企业的网络安全能力更多的是一种管理能力,面临疫情和数字云转型带来的新挑战:攻击面增长、IT复杂性、碎片化、Shadowing、企业网络安全部门面临的最大挑战是动态风险的集中有效管控。网络安全策略管理技术就像一个企业的空地一体化交通指挥系统,协调管理本地和云端的安全策略,为安全团队、网络IT团队、云计算运营团队提供统一的管理体系。借助高度可见的设备安全管理平台,IT与安全之间无缝协作的重要性不言而喻。本文从网络安全和风险管理的现状和需求出发,深入介绍了NSPM的概念、组成、结构、优缺点、风险和采购要求。网络安全策略管理工具可以通过跨混合网络实现安全策略的集中可见性和控制、风险分析、实时合规性和应用程序映射功能,帮助安全管理人员满足各种使用场景。一、概述主要发现:网络防火墙运维团队虽然提供了多种防火墙集中管理方案,但仍存在不少问题。企业尚未准备好在混合云环境中展示与在内部网上所做的相同级别的安全策略合规性。使用自助服务IaaS的开发人员通常使用云提供商的内置功能,网络安全团队没有可见性和控制权。网络和安全团队常常难以理解数字业务和微分段工作中关键应用程序的连接性。降低实时风险是企业安全团队的目标,但多供应商环境中的团队很难实现这一目标。建议:负责网络和端点安全、漏洞管理以及推动业务价值的DevSecOps的安全和风险管理领导者应该:确定主要和相邻用例,并与所有相关业务主管讨论如何有效利用工具和订阅。通过供应商概念验证,评估网络安全策略管理(NSPM)供应商与IT服务管理工具、安全设备和云平台等目标系统集成的能力。利用供应商的专业实施和培训服务来有效地管理和运行该工具。与应用程序开发和I&O团队合作,确定私有云和混合云采用的现有和短期路线图,以及与DevOps自愿性和合规性需求相关的任何安全要求。2.战略规划假设到2023年,至少99%的云安全故障是客户自己的错。到2023年,99%的防火墙漏洞将由防火墙配置错误引起,而不是防火墙本身的缺陷。到2021年,超过75%的大中型企业将拥有多种云和/或混合IT战略。到2023年,超过25%的使用多个IaaS提供商的企业将部署第三方安全和微分段控制,而不是仅仅依赖内置的IaaS控制,而目前这一比例还不到5%。3.分析尽管拥有多个网络安全供应商和集中管理平台,网络安全团队仍努力管理这些多品种和多供应商的安全策略,以保持跨异构环境的完全可见性。保持持续的合规性正成为一个更大的挑战。随着业务的扩展,这些网络及其需求也在不断发展。网络正在扩展到私有云和公共云。与此同时,通过DevOps向快速应用程序开发的转变使企业能够在保持安全性的同时更快地交付。因此,企业正在寻找更自动化的方法并将网络安全管理集成到DevOps中,以帮助他们满足不断增长的业务需求。借助满足这些用例的网络安全管理工具,安全和风险管理领导者可以利用NSPM解决方案来帮助管理当今环境中日益增加的复杂性。1.定义超越防火墙供应商提供的用户策略管理界面的网络安全策略管理工具。NSPM为规则优化、变更管理工作流、规则测试、合规性评估和可视化提供分析和审计,通常用设备和防火墙访问规则的可视网络图覆盖多个网络路径。NSPM工具通常位于具有相邻功能的套件中,例如应用程序连接管理、策略优化和面向风险的威胁路径分析。2.描述NSPM工具主要通过与多种网络安全产品集成来提供安全操作(SecOps)功能。这些工具有可能解决各种网络安全和应用程序管理用例。NSPM工具将可见性和安全策略管理功能扩展到公共和私有云平台。尽管到目前为止,管理公共云和私有云的安全策略是一项不断发展的技术,仅支持有限数量的云平台提供商,其中最常用的包括VMwareNSX、亚马逊网络服务(AWS)、微软Azure,以及有时是OpenStack。除了网络安全策略管理功能之外,这些工具还提供应用程序发现和连接功能。由于这些工具能够与路由器、交换机和负载平衡器等主要网络设备进行通信,因此它们还能够分析网络安全风险并执行漏洞评估。这些产品的关键组件是(见图1):多供应商防火墙和网络安全设备的安全策略管理变更管理系统风险和漏洞分析应用程序连接管理图1.网络安全策略管理工具组件来源:Gartner(2019年2月))NSPM工具提供与多供应商安全产品和解决方案的集成和自动化功能。