网络安全策略管理技术(NSPM)探秘

安全牛评估

企业的网络安全能力更多的是一种管理能力。面对流行病和数字云转型带来的新挑战:攻击区域增加、IT复杂性增加、碎片化和影子化,企业网络安全部门面临的最大挑战是对动态风险的集中有效控制。网络安全策略管理技术就像企业的空地面综合交通指挥系统,协调和管理本地和云安全策略,为安全团队、网络IT团队和云计算运营团队提供统一的安全管理平台,对应用、网络、负载和设备进行高度可视化,使IT和安全实现无缝协作。它的重要性不言而喻。基于网络安全和风险管理的现状和需求,介绍了NSPM的概念、构成、模式、优缺点、风险和采购要求。

网络安全策略管理工具可以帮助安全管理人员跨混合网络实现安全策略、风险分析、实时合规性和应用程序映射功能的集中可见性和控制,以满足各种使用场景。

总结

主要调查结果

& middot虽然网络防火墙运维团队已经提供了几种防火墙集中管理的解决方案,但是仍然存在很多问题。

& middot企业还没有准备好在混合云环境中展示与内部网相同级别的安全策略一致性。

& middot使用自助式IaaS的开发人员通常使用云提供商的内置功能,网络安全团队没有可见性和控制权。

& middot网络和安全团队通常很难理解数字服务和微细分中关键应用的连通性。

& middot降低实时风险是企业安全团队的一个目标,但是多供应商环境中的团队很难实现这个目标。

建议

负责推动业务价值的网络和终端安全、漏洞管理和开发的安全和风险管理领导者应该:

& middot确定主要和相邻的使用案例,并与所有相关业务主管讨论如何有效地使用工具和订阅。

& middot通过供应商概念验证,评估NSPM供应商与目标系统(如信息技术服务管理工具、安全设备和云平台)集成的能力。

& middot实施和培训供应商的专业服务,以有效管理和运行工具。

& middot与应用程序开发和输入输出团队合作,确定私有云和混合云的现有和短期路线图,以及与开发平台的自发性和合规性要求相关的任何安全要求。

战略规划假设

到2023年,至少99%的云安全故障将是客户自己的错误。

到2023年,99%的防火墙漏洞将由防火墙错误配置造成,而不是防火墙自身的缺陷。

到2021年,超过75%的大中型企业将采用多种云和/或混合信息技术战略。

到2023年,超过25%的使用多个IaaS提供商的企业将部署第三方安全和微细分控制,而不是仅依赖内置的IaaS控制,目前这一比例不到5%。

分析

尽管许多网络安全供应商都有集中的管理平台,但网络安全团队仍在尝试管理这些多类别和多供应商的安全策略,以便在异构环境中保持完全可见性。保持持续合规性正成为一个更大的挑战。随着企业的扩张,这些网络及其需求也在不断发展。网络正在扩展到私有云和公共云。同时,从DevOps到快速应用程序开发的转变使企业能够在确保安全性的同时更快地交付。因此,企业正在寻找将网络安全管理自动化并集成到DevOps中的方法,以帮助他们满足不断增长的业务需求。通过使用网络安全管理工具满足这些使用案例,安全和风险管理领导者可以使用NSPM解决方案来帮助管理当今环境中日益增加的复杂性。

定义

网络安全策略管理工具超越了防火墙供应商提供的用户策略管理界面。NSPM为规则优化、变更管理工作流、规则测试、合规性评估和可视化提供分析和审计,并且通常通过可视化设备和防火墙访问规则的网络映射来覆盖多个网络路径。该套件通常包含NSPM工具,包括应用程序连接管理、策略优化和面向风险的威胁路径分析等相邻功能。

