簡介:NSPM已成為網(wǎng)絡(luò)安全領(lǐng)域不可或缺的技術(shù)方向。
到2023年,99%的防火墻缺口,是由防火墻策略配置錯(cuò)誤引起的,而不是防火墻自身缺陷。這是Gartner在2019年的一份行業(yè)觀察報(bào)告中提出的觀點(diǎn)。
乍一看,99%這個(gè)數(shù)字似乎言過其實(shí)。但想一想日常運(yùn)維中,業(yè)務(wù)開通訪問權(quán)限時(shí)的曲折過程,安全審查和風(fēng)險(xiǎn)評估時(shí)列出的隱患清單,這個(gè)數(shù)字又似乎恰如其分。
只增策略、不減策略的防火墻運(yùn)維習(xí)慣,讓我們很難對存量策略做到全面準(zhǔn)確控制。違規(guī)訪問授權(quán)、高危端口開放、控制寬松,還有冗余、過期、錯(cuò)誤配置,都會被攻擊者利用發(fā)起進(jìn)攻。
因此,Gartner在很多安全架構(gòu)理念中,都突出強(qiáng)調(diào)了NSPM的重要性。
在ASA自適應(yīng)安全架構(gòu)中,防御、檢測、響應(yīng)、預(yù)測的安全閉環(huán)體系,需要以策略與合規(guī)為核心驅(qū)動力,實(shí)現(xiàn)持續(xù)的自我進(jìn)化。
在CARTA持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評估體系中,要求通過縱深分析和實(shí)體行為分析,對訪問控制策略進(jìn)行動態(tài)調(diào)整,給安全運(yùn)營充分的彈性空間,并隨著系統(tǒng)外部環(huán)境的變化而進(jìn)化。
在我國最新的等保2.0標(biāo)準(zhǔn)中,也將NSPM作為重要的技術(shù)要求。等級保護(hù)三級通用要求技術(shù)部分中,共包含24個(gè)控制點(diǎn)、74個(gè)測評指標(biāo)項(xiàng)、164個(gè)測評實(shí)施內(nèi)容項(xiàng);其中涉及NSPM的有4個(gè)控制點(diǎn)、10個(gè)測評指標(biāo)項(xiàng)和20個(gè)測評實(shí)施內(nèi)容項(xiàng)。
NSPM即將成為或者說已經(jīng)成為了網(wǎng)絡(luò)安全領(lǐng)域不可或缺的技術(shù)方向。
Gartner對NSPM給出了明確定義:超越防火墻廠商提供的管理界面,通過將整網(wǎng)設(shè)備與安全策略映射為可視化的網(wǎng)絡(luò)拓?fù)?,提供策略?yōu)化、策略變更管理、策略仿真、合規(guī)性檢查等分析與審計(jì)能力,通常具備應(yīng)用連接管理、安全策略優(yōu)化、面向風(fēng)險(xiǎn)的威脅路徑分析等功能模塊。
當(dāng)前,很多企業(yè)單位已經(jīng)將NSPM技術(shù)補(bǔ)充集成到SEIM(安全事件和信息管理)、SOAR(安全編排、自動化及響應(yīng))等解決方案中。
下面,來介紹一下NSPM的四個(gè)技術(shù)方向。
安全策略管理給運(yùn)維團(tuán)隊(duì)帶來了很大挑戰(zhàn),安全設(shè)備的品牌異構(gòu)、安全設(shè)備的分散管理、安全策略的不可見是本質(zhì)原因。
由于企業(yè)單位的架構(gòu)重組、IT分階段建設(shè)和IT分布式運(yùn)營等原因,網(wǎng)絡(luò)設(shè)備和安全設(shè)備的品牌異構(gòu)無法避免,需要熟悉多家產(chǎn)品的操作界面和操作命令,這是對運(yùn)維人員的第一個(gè)挑戰(zhàn)。
廠商提供的是針對每一臺設(shè)備的獨(dú)立界面,設(shè)備之間安全策略的關(guān)聯(lián)關(guān)系是對運(yùn)維人員的第二個(gè)挑戰(zhàn),往往會出現(xiàn)遺漏某臺設(shè)備的變更,造成整體變更不生效的問題。
策略不可見在日常運(yùn)維中,經(jīng)常導(dǎo)致運(yùn)維人員的時(shí)間浪費(fèi)。
因此,對于安全策略管理,需要實(shí)現(xiàn)多品牌設(shè)備集中管理、安全策略可見、配置準(zhǔn)確性核查等功能。
很多人慣性的認(rèn)為,風(fēng)險(xiǎn)與脆弱性管理屬于漏洞管理范疇。但放通any的寬松控制、開放的高危端口、違規(guī)的訪問授權(quán),同樣是風(fēng)險(xiǎn)與脆弱性的重要組成部分。
