到2023年,99%的防火墙缺口,是由防火墙策略配置错误引起的,而不是防火墙自身缺陷。这是Gartner在2019年的一份行业观察报告中提出的观点。
乍一看,99%这个数字似乎言过其实。但想一想日常运维中,业务开通访问权限时的曲折过程,安全审查和风险评估时列出的隐患清单,这个数字又似乎恰如其分。
只增策略、不减策略的防火墙运维习惯,让我们很难对存量策略做到全面准确控制。违规访问授权、高危端口开放、控制宽松,还有冗余、过期、错误配置,都会被攻击者利用发起进攻。
因此,Gartner在很多安全架构理念中,都突出强调了NSPM的重要性。
在ASA自适应安全架构中,防御、检测、响应、预测的安全闭环体系,需要以策略与合规为核心驱动力,实现持续的自我进化。
在CARTA持续自适应风险与信任评估体系中,要求通过纵深分析和实体行为分析,对访问控制策略进行动态调整,给安全运营充分的弹性空间,并随着系统外部环境的变化而进化。
在我国最新的等保2.0标准中,也将NSPM作为重要的技术要求。等级保护三级通用要求技术部分中,共包含24个控制点、74个测评指标项、164个测评实施内容项;其中涉及NSPM的有4个控制点、10个测评指标项和20个测评实施内容项。
NSPM即将成为或者说已经成为了网络安全领域不可或缺的技术方向。
Gartner对NSPM给出了明确定义:超越防火墙厂商提供的管理界面,通过将整网设备与安全策略映射为可视化的网络拓扑,提供策略优化、策略变更管理、策略仿真、合规性检查等分析与审计能力,通常具备应用连接管理、安全策略优化、面向风险的威胁路径分析等功能模块。
当前,很多企业单位已经将NSPM技术补充集成到SEIM(安全事件和信息管理)、SOAR(安全编排、自动化及响应)等解决方案中。
下面,来介绍一下NSPM的四个技术方向。
安全策略管理给运维团队带来了很大挑战,安全设备的品牌异构、安全设备的分散管理、安全策略的不可见是本质原因。
由于企业单位的架构重组、IT分阶段建设和IT分布式运营等原因,网络设备和安全设备的品牌异构无法避免,需要熟悉多家产品的操作界面和操作命令,这是对运维人员的第一个挑战。
厂商提供的是针对每一台设备的独立界面,设备之间安全策略的关联关系是对运维人员的第二个挑战,往往会出现遗漏某台设备的变更,造成整体变更不生效的问题。
策略不可见在日常运维中,经常导致运维人员的时间浪费。
因此,对于安全策略管理,需要实现多品牌设备集中管理、安全策略可见、配置准确性核查等功能。
很多人惯性的认为,风险与脆弱性管理属于漏洞管理范畴。但放通any的宽松控制、开放的高危端口、违规的访问授权,同样是风险与脆弱性的重要组成部分。
所以对安全策略进行合规及刚性安全需求的风险检查,也是NSPM的重要部分。其具体实现更多表现为对规则库的匹配技术,包括等保规则库、高危端口等风险规则库、业务规则库等。
应用连接管理通过对网络与安全设备策略的关联建模,提供网络中应用端到端的可视化连接详情,让运维人员切实了解到资产间的互访关系,支撑故障排查、综合风险评估等。
策略变更管理不是单纯的网络自动化运维,不是只将变更需求翻译成可执行的命令行脚本,而是从效率提升和风险控制方面实现安全运维能力的整体提升。
接收到变更请求后,首先应该判断是否需要变更以及做什么样的变更,而不是立刻执行审批流程,等结束繁杂的审批后才发现根本不需要变更。
控制策略变更中的风险是第二步,NSPM能够检查并规避变更过程中出现的宽松控制、高危端口开放、违规授权、策略冲突等问题。
之后才是传统意义上的自动生成脚本和脚本推送验证工作。
这一流程可以保证策略变更的持续安全与合规。
NSPM可以为运维团队解决上述如此多的切实问题,但在其落地过程中也存在着风险。
第一个是由于认识偏差造成的重复建设疑虑。NSPM的部分功能与合规检查工具、网络运维平台等存在类似,很多用户认为自身已具备相应能力,但二者并不相同,而是互补关系。
第二个是由于管理规范缺失造成的功能不落地。NSPM是为了让安全策略更加规范,当企业单位缺少相应的策略管理标准时,或业务部门强势导致标准无法执行时,即使购买了相关产品也很难实际落地。
第三个是分工机制造成的跨团队合作问题。由于NSPM即涉及网络设备也涉及安全设备,在实际应用中会碰到网络团队与安全团队的跨团队合作难题。
第四个是与其他安全系统的集成问题。NSPM解决的是基础安全运维问题,可以为其他安全系统提供数据支撑,因此会面临与其他安全系统的集成,这就要求其具备丰富的应用与数据集成接口。
对于云环境和容器环境的有限支持和小规模网络建设成本较高,也会给NSPM落地带来风险。
但是困难挡不住价值的光芒,目前已经有多家厂商在推进NSPM产品的开发和落地,最后来对比一下市场上相关产品的能力。
NSPM产品厂商主要包括国外的SkyBox、RedSeal、Firemon、Algosec和国内的安博通等。在产品功能完善性和成熟性方面,SkyBox、RedSeal、安博通处于第一梯队,Firemon、Algosec处于第二梯队。
第一梯队厂商在数据基础和应用功能上相对完善,尤其是在路由配置、地址映射配置等数据方面;第二梯队主要着眼于防火墙策略的检查和维护。
整体来看,NSPM产品在向着良好的方向发展,被越来越多的企业单位所认可。
关于安博通
北京安博通科技股份有限公司(简称“安博通”),是国内领先的可视化网络安全专用核心系统产品与安全服务提供商,2019年成为中国第一家登陆科创板的网络安全企业。
其自主研发的ABT SPOS可视化网络安全系统平台,已成为众多一线厂商与大型解决方案集成商最广泛搭载的网络安全系统套件,是国内众多部委与央企安全态势感知平台的核心组件与数据引擎。