描述

NSPM工具主要通过集成多种网络安全产品来提供安全操作(SecOps)功能。这些工具有可能满足各种网络安全和应用程序管理用例。NSPM工具扩展了公共和私有云平台的可见性和安全策略管理功能。到目前为止,管理公共云和私有云的安全策略是一项不断发展的技术,它只支持有限数量的云平台提供商,其中最常用的包括VMware NSX、亚马逊网络服务(AWS)、微软Azure,有时还有OpenStack。除了网络安全策略管理功能,这些工具还提供应用程序发现和连接功能。由于这些工具可以与路由器、交换机和负载平衡器等主要网络设备进行通信,因此它们还可以分析网络安全风险并执行漏洞评估。

这些产品的关键组件是(见图1):

1.多厂商防火墙和网络安全设备安全策略管理

2.变更管理系统

3.风险和脆弱性分析

4.应用连接管理

图1。网络安全策略管理工具组件来源:高德纳(2019年2月)

NSPM工具提供与多供应商安全产品和解决方案的集成和自动化。供应商正在将集成扩展到以下解决方案:

网络安全设备(防火墙、路由器、交换机等)。(

& middot信息技术服务管理解决方案

& middot公共IaaS平台

& middot软件定义网络平台

& middot集装箱网络

& middot漏洞扫描器

& middotDevOps自动化工具

& middot安全信息和事件管理

& middot安全协调、分析和报告

通过这些提供上述功能的工具,它们可以帮助企业满足各种使用场景。

这些工具通过风险分析自动执行网络安全操作,同时保持持续合规性。随着网络的发展,这些工具显然提供了对公共和私有云平台的访问和控制。也就是说,它在混合网络中提供集中的可见性和控制,这一直是网络安全运营团队的一个灰色区域。通过应用程序可见性,这些工具为应用程序和信息安全团队提供了一个通用平台,以便更快地协作和交付。

优点和用途

NSPM工具的主要功能有

& middot防火墙规则管理:这为多供应商和多防火墙环境中的防火墙规则提供了集中规划,使得集中创建和推送规则变得更加容易。防火墙策略管理器有助于根据用例识别冗余、隐藏、重叠和冲突的规则。根据不同的规则组件(对象、端口、IP地址),用户可以使用所有防火墙的过滤功能进行集中搜索。该领域的供应商还提供支持元数据的高级搜索功能。高级搜索还提供细化功能,例如两个设备之间的配置比较、审计跟踪、报告和自动变更管理。

& middot集中的策略管理和可见性:该功能可以帮助企业获得跨网络的网络安全策略的集中可见性和控制。可见性控制扩展到第三方网络安全设备,如路由器、交换机、负载平衡器以及私有云和公共云提供商的本地控制。这对于混合网络来说是一个非常有用的功能,因为它还支持本地SDN和公共IaaS平台中的本地策略。因此,网络安全团队可以跨网络管理和控制微细分网络安全策略。

& middot自动化变更管理:NSPM工具有一个内置的变更请求系统,可以与第三方ITSM供应商(如ServiceNow)集成。更改控制用于请求新规则或更改现有规则。在批准或未批准NSPM之前,可以突出显示专用或未批准的工作流和路径。这些工具还为一般规则提供了完整的端到端自动化。供应商还提供restfulapi与其他解决方案集成,如SOAR自动化系统。例如,SOAR自动化可以包括对NSPM应用编程接口的调用,以隔离由于检测到的感染而指定IP地址的防火墙端口。NSPM工具将处理此请求并记录更改。

& middot拓扑映射和路径分析:该功能创建网络的虚拟映射,并提供连接可见性和场景建模功能。在绘制流量图的同时,也有助于保持最新的连接状态和网络安全态势图,这是一项很难实现的任务。此功能已扩展到混合环境,并提供私有云和公共云环境的映射和可见性,这使得它成为这些工具的重要选择因素。

