信息化觀察網(wǎng)

企業(yè)的網(wǎng)絡(luò)安全能力更多的是一種管理能力，面對疫情和數(shù)字化云端轉(zhuǎn)型帶來的新挑戰(zhàn)：攻擊面增長、IT復(fù)雜化、碎片化、影子化，企業(yè)網(wǎng)絡(luò)安全部門面臨的最大挑戰(zhàn)就是對動態(tài)風(fēng)險的集中化有效管控。而網(wǎng)絡(luò)安全策略管理技術(shù)則好比企業(yè)的空中和地面一體化交通指揮系統(tǒng)，協(xié)調(diào)管理本地和云端安全策略，為安全團隊、網(wǎng)絡(luò)IT團隊和云計算運營團隊提供一個統(tǒng)一的，對應(yīng)用、網(wǎng)絡(luò)、負載和設(shè)備高可視化的安全管理平臺，讓IT與安全無縫協(xié)同，其重要性不言而喻。本文從網(wǎng)絡(luò)安全與風(fēng)險管理現(xiàn)狀、需求出發(fā)，深入介紹了NSPM的概念、構(gòu)成、格局、優(yōu)缺點、風(fēng)險以及采購需知。

網(wǎng)絡(luò)安全策略管理工具可以幫助安全管理者，通過跨混合網(wǎng)絡(luò)實現(xiàn)安全策略的集中可見與控制、風(fēng)險分析、實時合規(guī)和應(yīng)用程序映射功能，來滿足多種多樣的使用場景。

概述

主要發(fā)現(xiàn)

·盡管網(wǎng)絡(luò)防火墻運維團隊提供了多個防火墻集中管理解決方案，但仍存在許多問題。

·企業(yè)還沒有準(zhǔn)備好在混合云環(huán)境中展示與內(nèi)網(wǎng)相同級別的安全策略一致性。

·使用自助IaaS的開發(fā)人員通常使用云提供商的內(nèi)置功能，網(wǎng)絡(luò)安全團隊不具備可見性和控制權(quán)。

·網(wǎng)絡(luò)和安全團隊通常難以了解數(shù)字業(yè)務(wù)和微分段工作中關(guān)鍵應(yīng)用程序的連通性。

·緩解實時風(fēng)險是企業(yè)安全團隊的一個目標(biāo)，但是多供應(yīng)商環(huán)境中的團隊很難達成這個目標(biāo)。

建議

對網(wǎng)絡(luò)和端點安全、漏洞管理和驅(qū)動業(yè)務(wù)價值的DevSecOps這些負責(zé)的安全和風(fēng)險管理領(lǐng)導(dǎo)者們應(yīng)當(dāng)：

·確定主要的和相鄰的使用案例，并與所有相關(guān)的業(yè)務(wù)主管討論如何有效地利用工具和訂閱。

·通過供應(yīng)商概念驗證，評估網(wǎng)絡(luò)安全策略管理（NSPM）供應(yīng)商與目標(biāo)系統(tǒng)（如IT服務(wù)管理工具、安全設(shè)備和云平臺）集成的能力。

·利用供應(yīng)商的專業(yè)服務(wù)進行實施和培訓(xùn)，以有效地管理和運行該工具。

·與應(yīng)用程序開發(fā)和I&O團隊合作，確定私有云和混合云采用的現(xiàn)有和短期路線圖以及與DevOps自發(fā)性與合規(guī)性需求相關(guān)的任何安全要求。

戰(zhàn)略規(guī)劃假設(shè)

