企業(yè)的網(wǎng)絡(luò)安全能力更多的是一種管理能力，面對疫情和數(shù)字化云端轉(zhuǎn)型帶來的新挑戰(zhàn)：攻擊面增長、IT復(fù)雜化、碎片化、影子化，企業(yè)網(wǎng)絡(luò)安全部門面臨的最大挑戰(zhàn)就是對動態(tài)風(fēng)險的集中化有效管控。而網(wǎng)絡(luò)安全策略管理技術(shù)則好比企業(yè)的空中和地面一體化交通指揮系統(tǒng)，協(xié)調(diào)管理本地和云端安全策略，為安全團(tuán)隊、網(wǎng)絡(luò)IT團(tuán)隊和云計算運營團(tuán)隊提供一個統(tǒng)一的，對應(yīng)用、網(wǎng)絡(luò)、負(fù)載和設(shè)備高可視化的安全管理平臺，讓IT與安全無縫協(xié)同，其重要性不言而喻。本文從網(wǎng)絡(luò)安全與風(fēng)險管理現(xiàn)狀、需求出發(fā)，深入介紹了NSPM的概念、構(gòu)成、格局、優(yōu)缺點、風(fēng)險以及采購需知。

網(wǎng)絡(luò)安全策略管理工具可以幫助安全管理者，通過跨混合網(wǎng)絡(luò)實現(xiàn)安全策略的集中可見與控制、風(fēng)險分析、實時合規(guī)和應(yīng)用程序映射功能，來滿足多種多樣的使用場景。

[[340258]]

一、概述

主要發(fā)現(xiàn)：

• 盡管網(wǎng)絡(luò)防火墻運維團(tuán)隊提供了多個防火墻集中管理解決方案，但仍存在許多問題。
• 企業(yè)還沒有準(zhǔn)備好在混合云環(huán)境中展示與內(nèi)網(wǎng)相同級別的安全策略一致性。
• 使用自助IaaS的開發(fā)人員通常使用云提供商的內(nèi)置功能，網(wǎng)絡(luò)安全團(tuán)隊不具備可見性和控制權(quán)。
• 網(wǎng)絡(luò)和安全團(tuán)隊通常難以了解數(shù)字業(yè)務(wù)和微分段工作中關(guān)鍵應(yīng)用程序的連通性。
• 緩解實時風(fēng)險是企業(yè)安全團(tuán)隊的一個目標(biāo)，但是多供應(yīng)商環(huán)境中的團(tuán)隊很難達(dá)成這個目標(biāo)。

建議：

對網(wǎng)絡(luò)和端點安全、漏洞管理和驅(qū)動業(yè)務(wù)價值的DevSecOps這些負(fù)責(zé)的安全和風(fēng)險管理領(lǐng)導(dǎo)者們應(yīng)當(dāng)：

• 確定主要的和相鄰的使用案例，并與所有相關(guān)的業(yè)務(wù)主管討論如何有效地利用工具和訂閱。
• 通過供應(yīng)商概念驗證，評估網(wǎng)絡(luò)安全策略管理(NSPM)供應(yīng)商與目標(biāo)系統(tǒng)(如IT服務(wù)管理工具、安全設(shè)備和云平臺)集成的能力。
• 利用供應(yīng)商的專業(yè)服務(wù)進(jìn)行實施和培訓(xùn)，以有效地管理和運行該工具。
• 與應(yīng)用程序開發(fā)和I&O團(tuán)隊合作，確定私有云和混合云采用的現(xiàn)有和短期路線圖以及與DevOps自發(fā)性與合規(guī)性需求相關(guān)的任何安全要求。

二、戰(zhàn)略規(guī)劃假設(shè)