供应商正在将集成扩展到以下部分解决方案:网络安全设备(防火墙、路由器、交换机等)IT服务管理解决方案公共IaaS平台软件定义网络(SDN)平台容器网络漏洞扫描器DevOps自动化工具安全信息和事件管理(SIEM)安全编排、分析和报告(SOAR)通过这些提供上述功能的工具,它们可以帮助组织解决各种用例。这些工具通过在保持持续合规性的同时进行风险分析来自动化网络安全操作。随着网络的发展,这些工具明确地提供了对公共和私有云平台的访问和控制;也就是说,跨混合网络提供集中的可见性和控制,而混合网络一直是网络安全运营团队的灰色地带。通过应用程序可见性,这些工具为应用程序和信息安全团队提供了一个通用平台,可以更快地协作和交付。四、优势及用途1、NSPM工具的主要功能防火墙规则管理:在多厂商、多防火墙环境下提供防火墙规则的集中规划,更容易集中创建和推送规则。FirewallPolicyManager有助于根据用例识别冗余、隐藏、重叠和冲突的规则。用户可以利用所有防火墙的过滤功能,根据不同的规则组件(对象、端口、IP地址)进行集中搜索。该领域的供应商还提供支持元数据的高级搜索功能。AdvancedSearch还提供精细的功能,例如两个设备之间的配置比较、审计跟踪、报告和自动变更管理。集中策略管理和可见性:此功能可帮助企业获得对整个网络的网络安全策略的集中可见性和控制。可见性控制扩展到第三方网络安全设备,例如路由器、交换机、负载平衡器以及私有和公共云提供商的本地控制。这对于混合网络来说是一个非常有用的功能,因为它还支持公共IaaS平台中的本地SDN和本地策略。因此,网络安全团队可以管理和控制整个网络的微分段网络安全策略。自动化变更管理:NSPM工具具有内置的变更请求系统,还可以与第三方ITSM供应商(如ServiceNow)集成。变更控制用于提出对新规则的请求或对现有规则进行变更。在NSPM批准或不批准之前,可以突出显示专用或未批准的工作流程和路径。这些工具还为通用规则提供完整的端到端自动化。供应商还提供RESTfulAPI以与SOAR自动化等其他解决方案集成。例如,SOAR自动化可以包括对NSPMAPI的调用,以在检测到感染时隔离指定IP地址的防火墙端口。NSPM工具将处理此请求并记录更改。拓扑映射和路径分析:此功能创建网络的虚拟地图,提供连接可见性和场景建模功能。在映射流量的同时,它还有助于维护最新的连接和网络安全态势图,这是一项艰巨的任务。此功能已扩展到混合环境,并提供私有云和公共云环境的映射和可见性,使其成为这些工具的重要选择因素。审计和合规性管理/安全策略报告:这些工具有多个内置的合规性配置文件,并在违反准则时发出警报。用户可以根据自己的标准创建自己的自定义安全准则。这有助于保持对所有政策和合规性和定期审计的可见性,并使外部审计体验更加轻松。这些工具有助于实时识别合规性差距并支持工作流程以纠正违反现有规则的行为。为任何违反合规性的行为生成警报,尤其是在任何新的变更请求期间。用户可以在需要时提取基于合规性的报告并将其用于审计目的。应用程序发现和连接管理:NSPM工具提供对网络安全策略的应用程序可见性。这有助于根据应用程序而不仅仅是IP地址请求来更改请求。应用程序使用情况的可见性有助于识别活动应用程序和停用非活动应用程序。应用程序的端到端连接有助于识别和更改运行应用程序所涉及的所有网络组件(应用程序服务器、防火墙、负载平衡器),而不会中断任何连接。一些供应商还提供应用程序迁移工作流来安全地迁移应用程序。漏洞和风险评估:风险评估功能对现有网络安全策略和配置中的风险和漏洞进行优先排序。它还有助于在批准任何更改之前识别与新更改请求相关的风险。NSPM工具与第三方漏洞扫描器集成,可以将结果作为工作流程的一部分导入,并根据漏洞识别风险。一些供应商通过与资产和补丁管理解决方案以及威胁情报平台等产品集成,在这方面提供更高级的功能,以执行持续的风险和影响分析。这些供应商提供自动化工作流程来运行扫描并根据风险进行更改。他们还为安全和风险管理领导者的影响分析提供基于风险的评分。由于NSPM工具提供的各种功能,它们有可能满足多种业务用例。NSPM工具的关键用例如下:2.关键用例(1)多类别/多品牌防火墙规则的集中管理理想情况下,网络安全和运营团队将部署单一品牌的防火墙,以最大限度地降低管理复杂性和减少错误配置的可能性。