网络安全策略管理技术（NSPM）探秘

网络安全策略管理工具可以帮助安全管理者，通过跨混合网络实现安全策略的集中可见与控制、风险分析、实时合规和应用程序映射功能，来满足多种多样的使用场景。

·尽管网络防火墙运维团队提供了多个防火墙集中管理解决方案，但仍存在许多问题。

·企业还没有准备好在混合云环境中展示与内网相同级别的安全策略一致性。

·使用自助IaaS的开发人员通常使用云提供商的内置功能，网络安全团队不具备可见性和控制权。

·网络和安全团队通常难以了解数字业务和微分段工作中关键应用程序的连通性。

·缓解实时风险是企业安全团队的一个目标，但是多供应商环境中的团队很难达成这个目标。

对网络和端点安全、漏洞管理和驱动业务价值的DevSecOps这些负责的安全和风险管理领导者们应当：

·确定主要的和相邻的使用案例，并与所有相关的业务主管讨论如何有效地利用工具和订阅。

·通过供应商概念验证，评估网络安全策略管理（NSPM）供应商与目标系统（如IT服务管理工具、安全设备和云平台）集成的能力。

·利用供应商的专业服务进行实施和培训，以有效地管理和运行该工具。

·与应用程序开发和I&O团队合作，确定私有云和混合云采用的现有和短期路线图以及与DevOps自发性与合规性需求相关的任何安全要求。

到2023年，至少99%的云安全故障都将是客户自身的错误。

到2023年，99%的防火墙漏洞将是由防火墙的错误配置引起的，而不是防火墙自身的缺陷。

到2021年，超过75%的大中型企业将采用多种云和/或混合IT战略。

到2023年，超过25%的使用多个IaaS提供商的企业将部署第三方安全和微分段控制，而不仅仅依赖于内置的IaaS控制，这一比例目前还不到5%。

尽管有多家网络安全供应商拥有集中管理平台，但网络安全团队仍在努力管理这些多种类以及多供应商的安全策略，以期在异构环境中保持完全的可见性。保持持续的合规性正成为一个更大的挑战。随着企业的扩张，这些网络及其需求也在不断发展。网络正在扩展到私有云和公有云。同时，通过DevOps向快速应用程序开发的转变使企业能够在保证安全的同时更快地交付。因此，企业正在寻求将网络安全管理更加自动化和集成到DevOps中的方法，以帮助他们满足不断增长的业务需求。通过网络安全管理工具满足这些用例，安全和风险管理领导者可以利用NSPM解决方案来帮助管理当今环境中增加的复杂性。

网络安全策略管理工具超越了防火墙供应商提供的用户策略管理界面。NSPM为规则优化、更改管理工作流、规则测试、合规性评估和可视化提供分析和审核，通常使用设备和防火墙访问规则的可视网络映射覆盖到多个网络路径上。NSPM工具通常在套件中，包含应用程序连接管理、策略优化和面向风险的威胁路径分析等相邻功能。

NSPM工具主要通过与多个网络安全产品集成来提供安全操作（SecOps）功能。这些工具有可能满足多种网络安全和应用程序管理用例。NSPM工具扩展了对公共和私有云平台的可见性和安全策略管理功能。虽然，到目前为止，管理公共和私有云的安全策略是一项不断发展的技术，只支持有限数量的云平台提供商，其中最常用的包括VMware NSX、Amazon Web Services（AWS）、Microsoft Azure，有时还有OpenStack。除了网络安全策略管理功能外，这些工具还提供应用程序发现和连接功能。由于这些工具能够与主要的网络设备（如路由器、交换机和负载平衡器）进行通信，因此它们还能够分析网络安全风险并执行漏洞评估。

这些产品的关键组成部分是（见图1）：

1.多供应商防火墙和网络安全设备的安全策略管理

2.变更管理系统

3.风险和脆弱性分析

4.应用连接管理

图1.网络安全策略管理工具组成部分

来源: Gartner ( 2019年2月 )

NSPM工具提供与多供应商安全产品及解决方案的集成和自动化功能。供应商正在将集成扩展到以下一些解决方案：

网络安全设备（防火墙、路由器、交换机等）

·IT服务管理解决方案

·公共IaaS平台

·软件定义网络（SDN）平台

·集装箱网络

·漏洞扫描程序

·DevOps自动化工具

·安全信息和事件管理（SIEM）

·安全协调、分析和报告（SOAR）

通过这些提供上述功能的工具，它们可以帮助企业满足多种使用场景。

这些工具通过进行风险分析来自动化网络安全操作，同时保持持续的合规性。随着网络的发展，这些工具正在明确地提供对公共和私有云平台的访问和控制；也就是在一直是网络安全运营团队的一个灰色地带的混合网络中提供集中的可视性和控制。通过应用程序可见性，这些工具为应用程序和信息安全团队提供了一个共同的平台，以便协作并更快地交付。

