安全牛点评:企业的网络安全能力更多的是一种管理能力,面对疫情和数字化云端转型带来的新挑战:攻击面增长、IT复杂化、碎片化、影子化,企业网络安全部门面临的最大挑战就是对动态风险的集中化有效管控。而网络安全策略管理技术则好比企业的空中和地面一体化交通指挥系统,协调管理本地和云端安全策略,为安全团队、网络IT团队和云计算运营团队提供一个统一的,对应用、网络、负载和设备高可视化的安全管理平台,让IT与安全无缝协同,其重要性不言而喻。本文从网络安全与风险管理现状、需求出发,深入介绍了NSPM的概念、构成、格局、优缺点、风险以及采购需知。
网络安全策略管理工具可以帮助安全管理者,通过跨混合网络实现安全策略的集中可见与控制、风险分析、实时合规和应用程序映射功能,来满足多种多样的使用场景。
主要发现
·尽管网络防火墙运维团队提供了多个防火墙集中管理解决方案,但仍存在许多问题。
·企业还没有准备好在混合云环境中展示与内网相同级别的安全策略一致性。
·使用自助IaaS的开发人员通常使用云提供商的内置功能,网络安全团队不具备可见性和控制权。
·网络和安全团队通常难以了解数字业务和微分段工作中关键应用程序的连通性。
·缓解实时风险是企业安全团队的一个目标,但是多供应商环境中的团队很难达成这个目标。
建议
对网络和端点安全、漏洞管理和驱动业务价值的DevSecOps这些负责的安全和风险管理领导者们应当:
·确定主要的和相邻的使用案例,并与所有相关的业务主管讨论如何有效地利用工具和订阅。
·通过供应商概念验证,评估网络安全策略管理(NSPM)供应商与目标系统(如IT服务管理工具、安全设备和云平台)集成的能力。
·利用供应商的专业服务进行实施和培训,以有效地管理和运行该工具。
·与应用程序开发和I&O团队合作,确定私有云和混合云采用的现有和短期路线图以及与DevOps自发性与合规性需求相关的任何安全要求。
到2023年,至少99%的云安全故障都将是客户自身的错误。
到2023年,99%的防火墙漏洞将是由防火墙的错误配置引起的,而不是防火墙自身的缺陷。
到2021年,超过75%的大中型企业将采用多种云和/或混合IT战略。
到2023年,超过25%的使用多个IaaS提供商的企业将部署第三方安全和微分段控制,而不仅仅依赖于内置的IaaS控制,这一比例目前还不到5%。
尽管有多家网络安全供应商拥有集中管理平台,但网络安全团队仍在努力管理这些多种类以及多供应商的安全策略,以期在异构环境中保持完全的可见性。保持持续的合规性正成为一个更大的挑战。随着企业的扩张,这些网络及其需求也在不断发展。网络正在扩展到私有云和公有云。同时,通过DevOps向快速应用程序开发的转变使企业能够在保证安全的同时更快地交付。因此,企业正在寻求将网络安全管理更加自动化和集成到DevOps中的方法,以帮助他们满足不断增长的业务需求。通过网络安全管理工具满足这些用例,安全和风险管理领导者可以利用NSPM解决方案来帮助管理当今环境中增加的复杂性。
定义
网络安全策略管理工具超越了防火墙供应商提供的用户策略管理界面。NSPM为规则优化、更改管理工作流、规则测试、合规性评估和可视化提供分析和审核,通常使用设备和防火墙访问规则的可视网络映射覆盖到多个网络路径上。NSPM工具通常在套件中,包含应用程序连接管理、策略优化和面向风险的威胁路径分析等相邻功能。
描述
NSPM工具主要通过与多个网络安全产品集成来提供安全操作(SecOps)功能。这些工具有可能满足多种网络安全和应用程序管理用例。NSPM工具扩展了对公共和私有云平台的可见性和安全策略管理功能。虽然,到目前为止,管理公共和私有云的安全策略是一项不断发展的技术,只支持有限数量的云平台提供商,其中最常用的包括VMware NSX、Amazon Web Services(AWS)、Microsoft Azure,有时还有OpenStack。除了网络安全策略管理功能外,这些工具还提供应用程序发现和连接功能。由于这些工具能够与主要的网络设备(如路由器、交换机和负载平衡器)进行通信,因此它们还能够分析网络安全风险并执行漏洞评估。
这些产品的关键组成部分是(见图1):
1.多供应商防火墙和网络安全设备的安全策略管理
2.变更管理系统
3.风险和脆弱性分析
4.应用连接管理
图1.网络安全策略管理工具组成部分
来源: Gartner ( 2019年2月 )
NSPM工具提供与多供应商安全产品及解决方案的集成和自动化功能。供应商正在将集成扩展到以下一些解决方案:
网络安全设备(防火墙、路由器、交换机等)
· IT服务管理解决方案
· 公共IaaS平台
· 软件定义网络(SDN)平台
· 集装箱网络
· 漏洞扫描程序
· DevOps自动化工具
· 安全信息和事件管理(SIEM)
· 安全协调、分析和报告(SOAR)
通过这些提供上述功能的工具,它们可以帮助企业满足多种使用场景。
