(zhí)行流量分析，然后列出與此更改相關(guān)的所有躍點(diǎn)(網(wǎng)關(guān)、服務(wù)器)。變更管理系統(tǒng)檢查請(qǐng)求，并在違反任何標(biāo)準(zhǔn)時(shí)發(fā)出警報(bào);它還突出顯示與更改相關(guān)的任何風(fēng)險(xiǎn)。一旦解決了所有警報(bào)和風(fēng)險(xiǎn)，請(qǐng)求就會(huì)得到批準(zhǔn)并得到實(shí)施。這使管理員能夠暫存在狹窄的更改窗口期間自動(dòng)發(fā)生的更改。

在實(shí)施新的變更之前，還可以執(zhí)行變更影響分析。此功能為用戶提供了一個(gè)模擬環(huán)境，在該環(huán)境中，可以在尋求進(jìn)一步批準(zhǔn)之前分析更改的影響。它還使用戶能夠跳過任何更改過程，并自動(dòng)執(zhí)行可能不需要批準(zhǔn)或風(fēng)險(xiǎn)分析的常規(guī)日常規(guī)則。因此，可以為選定的規(guī)則實(shí)現(xiàn)端到端的自動(dòng)化(參見圖5)。

圖5. 變更管理工作流 來源: Gartner (February 2019)

6、遷移

2019年，數(shù)據(jù)中心和網(wǎng)絡(luò)處于不斷變化的狀態(tài)。為了提高效率和靈活性，組織正在采用軟件設(shè)計(jì)的網(wǎng)絡(luò)原則，并將工作負(fù)載轉(zhuǎn)移到公有云中——通常是多個(gè)公有云。將應(yīng)用程序遷移到云或其他數(shù)據(jù)中心而不中斷應(yīng)用程序連接或創(chuàng)建安全漏洞是一項(xiàng)挑戰(zhàn)。不斷的基礎(chǔ)設(shè)施演進(jìn)會(huì)導(dǎo)致一個(gè)混亂的網(wǎng)絡(luò)安全政策環(huán)境，在這種環(huán)境中，網(wǎng)絡(luò)安全和運(yùn)營(yíng)領(lǐng)導(dǎo)人爭(zhēng)先恐后地保持防火墻政策的最新性和相關(guān)性。

NSPM解決方案提供了一種附加到特定應(yīng)用程序的管理策略的方法，而不管應(yīng)用程序駐留在何處。NSPM描述了應(yīng)用程序遷移之前、期間和之后的應(yīng)用程序流，確保通信流在整個(gè)過程中保持不中斷。這些解決方案有助于從安全性和連接性的角度規(guī)劃、執(zhí)行和跟蹤遷移項(xiàng)目的所有階段。遷移后，NSPM可以幫助刪除無關(guān)的、遺留的防火墻規(guī)則。

7、連續(xù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析與脆弱性評(píng)估

隨著多個(gè)安全漏洞和安全事件的發(fā)生，業(yè)務(wù)主管和網(wǎng)絡(luò)安全運(yùn)營(yíng)團(tuán)隊(duì)不斷尋求基于風(fēng)險(xiǎn)的方法來查看其基礎(chǔ)架構(gòu)和應(yīng)用程序。隨著多種技術(shù)和多種漏洞掃描器的出現(xiàn)，風(fēng)險(xiǎn)分析和關(guān)聯(lián)的工作變得更具挑戰(zhàn)性。

NSPM工具提供基于風(fēng)險(xiǎn)的分析，其中還包括與第三方漏洞分析掃描儀的集成。實(shí)時(shí)網(wǎng)絡(luò)漏洞管理功能和集中的基于風(fēng)險(xiǎn)的儀表板視圖等功能可幫助企業(yè)持續(xù)了解其網(wǎng)絡(luò)中的風(fēng)險(xiǎn)。該產(chǎn)品的一個(gè)強(qiáng)大功能是在批準(zhǔn)和不批準(zhǔn)任何更改之前基于資產(chǎn)脆弱性的影響分析。