& middot安全策略的审计和合规管理/报告:这些工具有多个内置的合规配置文件,当违反标准时会发出警报。用户可以根据自己的标准创建自己定制的安全指南。这有助于保持所有政策和合规性以及定期审计,并使外部审计体验更容易。这些工具有助于实时识别合规性差距,并支持工作流来纠正违反的现有规则。如果出现任何违反合规性的情况,特别是在任何新的变更请求期间,都会生成警报。用户可以在需要时提取基于合规性的报告,并将其用于审计目的。

& middot应用程序发现和连接管理:NSPM工具提供网络安全策略的应用程序可见性。这有助于根据应用程序更改请求,而不仅仅是IP地址请求。应用程序使用情况的可见性有助于识别活动应用程序和停用非活动应用程序。应用程序的端到端连接有助于识别运行应用程序所涉及的所有网络组件(应用程序服务器、防火墙、负载平衡器),并在不中断任何连接的情况下进行更改。一些供应商还提供应用程序迁移工作流来安全地迁移应用程序。

& middot漏洞和风险评估:风险评估功能根据优先级列出现有网络安全策略和配置中的风险和漏洞。它还有助于在批准任何变更之前识别与新变更请求相关的风险。NSPM工具与第三方漏洞扫描器集成在一起,后者可以导入结果并将其作为工作流的一部分,并根据漏洞识别风险。一些供应商通过与资产和补丁程序管理解决方案以及威胁情报平台等产品集成,提供更高级的功能来执行持续的风险和影响分析。这些供应商提供自动工作流来运行扫描并根据风险进行更改。它们还提供基于风险的评分,以方便安全和风险管理领导者进行影响分析。

因为NSPM工具提供了多种功能,它们可能满足多种业务用例。NSPM工具的主要使用案例如下:

关键用例

1。多类别/多品牌防火墙规则的集中管理

理想情况下,网络安全和运营团队将部署单一品牌的防火墙,以最大限度地降低管理的复杂性,并降低错误配置的可能性。然而,现实是每个组织现在都有不同的需求。在存在以下情况的公司中,多品牌已经成为现实:

& bull通过并购实现增长

& bull在公共云或SDN环境中使用云本地防火墙

& bull在世界各地分阶段部署新的防火墙品牌

& bull拥有分散的信息技术,根据不同的业务部门或地理位置做出不同的防火墙选择决策

在这种情况下,网络安全和运营团队以及审计人员将面临复杂的规则集、管理控制台和分散的防火墙报告。

NSPM的概念最初是为了迎接这一挑战而提出的。随着防火墙供应商获得市场份额,NSPM工具建立了统一理解和管理其策略的能力。使用NSPM作为管理真相的单一来源有助于网络安全团队降低复杂性,并清楚地看到潜在的配置问题(参见图2)。

图2。用于管理多类别和多供应商防火墙的集中接口来源:Tufin

2。跨混合网络和云环境的网络安全策略可见性和管理

随着网络向混合或云环境的发展,在这些平台上实现可见性是一个日益严峻的挑战,这使得网络安全运营团队几乎不可能在这些环境中管理和维护正确的网络安全策略。网络安全团队需要对本地和第三方网络安全控制有更多的可见性和控制。

NSPM解决方案提供了安全性设备的可见性和集中管理,例如跨多个供应商的防火墙和云本地安全性配置。这有助于简化整个企业中安全策略规则的管理,并降低因安全设备配置不当而导致的安全风险。供应商正在将这种支持扩展到混合云和公共云,支持在所有企业基础架构环境中集中管理策略和规则集(参见图3)。

图3。跨混合环境的拓扑映射来源:Skybox

3。微细分

由于对不同应用程序和环境之间的网络流和连接缺乏可见性和理解,网络安全运营团队通常将微细分视为一项挑战。与此同时,微观细分已成为缓解东西交通相关风险的关键措施。安全团队需要了解网络的所有本地控制和第三方控制,以及应用程序连接映射,以便成功实施和维护微细分。保持多个合规级别也很重要。