到2023年，至少99%的云安全故障都將是客戶自身的錯誤。

到2023年，99%的防火墻漏洞將是由防火墻的錯誤配置引起的，而不是防火墻自身的缺陷。

到2021年，超過75%的大中型企業(yè)將采用多種云和/或混合IT戰(zhàn)略。

到2023年，超過25%的使用多個IaaS提供商的企業(yè)將部署第三方安全和微分段控制，而不僅僅依賴于內(nèi)置的IaaS控制，這一比例目前還不到5%。

分析

盡管有多家網(wǎng)絡(luò)安全供應(yīng)商擁有集中管理平臺，但網(wǎng)絡(luò)安全團隊仍在努力管理這些多種類以及多供應(yīng)商的安全策略，以期在異構(gòu)環(huán)境中保持完全的可見性。保持持續(xù)的合規(guī)性正成為一個更大的挑戰(zhàn)。隨著企業(yè)的擴張，這些網(wǎng)絡(luò)及其需求也在不斷發(fā)展。網(wǎng)絡(luò)正在擴展到私有云和公有云。同時，通過DevOps向快速應(yīng)用程序開發(fā)的轉(zhuǎn)變使企業(yè)能夠在保證安全的同時更快地交付。因此，企業(yè)正在尋求將網(wǎng)絡(luò)安全管理更加自動化和集成到DevOps中的方法，以幫助他們滿足不斷增長的業(yè)務(wù)需求。通過網(wǎng)絡(luò)安全管理工具滿足這些用例，安全和風(fēng)險管理領(lǐng)導(dǎo)者可以利用NSPM解決方案來幫助管理當(dāng)今環(huán)境中增加的復(fù)雜性。

定義

網(wǎng)絡(luò)安全策略管理工具超越了防火墻供應(yīng)商提供的用戶策略管理界面。NSPM為規(guī)則優(yōu)化、更改管理工作流、規(guī)則測試、合規(guī)性評估和可視化提供分析和審核，通常使用設(shè)備和防火墻訪問規(guī)則的可視網(wǎng)絡(luò)映射覆蓋到多個網(wǎng)絡(luò)路徑上。NSPM工具通常在套件中，包含應(yīng)用程序連接管理、策略優(yōu)化和面向風(fēng)險的威脅路徑分析等相鄰功能。

描述

NSPM工具主要通過與多個網(wǎng)絡(luò)安全產(chǎn)品集成來提供安全操作（SecOps）功能。這些工具有可能滿足多種網(wǎng)絡(luò)安全和應(yīng)用程序管理用例。NSPM工具擴展了對公共和私有云平臺的可見性和安全策略管理功能。雖然，到目前為止，管理公共和私有云的安全策略是一項不斷發(fā)展的技術(shù)，只支持有限數(shù)量的云平臺提供商，其中最常用的包括VMware NSX、Amazon Web Services（AWS）、Microsoft Azure，有時還有OpenStack。除了網(wǎng)絡(luò)安全策略管理功能外，這些工具還提供應(yīng)用程序發(fā)現(xiàn)和連接功能。由于這些工具能夠與主要的網(wǎng)絡(luò)設(shè)備（如路由器、交換機和負載平衡器）進行通信，因此它們還能夠分析網(wǎng)絡(luò)安全風(fēng)險并執(zhí)行漏洞評估。

這些產(chǎn)品的關(guān)鍵組成部分是（見圖1）：

1.多供應(yīng)商防火墻和網(wǎng)絡(luò)安全設(shè)備的安全策略管理

2.變更管理系統(tǒng)

3.風(fēng)險和脆弱性分析

4.應(yīng)用連接管理

圖1.網(wǎng)絡(luò)安全策略管理工具組成部分

來源: Gartner ( 2019年2月 )

NSPM工具提供與多供應(yīng)商安全產(chǎn)品及解決方案的集成和自動化功能。供應(yīng)商正在將集成擴展到以下一些解決方案：

網(wǎng)絡(luò)安全設(shè)備（防火墻、路由器、交換機等）

·IT服務(wù)管理解決方案

·公共IaaS平臺

·軟件定義網(wǎng)絡(luò)（SDN）平臺

·集裝箱網(wǎng)絡(luò)

·漏洞掃描程序

·DevOps自動化工具

·安全信息和事件管理（SIEM）

·安全協(xié)調(diào)、分析和報告（SOAR）

通過這些提供上述功能的工具，它們可以幫助企業(yè)滿足多種使用場景。

這些工具通過進行風(fēng)險分析來自動化網(wǎng)絡(luò)安全操作，同時保持持續(xù)的合規(guī)性。隨著網(wǎng)絡(luò)的發(fā)展，這些工具正在明確地提供對公共和私有云平臺的訪問和控制；也就是在一直是網(wǎng)絡(luò)安全運營團隊的一個灰色地帶的混合網(wǎng)絡(luò)中提供集中的可視性和控制。通過應(yīng)用程序可見性，這些工具為應(yīng)用程序和信息安全團隊提供了一個共同的平臺，以便協(xié)作并更快地交付。

