簡介:NSPM已成為網絡安全領域不可或缺的技術方向。
到2023年,99%的防火墻缺口,是由防火墻策略配置錯誤引起的,而不是防火墻自身缺陷。這是Gartner在2019年的一份行業觀察報告中提出的觀點。
乍一看,99%這個數字似乎言過其實。但想一想日常運維中,業務開通訪問權限時的曲折過程,安全審查和風險評估時列出的隱患清單,這個數字又似乎恰如其分。
只增策略、不減策略的防火墻運維習慣,讓我們很難對存量策略做到全面準確控制。違規訪問授權、高危端口開放、控制寬松,還有冗余、過期、錯誤配置,都會被攻擊者利用發起進攻。
因此,Gartner在很多安全架構理念中,都突出強調了NSPM的重要性。
在ASA自適應安全架構中,防御、檢測、響應、預測的安全閉環體系,需要以策略與合規為核心驅動力,實現持續的自我進化。
在CARTA持續自適應風險與信任評估體系中,要求通過縱深分析和實體行為分析,對訪問控制策略進行動態調整,給安全運營充分的彈性空間,并隨著系統外部環境的變化而進化。
在我國最新的等保2.0標準中,也將NSPM作為重要的技術要求。等級保護三級通用要求技術部分中,共包含24個控制點、74個測評指標項、164個測評實施內容項;其中涉及NSPM的有4個控制點、10個測評指標項和20個測評實施內容項。
NSPM即將成為或者說已經成為了網絡安全領域不可或缺的技術方向。
Gartner對NSPM給出了明確定義:超越防火墻廠商提供的管理界面,通過將整網設備與安全策略映射為可視化的網絡拓撲,提供策略優化、策略變更管理、策略仿真、合規性檢查等分析與審計能力,通常具備應用連接管理、安全策略優化、面向風險的威脅路徑分析等功能模塊。
當前,很多企業單位已經將NSPM技術補充集成到SEIM(安全事件和信息管理)、SOAR(安全編排、自動化及響應)等解決方案中。
下面,來介紹一下NSPM的四個技術方向。
安全策略管理給運維團隊帶來了很大挑戰,安全設備的品牌異構、安全設備的分散管理、安全策略的不可見是本質原因。
由于企業單位的架構重組、IT分階段建設和IT分布式運營等原因,網絡設備和安全設備的品牌異構無法避免,需要熟悉多家產品的操作界面和操作命令,這是對運維人員的第一個挑戰。
廠商提供的是針對每一臺設備的獨立界面,設備之間安全策略的關聯關系是對運維人員的第二個挑戰,往往會出現遺漏某臺設備的變更,造成整體變更不生效的問題。
策略不可見在日常運維中,經常導致運維人員的時間浪費。
因此,對于安全策略管理,需要實現多品牌設備集中管理、安全策略可見、配置準確性核查等功能。
很多人慣性的認為,風險與脆弱性管理屬于漏洞管理范疇。但放通any的寬松控制、開放的高危端口、違規的訪問授權,同樣是風險與脆弱性的重要組成部分。
所以對安全策略進行合規及剛性安全需求的風險檢查,也是NSPM的重要部分。其具體實現更多表現為對規則庫的匹配技術,包括等保規則庫、高危端口等風險規則庫、業務規則庫等。
應用連接管理通過對網絡與安全設備策略的關聯建模,提供網絡中應用端到端的可視化連接詳情,讓運維人員切實了解到資產間的互訪關系,支撐故障排查、綜合風險評估等。
策略變更管理不是單純的網絡自動化運維,不是只將變更需求翻譯成可執行的命令行腳本,而是從效率提升和風險控制方面實現安全運維能力的整體提升。
接收到變更請求后,首先應該判斷是否需要變更以及做什么樣的變更,而不是立刻執行審批流程,等結束繁雜的審批后才發現根本不需要變更。
控制策略變更中的風險是第二步,NSPM能夠檢查并規避變更過程中出現的寬松控制、高危端口開放、違規授權、策略沖突等問題。
之后才是傳統意義上的自動生成腳本和腳本推送驗證工作。
這一流程可以保證策略變更的持續安全與合規。
NSPM可以為運維團隊解決上述如此多的切實問題,但在其落地過程中也存在著風險。
第一個是由于認識偏差造成的重復建設疑慮。NSPM的部分功能與合規檢查工具、網絡運維平臺等存在類似,很多用戶認為自身已具備相應能力,但二者并不相同,而是互補關系。
第二個是由于管理規范缺失造成的功能不落地。NSPM是為了讓安全策略更加規范,當企業單位缺少相應的策略管理標準時,或業務部門強勢導致標準無法執行時,即使購買了相關產品也很難實際落地。
第三個是分工機制造成的跨團隊合作問題。由于NSPM即涉及網絡設備也涉及安全設備,在實際應用中會碰到網絡團隊與安全團隊的跨團隊合作難題。
第四個是與其他安全系統的集成問題。NSPM解決的是基礎安全運維問題,可以為其他安全系統提供數據支撐,因此會面臨與其他安全系統的集成,這就要求其具備豐富的應用與數據集成接口。
對于云環境和容器環境的有限支持和小規模網絡建設成本較高,也會給NSPM落地帶來風險。
但是困難擋不住價值的光芒,目前已經有多家廠商在推進NSPM產品的開發和落地,最后來對比一下市場上相關產品的能力。
NSPM產品廠商主要包括國外的SkyBox、RedSeal、Firemon、Algosec和國內的安博通等。在產品功能完善性和成熟性方面,SkyBox、RedSeal、安博通處于第一梯隊,Firemon、Algosec處于第二梯隊。
第一梯隊廠商在數據基礎和應用功能上相對完善,尤其是在路由配置、地址映射配置等數據方面;第二梯隊主要著眼于防火墻策略的檢查和維護。
整體來看,NSPM產品在向著良好的方向發展,被越來越多的企業單位所認可。
