信息化觀察網(wǎng)

企業(yè)的網(wǎng)絡(luò)安全能力更多的是一種管理能力，面對(duì)疫情和數(shù)字化云端轉(zhuǎn)型帶來(lái)的新挑戰(zhàn)：攻擊面增長(zhǎng)、IT復(fù)雜化、碎片化、影子化，企業(yè)網(wǎng)絡(luò)安全部門(mén)面臨的最大挑戰(zhàn)就是對(duì)動(dòng)態(tài)風(fēng)險(xiǎn)的集中化有效管控。而網(wǎng)絡(luò)安全策略管理技術(shù)則好比企業(yè)的空中和地面一體化交通指揮系統(tǒng)，協(xié)調(diào)管理本地和云端安全策略，為安全團(tuán)隊(duì)、網(wǎng)絡(luò)IT團(tuán)隊(duì)和云計(jì)算運(yùn)營(yíng)團(tuán)隊(duì)提供一個(gè)統(tǒng)一的，對(duì)應(yīng)用、網(wǎng)絡(luò)、負(fù)載和設(shè)備高可視化的安全管理平臺(tái)，讓IT與安全無(wú)縫協(xié)同，其重要性不言而喻。本文從網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)管理現(xiàn)狀、需求出發(fā)，深入介紹了NSPM的概念、構(gòu)成、格局、優(yōu)缺點(diǎn)、風(fēng)險(xiǎn)以及采購(gòu)需知。

網(wǎng)絡(luò)安全策略管理工具可以幫助安全管理者，通過(guò)跨混合網(wǎng)絡(luò)實(shí)現(xiàn)安全策略的集中可見(jiàn)與控制、風(fēng)險(xiǎn)分析、實(shí)時(shí)合規(guī)和應(yīng)用程序映射功能，來(lái)滿足多種多樣的使用場(chǎng)景。

概述

主要發(fā)現(xiàn)

·盡管網(wǎng)絡(luò)防火墻運(yùn)維團(tuán)隊(duì)提供了多個(gè)防火墻集中管理解決方案，但仍存在許多問(wèn)題。

·企業(yè)還沒(méi)有準(zhǔn)備好在混合云環(huán)境中展示與內(nèi)網(wǎng)相同級(jí)別的安全策略一致性。

·使用自助IaaS的開(kāi)發(fā)人員通常使用云提供商的內(nèi)置功能，網(wǎng)絡(luò)安全團(tuán)隊(duì)不具備可見(jiàn)性和控制權(quán)。

·網(wǎng)絡(luò)和安全團(tuán)隊(duì)通常難以了解數(shù)字業(yè)務(wù)和微分段工作中關(guān)鍵應(yīng)用程序的連通性。

·緩解實(shí)時(shí)風(fēng)險(xiǎn)是企業(yè)安全團(tuán)隊(duì)的一個(gè)目標(biāo)，但是多供應(yīng)商環(huán)境中的團(tuán)隊(duì)很難達(dá)成這個(gè)目標(biāo)。

建議

對(duì)網(wǎng)絡(luò)和端點(diǎn)安全、漏洞管理和驅(qū)動(dòng)業(yè)務(wù)價(jià)值的DevSecOps這些負(fù)責(zé)的安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者們應(yīng)當(dāng)：

·確定主要的和相鄰的使用案例，并與所有相關(guān)的業(yè)務(wù)主管討論如何有效地利用工具和訂閱。

·通過(guò)供應(yīng)商概念驗(yàn)證，評(píng)估網(wǎng)絡(luò)安全策略管理（NSPM）供應(yīng)商與目標(biāo)系統(tǒng)（如IT服務(wù)管理工具、安全設(shè)備和云平臺(tái)）集成的能力。

·利用供應(yīng)商的專(zhuān)業(yè)服務(wù)進(jìn)行實(shí)施和培訓(xùn)，以有效地管理和運(yùn)行該工具。

·與應(yīng)用程序開(kāi)發(fā)和I&O團(tuán)隊(duì)合作，確定私有云和混合云采用的現(xiàn)有和短期路線圖以及與DevOps自發(fā)性與合規(guī)性需求相關(guān)的任何安全要求。

戰(zhàn)略規(guī)劃假設(shè)

到2023年，至少99%的云安全故障都將是客戶自身的錯(cuò)誤。

到2023年，99%的防火墻漏洞將是由防火墻的錯(cuò)誤配置引起的，而不是防火墻自身的缺陷。

到2021年，超過(guò)75%的大中型企業(yè)將采用多種云和/或混合IT戰(zhàn)略。

到2023年，超過(guò)25%的使用多個(gè)IaaS提供商的企業(yè)將部署第三方安全和微分段控制，而不僅僅依賴(lài)于內(nèi)置的IaaS控制，這一比例目前還不到5%。

