域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

簡介：NSPM已成為網(wǎng)絡(luò)安全領(lǐng)域不可或缺的技術(shù)方向。

到2023年，99%的防火墻缺口，是由防火墻策略配置錯(cuò)誤引起的，而不是防火墻自身缺陷。這是Gartner在2019年的一份行業(yè)觀察報(bào)告中提出的觀點(diǎn)。

乍一看，99%這個(gè)數(shù)字似乎言過其實(shí)。但想一想日常運(yùn)維中，業(yè)務(wù)開通訪問權(quán)限時(shí)的曲折過程，安全審查和風(fēng)險(xiǎn)評估時(shí)列出的隱患清單，這個(gè)數(shù)字又似乎恰如其分。

只增策略、不減策略的防火墻運(yùn)維習(xí)慣，讓我們很難對存量策略做到全面準(zhǔn)確控制。違規(guī)訪問授權(quán)、高危端口開放、控制寬松，還有冗余、過期、錯(cuò)誤配置，都會被攻擊者利用發(fā)起進(jìn)攻。

因此，Gartner在很多安全架構(gòu)理念中，都突出強(qiáng)調(diào)了NSPM的重要性。

在ASA自適應(yīng)安全架構(gòu)中，防御、檢測、響應(yīng)、預(yù)測的安全閉環(huán)體系，需要以策略與合規(guī)為核心驅(qū)動力，實(shí)現(xiàn)持續(xù)的自我進(jìn)化。

在CARTA持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評估體系中，要求通過縱深分析和實(shí)體行為分析，對訪問控制策略進(jìn)行動態(tài)調(diào)整，給安全運(yùn)營充分的彈性空間，并隨著系統(tǒng)外部環(huán)境的變化而進(jìn)化。

在我國最新的等保2.0標(biāo)準(zhǔn)中，也將NSPM作為重要的技術(shù)要求。等級保護(hù)三級通用要求技術(shù)部分中，共包含24個(gè)控制點(diǎn)、74個(gè)測評指標(biāo)項(xiàng)、164個(gè)測評實(shí)施內(nèi)容項(xiàng);其中涉及NSPM的有4個(gè)控制點(diǎn)、10個(gè)測評指標(biāo)項(xiàng)和20個(gè)測評實(shí)施內(nèi)容項(xiàng)。

NSPM即將成為或者說已經(jīng)成為了網(wǎng)絡(luò)安全領(lǐng)域不可或缺的技術(shù)方向。

Gartner對NSPM給出了明確定義：超越防火墻廠商提供的管理界面，通過將整網(wǎng)設(shè)備與安全策略映射為可視化的網(wǎng)絡(luò)拓?fù)?，提供策略?yōu)化、策略變更管理、策略仿真、合規(guī)性檢查等分析與審計(jì)能力，通常具備應(yīng)用連接管理、安全策略優(yōu)化、面向風(fēng)險(xiǎn)的威脅路徑分析等功能模塊。

當(dāng)前，很多企業(yè)單位已經(jīng)將NSPM技術(shù)補(bǔ)充集成到SEIM(安全事件和信息管理)、SOAR(安全編排、自動化及響應(yīng))等解決方案中。

下面，來介紹一下NSPM的四個(gè)技術(shù)方向。

安全策略管理給運(yùn)維團(tuán)隊(duì)帶來了很大挑戰(zhàn)，安全設(shè)備的品牌異構(gòu)、安全設(shè)備的分散管理、安全策略的不可見是本質(zhì)原因。

由于企業(yè)單位的架構(gòu)重組、IT分階段建設(shè)和IT分布式運(yùn)營等原因，網(wǎng)絡(luò)設(shè)備和安全設(shè)備的品牌異構(gòu)無法避免，需要熟悉多家產(chǎn)品的操作界面和操作命令，這是對運(yùn)維人員的第一個(gè)挑戰(zhàn)。

廠商提供的是針對每一臺設(shè)備的獨(dú)立界面，設(shè)備之間安全策略的關(guān)聯(lián)關(guān)系是對運(yùn)維人員的第二個(gè)挑戰(zhàn)，往往會出現(xiàn)遺漏某臺設(shè)備的變更，造成整體變更不生效的問題。

策略不可見在日常運(yùn)維中，經(jīng)常導(dǎo)致運(yùn)維人員的時(shí)間浪費(fèi)。

因此，對于安全策略管理，需要實(shí)現(xiàn)多品牌設(shè)備集中管理、安全策略可見、配置準(zhǔn)確性核查等功能。

很多人慣性的認(rèn)為，風(fēng)險(xiǎn)與脆弱性管理屬于漏洞管理范疇。但放通any的寬松控制、開放的高危端口、違規(guī)的訪問授權(quán)，同樣是風(fēng)險(xiǎn)與脆弱性的重要組成部分。