·防火墙规则管理：这为多供应商和多防火墙环境中的防火墙规则提供了集中规划，使集中创建和推送规则更加容易。防火墙策略管理器帮助根据使用案例识别冗余、隐藏、重叠和冲突的规则。用户可以根据不同的规则组成部分（对象、端口、IP地址），利用所有防火墙的过滤功能进行集中搜索。这个领域的供应商还提供了一个支持元数据的高级搜索功能。高级搜索还提供粒度功能，如两个设备之间的配置比较、审计跟踪、报告和自动更改管理。

·集中式策略管理和可见性：此功能可帮助企业获得跨网络的网络安全策略的集中可见性和控制。可见性控制扩展到第三方网络安全设备，如路由器、交换机、负载平衡器以及私有和公有云供应商的本机控件。这对于混合网络来说是一个非常有用的功能，因为它还支持本地SDN和公共IaaS平台中的本机策略。因此，网络安全团队可以跨网络管理和控制微段网络安全策略。

·自动化变更管理：NSPM工具有一个内置的变更请求系统，还可以与第三方ITSM供应商（如ServiceNow）集成。更改控制用于对现有规则进行新规则的请求或进行更改。在NSPM被批准或不批准之前，可以突出显示专用的或未批准的工作流程和路径。这些工具还为常规规则提供了完整的端到端自动化。供应商还提供restfulapi来与SOAR automations等其他解决方案集成。例如，SOAR自动化可包括对NSPM API的调用，以隔离由于检测到的感染而指定IP地址的防火墙端口。NSPM工具将处理此请求并记录更改。

·拓扑映射和路径分析：此功能创建网络的虚拟映射，提供连接可见性和场景建模功能。在绘制流量图的同时，它也有助于保持连接和网络安全态势地图的最新状态，这是一项很难实现的任务。这个特性已经扩展到混合环境，并且提供了私有和公有云环境的映射和可见性，这使得它成为这些工具的一个重要选择因素。

·安全策略的审核和合规性管理/报告：这些工具具有多个内置的合规性配置文件，在违反准则时会发出警报。用户可以根据自己的标准创建自己的自定义安全指南。这有助于保持对所有策略和合规性和定期审核，并使外部审核体验更轻松。这些工具有助于实时识别合规性差距，并支持工作流来纠正违反的现有规则。在任何违反合规性的情况下，特别是在任何新的更改请求期间，都会生成警报。用户可以在需要时提取基于合规性的报告，并将其用于审计目的。

·应用程序发现和连接管理：NSPM工具提供网络安全策略的应用程序可见性。这有助于根据应用程序而不仅仅是IP地址请求来更改请求。对应用程序使用情况的可见性有助于识别活动应用程序和停用非活动应用程序。应用程序的端到端连接有助于对运行该应用程序所涉及的所有网络组件（应用程序服务器、防火墙、负载平衡器）进行识别和在不中断任何连接的情况下进行更改。一些供应商还提供应用程序迁移工作流来安全地迁移应用程序。

·漏洞和风险评估：风险评估功能根据优先级列出现有网络安全策略和配置中的风险和漏洞。它还有助于在批准任何更改之前识别与新更改请求相关的风险。NSPM工具与第三方漏洞扫描器集成，能够导入结果并使其成为工作流的一部分并且基于漏洞来识别风险。一些供应商通过与资产和补丁管理解决方案以及威胁情报平台等产品集成，在这方面提供了更先进的功能以执行持续的风险和影响分析。这些供应商提供自动化的工作流程来运行扫描并根据风险进行更改。它们还提供基于风险的评分，以便于安全和风险管理领导人们进行影响分析。

由于NSPM工具提供了多种功能，它们有可能满足多个业务用例。NSPM工具的关键使用案例如下：

多种类/多品牌防火墙规则的集中管理

在理想的情况下，网络安全和运营团队将部署单一品牌的防火墙，以最大限度地降低管理复杂性和减少错误配置的可能性。然而，现实是，现在每个组织都有异构的需求。多品牌在拥有如下情况的公司机构中已经是一种现实情况:

•通过并购成长

•在公有云或SDN环境中使用云本机防火墙

•在全球分阶段部署新的防火墙品牌

•拥有分散IT，其中根据不同的业务部门或地理位置做出不同的防火墙选择决策

在这种情况下，网络安全和运营团队以及审计人员将面临错综复杂的规则集合、管理控制台和零碎的防火墙报告。

NSPM概念最初是为了应对这一挑战而制定的。随着防火墙供应商获得市场份额，NSPM工具建立了统一理解和管理其策略的能力。使用NSPM作为管理真相的单一来源有助于网络安全团队降低复杂性并清楚地看到潜在的配置问题（见图2）。

图2.管理多种类和多供应商防火墙的集中接口

来源: Tufin

跨混合网络和多云环境的网络安全策略可见性和管理

随着网络向混合或多云环境中发展壮大，在这些平台上实现可见性是一个日益严峻的挑战，这使得网络安全运营团队几乎不可能在这些环境中管理和维护正确的网络安全策略。网络安全团队需要对本机和第三方网络安全控制进行更多的可见性和控制。

NSPM解决方案提供了对安全设备（如防火墙和跨多个供应商的云本机安全配置）的可见性和集中管理。这有助于简化整个企业的安全策略规则管理，并减少由于安全设备配置错误而导致的安全风险。供应商正在将这种支持扩展到混合云和公有云，从而能够对所有企业基础设施环境的中策略和规则集进行集中管理（请参见图3）。

图3.跨混合环境的拓扑映射

来源: Skybox

因为缺乏对跨不同应用程序和环境的网络流和连接的可见性和了解，所以网络安全运营团队经常将微分段视为一项挑战。与此同时，微分段已成为缓解东西通信量相关风险的关键措施。安全团队需要了解网络的所有本机控件以及第三方控件，以及应用程序连接映射，以便成功地实现和维护微分段。保持多个合规级别也是非常重要的。

NSPM工具提供了对不同网络、第三方防火墙和应用程序连接的集中可见性和控制，以便网络安全团队可以在保持合规性的同时应用微分段。在混合网络团队的支持下，安全团队无需登录多个不同的控件即可集中查看和控制SDN和公有云平台的本地策略。所有更改都会被跟踪，任何违规行为都会被突出显示，这样就可以在不破坏应用程序的情况下进行修复。尽管涉及多个不同的设备、网络和应用程序，这些功能能够共同帮助企业保持有效的微分段控制。

敏感数据和与之相关的安全控制越来越分散在多个环境和供应商之间。不同的法规，如《萨班斯-奥克斯利法案》（SOX）、《支付卡行业数据安全标准》（PCI DSS）、《通用数据保护条例》（GDPR）和《健康保险便携性与责任法案》（HIPAA）等，要求公司定期展示合规性。如果没有一种自动化的方法来验证审计人员的合规性，网络安全团队必须花时间在多个位置手动检查和验证控件。

NSPM解决方案提供了多种现成的合规性配置文件，这些配置文件可以在违反策略时发出警报，也可以提供显示实时合规状态的仪表板。创建特定于企业策略的自定义安全指导原则是一个扩展到固定的常规合规性模板之外的功能。例如，一家公司担心存储在本地存储区域中的敏感数据可以从外部访问，可以创建一个定制的合规性规则，该规则将检测到任何时间将数据暴露在公共互联网上的行为（参见图4）。

图4.定制评估报告样本

来源: FireMon

使用手动更改过程来更新安全策略的网络安全团队通常会发现响应安全事件和遵守更改管理流程非常麻烦，而且容易出错。快速、安全地进行更改是在确保环境得到保护的同时保护公司运营正常运行时间的关键。因此，NSPM工具的变更管理系统是其中最重要的组成部分之一。

NSPM供应商提供内置的变更控制系统，支持变更管理的整个周期，以允许受控变更并防止计划外停机。更改控制用于请求新规则或对现有规则的更改。一旦发出请求，它们将执行流量分析，然后列出与此更改相关的所有跃点（网关、服务器）。变更管理系统检查请求，并在违反任何标准时发出警报；它还突出显示与更改相关的任何风险。一旦解决了所有警报和风险，请求就会得到批准并得到实施。这使管理员能够暂存在狭窄的更改窗口期间自动发生的更改。