分析

盡管有多家網(wǎng)絡(luò)安全供應(yīng)商擁有集中管理平臺(tái)，但網(wǎng)絡(luò)安全團(tuán)隊(duì)仍在努力管理這些多種類(lèi)以及多供應(yīng)商的安全策略，以期在異構(gòu)環(huán)境中保持完全的可見(jiàn)性。保持持續(xù)的合規(guī)性正成為一個(gè)更大的挑戰(zhàn)。隨著企業(yè)的擴(kuò)張，這些網(wǎng)絡(luò)及其需求也在不斷發(fā)展。網(wǎng)絡(luò)正在擴(kuò)展到私有云和公有云。同時(shí)，通過(guò)DevOps向快速應(yīng)用程序開(kāi)發(fā)的轉(zhuǎn)變使企業(yè)能夠在保證安全的同時(shí)更快地交付。因此，企業(yè)正在尋求將網(wǎng)絡(luò)安全管理更加自動(dòng)化和集成到DevOps中的方法，以幫助他們滿足不斷增長(zhǎng)的業(yè)務(wù)需求。通過(guò)網(wǎng)絡(luò)安全管理工具滿足這些用例，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者可以利用NSPM解決方案來(lái)幫助管理當(dāng)今環(huán)境中增加的復(fù)雜性。

定義

網(wǎng)絡(luò)安全策略管理工具超越了防火墻供應(yīng)商提供的用戶策略管理界面。NSPM為規(guī)則優(yōu)化、更改管理工作流、規(guī)則測(cè)試、合規(guī)性評(píng)估和可視化提供分析和審核，通常使用設(shè)備和防火墻訪問(wèn)規(guī)則的可視網(wǎng)絡(luò)映射覆蓋到多個(gè)網(wǎng)絡(luò)路徑上。NSPM工具通常在套件中，包含應(yīng)用程序連接管理、策略?xún)?yōu)化和面向風(fēng)險(xiǎn)的威脅路徑分析等相鄰功能。

描述

NSPM工具主要通過(guò)與多個(gè)網(wǎng)絡(luò)安全產(chǎn)品集成來(lái)提供安全操作（SecOps）功能。這些工具有可能滿足多種網(wǎng)絡(luò)安全和應(yīng)用程序管理用例。NSPM工具擴(kuò)展了對(duì)公共和私有云平臺(tái)的可見(jiàn)性和安全策略管理功能。雖然，到目前為止，管理公共和私有云的安全策略是一項(xiàng)不斷發(fā)展的技術(shù)，只支持有限數(shù)量的云平臺(tái)提供商，其中最常用的包括VMware NSX、Amazon Web Services（AWS）、Microsoft Azure，有時(shí)還有OpenStack。除了網(wǎng)絡(luò)安全策略管理功能外，這些工具還提供應(yīng)用程序發(fā)現(xiàn)和連接功能。由于這些工具能夠與主要的網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)和負(fù)載平衡器）進(jìn)行通信，因此它們還能夠分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并執(zhí)行漏洞評(píng)估。

這些產(chǎn)品的關(guān)鍵組成部分是（見(jiàn)圖1）：

1.多供應(yīng)商防火墻和網(wǎng)絡(luò)安全設(shè)備的安全策略管理

2.變更管理系統(tǒng)

3.風(fēng)險(xiǎn)和脆弱性分析

4.應(yīng)用連接管理

圖1.網(wǎng)絡(luò)安全策略管理工具組成部分

來(lái)源: Gartner ( 2019年2月 )

NSPM工具提供與多供應(yīng)商安全產(chǎn)品及解決方案的集成和自動(dòng)化功能。供應(yīng)商正在將集成擴(kuò)展到以下一些解決方案：

網(wǎng)絡(luò)安全設(shè)備（防火墻、路由器、交換機(jī)等）

·IT服務(wù)管理解決方案

·公共IaaS平臺(tái)

·軟件定義網(wǎng)絡(luò)（SDN）平臺(tái)

·集裝箱網(wǎng)絡(luò)

·漏洞掃描程序

·DevOps自動(dòng)化工具

·安全信息和事件管理（SIEM）

·安全協(xié)調(diào)、分析和報(bào)告（SOAR）

通過(guò)這些提供上述功能的工具，它們可以幫助企業(yè)滿足多種使用場(chǎng)景。

這些工具通過(guò)進(jìn)行風(fēng)險(xiǎn)分析來(lái)自動(dòng)化網(wǎng)絡(luò)安全操作，同時(shí)保持持續(xù)的合規(guī)性。隨著網(wǎng)絡(luò)的發(fā)展，這些工具正在明確地提供對(duì)公共和私有云平臺(tái)的訪問(wèn)和控制；也就是在一直是網(wǎng)絡(luò)安全運(yùn)營(yíng)團(tuán)隊(duì)的一個(gè)灰色地帶的混合網(wǎng)絡(luò)中提供集中的可視性和控制。通過(guò)應(yīng)用程序可見(jiàn)性，這些工具為應(yīng)用程序和信息安全團(tuán)隊(duì)提供了一個(gè)共同的平臺(tái)，以便協(xié)作并更快地交付。