8、應(yīng)用程序連接管理

應(yīng)用程序及其可用性對(duì)于許多以應(yīng)用程序?yàn)橹行牡臉I(yè)務(wù)至關(guān)重要。應(yīng)用程序可用性對(duì)于此類企業(yè)的業(yè)務(wù)連續(xù)性至關(guān)重要。NSPM工具通過提供應(yīng)用程序發(fā)現(xiàn)和連接功能來解決這個(gè)使用案例。

這些工具還提供應(yīng)用程序自動(dòng)發(fā)現(xiàn)功能以檢測(cè)企業(yè)中使用的應(yīng)用程序。它們?cè)诰S護(hù)連接圖的同時(shí)提供實(shí)時(shí)應(yīng)用程序連接細(xì)節(jié)。不同的企業(yè)所有者可以生成基于應(yīng)用程序的更改管理請(qǐng)求，網(wǎng)絡(luò)安全操作團(tuán)隊(duì)可以實(shí)施更改，同時(shí)對(duì)應(yīng)用程序連接性和合規(guī)性要求進(jìn)行影響評(píng)估。應(yīng)用程序連接性映射還幫助網(wǎng)絡(luò)安全操作團(tuán)隊(duì)通過對(duì)應(yīng)用程序連接性執(zhí)行影響分析來跨數(shù)據(jù)中心和云平臺(tái)遷移應(yīng)用程序，從而避免意外停機(jī)(見圖6)。它也有助于識(shí)別未使用的應(yīng)用程序，以便可以安全地從網(wǎng)絡(luò)中停用它們。

圖6.應(yīng)用程序連接映射 來源: AlgoSec

DevOps

對(duì)應(yīng)用程序驅(qū)動(dòng)的安全設(shè)備策略更改的緩慢審查和批準(zhǔn)是DevOps團(tuán)隊(duì)實(shí)現(xiàn)最大速度的主要挑戰(zhàn)。這些過程可以為發(fā)布周期增加幾周時(shí)間，而一些高級(jí)DevOps團(tuán)隊(duì)的目標(biāo)周期時(shí)間不到一小時(shí)。

一些NSPM供應(yīng)商通過實(shí)現(xiàn)安全評(píng)估和執(zhí)行的自動(dòng)化來為DevOps用例提供支持。這允許開發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)進(jìn)行協(xié)作，并將自動(dòng)化的安全問題作為構(gòu)建管道的一部分。供應(yīng)商可以提供與構(gòu)建工具(如Jenkins)或開發(fā)自動(dòng)化解決方案(如Chef或Ansible)的本地集成。第三方DevOps工具鏈供應(yīng)商的支持因NSPM解決方案而異，但NSPM供應(yīng)商提供的API集成通?？晒〥evOps團(tuán)隊(duì)利用。安全和DevOps團(tuán)隊(duì)需要仔細(xì)評(píng)估應(yīng)用程序開發(fā)的傳統(tǒng)安全控制的自動(dòng)化，而不是本地云安全工具的實(shí)現(xiàn)，如云工作負(fù)載保護(hù)平臺(tái)(CWPP)和云安全策略管理解決方案。

采用率

第三方網(wǎng)絡(luò)安全策略管理是一個(gè)快速發(fā)展的市場(chǎng)。多供應(yīng)商防火墻規(guī)則管理在這些工具中已經(jīng)非常成熟?，F(xiàn)在，隨著云應(yīng)用的增加，這些工具正在增強(qiáng)其為云平臺(tái)提供可見性和管理支持的能力，這將進(jìn)一步推動(dòng)增長(zhǎng)。除了網(wǎng)絡(luò)安全策略管理之外，根據(jù)合規(guī)性和基于審計(jì)的報(bào)告維護(hù)安全策略也是采用這些工具的主要用例。Gartner還將網(wǎng)絡(luò)脆弱性評(píng)估和風(fēng)險(xiǎn)分析視為采用這些工具的新興使用案例。采用的主要驅(qū)動(dòng)因素各不相同。