到2023年，至少99%的云安全故障都將是客戶自身的錯誤。

到2023年，99%的防火墻漏洞將是由防火墻的錯誤配置引起的，而不是防火墻自身的缺陷。

到2021年，超過75%的大中型企業(yè)將采用多種云和/或混合IT戰(zhàn)略。

到2023年，超過25%的使用多個IaaS提供商的企業(yè)將部署第三方安全和微分段控制，而不僅僅依賴于內(nèi)置的IaaS控制，這一比例目前還不到5%。

三、分析

盡管有多家網(wǎng)絡(luò)安全供應(yīng)商擁有集中管理平臺，但網(wǎng)絡(luò)安全團(tuán)隊仍在努力管理這些多種類以及多供應(yīng)商的安全策略，以期在異構(gòu)環(huán)境中保持完全的可見性。保持持續(xù)的合規(guī)性正成為一個更大的挑戰(zhàn)。隨著企業(yè)的擴(kuò)張，這些網(wǎng)絡(luò)及其需求也在不斷發(fā)展。網(wǎng)絡(luò)正在擴(kuò)展到私有云和公有云。同時，通過DevOps向快速應(yīng)用程序開發(fā)的轉(zhuǎn)變使企業(yè)能夠在保證安全的同時更快地交付。因此，企業(yè)正在尋求將網(wǎng)絡(luò)安全管理更加自動化和集成到DevOps中的方法，以幫助他們滿足不斷增長的業(yè)務(wù)需求。通過網(wǎng)絡(luò)安全管理工具滿足這些用例，安全和風(fēng)險管理領(lǐng)導(dǎo)者可以利用NSPM解決方案來幫助管理當(dāng)今環(huán)境中增加的復(fù)雜性。

1. 定義

網(wǎng)絡(luò)安全策略管理工具超越了防火墻供應(yīng)商提供的用戶策略管理界面。NSPM為規(guī)則優(yōu)化、更改管理工作流、規(guī)則測試、合規(guī)性評估和可視化提供分析和審核，通常使用設(shè)備和防火墻訪問規(guī)則的可視網(wǎng)絡(luò)映射覆蓋到多個網(wǎng)絡(luò)路徑上。NSPM工具通常在套件中，包含應(yīng)用程序連接管理、策略優(yōu)化和面向風(fēng)險的威脅路徑分析等相鄰功能。

2. 描述

NSPM工具主要通過與多個網(wǎng)絡(luò)安全產(chǎn)品集成來提供安全操作(SecOps)功能。這些工具有可能滿足多種網(wǎng)絡(luò)安全和應(yīng)用程序管理用例。NSPM工具擴(kuò)展了對公共和私有云平臺的可見性和安全策略管理功能。雖然，到目前為止，管理公共和私有云的安全策略是一項不斷發(fā)展的技術(shù)，只支持有限數(shù)量的云平臺提供商，其中最常用的包括VMware NSX、Amazon Web Services(AWS)、Microsoft Azure，有時還有OpenStack。除了網(wǎng)絡(luò)安全策略管理功能外，這些工具還提供應(yīng)用程序發(fā)現(xiàn)和連接功能。由于這些工具能夠與主要的網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī)和負(fù)載平衡器)進(jìn)行通信，因此它們還能夠分析網(wǎng)絡(luò)安全風(fēng)險并執(zhí)行漏洞評估。

這些產(chǎn)品的關(guān)鍵組成部分是(見圖1)：

• 多供應(yīng)商防火墻和網(wǎng)絡(luò)安全設(shè)備的安全策略管理
• 變更管理系統(tǒng)
• 風(fēng)險和脆弱性分析
• 應(yīng)用連接管理

圖1.網(wǎng)絡(luò)安全策略管理工具組成部分

來源: Gartner ( 2019年2月 )

NSPM工具提供與多供應(yīng)商安全產(chǎn)品及解決方案的集成和自動化功能。供應(yīng)商正在將集成擴(kuò)展到以下一些解決方案：

• 網(wǎng)絡(luò)安全設(shè)備(防火墻、路由器、交換機(jī)等)
• IT服務(wù)管理解決方案
• 公共IaaS平臺
• 軟件定義網(wǎng)絡(luò)(SDN)平臺
• 集裝箱網(wǎng)絡(luò)
• 漏洞掃描程序
• DevOps自動化工具
• 安全信息和事件管理(SIEM)
• 安全協(xié)調(diào)、分析和報告(SOAR)

通過這些提供上述功能的工具，它們可以幫助企業(yè)滿足多種使用場景。

這些工具通過進(jìn)行風(fēng)險分析來自動化網(wǎng)絡(luò)安全操作，同時保持持續(xù)的合規(guī)性。隨著網(wǎng)絡(luò)的發(fā)展，這些工具正在明確地提供對公共和私有云平臺的訪問和控制;也就是在一直是網(wǎng)絡(luò)安全運營團(tuán)隊的一個灰色地帶的混合網(wǎng)絡(luò)中提供集中的可視性和控制。通過應(yīng)用程序可見性，這些工具為應(yīng)用程序和信息安全團(tuán)隊提供了一個共同的平臺，以便協(xié)作并更快地交付。