所以對安全策略進(jìn)行合規(guī)及剛性安全需求的風(fēng)險(xiǎn)檢查,也是NSPM的重要部分。其具體實(shí)現(xiàn)更多表現(xiàn)為對規(guī)則庫的匹配技術(shù),包括等保規(guī)則庫、高危端口等風(fēng)險(xiǎn)規(guī)則庫、業(yè)務(wù)規(guī)則庫等。
應(yīng)用連接管理通過對網(wǎng)絡(luò)與安全設(shè)備策略的關(guān)聯(lián)建模,提供網(wǎng)絡(luò)中應(yīng)用端到端的可視化連接詳情,讓運(yùn)維人員切實(shí)了解到資產(chǎn)間的互訪關(guān)系,支撐故障排查、綜合風(fēng)險(xiǎn)評估等。
策略變更管理不是單純的網(wǎng)絡(luò)自動化運(yùn)維,不是只將變更需求翻譯成可執(zhí)行的命令行腳本,而是從效率提升和風(fēng)險(xiǎn)控制方面實(shí)現(xiàn)安全運(yùn)維能力的整體提升。
接收到變更請求后,首先應(yīng)該判斷是否需要變更以及做什么樣的變更,而不是立刻執(zhí)行審批流程,等結(jié)束繁雜的審批后才發(fā)現(xiàn)根本不需要變更。
控制策略變更中的風(fēng)險(xiǎn)是第二步,NSPM能夠檢查并規(guī)避變更過程中出現(xiàn)的寬松控制、高危端口開放、違規(guī)授權(quán)、策略沖突等問題。
之后才是傳統(tǒng)意義上的自動生成腳本和腳本推送驗(yàn)證工作。
這一流程可以保證策略變更的持續(xù)安全與合規(guī)。
NSPM可以為運(yùn)維團(tuán)隊(duì)解決上述如此多的切實(shí)問題,但在其落地過程中也存在著風(fēng)險(xiǎn)。
第一個(gè)是由于認(rèn)識偏差造成的重復(fù)建設(shè)疑慮。NSPM的部分功能與合規(guī)檢查工具、網(wǎng)絡(luò)運(yùn)維平臺等存在類似,很多用戶認(rèn)為自身已具備相應(yīng)能力,但二者并不相同,而是互補(bǔ)關(guān)系。
第二個(gè)是由于管理規(guī)范缺失造成的功能不落地。NSPM是為了讓安全策略更加規(guī)范,當(dāng)企業(yè)單位缺少相應(yīng)的策略管理標(biāo)準(zhǔn)時(shí),或業(yè)務(wù)部門強(qiáng)勢導(dǎo)致標(biāo)準(zhǔn)無法執(zhí)行時(shí),即使購買了相關(guān)產(chǎn)品也很難實(shí)際落地。
第三個(gè)是分工機(jī)制造成的跨團(tuán)隊(duì)合作問題。由于NSPM即涉及網(wǎng)絡(luò)設(shè)備也涉及安全設(shè)備,在實(shí)際應(yīng)用中會碰到網(wǎng)絡(luò)團(tuán)隊(duì)與安全團(tuán)隊(duì)的跨團(tuán)隊(duì)合作難題。
第四個(gè)是與其他安全系統(tǒng)的集成問題。NSPM解決的是基礎(chǔ)安全運(yùn)維問題,可以為其他安全系統(tǒng)提供數(shù)據(jù)支撐,因此會面臨與其他安全系統(tǒng)的集成,這就要求其具備豐富的應(yīng)用與數(shù)據(jù)集成接口。
對于云環(huán)境和容器環(huán)境的有限支持和小規(guī)模網(wǎng)絡(luò)建設(shè)成本較高,也會給NSPM落地帶來風(fēng)險(xiǎn)。
但是困難擋不住價(jià)值的光芒,目前已經(jīng)有多家廠商在推進(jìn)NSPM產(chǎn)品的開發(fā)和落地,最后來對比一下市場上相關(guān)產(chǎn)品的能力。
NSPM產(chǎn)品廠商主要包括國外的SkyBox、RedSeal、Firemon、Algosec和國內(nèi)的安博通等。在產(chǎn)品功能完善性和成熟性方面,SkyBox、RedSeal、安博通處于第一梯隊(duì),F(xiàn)iremon、Algosec處于第二梯隊(duì)。
第一梯隊(duì)廠商在數(shù)據(jù)基礎(chǔ)和應(yīng)用功能上相對完善,尤其是在路由配置、地址映射配置等數(shù)據(jù)方面;第二梯隊(duì)主要著眼于防火墻策略的檢查和維護(hù)。
整體來看,NSPM產(chǎn)品在向著良好的方向發(fā)展,被越來越多的企業(yè)單位所認(rèn)可。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!