在实施新的变更之前，还可以执行变更影响分析。此功能为用户提供了一个模拟环境，在该环境中，可以在寻求进一步批准之前分析更改的影响。它还使用户能够跳过任何更改过程，并自动执行可能不需要批准或风险分析的常规日常规则。因此，可以为选定的规则实现端到端的自动化（参见图5）。

图5. 变更管理工作流

来源: Gartner (February 2019)

2019年，数据中心和网络处于不断变化的状态。为了提高效率和灵活性，组织正在采用软件设计的网络原则，并将工作负载转移到公有云中——通常是多个公有云。将应用程序迁移到云或其他数据中心而不中断应用程序连接或创建安全漏洞是一项挑战。不断的基础设施演进会导致一个混乱的网络安全政策环境，在这种环境中，网络安全和运营领导人争先恐后地保持防火墙政策的最新性和相关性。

NSPM解决方案提供了一种附加到特定应用程序的管理策略的方法，而不管应用程序驻留在何处。NSPM描述了应用程序迁移之前、期间和之后的应用程序流，确保通信流在整个过程中保持不中断。这些解决方案有助于从安全性和连接性的角度规划、执行和跟踪迁移项目的所有阶段。迁移后，NSPM可以帮助删除无关的、遗留的防火墙规则。

随着多个安全漏洞和安全事件的发生，业务主管和网络安全运营团队不断寻求基于风险的方法来查看其基础架构和应用程序。随着多种技术和多种漏洞扫描器的出现，风险分析和关联的工作变得更具挑战性。

NSPM工具提供基于风险的分析，其中还包括与第三方漏洞分析扫描仪的集成。实时网络漏洞管理功能和集中的基于风险的仪表板视图等功能可帮助企业持续了解其网络中的风险。该产品的一个强大功能是在批准和不批准任何更改之前基于资产脆弱性的影响分析。

应用程序及其可用性对于许多以应用程序为中心的业务至关重要。应用程序可用性对于此类企业的业务连续性至关重要。NSPM工具通过提供应用程序发现和连接功能来解决这个使用案例。

这些工具还提供应用程序自动发现功能以检测企业中使用的应用程序。它们在维护连接图的同时提供实时应用程序连接细节。不同的企业所有者可以生成基于应用程序的更改管理请求，网络安全操作团队可以实施更改，同时对应用程序连接性和合规性要求进行影响评估。应用程序连接性映射还帮助网络安全操作团队通过对应用程序连接性执行影响分析来跨数据中心和云平台迁移应用程序，从而避免意外停机（见图6）。它也有助于识别未使用的应用程序，以便可以安全地从网络中停用它们。

图6.应用程序连接映射

来源: AlgoSec

对应用程序驱动的安全设备策略更改的缓慢审查和批准是DevOps团队实现最大速度的主要挑战。这些过程可以为发布周期增加几周时间，而一些高级DevOps团队的目标周期时间不到一小时。

一些NSPM供应商通过实现安全评估和执行的自动化来为DevOps用例提供支持。这允许开发团队和安全团队进行协作，并将自动化的安全问题作为构建管道的一部分。供应商可以提供与构建工具（如Jenkins）或开发自动化解决方案（如Chef或Ansible）的本地集成。第三方DevOps工具链供应商的支持因NSPM解决方案而异，但NSPM供应商提供的API集成通常可供DevOps团队利用。安全和DevOps团队需要仔细评估应用程序开发的传统安全控制的自动化，而不是本地云安全工具的实现，如云工作负载保护平台（CWPP）和云安全策略管理解决方案。

第三方网络安全策略管理是一个快速发展的市场。多供应商防火墙规则管理在这些工具中已经非常成熟。现在，随着云应用的增加，这些工具正在增强其为云平台提供可见性和管理支持的能力，这将进一步推动增长。除了网络安全策略管理之外，根据合规性和基于审计的报告维护安全策略也是采用这些工具的主要用例。Gartner还将网络脆弱性评估和风险分析视为采用这些工具的新兴使用案例。采用的主要驱动因素各不相同。

·将NSPM工具添加到规模较小的安全组织的解决方案组合中是很昂贵的。

·由于这些工具与多供应商设备和环境（包括防火墙、路由器、交换机以及私有和公有云）交互，如果这些工具没有正确实施，企业通常会面临实施和初始管理问题。

·企业在将这些产品引入市场之前往往无法对其进行适当的评估，最终将面临与现有网络安全设备和变更管理工具的集成问题。

·这些工具正在将其对可见性和控制的支持扩展到混合环境中，但对私有和公有云的支持仅扩展到少数有限的功能有限的提供商。

·在没有明确安全策略管理实施目标的情况下，网络安全运营主管可能会过度购买平台模块，而这些模块不会立即为其组织带来好处，从而导致一些模块在组织支付支持费用时处于休眠状态。