優(yōu)點(diǎn)與使用

NSPM工具的主要功能

·防火墻規(guī)則管理：這為多供應(yīng)商和多防火墻環(huán)境中的防火墻規(guī)則提供了集中規(guī)劃，使集中創(chuàng)建和推送規(guī)則更加容易。防火墻策略管理器幫助根據(jù)使用案例識(shí)別冗余、隱藏、重疊和沖突的規(guī)則。用戶可以根據(jù)不同的規(guī)則組成部分（對(duì)象、端口、IP地址），利用所有防火墻的過(guò)濾功能進(jìn)行集中搜索。這個(gè)領(lǐng)域的供應(yīng)商還提供了一個(gè)支持元數(shù)據(jù)的高級(jí)搜索功能。高級(jí)搜索還提供粒度功能，如兩個(gè)設(shè)備之間的配置比較、審計(jì)跟蹤、報(bào)告和自動(dòng)更改管理。

·集中式策略管理和可見(jiàn)性：此功能可幫助企業(yè)獲得跨網(wǎng)絡(luò)的網(wǎng)絡(luò)安全策略的集中可見(jiàn)性和控制?？梢?jiàn)性控制擴(kuò)展到第三方網(wǎng)絡(luò)安全設(shè)備，如路由器、交換機(jī)、負(fù)載平衡器以及私有和公有云供應(yīng)商的本機(jī)控件。這對(duì)于混合網(wǎng)絡(luò)來(lái)說(shuō)是一個(gè)非常有用的功能，因?yàn)樗€支持本地SDN和公共IaaS平臺(tái)中的本機(jī)策略。因此，網(wǎng)絡(luò)安全團(tuán)隊(duì)可以跨網(wǎng)絡(luò)管理和控制微段網(wǎng)絡(luò)安全策略。

·自動(dòng)化變更管理：NSPM工具有一個(gè)內(nèi)置的變更請(qǐng)求系統(tǒng)，還可以與第三方ITSM供應(yīng)商（如ServiceNow）集成。更改控制用于對(duì)現(xiàn)有規(guī)則進(jìn)行新規(guī)則的請(qǐng)求或進(jìn)行更改。在NSPM被批準(zhǔn)或不批準(zhǔn)之前，可以突出顯示專(zhuān)用的或未批準(zhǔn)的工作流程和路徑。這些工具還為常規(guī)規(guī)則提供了完整的端到端自動(dòng)化。供應(yīng)商還提供restfulapi來(lái)與SOAR automations等其他解決方案集成。例如，SOAR自動(dòng)化可包括對(duì)NSPM API的調(diào)用，以隔離由于檢測(cè)到的感染而指定IP地址的防火墻端口。NSPM工具將處理此請(qǐng)求并記錄更改。

·拓?fù)溆成浜吐窂椒治觯捍斯δ軇?chuàng)建網(wǎng)絡(luò)的虛擬映射，提供連接可見(jiàn)性和場(chǎng)景建模功能。在繪制流量圖的同時(shí)，它也有助于保持連接和網(wǎng)絡(luò)安全態(tài)勢(shì)地圖的最新?tīng)顟B(tài)，這是一項(xiàng)很難實(shí)現(xiàn)的任務(wù)。這個(gè)特性已經(jīng)擴(kuò)展到混合環(huán)境，并且提供了私有和公有云環(huán)境的映射和可見(jiàn)性，這使得它成為這些工具的一個(gè)重要選擇因素。

·安全策略的審核和合規(guī)性管理/報(bào)告：這些工具具有多個(gè)內(nèi)置的合規(guī)性配置文件，在違反準(zhǔn)則時(shí)會(huì)發(fā)出警報(bào)。用戶可以根據(jù)自己的標(biāo)準(zhǔn)創(chuàng)建自己的自定義安全指南。這有助于保持對(duì)所有策略和合規(guī)性和定期審核，并使外部審核體驗(yàn)更輕松。這些工具有助于實(shí)時(shí)識(shí)別合規(guī)性差距，并支持工作流來(lái)糾正違反的現(xiàn)有規(guī)則。在任何違反合規(guī)性的情況下，特別是在任何新的更改請(qǐng)求期間，都會(huì)生成警報(bào)。用戶可以在需要時(shí)提取基于合規(guī)性的報(bào)告，并將其用于審計(jì)目的。

·應(yīng)用程序發(fā)現(xiàn)和連接管理：NSPM工具提供網(wǎng)絡(luò)安全策略的應(yīng)用程序可見(jiàn)性。這有助于根據(jù)應(yīng)用程序而不僅僅是IP地址請(qǐng)求來(lái)更改請(qǐng)求。對(duì)應(yīng)用程序使用情況的可見(jiàn)性有助于識(shí)別活動(dòng)應(yīng)用程序和停用非活動(dòng)應(yīng)用程序。應(yīng)用程序的端到端連接有助于對(duì)運(yùn)行該應(yīng)用程序所涉及的所有網(wǎng)絡(luò)組件（應(yīng)用程序服務(wù)器、防火墻、負(fù)載平衡器）進(jìn)行識(shí)別和在不中斷任何連接的情況下進(jìn)行更改。一些供應(yīng)商還提供應(yīng)用程序遷移工作流來(lái)安全地遷移應(yīng)用程序。