四、優(yōu)點與使用

1. NSPM工具的主要功能

• 防火墻規(guī)則管理：這為多供應(yīng)商和多防火墻環(huán)境中的防火墻規(guī)則提供了集中規(guī)劃，使集中創(chuàng)建和推送規(guī)則更加容易。防火墻策略管理器幫助根據(jù)使用案例識別冗余、隱藏、重疊和沖突的規(guī)則。用戶可以根據(jù)不同的規(guī)則組成部分(對象、端口、IP地址)，利用所有防火墻的過濾功能進(jìn)行集中搜索。這個領(lǐng)域的供應(yīng)商還提供了一個支持元數(shù)據(jù)的高級搜索功能。高級搜索還提供粒度功能，如兩個設(shè)備之間的配置比較、審計跟蹤、報告和自動更改管理。

• 集中式策略管理和可見性：此功能可幫助企業(yè)獲得跨網(wǎng)絡(luò)的網(wǎng)絡(luò)安全策略的集中可見性和控制?？梢娦钥刂茢U(kuò)展到第三方網(wǎng)絡(luò)安全設(shè)備，如路由器、交換機(jī)、負(fù)載平衡器以及私有和公有云供應(yīng)商的本機(jī)控件。這對于混合網(wǎng)絡(luò)來說是一個非常有用的功能，因為它還支持本地SDN和公共IaaS平臺中的本機(jī)策略。因此，網(wǎng)絡(luò)安全團(tuán)隊可以跨網(wǎng)絡(luò)管理和控制微段網(wǎng)絡(luò)安全策略。

• 自動化變更管理：NSPM工具有一個內(nèi)置的變更請求系統(tǒng)，還可以與第三方ITSM供應(yīng)商(如ServiceNow)集成。更改控制用于對現(xiàn)有規(guī)則進(jìn)行新規(guī)則的請求或進(jìn)行更改。在NSPM被批準(zhǔn)或不批準(zhǔn)之前，可以突出顯示專用的或未批準(zhǔn)的工作流程和路徑。這些工具還為常規(guī)規(guī)則提供了完整的端到端自動化。供應(yīng)商還提供restfulapi來與SOAR automations等其他解決方案集成。例如，SOAR自動化可包括對NSPM API的調(diào)用，以隔離由于檢測到的感染而指定IP地址的防火墻端口。NSPM工具將處理此請求并記錄更改。

• 拓?fù)溆成浜吐窂椒治觯捍斯δ軇?chuàng)建網(wǎng)絡(luò)的虛擬映射，提供連接可見性和場景建模功能。在繪制流量圖的同時，它也有助于保持連接和網(wǎng)絡(luò)安全態(tài)勢地圖的最新狀態(tài)，這是一項很難實現(xiàn)的任務(wù)。這個特性已經(jīng)擴(kuò)展到混合環(huán)境，并且提供了私有和公有云環(huán)境的映射和可見性，這使得它成為這些工具的一個重要選擇因素。

• 安全策略的審核和合規(guī)性管理/報告：這些工具具有多個內(nèi)置的合規(guī)性配置文件，在違反準(zhǔn)則時會發(fā)出警報。用戶可以根據(jù)自己的標(biāo)準(zhǔn)創(chuàng)建自己的自定義安全指南。這有助于保持對所有策略和合規(guī)性和定期審核，并使外部審核體驗更輕松。這些工具有助于實時識別合規(guī)性差距，并支持工作流來糾正違反的現(xiàn)有規(guī)則。在任何違反合規(guī)性的情況下，特別是在任何新的更改請求期間，都會生成警報。用戶可以在需要時提取基于合規(guī)性的報告，并將其用于審計目的。

• 應(yīng)用程序發(fā)現(xiàn)和連接管理：NSPM工具提供網(wǎng)絡(luò)安全策略的應(yīng)用程序可見性。這有助于根據(jù)應(yīng)用程序而不僅僅是IP地址請求來更改請求。對應(yīng)用程序使用情況的可見性有助于識別活動應(yīng)用程序和停用非活動應(yīng)用程序。應(yīng)用程序的端到端連接有助于對運行該應(yīng)用程序所涉及的所有網(wǎng)絡(luò)組件(應(yīng)用程序服務(wù)器、防火墻、負(fù)載平衡器)進(jìn)行識別和在不中斷任何連接的情況下進(jìn)行更改。一些供應(yīng)商還提供應(yīng)用程序遷移工作流來安全地遷移應(yīng)用程序。