·相反，购买这些解决方案的网络安全运营主管往往低估了其预期使用情形的范围，因此购买的容量不够大。一些Gartner客户内部有多个NSPM工具，其中大多数都以有限的方式使用，很有可能成为搁置软件。

·这一领域的供应商通常非常擅长于支持操作使用案例（例如，防火墙策略管理）或风险和漏洞管理使用案例，但不能同时支持这两个使用案例。这对于那些希望拥有一系列功能的买家来说是令人失望的。购买时没有概念验证（POC）可能导致期望值未得到满足，以及与许多网络安全产品的集成不完整。

·供应商对公有云和私有云中的Linux容器提供有限的支持，例如Amazon Elastic Container Service（ECS）、Amazon Elastic Container Service for Kubernetes（EKS）、AWS Fargate和Azure Kubernetes Service（AKS）、Google Kubernetes Engine以及Red Hat OpenShift等产品的内部部署。

·这些工具的许多功能与其他网络操作（NetOps）工具（如网络配置和更改管理（NCCM）工具和防火墙管理工具）重叠。同一组织中的NetOps团队可能会使用这些SecOps团队可能不知道的具有基本安全操作能力的工具，从而最终购买提供类似功能的重复工具。

大多数现有的安全供应商都在扩展对混合环境的支持。这些供应商包括防火墙、入侵检测和预防系统（IDPS）、漏洞扫描、SIEM、端点安全等等。如果客户对合规性、规则管理和威胁可见性有基本要求，建议他们与现有的解决方案提供商联系。例如，大多数防火墙供应商都提供集中管理器来管理多个防火墙。虽然集中式管理器并没有提供前面在关键用例和定义部分中提到的所有功能，但是它们确实提供了集中的防火墙规则管理。

有一些示例替代供应商提供了一些功能，并满足了关键使用案例部分中提到的一些使用案例：

·Check Point Software Technologies CloudGuard Dome9

·Cisco Stealthwatch Cloud and Cisco Tetration

·Fortinet Security Fabric

·Juniper Networks Junos Space Security Director

·Palo Alto Networks RedLock

·CloudCheckr

·Cloudvisory

·AppViewX

·Nuage Networks from Nokia

·Red Hat Ansible

·AlienVault

·RedSeal

·Tenable

·Alcide

·Guardicore

·Illumio

负责网络安全运营的安全和风险管理领导人们:

·在入围供应商之前，将确定主要和初始使用案例作为主要需求。阅读“优点和使用”部分，以确定最能定义您的需求的使用案例。

·如果主要目标是跨私有网络和混合网络进行防火墙策略管理，则评估现有集中式防火墙管理器供应商的能力，因为这些供应商也在发展对公有云（如AWS和Azure）的支持。

·识别相邻的使用案例，并与能够协作和评估这些工具的相应业务主管交谈。

·避免在未对主要和相邻使用案例进行适当评估的情况下，最终确定购买任何NSPM工具。评估因素必须包括对不同网络安全产品当前固件版本的支持。

·根据您的使用案例准备一份环境中正在使用的设备和工具的列表，以检查NSPM供应商提供的集成功能。这个列表应该超越防火墙和路由器，包括漏洞扫描程序、SOAR、ITSM和DevOps工具。

·如果它们是您当前或未来使用案例的一部分的话，评估对私有和公有云的混合网络的支持，因为这种支持是一个不断发展的功能，NSPM供应商支持的功能有限。

·利用这些供应商提供的专业执行服务来实现稳定的实施。确保管理员和业务主管接受此工具的全面培训，以最佳方式利用其所有功能。

·在通过评估NSPM解决方案来启用DevOps时，验证网络安全控制是否是自动持续集成/连续交付（CI/CD）管道中的瓶颈。如果不是这样，就不要强调这些能力。如果安全是主要的瓶颈，那么安全团队需要与DevOps团队密切合作，以了解应用程序的安全需求，以确定NSPM工具是否可以帮助消除这种限制。

·如果您是一个有成本意识或规模较小的安全团队，那么就减少现有供应商，而不是将另一个供应商添加到已经很复杂的安全产品组合中，如果这样您可能会发现NSPM工具很昂贵。

（本文作者：Rajpreet Kaur、Adam Hils、John Watts）