·漏洞和風(fēng)險(xiǎn)評(píng)估：風(fēng)險(xiǎn)評(píng)估功能根據(jù)優(yōu)先級(jí)列出現(xiàn)有網(wǎng)絡(luò)安全策略和配置中的風(fēng)險(xiǎn)和漏洞。它還有助于在批準(zhǔn)任何更改之前識(shí)別與新更改請(qǐng)求相關(guān)的風(fēng)險(xiǎn)。NSPM工具與第三方漏洞掃描器集成，能夠?qū)虢Y(jié)果并使其成為工作流的一部分并且基于漏洞來(lái)識(shí)別風(fēng)險(xiǎn)。一些供應(yīng)商通過(guò)與資產(chǎn)和補(bǔ)丁管理解決方案以及威脅情報(bào)平臺(tái)等產(chǎn)品集成，在這方面提供了更先進(jìn)的功能以執(zhí)行持續(xù)的風(fēng)險(xiǎn)和影響分析。這些供應(yīng)商提供自動(dòng)化的工作流程來(lái)運(yùn)行掃描并根據(jù)風(fēng)險(xiǎn)進(jìn)行更改。它們還提供基于風(fēng)險(xiǎn)的評(píng)分，以便于安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)人們進(jìn)行影響分析。

由于NSPM工具提供了多種功能，它們有可能滿足多個(gè)業(yè)務(wù)用例。NSPM工具的關(guān)鍵使用案例如下：

關(guān)鍵使用案例

多種類(lèi)/多品牌防火墻規(guī)則的集中管理

在理想的情況下，網(wǎng)絡(luò)安全和運(yùn)營(yíng)團(tuán)隊(duì)將部署單一品牌的防火墻，以最大限度地降低管理復(fù)雜性和減少錯(cuò)誤配置的可能性。然而，現(xiàn)實(shí)是，現(xiàn)在每個(gè)組織都有異構(gòu)的需求。多品牌在擁有如下情況的公司機(jī)構(gòu)中已經(jīng)是一種現(xiàn)實(shí)情況:

通過(guò)并購(gòu)成長(zhǎng)

在公有云或SDN環(huán)境中使用云本機(jī)防火墻

在全球分階段部署新的防火墻品牌

擁有分散IT，其中根據(jù)不同的業(yè)務(wù)部門(mén)或地理位置做出不同的防火墻選擇決策

在這種情況下，網(wǎng)絡(luò)安全和運(yùn)營(yíng)團(tuán)隊(duì)以及審計(jì)人員將面臨錯(cuò)綜復(fù)雜的規(guī)則集合、管理控制臺(tái)和零碎的防火墻報(bào)告。

NSPM概念最初是為了應(yīng)對(duì)這一挑戰(zhàn)而制定的。隨著防火墻供應(yīng)商獲得市場(chǎng)份額，NSPM工具建立了統(tǒng)一理解和管理其策略的能力。使用NSPM作為管理真相的單一來(lái)源有助于網(wǎng)絡(luò)安全團(tuán)隊(duì)降低復(fù)雜性并清楚地看到潛在的配置問(wèn)題（見(jiàn)圖2）。

圖2.管理多種類(lèi)和多供應(yīng)商防火墻的集中接口

來(lái)源: Tufin

跨混合網(wǎng)絡(luò)和多云環(huán)境的網(wǎng)絡(luò)安全策略可見(jiàn)性和管理

隨著網(wǎng)絡(luò)向混合或多云環(huán)境中發(fā)展壯大，在這些平臺(tái)上實(shí)現(xiàn)可見(jiàn)性是一個(gè)日益嚴(yán)峻的挑戰(zhàn)，這使得網(wǎng)絡(luò)安全運(yùn)營(yíng)團(tuán)隊(duì)幾乎不可能在這些環(huán)境中管理和維護(hù)正確的網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全團(tuán)隊(duì)需要對(duì)本機(jī)和第三方網(wǎng)絡(luò)安全控制進(jìn)行更多的可見(jiàn)性和控制。

NSPM解決方案提供了對(duì)安全設(shè)備（如防火墻和跨多個(gè)供應(yīng)商的云本機(jī)安全配置）的可見(jiàn)性和集中管理。這有助于簡(jiǎn)化整個(gè)企業(yè)的安全策略規(guī)則管理，并減少由于安全設(shè)備配置錯(cuò)誤而導(dǎo)致的安全風(fēng)險(xiǎn)。供應(yīng)商正在將這種支持?jǐn)U展到混合云和公有云，從而能夠?qū)λ衅髽I(yè)基礎(chǔ)設(shè)施環(huán)境的中策略和規(guī)則集進(jìn)行集中管理（請(qǐng)參見(jiàn)圖3）。

圖3.跨混合環(huán)境的拓?fù)溆成?/p>

來(lái)源: Skybox

微分段

因?yàn)槿狈?duì)跨不同應(yīng)用程序和環(huán)境的網(wǎng)絡(luò)流和連接的可見(jiàn)性和了解，所以網(wǎng)絡(luò)安全運(yùn)營(yíng)團(tuán)隊(duì)經(jīng)常將微分段視為一項(xiàng)挑戰(zhàn)。與此同時(shí)，微分段已成為緩解東西通信量相關(guān)風(fēng)險(xiǎn)的關(guān)鍵措施。安全團(tuán)隊(duì)需要了解網(wǎng)絡(luò)的所有本機(jī)控件以及第三方控件，以及應(yīng)用程序連接映射，以便成功地實(shí)現(xiàn)和維護(hù)微分段。保持多個(gè)合規(guī)級(jí)別也是非常重要的。