• 漏洞和風(fēng)險評估：風(fēng)險評估功能根據(jù)優(yōu)先級列出現(xiàn)有網(wǎng)絡(luò)安全策略和配置中的風(fēng)險和漏洞。它還有助于在批準(zhǔn)任何更改之前識別與新更改請求相關(guān)的風(fēng)險。NSPM工具與第三方漏洞掃描器集成，能夠?qū)虢Y(jié)果并使其成為工作流的一部分并且基于漏洞來識別風(fēng)險。一些供應(yīng)商通過與資產(chǎn)和補(bǔ)丁管理解決方案以及威脅情報平臺等產(chǎn)品集成，在這方面提供了更先進(jìn)的功能以執(zhí)行持續(xù)的風(fēng)險和影響分析。這些供應(yīng)商提供自動化的工作流程來運行掃描并根據(jù)風(fēng)險進(jìn)行更改。它們還提供基于風(fēng)險的評分，以便于安全和風(fēng)險管理領(lǐng)導(dǎo)人們進(jìn)行影響分析。

由于NSPM工具提供了多種功能，它們有可能滿足多個業(yè)務(wù)用例。NSPM工具的關(guān)鍵使用案例如下：

2. 關(guān)鍵使用案例

(1) 多種類/多品牌防火墻規(guī)則的集中管理

在理想的情況下，網(wǎng)絡(luò)安全和運營團(tuán)隊將部署單一品牌的防火墻，以最大限度地降低管理復(fù)雜性和減少錯誤配置的可能性。然而，現(xiàn)實是，現(xiàn)在每個組織都有異構(gòu)的需求。多品牌在擁有如下情況的公司機(jī)構(gòu)中已經(jīng)是一種現(xiàn)實情況:

• 通過并購成長
• 在公有云或SDN環(huán)境中使用云本機(jī)防火墻
• 在全球分階段部署新的防火墻品牌
• 擁有分散IT，其中根據(jù)不同的業(yè)務(wù)部門或地理位置做出不同的防火墻選擇決策

在這種情況下，網(wǎng)絡(luò)安全和運營團(tuán)隊以及審計人員將面臨錯綜復(fù)雜的規(guī)則集合、管理控制臺和零碎的防火墻報告。

NSPM概念最初是為了應(yīng)對這一挑戰(zhàn)而制定的。隨著防火墻供應(yīng)商獲得市場份額，NSPM工具建立了統(tǒng)一理解和管理其策略的能力。使用NSPM作為管理真相的單一來源有助于網(wǎng)絡(luò)安全團(tuán)隊降低復(fù)雜性并清楚地看到潛在的配置問題(見圖2)。

圖2.管理多種類和多供應(yīng)商防火墻的集中接口

來源: Tufin

(2) 跨混合網(wǎng)絡(luò)和多云環(huán)境的網(wǎng)絡(luò)安全策略可見性和管理

隨著網(wǎng)絡(luò)向混合或多云環(huán)境中發(fā)展壯大，在這些平臺上實現(xiàn)可見性是一個日益嚴(yán)峻的挑戰(zhàn)，這使得網(wǎng)絡(luò)安全運營團(tuán)隊幾乎不可能在這些環(huán)境中管理和維護(hù)正確的網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全團(tuán)隊需要對本機(jī)和第三方網(wǎng)絡(luò)安全控制進(jìn)行更多的可見性和控制。

NSPM解決方案提供了對安全設(shè)備(如防火墻和跨多個供應(yīng)商的云本機(jī)安全配置)的可見性和集中管理。這有助于簡化整個企業(yè)的安全策略規(guī)則管理，并減少由于安全設(shè)備配置錯誤而導(dǎo)致的安全風(fēng)險。供應(yīng)商正在將這種支持?jǐn)U展到混合云和公有云，從而能夠?qū)λ衅髽I(yè)基礎(chǔ)設(shè)施環(huán)境的中策略和規(guī)則集進(jìn)行集中管理(請參見圖3)。

圖3.跨混合環(huán)境的拓?fù)溆成?/p>

來源: Skybox

五、微分段

因為缺乏對跨不同應(yīng)用程序和環(huán)境的網(wǎng)絡(luò)流和連接的可見性和了解，所以網(wǎng)絡(luò)安全運營團(tuán)隊經(jīng)常將微分段視為一項挑戰(zhàn)。與此同時，微分段已成為緩解東西通信量相關(guān)風(fēng)險的關(guān)鍵措施。安全團(tuán)隊需要了解網(wǎng)絡(luò)的所有本機(jī)控件以及第三方控件，以及應(yīng)用程序連接映射，以便成功地實現(xiàn)和維護(hù)微分段。保持多個合規(guī)級別也是非常重要的。