優(yōu)點與使用

NSPM工具的主要功能

·防火墻規(guī)則管理：這為多供應(yīng)商和多防火墻環(huán)境中的防火墻規(guī)則提供了集中規(guī)劃，使集中創(chuàng)建和推送規(guī)則更加容易。防火墻策略管理器幫助根據(jù)使用案例識別冗余、隱藏、重疊和沖突的規(guī)則。用戶可以根據(jù)不同的規(guī)則組成部分（對象、端口、IP地址），利用所有防火墻的過濾功能進行集中搜索。這個領(lǐng)域的供應(yīng)商還提供了一個支持元數(shù)據(jù)的高級搜索功能。高級搜索還提供粒度功能，如兩個設(shè)備之間的配置比較、審計跟蹤、報告和自動更改管理。

·集中式策略管理和可見性：此功能可幫助企業(yè)獲得跨網(wǎng)絡(luò)的網(wǎng)絡(luò)安全策略的集中可見性和控制。可見性控制擴展到第三方網(wǎng)絡(luò)安全設(shè)備，如路由器、交換機、負載平衡器以及私有和公有云供應(yīng)商的本機控件。這對于混合網(wǎng)絡(luò)來說是一個非常有用的功能，因為它還支持本地SDN和公共IaaS平臺中的本機策略。因此，網(wǎng)絡(luò)安全團隊可以跨網(wǎng)絡(luò)管理和控制微段網(wǎng)絡(luò)安全策略。

·自動化變更管理：NSPM工具有一個內(nèi)置的變更請求系統(tǒng)，還可以與第三方ITSM供應(yīng)商（如ServiceNow）集成。更改控制用于對現(xiàn)有規(guī)則進行新規(guī)則的請求或進行更改。在NSPM被批準(zhǔn)或不批準(zhǔn)之前，可以突出顯示專用的或未批準(zhǔn)的工作流程和路徑。這些工具還為常規(guī)規(guī)則提供了完整的端到端自動化。供應(yīng)商還提供restfulapi來與SOAR automations等其他解決方案集成。例如，SOAR自動化可包括對NSPM API的調(diào)用，以隔離由于檢測到的感染而指定IP地址的防火墻端口。NSPM工具將處理此請求并記錄更改。

·拓撲映射和路徑分析：此功能創(chuàng)建網(wǎng)絡(luò)的虛擬映射，提供連接可見性和場景建模功能。在繪制流量圖的同時，它也有助于保持連接和網(wǎng)絡(luò)安全態(tài)勢地圖的最新狀態(tài)，這是一項很難實現(xiàn)的任務(wù)。這個特性已經(jīng)擴展到混合環(huán)境，并且提供了私有和公有云環(huán)境的映射和可見性，這使得它成為這些工具的一個重要選擇因素。

·安全策略的審核和合規(guī)性管理/報告：這些工具具有多個內(nèi)置的合規(guī)性配置文件，在違反準(zhǔn)則時會發(fā)出警報。用戶可以根據(jù)自己的標(biāo)準(zhǔn)創(chuàng)建自己的自定義安全指南。這有助于保持對所有策略和合規(guī)性和定期審核，并使外部審核體驗更輕松。這些工具有助于實時識別合規(guī)性差距，并支持工作流來糾正違反的現(xiàn)有規(guī)則。在任何違反合規(guī)性的情況下，特別是在任何新的更改請求期間，都會生成警報。用戶可以在需要時提取基于合規(guī)性的報告，并將其用于審計目的。

·應(yīng)用程序發(fā)現(xiàn)和連接管理：NSPM工具提供網(wǎng)絡(luò)安全策略的應(yīng)用程序可見性。這有助于根據(jù)應(yīng)用程序而不僅僅是IP地址請求來更改請求。對應(yīng)用程序使用情況的可見性有助于識別活動應(yīng)用程序和停用非活動應(yīng)用程序。應(yīng)用程序的端到端連接有助于對運行該應(yīng)用程序所涉及的所有網(wǎng)絡(luò)組件（應(yīng)用程序服務(wù)器、防火墻、負載平衡器）進行識別和在不中斷任何連接的情況下進行更改。一些供應(yīng)商還提供應(yīng)用程序遷移工作流來安全地遷移應(yīng)用程序。