NSPM工具提供了對(duì)不同網(wǎng)絡(luò)、第三方防火墻和應(yīng)用程序連接的集中可見(jiàn)性和控制，以便網(wǎng)絡(luò)安全團(tuán)隊(duì)可以在保持合規(guī)性的同時(shí)應(yīng)用微分段。在混合網(wǎng)絡(luò)團(tuán)隊(duì)的支持下，安全團(tuán)隊(duì)無(wú)需登錄多個(gè)不同的控件即可集中查看和控制SDN和公有云平臺(tái)的本地策略。所有更改都會(huì)被跟蹤，任何違規(guī)行為都會(huì)被突出顯示，這樣就可以在不破壞應(yīng)用程序的情況下進(jìn)行修復(fù)。盡管涉及多個(gè)不同的設(shè)備、網(wǎng)絡(luò)和應(yīng)用程序，這些功能能夠共同幫助企業(yè)保持有效的微分段控制。

持續(xù)審核和安全策略的合規(guī)性

敏感數(shù)據(jù)和與之相關(guān)的安全控制越來(lái)越分散在多個(gè)環(huán)境和供應(yīng)商之間。不同的法規(guī)，如《薩班斯-奧克斯利法案》（SOX）、《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》（PCI DSS）、《通用數(shù)據(jù)保護(hù)條例》（GDPR）和《健康保險(xiǎn)便攜性與責(zé)任法案》（HIPAA）等，要求公司定期展示合規(guī)性。如果沒(méi)有一種自動(dòng)化的方法來(lái)驗(yàn)證審計(jì)人員的合規(guī)性，網(wǎng)絡(luò)安全團(tuán)隊(duì)必須花時(shí)間在多個(gè)位置手動(dòng)檢查和驗(yàn)證控件。

NSPM解決方案提供了多種現(xiàn)成的合規(guī)性配置文件，這些配置文件可以在違反策略時(shí)發(fā)出警報(bào)，也可以提供顯示實(shí)時(shí)合規(guī)狀態(tài)的儀表板。創(chuàng)建特定于企業(yè)策略的自定義安全指導(dǎo)原則是一個(gè)擴(kuò)展到固定的常規(guī)合規(guī)性模板之外的功能。例如，一家公司擔(dān)心存儲(chǔ)在本地存儲(chǔ)區(qū)域中的敏感數(shù)據(jù)可以從外部訪問(wèn)，可以創(chuàng)建一個(gè)定制的合規(guī)性規(guī)則，該規(guī)則將檢測(cè)到任何時(shí)間將數(shù)據(jù)暴露在公共互聯(lián)網(wǎng)上的行為（參見(jiàn)圖4）。

圖4.定制評(píng)估報(bào)告樣本

來(lái)源: FireMon

變更管理與網(wǎng)絡(luò)安全運(yùn)行自動(dòng)化

使用手動(dòng)更改過(guò)程來(lái)更新安全策略的網(wǎng)絡(luò)安全團(tuán)隊(duì)通常會(huì)發(fā)現(xiàn)響應(yīng)安全事件和遵守更改管理流程非常麻煩，而且容易出錯(cuò)?？焖?、安全地進(jìn)行更改是在確保環(huán)境得到保護(hù)的同時(shí)保護(hù)公司運(yùn)營(yíng)正常運(yùn)行時(shí)間的關(guān)鍵。因此，NSPM工具的變更管理系統(tǒng)是其中最重要的組成部分之一。

NSPM供應(yīng)商提供內(nèi)置的變更控制系統(tǒng)，支持變更管理的整個(gè)周期，以允許受控變更并防止計(jì)劃外停機(jī)。更改控制用于請(qǐng)求新規(guī)則或?qū)ΜF(xiàn)有規(guī)則的更改。一旦發(fā)出請(qǐng)求，它們將執(zhí)行流量分析，然后列出與此更改相關(guān)的所有躍點(diǎn)（網(wǎng)關(guān)、服務(wù)器）。變更管理系統(tǒng)檢查請(qǐng)求，并在違反任何標(biāo)準(zhǔn)時(shí)發(fā)出警報(bào)；它還突出顯示與更改相關(guān)的任何風(fēng)險(xiǎn)。一旦解決了所有警報(bào)和風(fēng)險(xiǎn)，請(qǐng)求就會(huì)得到批準(zhǔn)并得到實(shí)施。這使管理員能夠暫存在狹窄的更改窗口期間自動(dòng)發(fā)生的更改。

在實(shí)施新的變更之前，還可以執(zhí)行變更影響分析。此功能為用戶提供了一個(gè)模擬環(huán)境，在該環(huán)境中，可以在尋求進(jìn)一步批準(zhǔn)之前分析更改的影響。它還使用戶能夠跳過(guò)任何更改過(guò)程，并自動(dòng)執(zhí)行可能不需要批準(zhǔn)或風(fēng)險(xiǎn)分析的常規(guī)日常規(guī)則。因此，可以為選定的規(guī)則實(shí)現(xiàn)端到端的自動(dòng)化（參見(jiàn)圖5）。