NSPM工具提供了對不同網(wǎng)絡(luò)、第三方防火墻和應(yīng)用程序連接的集中可見性和控制，以便網(wǎng)絡(luò)安全團(tuán)隊可以在保持合規(guī)性的同時應(yīng)用微分段。在混合網(wǎng)絡(luò)團(tuán)隊的支持下，安全團(tuán)隊無需登錄多個不同的控件即可集中查看和控制SDN和公有云平臺的本地策略。所有更改都會被跟蹤，任何違規(guī)行為都會被突出顯示，這樣就可以在不破壞應(yīng)用程序的情況下進(jìn)行修復(fù)。盡管涉及多個不同的設(shè)備、網(wǎng)絡(luò)和應(yīng)用程序，這些功能能夠共同幫助企業(yè)保持有效的微分段控制。

六、持續(xù)審核和安全策略的合規(guī)性

敏感數(shù)據(jù)和與之相關(guān)的安全控制越來越分散在多個環(huán)境和供應(yīng)商之間。不同的法規(guī)，如《薩班斯-奧克斯利法案》(SOX)、《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI DSS)、《通用數(shù)據(jù)保護(hù)條例》(GDPR)和《健康保險便攜性與責(zé)任法案》(HIPAA)等，要求公司定期展示合規(guī)性。如果沒有一種自動化的方法來驗證審計人員的合規(guī)性，網(wǎng)絡(luò)安全團(tuán)隊必須花時間在多個位置手動檢查和驗證控件。

NSPM解決方案提供了多種現(xiàn)成的合規(guī)性配置文件，這些配置文件可以在違反策略時發(fā)出警報，也可以提供顯示實時合規(guī)狀態(tài)的儀表板。創(chuàng)建特定于企業(yè)策略的自定義安全指導(dǎo)原則是一個擴(kuò)展到固定的常規(guī)合規(guī)性模板之外的功能。例如，一家公司擔(dān)心存儲在本地存儲區(qū)域中的敏感數(shù)據(jù)可以從外部訪問，可以創(chuàng)建一個定制的合規(guī)性規(guī)則，該規(guī)則將檢測到任何時間將數(shù)據(jù)暴露在公共互聯(lián)網(wǎng)上的行為(參見圖4)。

圖4.定制評估報告樣本

來源: FireMon

七、變更管理與網(wǎng)絡(luò)安全運行自動化

使用手動更改過程來更新安全策略的網(wǎng)絡(luò)安全團(tuán)隊通常會發(fā)現(xiàn)響應(yīng)安全事件和遵守更改管理流程非常麻煩，而且容易出錯?？焖佟踩剡M(jìn)行更改是在確保環(huán)境得到保護(hù)的同時保護(hù)公司運營正常運行時間的關(guān)鍵。因此，NSPM工具的變更管理系統(tǒng)是其中最重要的組成部分之一。

NSPM供應(yīng)商提供內(nèi)置的變更控制系統(tǒng)，支持變更管理的整個周期，以允許受控變更并防止計劃外停機(jī)。更改控制用于請求新規(guī)則或?qū)ΜF(xiàn)有規(guī)則的更改。一旦發(fā)出請求，它們將執(zhí)行流量分析，然后列出與此更改相關(guān)的所有躍點(網(wǎng)關(guān)、服務(wù)器)。變更管理系統(tǒng)檢查請求，并在違反任何標(biāo)準(zhǔn)時發(fā)出警報;它還突出顯示與更改相關(guān)的任何風(fēng)險。一旦解決了所有警報和風(fēng)險，請求就會得到批準(zhǔn)并得到實施。這使管理員能夠暫存在狹窄的更改窗口期間自動發(fā)生的更改。

在實施新的變更之前，還可以執(zhí)行變更影響分析。此功能為用戶提供了一個模擬環(huán)境，在該環(huán)境中，可以在尋求進(jìn)一步批準(zhǔn)之前分析更改的影響。它還使用戶能夠跳過任何更改過程，并自動執(zhí)行可能不需要批準(zhǔn)或風(fēng)險分析的常規(guī)日常規(guī)則。因此，可以為選定的規(guī)則實現(xiàn)端到端的自動化(參見圖5)。