NSPM工具提供了对不同网络、第三方防火墙和应用程序连接的集中可见性和控制,因此网络安全团队可以在保持合规性的同时应用微分段。在混合网络团队的支持下,安全团队可以集中查看和控制SDN和公共云平台的本地策略,而无需登录多个不同的控件。将跟踪所有更改,并突出显示任何违规,以便在不损坏应用程序的情况下修复它们。尽管涉及许多不同的设备、网络和应用,但这些功能可以帮助企业保持有效的微细分控制。

4。安全策略的持续审核和合规性

敏感数据和相关的安全控制越来越分散在多个环境和供应商中。不同的法律法规,如萨班斯-奥克斯利法案(SOX)、支付卡行业数据安全标准(PCI DSS)、通用数据保护条例(GDPR)和健康保险可移植性和责任法案(HIPAA),要求公司定期证明合规性。如果没有自动化的方法来验证审计员的合规性,网络安全团队必须花时间在多个位置手动检查和验证控制。

NSPM解决方案提供了各种现成的法规遵从性配置文件,可以在违反策略时发出警报,还可以提供显示实时法规遵从性状态的仪表板。创建特定于企业策略的自定义安全准则是一项功能,它超越了固定的一般遵从性模板。例如,一家公司担心存储在本地存储区域的敏感数据可能会被外部访问,因此可以创建一个定制的合规性规则,该规则将随时检测向公共互联网公开数据的行为(参见图4)。

图4。定制评估报告的示例来源:FireMon

5。网络安全操作的变更管理和自动化

使用手动变更程序来更新安全策略的网络安全团队通常会发现,响应安全事件并遵循变更管理流程既麻烦又容易出错。快速安全地进行变更是确保环境保护和公司运营正常运行的关键。因此,NSPM工具的变更管理系统是最重要的组成部分之一。

NSPM供应商提供了一个内置的变更控制系统,以支持整个变更管理周期,从而允许受控变更并防止计划外停机。更改控制用于请求新规则或更改现有规则。一旦发出请求,他们将执行流量分析,然后列出与此更改相关的所有跳(网关、服务器)。变更管理系统检查请求,并在违反任何标准时发出警报;它还强调了与变更相关的任何风险。一旦所有警报和风险得到解决,请求将被批准并实施。这使管理员能够在狭窄的更改窗口中暂存自动发生的更改。

您还可以在实施新变更之前执行变更影响分析。此功能为用户提供了一个模拟环境,用户可以在此环境中分析变更的影响,然后寻求进一步的批准。它还使用户能够跳过任何变更流程,并自动执行可能不需要批准或风险分析的日常规则。因此,可以为选定的规则实现端到端自动化(参见图5)。

图5。变更管理工作流程来源:高德纳(2019年2月)

6。迁移

2019年,数据中心和网络处于不断变化的状态。为了提高效率和灵活性,组织正在采用软件设计的网络原则,并将工作负载转移到公共云& mdash& mdash通常是多个公共云。将应用程序迁移到云或其他数据中心而不中断应用程序连接或造成安全漏洞是一项挑战。基础设施的不断演进将导致一个混乱的网络安全政策环境,在这个环境中,网络安全和运营领导者们正在争先恐后地保持防火墙政策的最新和相关。

NSPM解决方案提供了一种附加到特定应用程序的管理策略的方法,无论该应用程序位于何处。NSPM描述了应用程序迁移之前、期间和之后的应用程序流,确保通信流在整个过程中保持不间断。这些解决方案有助于从安全和连接角度规划、执行和跟踪迁移项目的所有阶段。迁移后,NSPM可以帮助删除不相关和遗留的防火墙规则。

7。持续的网络安全风险分析和漏洞评估

随着多个安全漏洞和安全事件的出现,业务主管和网络安全运营团队不断寻求基于风险的方法来查看他们的基础架构和应用程序。随着多种技术和多种漏洞扫描器的出现,风险分析和关联变得更具挑战性。