圖5. 變更管理工作流

來(lái)源: Gartner (February 2019)

遷移

2019年，數(shù)據(jù)中心和網(wǎng)絡(luò)處于不斷變化的狀態(tài)。為了提高效率和靈活性，組織正在采用軟件設(shè)計(jì)的網(wǎng)絡(luò)原則，并將工作負(fù)載轉(zhuǎn)移到公有云中——通常是多個(gè)公有云。將應(yīng)用程序遷移到云或其他數(shù)據(jù)中心而不中斷應(yīng)用程序連接或創(chuàng)建安全漏洞是一項(xiàng)挑戰(zhàn)。不斷的基礎(chǔ)設(shè)施演進(jìn)會(huì)導(dǎo)致一個(gè)混亂的網(wǎng)絡(luò)安全政策環(huán)境，在這種環(huán)境中，網(wǎng)絡(luò)安全和運(yùn)營(yíng)領(lǐng)導(dǎo)人爭(zhēng)先恐后地保持防火墻政策的最新性和相關(guān)性。

NSPM解決方案提供了一種附加到特定應(yīng)用程序的管理策略的方法，而不管應(yīng)用程序駐留在何處。NSPM描述了應(yīng)用程序遷移之前、期間和之后的應(yīng)用程序流，確保通信流在整個(gè)過(guò)程中保持不中斷。這些解決方案有助于從安全性和連接性的角度規(guī)劃、執(zhí)行和跟蹤遷移項(xiàng)目的所有階段。遷移后，NSPM可以幫助刪除無(wú)關(guān)的、遺留的防火墻規(guī)則。

連續(xù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析與脆弱性評(píng)估

隨著多個(gè)安全漏洞和安全事件的發(fā)生，業(yè)務(wù)主管和網(wǎng)絡(luò)安全運(yùn)營(yíng)團(tuán)隊(duì)不斷尋求基于風(fēng)險(xiǎn)的方法來(lái)查看其基礎(chǔ)架構(gòu)和應(yīng)用程序。隨著多種技術(shù)和多種漏洞掃描器的出現(xiàn)，風(fēng)險(xiǎn)分析和關(guān)聯(lián)的工作變得更具挑戰(zhàn)性。

NSPM工具提供基于風(fēng)險(xiǎn)的分析，其中還包括與第三方漏洞分析掃描儀的集成。實(shí)時(shí)網(wǎng)絡(luò)漏洞管理功能和集中的基于風(fēng)險(xiǎn)的儀表板視圖等功能可幫助企業(yè)持續(xù)了解其網(wǎng)絡(luò)中的風(fēng)險(xiǎn)。該產(chǎn)品的一個(gè)強(qiáng)大功能是在批準(zhǔn)和不批準(zhǔn)任何更改之前基于資產(chǎn)脆弱性的影響分析。

應(yīng)用程序連接管理

應(yīng)用程序及其可用性對(duì)于許多以應(yīng)用程序?yàn)橹行牡臉I(yè)務(wù)至關(guān)重要。應(yīng)用程序可用性對(duì)于此類(lèi)企業(yè)的業(yè)務(wù)連續(xù)性至關(guān)重要。NSPM工具通過(guò)提供應(yīng)用程序發(fā)現(xiàn)和連接功能來(lái)解決這個(gè)使用案例。

這些工具還提供應(yīng)用程序自動(dòng)發(fā)現(xiàn)功能以檢測(cè)企業(yè)中使用的應(yīng)用程序。它們?cè)诰S護(hù)連接圖的同時(shí)提供實(shí)時(shí)應(yīng)用程序連接細(xì)節(jié)。不同的企業(yè)所有者可以生成基于應(yīng)用程序的更改管理請(qǐng)求，網(wǎng)絡(luò)安全操作團(tuán)隊(duì)可以實(shí)施更改，同時(shí)對(duì)應(yīng)用程序連接性和合規(guī)性要求進(jìn)行影響評(píng)估。應(yīng)用程序連接性映射還幫助網(wǎng)絡(luò)安全操作團(tuán)隊(duì)通過(guò)對(duì)應(yīng)用程序連接性執(zhí)行影響分析來(lái)跨數(shù)據(jù)中心和云平臺(tái)遷移應(yīng)用程序，從而避免意外停機(jī)（見(jiàn)圖6）。它也有助于識(shí)別未使用的應(yīng)用程序，以便可以安全地從網(wǎng)絡(luò)中停用它們。

圖6.應(yīng)用程序連接映射

來(lái)源: AlgoSec

DevOps

對(duì)應(yīng)用程序驅(qū)動(dòng)的安全設(shè)備策略更改的緩慢審查和批準(zhǔn)是DevOps團(tuán)隊(duì)實(shí)現(xiàn)最大速度的主要挑戰(zhàn)。這些過(guò)程可以為發(fā)布周期增加幾周時(shí)間，而一些高級(jí)DevOps團(tuán)隊(duì)的目標(biāo)周期時(shí)間不到一小時(shí)。

