域名預訂/競價，好“米”不錯過

簡介：NSPM已成為網絡安全領域不可或缺的技術方向。

到2023年，99%的防火墻缺口，是由防火墻策略配置錯誤引起的，而不是防火墻自身缺陷。這是Gartner在2019年的一份行業(yè)觀察報告中提出的觀點。

乍一看，99%這個數(shù)字似乎言過其實。但想一想日常運維中，業(yè)務開通訪問權限時的曲折過程，安全審查和風險評估時列出的隱患清單，這個數(shù)字又似乎恰如其分。

只增策略、不減策略的防火墻運維習慣，讓我們很難對存量策略做到全面準確控制。違規(guī)訪問授權、高危端口開放、控制寬松，還有冗余、過期、錯誤配置，都會被攻擊者利用發(fā)起進攻。

因此，Gartner在很多安全架構理念中，都突出強調了NSPM的重要性。

在ASA自適應安全架構中，防御、檢測、響應、預測的安全閉環(huán)體系，需要以策略與合規(guī)為核心驅動力，實現(xiàn)持續(xù)的自我進化。

在CARTA持續(xù)自適應風險與信任評估體系中，要求通過縱深分析和實體行為分析，對訪問控制策略進行動態(tài)調整，給安全運營充分的彈性空間，并隨著系統(tǒng)外部環(huán)境的變化而進化。

在我國最新的等保2.0標準中，也將NSPM作為重要的技術要求。等級保護三級通用要求技術部分中，共包含24個控制點、74個測評指標項、164個測評實施內容項;其中涉及NSPM的有4個控制點、10個測評指標項和20個測評實施內容項。

NSPM即將成為或者說已經成為了網絡安全領域不可或缺的技術方向。

Gartner對NSPM給出了明確定義：超越防火墻廠商提供的管理界面，通過將整網設備與安全策略映射為可視化的網絡拓撲，提供策略優(yōu)化、策略變更管理、策略仿真、合規(guī)性檢查等分析與審計能力，通常具備應用連接管理、安全策略優(yōu)化、面向風險的威脅路徑分析等功能模塊。

當前，很多企業(yè)單位已經將NSPM技術補充集成到SEIM(安全事件和信息管理)、SOAR(安全編排、自動化及響應)等解決方案中。

下面，來介紹一下NSPM的四個技術方向。

安全策略管理給運維團隊帶來了很大挑戰(zhàn)，安全設備的品牌異構、安全設備的分散管理、安全策略的不可見是本質原因。

由于企業(yè)單位的架構重組、IT分階段建設和IT分布式運營等原因，網絡設備和安全設備的品牌異構無法避免，需要熟悉多家產品的操作界面和操作命令，這是對運維人員的第一個挑戰(zhàn)。

廠商提供的是針對每一臺設備的獨立界面，設備之間安全策略的關聯(lián)關系是對運維人員的第二個挑戰(zhàn)，往往會出現(xiàn)遺漏某臺設備的變更，造成整體變更不生效的問題。

策略不可見在日常運維中，經常導致運維人員的時間浪費。

因此，對于安全策略管理，需要實現(xiàn)多品牌設備集中管理、安全策略可見、配置準確性核查等功能。

很多人慣性的認為，風險與脆弱性管理屬于漏洞管理范疇。但放通any的寬松控制、開放的高危端口、違規(guī)的訪問授權，同樣是風險與脆弱性的重要組成部分。

所以對安全策略進行合規(guī)及剛性安全需求的風險檢查，也是NSPM的重要部分。其具體實現(xiàn)更多表現(xiàn)為對規(guī)則庫的匹配技術，包括等保規(guī)則庫、高危端口等風險規(guī)則庫、業(yè)務規(guī)則庫等。

應用連接管理通過對網絡與安全設備策略的關聯(lián)建模，提供網絡中應用端到端的可視化連接詳情，讓運維人員切實了解到資產間的互訪關系，支撐故障排查、綜合風險評估等。

策略變更管理不是單純的網絡自動化運維，不是只將變更需求翻譯成可執(zhí)行的命令行腳本，而是從效率提升和風險控制方面實現(xiàn)安全運維能力的整體提升。

接收到變更請求后，首先應該判斷是否需要變更以及做什么樣的變更，而不是立刻執(zhí)行審批流程，等結束繁雜的審批后才發(fā)現(xiàn)根本不需要變更。

控制策略變更中的風險是第二步，NSPM能夠檢查并規(guī)避變更過程中出現(xiàn)的寬松控制、高危端口開放、違規(guī)授權、策略沖突等問題。

之后才是傳統(tǒng)意義上的自動生成腳本和腳本推送驗證工作。

這一流程可以保證策略變更的持續(xù)安全與合規(guī)。

NSPM可以為運維團隊解決上述如此多的切實問題，但在其落地過程中也存在著風險。

第一個是由于認識偏差造成的重復建設疑慮。NSPM的部分功能與合規(guī)檢查工具、網絡運維平臺等存在類似，很多用戶認為自身已具備相應能力，但二者并不相同，而是互補關系。

第二個是由于管理規(guī)范缺失造成的功能不落地。NSPM是為了讓安全策略更加規(guī)范，當企業(yè)單位缺少相應的策略管理標準時，或業(yè)務部門強勢導致標準無法執(zhí)行時，即使購買了相關產品也很難實際落地。

第三個是分工機制造成的跨團隊合作問題。由于NSPM即涉及網絡設備也涉及安全設備，在實際應用中會碰到網絡團隊與安全團隊的跨團隊合作難題。

第四個是與其他安全系統(tǒng)的集成問題。NSPM解決的是基礎安全運維問題，可以為其他安全系統(tǒng)提供數(shù)據(jù)支撐，因此會面臨與其他安全系統(tǒng)的集成，這就要求其具備豐富的應用與數(shù)據(jù)集成接口。

對于云環(huán)境和容器環(huán)境的有限支持和小規(guī)模網絡建設成本較高，也會給NSPM落地帶來風險。

但是困難擋不住價值的光芒，目前已經有多家廠商在推進NSPM產品的開發(fā)和落地，最后來對比一下市場上相關產品的能力。

NSPM產品廠商主要包括國外的SkyBox、RedSeal、Firemon、Algosec和國內的安博通等。在產品功能完善性和成熟性方面，SkyBox、RedSeal、安博通處于第一梯隊，F(xiàn)iremon、Algosec處于第二梯隊。

第一梯隊廠商在數(shù)據(jù)基礎和應用功能上相對完善，尤其是在路由配置、地址映射配置等數(shù)據(jù)方面;第二梯隊主要著眼于防火墻策略的檢查和維護。

整體來看，NSPM產品在向著良好的方向發(fā)展，被越來越多的企業(yè)單位所認可。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！