然而,现实是当今每个组织都有不同的需求。多品牌已经在具有以下特征的组织中成为现实:通过并购实现增长在全球范围内分阶段部署新防火墙,在公共云或SDN环境中使用云原生防火墙不同的防火墙选择决策由部门或地理位置做出。在这种情况下,网络安全和运营团队以及审计员都面临着复杂的规则集、管理控制台和零散的防火墙报告。NSPM概念最初是为应对这一挑战而开发的。随着防火墙供应商获得市场份额,NSPM工具建立了理解和管理其策略的统一能力。使用NSPM作为管理的单一事实来源有助于网络安全团队降低复杂性并获得对潜在配置问题的可见性(参见图2)。图2.用于管理多品种和多供应商防火墙的集中式界面来源:Tufin(2)跨混合网络和多云环境的网络安全策略可见性和管理随着网络发展为混合或多云环境,在这些平台上实现可见性是一项日益严峻的挑战,这使得网络安全运营团队几乎不可能在这些环境中管理和维护适当的网络安全策略。网络安全团队需要对本机和第三方网络安全控制有更多的可见性和控制力。NSPM解决方案提供安全设备的可见性和集中管理,例如跨多个供应商的防火墙和云原生安全配置。这有助于简化整个企业的安全策略规则管理,并降低因错误配置安全设备而导致的安全风险。提供商正在将这种支持扩展到混合云和公共云,从而实现跨所有企业基础架构环境的策略和规则集的集中管理(见图3)。图3.跨混合环境的拓扑映射来源:Skybox5.微分段由于缺乏对跨不同应用程序和环境的网络流和连接的可见性和理解,网络安全运营团队通常将微分段视为一项挑战。同时,微分段已成为缓解东西向流量相关风险的关键措施。安全团队需要了解网络的所有本地控制以及第三方控制以及应用程序连接映射,以便成功实施和维护微分段。保持多层次的合规性也非常重要。NSPM工具提供对不同网络、第三方防火墙和应用程序连接的集中可见性和控制,以便网络安全团队可以在保持合规性的同时应用微分段。在混合网络团队的支持下,安全团队可以集中查看和控制SDN和公共云平台原生策略,而无需登录多个不同的控件。跟踪所有更改并突出显示任何违规行为,以便在不破坏应用程序的情况下修复它们。这些功能共同帮助组织保持有效的微分段控制,尽管涉及多个不同的设备、网络和应用程序。6.持续审计和遵守安全政策敏感数据和与之相关的安全控制越来越分散在多个环境和供应商中。《萨班斯-奥克斯利法案》(SOX)、《支付卡行业数据安全标准》(PCIDSS)、《通用数据保护条例》(GDPR)和《健康保险便携性与责任法案》(HIPAA)等不同的法规要求公司定期证明合规性。如果没有自动验证审计合规性的方法,网络安全团队必须花时间在多个位置手动检查和验证控制。NSPM解决方案提供各种开箱即用的合规配置文件,可以在违反政策时发出警报,并提供显示实时合规状态的仪表板。创建特定于企业策略的自定义安全指南是一种超越固定通用合规性模板的功能。例如,一家担心存储在本地存储区域的敏感数据可以从外部访问的公司可以创建一个自定义合规性规则,该规则将检测数据何时暴露在公共互联网上(见图4)。图4.样本自定义评估报告来源:FireMonSeven。变更管理和网络安全运营自动化使用手动变更流程来更新安全策略的网络安全团队通常会发现响应安全事件和遵守变更管理流程既麻烦又容易出错。快速安全地进行更改是保护公司正常运行时间同时确保您的环境得到保护的关键。因此,NSPM工具的变更管理系统是最重要的组成部分之一。NSPM供应商提供内置的变更控制系统,支持变更管理的完整周期,以允许受控变更并防止计划外停机。更改控制用于请求新规则或更改现有规则。一旦发出请求,他们就会执行流量分析,然后列出与此更改相关的所有跃点(网关、服务器)。变更管理系统检查请求并在违反任何标准时发出警报;它还强调了与变更相关的任何风险。一旦所有警报和风险都得到解决,请求就会得到批准和实施。这使管理员能够在狭窄的更改窗口期间自动进行更改。在实施新的变更之前,还可以进行变更影响分析。此功能为用户提供了一个模拟环境,可以在寻求进一步批准之前分析更改的影响。它还使用户能够跳过任何更改过程并自动执行可能不需要批准或风险分析的例行日常规则。因此,可以为选定的规则实现端到端的自动化(参见图5)。图5.