一些NSPM供應(yīng)商通過(guò)實(shí)現(xiàn)安全評(píng)估和執(zhí)行的自動(dòng)化來(lái)為DevOps用例提供支持。這允許開(kāi)發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)進(jìn)行協(xié)作，并將自動(dòng)化的安全問(wèn)題作為構(gòu)建管道的一部分。供應(yīng)商可以提供與構(gòu)建工具（如Jenkins）或開(kāi)發(fā)自動(dòng)化解決方案（如Chef或Ansible）的本地集成。第三方DevOps工具鏈供應(yīng)商的支持因NSPM解決方案而異，但NSPM供應(yīng)商提供的API集成通常可供DevOps團(tuán)隊(duì)利用。安全和DevOps團(tuán)隊(duì)需要仔細(xì)評(píng)估應(yīng)用程序開(kāi)發(fā)的傳統(tǒng)安全控制的自動(dòng)化，而不是本地云安全工具的實(shí)現(xiàn)，如云工作負(fù)載保護(hù)平臺(tái)（CWPP）和云安全策略管理解決方案。

采用率

第三方網(wǎng)絡(luò)安全策略管理是一個(gè)快速發(fā)展的市場(chǎng)。多供應(yīng)商防火墻規(guī)則管理在這些工具中已經(jīng)非常成熟。現(xiàn)在，隨著云應(yīng)用的增加，這些工具正在增強(qiáng)其為云平臺(tái)提供可見(jiàn)性和管理支持的能力，這將進(jìn)一步推動(dòng)增長(zhǎng)。除了網(wǎng)絡(luò)安全策略管理之外，根據(jù)合規(guī)性和基于審計(jì)的報(bào)告維護(hù)安全策略也是采用這些工具的主要用例。Gartner還將網(wǎng)絡(luò)脆弱性評(píng)估和風(fēng)險(xiǎn)分析視為采用這些工具的新興使用案例。采用的主要驅(qū)動(dòng)因素各不相同。

風(fēng)險(xiǎn)

·將NSPM工具添加到規(guī)模較小的安全組織的解決方案組合中是很昂貴的。

·由于這些工具與多供應(yīng)商設(shè)備和環(huán)境（包括防火墻、路由器、交換機(jī)以及私有和公有云）交互，如果這些工具沒(méi)有正確實(shí)施，企業(yè)通常會(huì)面臨實(shí)施和初始管理問(wèn)題。

·企業(yè)在將這些產(chǎn)品引入市場(chǎng)之前往往無(wú)法對(duì)其進(jìn)行適當(dāng)?shù)脑u(píng)估，最終將面臨與現(xiàn)有網(wǎng)絡(luò)安全設(shè)備和變更管理工具的集成問(wèn)題。

·這些工具正在將其對(duì)可見(jiàn)性和控制的支持?jǐn)U展到混合環(huán)境中，但對(duì)私有和公有云的支持僅擴(kuò)展到少數(shù)有限的功能有限的提供商。

·在沒(méi)有明確安全策略管理實(shí)施目標(biāo)的情況下，網(wǎng)絡(luò)安全運(yùn)營(yíng)主管可能會(huì)過(guò)度購(gòu)買(mǎi)平臺(tái)模塊，而這些模塊不會(huì)立即為其組織帶來(lái)好處，從而導(dǎo)致一些模塊在組織支付支持費(fèi)用時(shí)處于休眠狀態(tài)。

·相反，購(gòu)買(mǎi)這些解決方案的網(wǎng)絡(luò)安全運(yùn)營(yíng)主管往往低估了其預(yù)期使用情形的范圍，因此購(gòu)買(mǎi)的容量不夠大。一些Gartner客戶內(nèi)部有多個(gè)NSPM工具，其中大多數(shù)都以有限的方式使用，很有可能成為擱置軟件。

·這一領(lǐng)域的供應(yīng)商通常非常擅長(zhǎng)于支持操作使用案例（例如，防火墻策略管理）或風(fēng)險(xiǎn)和漏洞管理使用案例，但不能同時(shí)支持這兩個(gè)使用案例。這對(duì)于那些希望擁有一系列功能的買(mǎi)家來(lái)說(shuō)是令人失望的。購(gòu)買(mǎi)時(shí)沒(méi)有概念驗(yàn)證（POC）可能導(dǎo)致期望值未得到滿足，以及與許多網(wǎng)絡(luò)安全產(chǎn)品的集成不完整。

·供應(yīng)商對(duì)公有云和私有云中的Linux容器提供有限的支持，例如Amazon Elastic Container Service（ECS）、Amazon Elastic Container Service for Kubernetes（EKS）、AWS Fargate和Azure Kubernetes Service（AKS）、Google Kubernetes Engine以及Red Hat OpenShift等產(chǎn)品的內(nèi)部部署。

·這些工具的許多功能與其他網(wǎng)絡(luò)操作（NetOps）工具（如網(wǎng)絡(luò)配置和更改管理（NCCM）工具和防火墻管理工具）重疊。同一組織中的NetOps團(tuán)隊(duì)可能會(huì)使用這些SecOps團(tuán)隊(duì)可能不知道的具有基本安全操作能力的工具，從而最終購(gòu)買(mǎi)提供類(lèi)似功能的重復(fù)工具。