圖5. 變更管理工作流

來源: Gartner (February 2019)

八、遷移

2019年，數(shù)據(jù)中心和網(wǎng)絡(luò)處于不斷變化的狀態(tài)。為了提高效率和靈活性，組織正在采用軟件設(shè)計的網(wǎng)絡(luò)原則，并將工作負(fù)載轉(zhuǎn)移到公有云中——通常是多個公有云。將應(yīng)用程序遷移到云或其他數(shù)據(jù)中心而不中斷應(yīng)用程序連接或創(chuàng)建安全漏洞是一項挑戰(zhàn)。不斷的基礎(chǔ)設(shè)施演進(jìn)會導(dǎo)致一個混亂的網(wǎng)絡(luò)安全政策環(huán)境，在這種環(huán)境中，網(wǎng)絡(luò)安全和運營領(lǐng)導(dǎo)人爭先恐后地保持防火墻政策的最新性和相關(guān)性。

NSPM解決方案提供了一種附加到特定應(yīng)用程序的管理策略的方法，而不管應(yīng)用程序駐留在何處。NSPM描述了應(yīng)用程序遷移之前、期間和之后的應(yīng)用程序流，確保通信流在整個過程中保持不中斷。這些解決方案有助于從安全性和連接性的角度規(guī)劃、執(zhí)行和跟蹤遷移項目的所有階段。遷移后，NSPM可以幫助刪除無關(guān)的、遺留的防火墻規(guī)則。

九、連續(xù)網(wǎng)絡(luò)安全風(fēng)險分析與脆弱性評估

隨著多個安全漏洞和安全事件的發(fā)生，業(yè)務(wù)主管和網(wǎng)絡(luò)安全運營團(tuán)隊不斷尋求基于風(fēng)險的方法來查看其基礎(chǔ)架構(gòu)和應(yīng)用程序。隨著多種技術(shù)和多種漏洞掃描器的出現(xiàn)，風(fēng)險分析和關(guān)聯(lián)的工作變得更具挑戰(zhàn)性。

NSPM工具提供基于風(fēng)險的分析，其中還包括與第三方漏洞分析掃描儀的集成。實時網(wǎng)絡(luò)漏洞管理功能和集中的基于風(fēng)險的儀表板視圖等功能可幫助企業(yè)持續(xù)了解其網(wǎng)絡(luò)中的風(fēng)險。該產(chǎn)品的一個強(qiáng)大功能是在批準(zhǔn)和不批準(zhǔn)任何更改之前基于資產(chǎn)脆弱性的影響分析。

十、應(yīng)用程序連接管理

應(yīng)用程序及其可用性對于許多以應(yīng)用程序為中心的業(yè)務(wù)至關(guān)重要。應(yīng)用程序可用性對于此類企業(yè)的業(yè)務(wù)連續(xù)性至關(guān)重要。NSPM工具通過提供應(yīng)用程序發(fā)現(xiàn)和連接功能來解決這個使用案例。

這些工具還提供應(yīng)用程序自動發(fā)現(xiàn)功能以檢測企業(yè)中使用的應(yīng)用程序。它們在維護(hù)連接圖的同時提供實時應(yīng)用程序連接細(xì)節(jié)。不同的企業(yè)所有者可以生成基于應(yīng)用程序的更改管理請求，網(wǎng)絡(luò)安全操作團(tuán)隊可以實施更改，同時對應(yīng)用程序連接性和合規(guī)性要求進(jìn)行影響評估。應(yīng)用程序連接性映射還幫助網(wǎng)絡(luò)安全操作團(tuán)隊通過對應(yīng)用程序連接性執(zhí)行影響分析來跨數(shù)據(jù)中心和云平臺遷移應(yīng)用程序，從而避免意外停機(jī)(見圖6)。它也有助于識別未使用的應(yīng)用程序，以便可以安全地從網(wǎng)絡(luò)中停用它們。

圖6.應(yīng)用程序連接映射

來源: AlgoSec

十一、DevOps

對應(yīng)用程序驅(qū)動的安全設(shè)備策略更改的緩慢審查和批準(zhǔn)是DevOps團(tuán)隊實現(xiàn)最大速度的主要挑戰(zhàn)。這些過程可以為發(fā)布周期增加幾周時間，而一些高級DevOps團(tuán)隊的目標(biāo)周期時間不到一小時。