变更管理工作流程资料来源:Gartner(2019年2月)8.迁移2019年,数据中心和网络处于不断变化的状态。为了提高效率和敏捷性,组织正在采用软件设计的网络原则并将工作负载转移到公共云——通常是多个公共云。在不中断应用程序连接或创建安全漏洞的情况下将应用程序迁移到云或其他数据中心是一项挑战。不断的基础设施发展可能导致混乱的网络安全政策环境,网络安全和运营领导者争先恐后地使防火墙政策保持最新和相关。NSPM解决方案提供了一种将管理策略附加到特定应用程序的方法,而不管应用程序位于何处。NSPM描述了应用程序迁移之前、期间和之后的应用程序流程,确保通信流程在整个过程中保持不间断。这些解决方案有助于从安全和连接的角度规划、执行和跟踪迁移项目的所有阶段。迁移后,NSPM可以帮助删除不相关的旧防火墙规则。9.持续的网络安全风险分析和漏洞评估随着多起安全漏洞和安全事件的发生,企业高管和网络安全运营团队不断寻求基于风险的方法来查看其基础架构和应用程序。随着多种技术和多种漏洞扫描器的出现,风险分析和关联的任务变得更具挑战性。NSPM工具提供基于风险的分析,其中还包括与第三方漏洞分析扫描程序的集成。实时网络漏洞管理功能和基于风险的集中式仪表板视图等功能可帮助组织持续了解其网络中的风险。该产品的一个强大功能是在批准和不批准任何更改之前基于资产漏洞的影响分析。10.应用程序连接管理应用程序及其可用性对于许多以应用程序为中心的企业来说至关重要。应用可用性对于此类企业的业务连续性至关重要。NSPM工具通过提供应用程序发现和连接功能来解决此用例。这些工具还提供应用程序自动发现功能,以检测企业中使用的应用程序。它们在维护连接图的同时提供实时应用程序连接详细信息。不同的企业所有者可以生成基于应用程序的变更管理请求,网络安全运营团队可以实施变更,同时对应用程序连接性和合规性要求进行影响评估。应用程序连接映射还可以通过对应用程序连接性执行影响分析来帮助网络安全运营团队跨数据中心和云迁移应用程序,以避免计划外停机(见图6)。它还有助于识别未使用的应用程序,以便可以安全地将它们从网络中停用。图6.应用程序连接映射来源:AlgoSec十一,DevOps应用程序驱动的安全设备策略更改的缓慢审查和批准是DevOps团队实现最大速度的主要挑战。这些流程可能会增加数周的发布周期,一些高级DevOps团队的目标是周期时间少于一小时。一些NSPM供应商通过自动化安全评估和实施来支持DevOps用例。这允许开发和安全团队协作并将安全问题自动化作为构建管道的一部分。供应商可能会提供与Jenkins等构建工具或Chef或Ansible等开发自动化解决方案的本地集成。第三方DevOps工具链供应商的支持因NSPM解决方案而异,但NSPM供应商提供的API集成通常可供DevOps团队利用。安全和DevOps团队需要仔细评估应用程序开发的传统安全控制自动化,而不是云工作负载保护平台(CWPP)和云安全策略管理解决方案等原生云安全工具的实施。12.采用率第三方网络安全策略管理是一个快速增长的市场。这些工具中建立了多供应商防火墙规则管理。现在,随着云采用的增加,这些工具正在增强它们为云平台提供可见性和管理支持的能力,这将进一步推动增长。除了网络安全策略管理之外,基于合规性和基于审计的报告维护安全策略是采用这些工具的主要用例。Gartner还将网络漏洞评估和风险分析视为采用这些工具的新兴用例。采用的主要驱动因素各不相同。13.风险将NSPM工具添加到较小的安全组织的解决方案组合中是昂贵的。由于这些工具与多供应商设备和环境交互,包括防火墙、路由器、交换机以及私有云和公共云,如果这些工具实施不当,企业通常会面临实施和初始管理问题。在将这些产品推向市场之前,组织通常无法正确评估这些产品,并最终面临与现有网络安全设备和变更管理工具的集成问题。这些工具正在将其对可见性和控制的支持扩展到混合环境中,但对私有云和公共云的支持仅扩展到能力有限的有限数量的提供商。如果没有明确的安全策略管理实施目标,网络安全运营主管可能会过度购买不能为其组织带来直接利益的平台模块,从而在组织支付支持费用时让一些模块处于休眠状态。相反,购买这些解决方案的网络安全运营主管往往会低估其预期用例的范围,并且购买的容量不足。