網(wǎng)絡(luò)安全策略管理替代方案

大多數(shù)現(xiàn)有的安全供應(yīng)商都在擴(kuò)展對(duì)混合環(huán)境的支持。這些供應(yīng)商包括防火墻、入侵檢測(cè)和預(yù)防系統(tǒng)（IDPS）、漏洞掃描、SIEM、端點(diǎn)安全等等。如果客戶對(duì)合規(guī)性、規(guī)則管理和威脅可見(jiàn)性有基本要求，建議他們與現(xiàn)有的解決方案提供商聯(lián)系。例如，大多數(shù)防火墻供應(yīng)商都提供集中管理器來(lái)管理多個(gè)防火墻。雖然集中式管理器并沒(méi)有提供前面在關(guān)鍵用例和定義部分中提到的所有功能，但是它們確實(shí)提供了集中的防火墻規(guī)則管理。

有一些示例替代供應(yīng)商提供了一些功能，并滿足了關(guān)鍵使用案例部分中提到的一些使用案例：

防火墻供應(yīng)商

·Check Point Software Technologies CloudGuard Dome9

·Cisco Stealthwatch Cloud and Cisco Tetration

·Fortinet Security Fabric

·Juniper Networks Junos Space Security Director

·Palo Alto Networks RedLock

管理本地云的安全處理管理供應(yīng)商

·CloudCheckr

·Cloudvisory

網(wǎng)絡(luò)自動(dòng)化供應(yīng)商

·AppViewX

·Nuage Networks from Nokia

·Red Hat Ansible

多種云風(fēng)險(xiǎn)與漏洞管理供應(yīng)商

·AlienVault

·RedSeal

·Tenable

基于主服務(wù)器的微分段供應(yīng)商

·Alcide

·Guardicore

·Illumio

建議

負(fù)責(zé)網(wǎng)絡(luò)安全運(yùn)營(yíng)的安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)人們:

·在入圍供應(yīng)商之前，將確定主要和初始使用案例作為主要需求。閱讀“優(yōu)點(diǎn)和使用”部分，以確定最能定義您的需求的使用案例。

·如果主要目標(biāo)是跨私有網(wǎng)絡(luò)和混合網(wǎng)絡(luò)進(jìn)行防火墻策略管理，則評(píng)估現(xiàn)有集中式防火墻管理器供應(yīng)商的能力，因?yàn)檫@些供應(yīng)商也在發(fā)展對(duì)公有云（如AWS和Azure）的支持。

·識(shí)別相鄰的使用案例，并與能夠協(xié)作和評(píng)估這些工具的相應(yīng)業(yè)務(wù)主管交談。

·避免在未對(duì)主要和相鄰使用案例進(jìn)行適當(dāng)評(píng)估的情況下，最終確定購(gòu)買(mǎi)任何NSPM工具。評(píng)估因素必須包括對(duì)不同網(wǎng)絡(luò)安全產(chǎn)品當(dāng)前固件版本的支持。

·根據(jù)您的使用案例準(zhǔn)備一份環(huán)境中正在使用的設(shè)備和工具的列表，以檢查NSPM供應(yīng)商提供的集成功能。這個(gè)列表應(yīng)該超越防火墻和路由器，包括漏洞掃描程序、SOAR、ITSM和DevOps工具。

·如果它們是您當(dāng)前或未來(lái)使用案例的一部分的話，評(píng)估對(duì)私有和公有云的混合網(wǎng)絡(luò)的支持，因?yàn)檫@種支持是一個(gè)不斷發(fā)展的功能，NSPM供應(yīng)商支持的功能有限。

·利用這些供應(yīng)商提供的專(zhuān)業(yè)執(zhí)行服務(wù)來(lái)實(shí)現(xiàn)穩(wěn)定的實(shí)施。確保管理員和業(yè)務(wù)主管接受此工具的全面培訓(xùn)，以最佳方式利用其所有功能。

·在通過(guò)評(píng)估NSPM解決方案來(lái)啟用DevOps時(shí)，驗(yàn)證網(wǎng)絡(luò)安全控制是否是自動(dòng)持續(xù)集成/連續(xù)交付（CI/CD）管道中的瓶頸。如果不是這樣，就不要強(qiáng)調(diào)這些能力。如果安全是主要的瓶頸，那么安全團(tuán)隊(duì)需要與DevOps團(tuán)隊(duì)密切合作，以了解應(yīng)用程序的安全需求，以確定NSPM工具是否可以幫助消除這種限制。

·如果您是一個(gè)有成本意識(shí)或規(guī)模較小的安全團(tuán)隊(duì)，那么就減少現(xiàn)有供應(yīng)商，而不是將另一個(gè)供應(yīng)商添加到已經(jīng)很復(fù)雜的安全產(chǎn)品組合中，如果這樣您可能會(huì)發(fā)現(xiàn)NSPM工具很昂貴。

（本文作者：Rajpreet Kaur、Adam Hils、John Watts）