風(fēng)險(xiǎn)

· 將NSPM工具添加到規(guī)模較小的安全組織的解決方案組合中是很昂貴的。

· 由于這些工具與多供應(yīng)商設(shè)備和環(huán)境(包括防火墻、路由器、交換機(jī)以及私有和公有云)交互，如果這些工具沒有正確實(shí)施，企業(yè)通常會(huì)面臨實(shí)施和初始管理問題。

· 企業(yè)在將這些產(chǎn)品引入市場(chǎng)之前往往無法對(duì)其進(jìn)行適當(dāng)?shù)脑u(píng)估，最終將面臨與現(xiàn)有網(wǎng)絡(luò)安全設(shè)備和變更管理工具的集成問題。

· 這些工具正在將其對(duì)可見性和控制的支持?jǐn)U展到混合環(huán)境中，但對(duì)私有和公有云的支持僅擴(kuò)展到少數(shù)有限的功能有限的提供商。

· 在沒有明確安全策略管理實(shí)施目標(biāo)的情況下，網(wǎng)絡(luò)安全運(yùn)營(yíng)主管可能會(huì)過度購(gòu)買平臺(tái)模塊，而這些模塊不會(huì)立即為其組織帶來好處，從而導(dǎo)致一些模塊在組織支付支持費(fèi)用時(shí)處于休眠狀態(tài)。

· 相反，購(gòu)買這些解決方案的網(wǎng)絡(luò)安全運(yùn)營(yíng)主管往往低估了其預(yù)期使用情形的范圍，因此購(gòu)買的容量不夠大。一些Gartner客戶內(nèi)部有多個(gè)NSPM工具，其中大多數(shù)都以有限的方式使用，很有可能成為擱置軟件。

· 這一領(lǐng)域的供應(yīng)商通常非常擅長(zhǎng)于支持操作使用案例(例如，防火墻策略管理)或風(fēng)險(xiǎn)和漏洞管理使用案例，但不能同時(shí)支持這兩個(gè)使用案例。這對(duì)于那些希望擁有一系列功能的買家來說是令人失望的。購(gòu)買時(shí)沒有概念驗(yàn)證(POC)可能導(dǎo)致期望值未得到滿足，以及與許多網(wǎng)絡(luò)安全產(chǎn)品的集成不完整。

· 供應(yīng)商對(duì)公有云和私有云中的Linux容器提供有限的支持，例如Amazon Elastic Container Service(ECS)、Amazon Elastic Container Service for Kubernetes(EKS)、AWS Fargate和Azure Kubernetes Service(AKS)、Google Kubernetes Engine以及Red Hat OpenShift等產(chǎn)品的內(nèi)部部署。

· 這些工具的許多功能與其他網(wǎng)絡(luò)操作(NetOps)工具(如網(wǎng)絡(luò)配置和更改管理(NCCM)工具和防火墻管理工具)重疊。同一組織中的NetOps團(tuán)隊(duì)可能會(huì)使用這些SecOps團(tuán)隊(duì)可能不知道的具有基本安全操作能力的工具，從而最終購(gòu)買提供類似功能的重復(fù)工具。

網(wǎng)絡(luò)安全策略管理替代方案

大多數(shù)現(xiàn)有的安全供應(yīng)商都在擴(kuò)展對(duì)混合環(huán)境的支持。這些供應(yīng)商包括防火墻、入侵檢測(cè)和預(yù)防系統(tǒng)(IDPS)、漏洞掃描、SIEM、端點(diǎn)安全等等。如果客戶對(duì)合規(guī)性、規(guī)則管理和威脅可見性有基本要求，建議他們與現(xiàn)有的解決方案提供商聯(lián)系。例如，大多數(shù)防火墻供應(yīng)商都提供集中管理器來管理多個(gè)防火墻。雖然集中式管理器并沒有提供前面在關(guān)鍵用例和定義部分中提到的所有功能，但是它們確實(shí)提供了集中的防火墻規(guī)則管理。