一些NSPM供應(yīng)商通過實現(xiàn)安全評估和執(zhí)行的自動化來為DevOps用例提供支持。這允許開發(fā)團(tuán)隊和安全團(tuán)隊進(jìn)行協(xié)作，并將自動化的安全問題作為構(gòu)建管道的一部分。供應(yīng)商可以提供與構(gòu)建工具(如Jenkins)或開發(fā)自動化解決方案(如Chef或Ansible)的本地集成。第三方DevOps工具鏈供應(yīng)商的支持因NSPM解決方案而異，但NSPM供應(yīng)商提供的API集成通常可供DevOps團(tuán)隊利用。安全和DevOps團(tuán)隊需要仔細(xì)評估應(yīng)用程序開發(fā)的傳統(tǒng)安全控制的自動化，而不是本地云安全工具的實現(xiàn)，如云工作負(fù)載保護(hù)平臺(CWPP)和云安全策略管理解決方案。

十二、采用率

第三方網(wǎng)絡(luò)安全策略管理是一個快速發(fā)展的市場。多供應(yīng)商防火墻規(guī)則管理在這些工具中已經(jīng)非常成熟?，F(xiàn)在，隨著云應(yīng)用的增加，這些工具正在增強(qiáng)其為云平臺提供可見性和管理支持的能力，這將進(jìn)一步推動增長。除了網(wǎng)絡(luò)安全策略管理之外，根據(jù)合規(guī)性和基于審計的報告維護(hù)安全策略也是采用這些工具的主要用例。Gartner還將網(wǎng)絡(luò)脆弱性評估和風(fēng)險分析視為采用這些工具的新興使用案例。采用的主要驅(qū)動因素各不相同。

十三、風(fēng)險

• 將NSPM工具添加到規(guī)模較小的安全組織的解決方案組合中是很昂貴的。
• 由于這些工具與多供應(yīng)商設(shè)備和環(huán)境(包括防火墻、路由器、交換機(jī)以及私有和公有云)交互，如果這些工具沒有正確實施，企業(yè)通常會面臨實施和初始管理問題。
• 企業(yè)在將這些產(chǎn)品引入市場之前往往無法對其進(jìn)行適當(dāng)?shù)脑u估，最終將面臨與現(xiàn)有網(wǎng)絡(luò)安全設(shè)備和變更管理工具的集成問題。
• 這些工具正在將其對可見性和控制的支持?jǐn)U展到混合環(huán)境中，但對私有和公有云的支持僅擴(kuò)展到少數(shù)有限的功能有限的提供商。
• 在沒有明確安全策略管理實施目標(biāo)的情況下，網(wǎng)絡(luò)安全運營主管可能會過度購買平臺模塊，而這些模塊不會立即為其組織帶來好處，從而導(dǎo)致一些模塊在組織支付支持費用時處于休眠狀態(tài)。

相反，購買這些解決方案的網(wǎng)絡(luò)安全運營主管往往低估了其預(yù)期使用情形的范圍，因此購買的容量不夠大。一些Gartner客戶內(nèi)部有多個NSPM工具，其中大多數(shù)都以有限的方式使用，很有可能成為擱置軟件。

這一領(lǐng)域的供應(yīng)商通常非常擅長于支持操作使用案例(例如，防火墻策略管理)或風(fēng)險和漏洞管理使用案例，但不能同時支持這兩個使用案例。這對于那些希望擁有一系列功能的買家來說是令人失望的。購買時沒有概念驗證(POC)可能導(dǎo)致期望值未得到滿足，以及與許多網(wǎng)絡(luò)安全產(chǎn)品的集成不完整。

供應(yīng)商對公有云和私有云中的Linux容器提供有限的支持，例如Amazon Elastic Container Service(ECS)、Amazon Elastic Container Service for Kubernetes(EKS)、AWS Fargate和Azure Kubernetes Service(AKS)、Google Kubernetes Engine以及Red Hat OpenShift等產(chǎn)品的內(nèi)部部署。

這些工具的許多功能與其他網(wǎng)絡(luò)操作(NetOps)工具(如網(wǎng)絡(luò)配置和更改管理(NCCM)工具和防火墻管理工具)重疊。同一組織中的NetOps團(tuán)隊可能會使用這些SecOps團(tuán)隊可能不知道的具有基本安全操作能力的工具，從而最終購買提供類似功能的重復(fù)工具。