所以對安全策略進(jìn)行合規(guī)及剛性安全需求的風(fēng)險(xiǎn)檢查，也是NSPM的重要部分。其具體實(shí)現(xiàn)更多表現(xiàn)為對規(guī)則庫的匹配技術(shù)，包括等保規(guī)則庫、高危端口等風(fēng)險(xiǎn)規(guī)則庫、業(yè)務(wù)規(guī)則庫等。

應(yīng)用連接管理通過對網(wǎng)絡(luò)與安全設(shè)備策略的關(guān)聯(lián)建模，提供網(wǎng)絡(luò)中應(yīng)用端到端的可視化連接詳情，讓運(yùn)維人員切實(shí)了解到資產(chǎn)間的互訪關(guān)系，支撐故障排查、綜合風(fēng)險(xiǎn)評估等。

策略變更管理不是單純的網(wǎng)絡(luò)自動化運(yùn)維，不是只將變更需求翻譯成可執(zhí)行的命令行腳本，而是從效率提升和風(fēng)險(xiǎn)控制方面實(shí)現(xiàn)安全運(yùn)維能力的整體提升。

接收到變更請求后，首先應(yīng)該判斷是否需要變更以及做什么樣的變更，而不是立刻執(zhí)行審批流程，等結(jié)束繁雜的審批后才發(fā)現(xiàn)根本不需要變更。

控制策略變更中的風(fēng)險(xiǎn)是第二步，NSPM能夠檢查并規(guī)避變更過程中出現(xiàn)的寬松控制、高危端口開放、違規(guī)授權(quán)、策略沖突等問題。

之后才是傳統(tǒng)意義上的自動生成腳本和腳本推送驗(yàn)證工作。

這一流程可以保證策略變更的持續(xù)安全與合規(guī)。

NSPM可以為運(yùn)維團(tuán)隊(duì)解決上述如此多的切實(shí)問題，但在其落地過程中也存在著風(fēng)險(xiǎn)。

第一個(gè)是由于認(rèn)識偏差造成的重復(fù)建設(shè)疑慮。NSPM的部分功能與合規(guī)檢查工具、網(wǎng)絡(luò)運(yùn)維平臺等存在類似，很多用戶認(rèn)為自身已具備相應(yīng)能力，但二者并不相同，而是互補(bǔ)關(guān)系。

第二個(gè)是由于管理規(guī)范缺失造成的功能不落地。NSPM是為了讓安全策略更加規(guī)范，當(dāng)企業(yè)單位缺少相應(yīng)的策略管理標(biāo)準(zhǔn)時(shí)，或業(yè)務(wù)部門強(qiáng)勢導(dǎo)致標(biāo)準(zhǔn)無法執(zhí)行時(shí)，即使購買了相關(guān)產(chǎn)品也很難實(shí)際落地。

第三個(gè)是分工機(jī)制造成的跨團(tuán)隊(duì)合作問題。由于NSPM即涉及網(wǎng)絡(luò)設(shè)備也涉及安全設(shè)備，在實(shí)際應(yīng)用中會碰到網(wǎng)絡(luò)團(tuán)隊(duì)與安全團(tuán)隊(duì)的跨團(tuán)隊(duì)合作難題。

第四個(gè)是與其他安全系統(tǒng)的集成問題。NSPM解決的是基礎(chǔ)安全運(yùn)維問題，可以為其他安全系統(tǒng)提供數(shù)據(jù)支撐，因此會面臨與其他安全系統(tǒng)的集成，這就要求其具備豐富的應(yīng)用與數(shù)據(jù)集成接口。

對于云環(huán)境和容器環(huán)境的有限支持和小規(guī)模網(wǎng)絡(luò)建設(shè)成本較高，也會給NSPM落地帶來風(fēng)險(xiǎn)。

但是困難擋不住價(jià)值的光芒，目前已經(jīng)有多家廠商在推進(jìn)NSPM產(chǎn)品的開發(fā)和落地，最后來對比一下市場上相關(guān)產(chǎn)品的能力。

NSPM產(chǎn)品廠商主要包括國外的SkyBox、RedSeal、Firemon、Algosec和國內(nèi)的安博通等。在產(chǎn)品功能完善性和成熟性方面，SkyBox、RedSeal、安博通處于第一梯隊(duì)，F(xiàn)iremon、Algosec處于第二梯隊(duì)。

第一梯隊(duì)廠商在數(shù)據(jù)基礎(chǔ)和應(yīng)用功能上相對完善，尤其是在路由配置、地址映射配置等數(shù)據(jù)方面;第二梯隊(duì)主要著眼于防火墻策略的檢查和維護(hù)。

整體來看，NSPM產(chǎn)品在向著良好的方向發(fā)展，被越來越多的企業(yè)單位所認(rèn)可。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！