有一些示例替代供應(yīng)商提供了一些功能，并滿足了關(guān)鍵使用案例部分中提到的一些使用案例：

· 防火墻供應(yīng)商:

o Check Point Software Technologies CloudGuard Dome9

o Cisco Stealthwatch Cloud and Cisco Tetration

o Fortinet Security Fabric

o Juniper Networks Junos Space Security Director

o Palo Alto Networks RedLock

· 管理本地云的安全 處理 管理供應(yīng)商:

o CloudCheckr

o Cloudvisory

· 網(wǎng)絡(luò)自動(dòng)化供應(yīng)商:

o AppViewX

o Nuage Networks from Nokia

o Red Hat Ansible

· 多種云風(fēng)險(xiǎn)與漏洞管理供應(yīng)商:

o AlienVault

o RedSeal

o Tenable

· 基于主服務(wù)器的微分段供應(yīng)商:

o Alcide

o Guardicore

o Illumio

建議

負(fù)責(zé)網(wǎng)絡(luò)安全運(yùn)營(yíng)的安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)人們:

· 在入圍供應(yīng)商之前，將確定主要和初始使用案例作為主要需求。閱讀“優(yōu)點(diǎn)和使用”部分，以確定最能定義您的需求的使用案例。

· 如果主要目標(biāo)是跨私有網(wǎng)絡(luò)和混合網(wǎng)絡(luò)進(jìn)行防火墻策略管理，則評(píng)估現(xiàn)有集中式防火墻管理器供應(yīng)商的能力，因?yàn)檫@些供應(yīng)商也在發(fā)展對(duì)公有云(如AWS和Azure)的支持。

· 識(shí)別相鄰的使用案例，并與能夠協(xié)作和評(píng)估這些工具的相應(yīng)業(yè)務(wù)主管交談。

· 避免在未對(duì)主要和相鄰使用案例進(jìn)行適當(dāng)評(píng)估的情況下，最終確定購(gòu)買任何NSPM工具。評(píng)估因素必須包括對(duì)不同網(wǎng)絡(luò)安全產(chǎn)品當(dāng)前固件版本的支持。

· 根據(jù)您的使用案例準(zhǔn)備一份環(huán)境中正在使用的設(shè)備和工具的列表，以檢查NSPM供應(yīng)商提供的集成功能。這個(gè)列表應(yīng)該超越防火墻和路由器，包括漏洞掃描程序、SOAR、ITSM和DevOps工具。

· 如果它們是您當(dāng)前或未來使用案例的一部分的話，評(píng)估對(duì)私有和公有云的混合網(wǎng)絡(luò)的支持，因?yàn)檫@種支持是一個(gè)不斷發(fā)展的功能，NSPM供應(yīng)商支持的功能有限。

· 利用這些供應(yīng)商提供的專業(yè)執(zhí)行服務(wù)來實(shí)現(xiàn)穩(wěn)定的實(shí)施。確保管理員和業(yè)務(wù)主管接受此工具的全面培訓(xùn)，以最佳方式利用其所有功能。

· 在通過評(píng)估NSPM解決方案來啟用DevOps時(shí)，驗(yàn)證網(wǎng)絡(luò)安全控制是否是自動(dòng)持續(xù)集成/連續(xù)交付(CI/CD)管道中的瓶頸。如果不是這樣，就不要強(qiáng)調(diào)這些能力。如果安全是主要的瓶頸，那么安全團(tuán)隊(duì)需要與DevOps團(tuán)隊(duì)密切合作，以了解應(yīng)用程序的安全需求，以確定NSPM工具是否可以幫助消除這種限制。

· 如果您是一個(gè)有成本意識(shí)或規(guī)模較小的安全團(tuán)隊(duì)，那么就減少現(xiàn)有供應(yīng)商，而不是將另一個(gè)供應(yīng)商添加到已經(jīng)很復(fù)雜的安全產(chǎn)品組合中，如果這樣您可能會(huì)發(fā)現(xiàn)NSPM工具很昂貴。

(本文作者：Rajpreet Kaur、Adam Hils、John Watts)

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！