NSPM工具提供基于风险的分析,其中还包括与第三方漏洞分析扫描仪的集成。实时网络漏洞管理和基于风险的集中式仪表板视图可以帮助企业及时了解网络中的风险。该产品的一个强大功能是在批准或不批准任何更改之前,基于资产漏洞进行影响分析。

8。应用程序连接管理

应用程序及其可用性对于许多以应用程序为中心的企业来说至关重要。应用程序可用性对于此类企业的业务连续性至关重要。NSPM工具通过提供应用程序发现和连接来解决这个用例。

这些工具还提供自动应用程序发现,以检测企业中使用的应用程序。它们提供实时应用程序连接细节,同时维护连接图。不同的业务负责人可以生成基于应用程序的变更管理请求,网络安全运营团队可以实施变更并评估应用程序连接性和合规性要求的影响。应用程序连接映射还通过对应用程序连接执行影响分析,帮助网络安全运营团队跨数据中心和云平台迁移应用程序,从而避免意外停机(参见图6)。它还有助于识别未使用的应用程序,以便从网络中安全地停用它们。

图6。应用程序连接映射来源:AlgoSec

DevOps

对应用程序驱动的安全设备策略更改的缓慢审查和批准是DevOps团队实现最大速度的主要挑战。这些过程会增加几周的发布周期,而一些高级开发团队的目标周期时间不到一个小时。

一些NSPM供应商通过自动化安全评估和执行来支持DevOps用例。这允许开发团队和安全团队协作,并将自动化安全问题作为构建管道的一部分。供应商可以通过构建工具(如詹金斯)或开发自动化解决方案(如大厨或Ansible)提供本地集成。第三方DevOps工具链供应商的支持因NSPM解决方案而异,但由NSPM供应商提供的API集成通常可供DevOps团队使用。安全和DevOps团队需要仔细评估应用程序开发的传统安全控制的自动化程度,而不是实施本地云安全工具,如云工作负载保护平台(CWPP)和云安全策略管理解决方案。

采用率

第三方网络安全策略管理是一个快速发展的市场。在这些工具中,多供应商防火墙规则管理非常成熟。现在,随着云应用的增加,这些工具正在增强其为云平台提供可见性和管理支持的能力,这将进一步促进增长。除了网络安全策略管理之外,维护基于合规性和基于审计的报告的安全策略也是这些工具的主要使用案例。Gartner还将网络漏洞评估和风险分析视为采用这些工具的新兴用例。使用的主要驱动程序是不同的。

危险

& middot将NSPM工具添加到小型安全组织的解决方案组合中成本很高。

& middot由于这些工具与多供应商设备和环境(包括防火墙、路由器、交换机以及私有云和公共云)交互,如果这些工具没有正确实施,企业通常会面临实施和初始管理问题。

& middot企业通常无法在将这些产品引入市场之前对其进行适当评估,最终将面临与现有网络安全设备和变更管理工具集成的问题。

& middot这些工具正在将对可见性和控制的支持扩展到混合环境,但是对私有云和公共云的支持仅扩展到功能有限的少数提供商。

& middot在没有明确的安全策略管理实施目标的情况下,网络安全运营总监可能会过度购买平台模块,而这些模块不会立即给其组织带来好处,导致一些模块在组织支付支持费用时处于休眠状态。

& middot相反,购买这些解决方案的网络安全运营总监往往低估了其预期使用情形的范围,因此购买的容量不够大。一些高德纳客户在内部有多个NSPM工具,其中大部分都是以有限的方式使用的,并且很可能成为搁置的软件。

& middot该领域的供应商通常非常擅长支持操作用例(例如,防火墙策略管理)或风险和漏洞管理用例,但不能同时支持这两种用例。这让想拥有一系列功能的买家感到失望。购买时缺乏概念证明(POC)可能会导致不满意的预期和与许多网络安全产品的不完全集成。