这些工具通过进行风险分析来自动化网络安全操作,同时保持持续的合规性。随着网络的发展,这些工具正在明确地提供对公共和私有云平台的访问和控制;也就是在一直是网络安全运营团队的一个灰色地带的混合网络中提供集中的可视性和控制。通过应用程序可见性,这些工具为应用程序和信息安全团队提供了一个共同的平台,以便协作并更快地交付。
NSPM工具的主要功能
· 防火墙规则管理:这为多供应商和多防火墙环境中的防火墙规则提供了集中规划,使集中创建和推送规则更加容易。防火墙策略管理器帮助根据使用案例识别冗余、隐藏、重叠和冲突的规则。用户可以根据不同的规则组成部分(对象、端口、IP地址),利用所有防火墙的过滤功能进行集中搜索。这个领域的供应商还提供了一个支持元数据的高级搜索功能。高级搜索还提供粒度功能,如两个设备之间的配置比较、审计跟踪、报告和自动更改管理。
· 集中式策略管理和可见性:此功能可帮助企业获得跨网络的网络安全策略的集中可见性和控制。可见性控制扩展到第三方网络安全设备,如路由器、交换机、负载平衡器以及私有和公有云供应商的本机控件。这对于混合网络来说是一个非常有用的功能,因为它还支持本地SDN和公共IaaS平台中的本机策略。因此,网络安全团队可以跨网络管理和控制微段网络安全策略。
· 自动化变更管理:NSPM工具有一个内置的变更请求系统,还可以与第三方ITSM供应商(如ServiceNow)集成。更改控制用于对现有规则进行新规则的请求或进行更改。在NSPM被批准或不批准之前,可以突出显示专用的或未批准的工作流程和路径。这些工具还为常规规则提供了完整的端到端自动化。供应商还提供restfulapi来与SOAR automations等其他解决方案集成。例如,SOAR自动化可包括对NSPM API的调用,以隔离由于检测到的感染而指定IP地址的防火墙端口。NSPM工具将处理此请求并记录更改。
· 拓扑映射和路径分析:此功能创建网络的虚拟映射,提供连接可见性和场景建模功能。在绘制流量图的同时,它也有助于保持连接和网络安全态势地图的最新状态,这是一项很难实现的任务。这个特性已经扩展到混合环境,并且提供了私有和公有云环境的映射和可见性,这使得它成为这些工具的一个重要选择因素。
· 安全策略的审核和合规性管理/报告:这些工具具有多个内置的合规性配置文件,在违反准则时会发出警报。用户可以根据自己的标准创建自己的自定义安全指南。这有助于保持对所有策略和合规性和定期审核,并使外部审核体验更轻松。这些工具有助于实时识别合规性差距,并支持工作流来纠正违反的现有规则。在任何违反合规性的情况下,特别是在任何新的更改请求期间,都会生成警报。用户可以在需要时提取基于合规性的报告,并将其用于审计目的。
· 应用程序发现和连接管理:NSPM工具提供网络安全策略的应用程序可见性。这有助于根据应用程序而不仅仅是IP地址请求来更改请求。对应用程序使用情况的可见性有助于识别活动应用程序和停用非活动应用程序。应用程序的端到端连接有助于对运行该应用程序所涉及的所有网络组件(应用程序服务器、防火墙、负载平衡器)进行识别和在不中断任何连接的情况下进行更改。一些供应商还提供应用程序迁移工作流来安全地迁移应用程序。
· 漏洞和风险评估:风险评估功能根据优先级列出现有网络安全策略和配置中的风险和漏洞。它还有助于在批准任何更改之前识别与新更改请求相关的风险。NSPM工具与第三方漏洞扫描器集成,能够导入结果并使其成为工作流的一部分并且基于漏洞来识别风险。一些供应商通过与资产和补丁管理解决方案以及威胁情报平台等产品集成,在这方面提供了更先进的功能以执行持续的风险和影响分析。这些供应商提供自动化的工作流程来运行扫描并根据风险进行更改。它们还提供基于风险的评分,以便于安全和风险管理领导人们进行影响分析。
由于NSPM工具提供了多种功能,它们有可能满足多个业务用例。NSPM工具的关键使用案例如下:
多种类/多品牌防火墙规则的集中管理
在理想的情况下,网络安全和运营团队将部署单一品牌的防火墙,以最大限度地降低管理复杂性和减少错误配置的可能性。然而,现实是,现在每个组织都有异构的需求。多品牌在拥有如下情况的公司机构中已经是一种现实情况:
? 通过并购成长
? 在公有云或SDN环境中使用云本机防火墙
? 在全球分阶段部署新的防火墙品牌
? 拥有分散IT,其中根据不同的业务部门或地理位置做出不同的防火墙选择决策
在这种情况下,网络安全和运营团队以及审计人员将面临错综复杂的规则集合、管理控制台和零碎的防火墙报告。
NSPM概念最初是为了应对这一挑战而制定的。随着防火墙供应商获得市场份额,NSPM工具建立了统一理解和管理其策略的能力。使用NSPM作为管理真相的单一来源有助于网络安全团队降低复杂性并清楚地看到潜在的配置问题(见图2)。
图2.管理多种类和多供应商防火墙的集中接口