一些Gartner客户内部拥有多个NSPM工具,其中大部分工具的使用范围有限,很可能成为搁置的软件。这个领域的供应商通常非常擅长支持操作用例(例如,防火墙策略管理)或风险和漏洞管理用例,但不能同时支持两者。对于希望获得一系列功能的买家来说,这令人失望。在没有概念证明(POC)的情况下进行购买可能会导致无法满足预期以及与许多网络安全产品的不完全集成。供应商对公有云和私有云中的Linux容器提供有限支持,例如AmazonElasticContainerService(ECS)、AmazonElasticContainerServiceforKubernetes(EKS)、AWSFargate和AzureKubernetesService(AKS)、GoogleKubernetesEngine和On-RedHatOpenShift等产品的前提部署。这些工具的许多功能与其他网络操作(NetOps)工具重叠,例如网络配置和变更管理(NCCM)工具和防火墙管理工具。同一组织中的NetOps团队可能会使用具有SecOps团队可能不知道的基本安全操作功能的工具,并最终购买提供类似功能的重复工具。14.网络安全策略管理备选方案大多数现有安全供应商正在扩大对混合环境的支持。这些供应商包括防火墙、入侵检测和预防系统(IDPS)、漏洞扫描、SIEM、端点安全等。如果客户对合规性、规则管理和威胁可见性有基本要求,建议他们与现有解决方案提供商合作。例如,大多数防火墙供应商都提供一个集中式管理器来管理多个防火墙。虽然集中式管理器不提供前面在关键用例和定义部分中提到的所有功能,但它们确实提供了集中式防火墙规则管理。有一些示例替代供应商提供一些功能并满足关键用例部分中提到的一些用例:防火墙供应商:CheckPointSoftwareTechnologiesCloudGuardDome9CiscoStealthwatchCloud和CiscoTetrationFortinetSecurityFabricJuniperNetworksJunosSpaceSecurityDirectorPaloAltoNetworksRedLock管理本地云的安全处理管理供应商:CloudCheckrCloudvisory网络自动化供应商:AppViewXNuageNetworksfromNokiaRedHatAnsible多云风险和漏洞管理供应商:AlienVaultRedSealTenable基于主机的微分段配置供应商:AlcideGuardicoreIllumioXV。对负责网络安全运营的安全和风险管理负责人的建议:在筛选供应商之前,将主要和初始用例确定为关键要求。阅读“优势和用途”部分以确定最符合您需求的用例。如果主要目标是跨私有和混合网络的防火墙策略管理,请评估现有集中式防火墙管理器供应商的能力,因为这些供应商也在开发对AWS和Azure等公共云的支持。确定相邻的用例,并与可以协作和评估这些工具的合适的业务领导交谈。避免在未对主要和相邻用例进行适当评估的情况下完成购买任何NSPM工具。评估因素必须包括对不同网络安全产品的当前固件版本的支持。根据您的用例准备您环境中使用的设备和工具的列表,以检查NSPM供应商提供的集成功能。这个列表应该超越防火墙和路由器,包括漏洞扫描器、SOAR、ITSM和DevOps工具。如果私有云和公共云的混合网络是您当前或未来用例的一部分,请评估对它们的支持,因为这是一项不断发展的功能,NSPM供应商的支持有限。利用这些供应商的专业执行服务来实现稳定的实施。确保管理员和业务主管接受过有关此工具的全面培训,以最佳地利用其所有功能。在评估NSPM解决方案以启用DevOps时,验证网络安全控制是否是自动持续集成/持续交付(CI/CD)管道中的瓶颈。如果没有,请不要强调这些能力。如果安全是主要瓶颈,那么安全团队需要与DevOps团队密切合作,了解应用程序的安全需求,以确定NSPM工具是否可以帮助消除此限制。如果您是一个注重成本或规模较小的安全团队,您可能会发现NSPM工具有助于减少现有供应商,而不是将另一个供应商添加到已经很复杂的安全产品组合中。昂贵的。【本文为专栏作者“安牛”原创文章,转载请通过安牛(微信公众号id:gooann-sectv)获得授权】点此阅读作者更多好文