& middot供应商对公共云和私有云中的Linux容器提供有限的支持。例如,亚马逊弹性容器服务(ECS)、亚马逊库本内特斯弹性容器服务(eks)、AWS Fargate和Azure库本内特斯服务(AKS)、谷歌库本内特斯引擎和红帽OpenShift。

& middot这些工具的许多功能与其他网络操作(NetOps)工具重叠,例如网络配置和变更管理(NCCM)工具和防火墙管理工具。同一组织中的网络运营团队可能会使用具有基本安全操作能力的工具,而安全运营团队可能不知道这些工具,最终会购买提供类似功能的重复工具。

网络安全策略管理的替代方案

大多数现有的安全供应商正在扩展他们对混合环境的支持。这些供应商包括防火墙、入侵检测和防御系统(IDPS)、漏洞扫描、SIEM、端点安全等等。如果客户对法规遵从性、规则管理和威胁可见性有基本要求,建议他们联系现有的解决方案提供商。例如,大多数防火墙供应商提供一个集中管理器来管理多个防火墙。尽管集中式管理器不提供关键用例和定义部分中提到的所有功能,但是它们提供了集中式防火墙规则管理。

有一些替代供应商的例子,它们提供了一些功能,并满足了关键用例部分中提到的一些用例:

& middot;防火墙供应商:

o检查点软件技术CloudGuard Dome9

思科偷窥云和思科四分

o富通网络安全架构

o Juniper Networks Junos空间安全总监

帕洛阿尔托网络公司

& middot;管理本地云的安全性 流程 管理供应商:

o CloudCheckr

o Cloudvisory

& middot;网络自动化供应商:

o AppViewX

诺基亚暖阁网络

哦,红帽子

& middot;多个云风险和漏洞管理提供商:

o AlienVault

o红色星球

o成立

& middot;基于主服务器的细分供应商:

阿尔西德

o Guardicore

o Illumio

建议

负责网络安全运营的安全和风险管理负责人:

& middot在筛选供应商之前,主要的需求是确定主要的和初始的用例。阅读& ldquo优势和用途& rdquo部分来确定最能定义您的需求的用例。

& middot如果主要目标是跨私有和混合网络的防火墙策略管理,请评估现有集中式防火墙管理器供应商的能力,因为这些供应商也在开发对公共云(如AWS和Azure)的支持。

& middot确定相邻的用例,并与能够协作和评估这些工具的适当业务主管交谈。

& middot在没有正确评估主要和相邻用例的情况下,避免做出购买任何NSPM工具的最终决定。评估因素必须包括对不同网络安全产品的当前固件版本的支持。

& middot根据您的使用情况,准备一份环境中使用的设备和工具清单,以检查NSPM供应商提供的集成功能。这份清单应该超越防火墙和路由器,包括漏洞扫描器、SOAR、ITSM和DevOps工具。

& middot如果它们是您当前或未来使用情形的一部分,请评估对私有云和公共云混合网络的支持,因为这种支持是一种不断发展的功能,并且NSPM供应商支持的功能是有限的。

& middot使用这些供应商提供的专业执行服务来实现稳定的实施。确保管理员和业务主管在该工具方面接受过全面培训,以充分利用其所有功能。

& middot当通过评估NSPM解决方案来启用DevOps时,验证网络安全控制是否是自动连续集成/连续交付(CI/CD)管道中的瓶颈。如果不是,不要强调这些能力。如果安全是主要的瓶颈,安全团队需要与DevOps团队密切合作,以了解应用程序的安全需求,并确定NSPM工具是否有助于消除这一限制。

& middot如果您是一个注重成本的小型安全团队,请减少现有的供应商,而不是在已经很复杂的安全产品组合中增加另一个供应商。如果你这样做,你可能会发现NSPM工具很贵。

(作者:拉杰普里特·考尔,亚当·希尔斯,约翰·瓦特)

为您推荐

发表评论

电子邮件地址不会被公开。