十四、網(wǎng)絡(luò)安全策略管理替代方案

大多數(shù)現(xiàn)有的安全供應(yīng)商都在擴(kuò)展對混合環(huán)境的支持。這些供應(yīng)商包括防火墻、入侵檢測和預(yù)防系統(tǒng)(IDPS)、漏洞掃描、SIEM、端點安全等等。如果客戶對合規(guī)性、規(guī)則管理和威脅可見性有基本要求，建議他們與現(xiàn)有的解決方案提供商聯(lián)系。例如，大多數(shù)防火墻供應(yīng)商都提供集中管理器來管理多個防火墻。雖然集中式管理器并沒有提供前面在關(guān)鍵用例和定義部分中提到的所有功能，但是它們確實提供了集中的防火墻規(guī)則管理。

有一些示例替代供應(yīng)商提供了一些功能，并滿足了關(guān)鍵使用案例部分中提到的一些使用案例：

防火墻供應(yīng)商：

• Check Point Software Technologies CloudGuard Dome9
• Cisco Stealthwatch Cloud and Cisco Tetration
• Fortinet Security Fabric
• Juniper Networks Junos Space Security Director
• Palo Alto Networks RedLock

管理本地云的安全處理管理供應(yīng)商：

• CloudCheckr
• Cloudvisory

網(wǎng)絡(luò)自動化供應(yīng)商：

• AppViewX
• Nuage Networks from Nokia
• Red Hat Ansible

多種云風(fēng)險與漏洞管理供應(yīng)商：

• AlienVault
• RedSeal
• Tenable

基于主服務(wù)器的微分段供應(yīng)商：

• Alcide
• Guardicore
• Illumio

十五、建議

負(fù)責(zé)網(wǎng)絡(luò)安全運營的安全和風(fēng)險管理領(lǐng)導(dǎo)人們：

• 在入圍供應(yīng)商之前，將確定主要和初始使用案例作為主要需求。閱讀“優(yōu)點和使用”部分，以確定最能定義您的需求的使用案例。
• 如果主要目標(biāo)是跨私有網(wǎng)絡(luò)和混合網(wǎng)絡(luò)進(jìn)行防火墻策略管理，則評估現(xiàn)有集中式防火墻管理器供應(yīng)商的能力，因為這些供應(yīng)商也在發(fā)展對公有云(如AWS和Azure)的支持。
• 識別相鄰的使用案例，并與能夠協(xié)作和評估這些工具的相應(yīng)業(yè)務(wù)主管交談。
• 避免在未對主要和相鄰使用案例進(jìn)行適當(dāng)評估的情況下，最終確定購買任何NSPM工具。評估因素必須包括對不同網(wǎng)絡(luò)安全產(chǎn)品當(dāng)前固件版本的支持。
• 根據(jù)您的使用案例準(zhǔn)備一份環(huán)境中正在使用的設(shè)備和工具的列表，以檢查NSPM供應(yīng)商提供的集成功能。這個列表應(yīng)該超越防火墻和路由器，包括漏洞掃描程序、SOAR、ITSM和DevOps工具。
• 如果它們是您當(dāng)前或未來使用案例的一部分的話，評估對私有和公有云的混合網(wǎng)絡(luò)的支持，因為這種支持是一個不斷發(fā)展的功能，NSPM供應(yīng)商支持的功能有限。
• 利用這些供應(yīng)商提供的專業(yè)執(zhí)行服務(wù)來實現(xiàn)穩(wěn)定的實施。確保管理員和業(yè)務(wù)主管接受此工具的全面培訓(xùn)，以最佳方式利用其所有功能。
• 在通過評估NSPM解決方案來啟用DevOps時，驗證網(wǎng)絡(luò)安全控制是否是自動持續(xù)集成/連續(xù)交付(CI/CD)管道中的瓶頸。如果不是這樣，就不要強(qiáng)調(diào)這些能力。如果安全是主要的瓶頸，那么安全團(tuán)隊需要與DevOps團(tuán)隊密切合作，以了解應(yīng)用程序的安全需求，以確定NSPM工具是否可以幫助消除這種限制。
• 如果您是一個有成本意識或規(guī)模較小的安全團(tuán)隊，那么就減少現(xiàn)有供應(yīng)商，而不是將另一個供應(yīng)商添加到已經(jīng)很復(fù)雜的安全產(chǎn)品組合中，如果這樣您可能會發(fā)現(xiàn)NSPM工具很昂貴。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文