·漏洞和風(fēng)險評估：風(fēng)險評估功能根據(jù)優(yōu)先級列出現(xiàn)有網(wǎng)絡(luò)安全策略和配置中的風(fēng)險和漏洞。它還有助于在批準(zhǔn)任何更改之前識別與新更改請求相關(guān)的風(fēng)險。NSPM工具與第三方漏洞掃描器集成，能夠?qū)虢Y(jié)果并使其成為工作流的一部分并且基于漏洞來識別風(fēng)險。一些供應(yīng)商通過與資產(chǎn)和補丁管理解決方案以及威脅情報平臺等產(chǎn)品集成，在這方面提供了更先進的功能以執(zhí)行持續(xù)的風(fēng)險和影響分析。這些供應(yīng)商提供自動化的工作流程來運行掃描并根據(jù)風(fēng)險進行更改。它們還提供基于風(fēng)險的評分，以便于安全和風(fēng)險管理領(lǐng)導(dǎo)人們進行影響分析。

由于NSPM工具提供了多種功能，它們有可能滿足多個業(yè)務(wù)用例。NSPM工具的關(guān)鍵使用案例如下：

關(guān)鍵使用案例

多種類/多品牌防火墻規(guī)則的集中管理

在理想的情況下，網(wǎng)絡(luò)安全和運營團隊將部署單一品牌的防火墻，以最大限度地降低管理復(fù)雜性和減少錯誤配置的可能性。然而，現(xiàn)實是，現(xiàn)在每個組織都有異構(gòu)的需求。多品牌在擁有如下情況的公司機構(gòu)中已經(jīng)是一種現(xiàn)實情況:

通過并購成長

在公有云或SDN環(huán)境中使用云本機防火墻

在全球分階段部署新的防火墻品牌

擁有分散IT，其中根據(jù)不同的業(yè)務(wù)部門或地理位置做出不同的防火墻選擇決策

在這種情況下，網(wǎng)絡(luò)安全和運營團隊以及審計人員將面臨錯綜復(fù)雜的規(guī)則集合、管理控制臺和零碎的防火墻報告。

NSPM概念最初是為了應(yīng)對這一挑戰(zhàn)而制定的。隨著防火墻供應(yīng)商獲得市場份額，NSPM工具建立了統(tǒng)一理解和管理其策略的能力。使用NSPM作為管理真相的單一來源有助于網(wǎng)絡(luò)安全團隊降低復(fù)雜性并清楚地看到潛在的配置問題（見圖2）。

圖2.管理多種類和多供應(yīng)商防火墻的集中接口

來源: Tufin

跨混合網(wǎng)絡(luò)和多云環(huán)境的網(wǎng)絡(luò)安全策略可見性和管理

隨著網(wǎng)絡(luò)向混合或多云環(huán)境中發(fā)展壯大，在這些平臺上實現(xiàn)可見性是一個日益嚴(yán)峻的挑戰(zhàn)，這使得網(wǎng)絡(luò)安全運營團隊幾乎不可能在這些環(huán)境中管理和維護正確的網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全團隊需要對本機和第三方網(wǎng)絡(luò)安全控制進行更多的可見性和控制。

NSPM解決方案提供了對安全設(shè)備（如防火墻和跨多個供應(yīng)商的云本機安全配置）的可見性和集中管理。這有助于簡化整個企業(yè)的安全策略規(guī)則管理，并減少由于安全設(shè)備配置錯誤而導(dǎo)致的安全風(fēng)險。供應(yīng)商正在將這種支持?jǐn)U展到混合云和公有云，從而能夠?qū)λ衅髽I(yè)基礎(chǔ)設(shè)施環(huán)境的中策略和規(guī)則集進行集中管理（請參見圖3）。

圖3.跨混合環(huán)境的拓撲映射

來源: Skybox

微分段

因為缺乏對跨不同應(yīng)用程序和環(huán)境的網(wǎng)絡(luò)流和連接的可見性和了解，所以網(wǎng)絡(luò)安全運營團隊經(jīng)常將微分段視為一項挑戰(zhàn)。與此同時，微分段已成為緩解東西通信量相關(guān)風(fēng)險的關(guān)鍵措施。安全團隊需要了解網(wǎng)絡(luò)的所有本機控件以及第三方控件，以及應(yīng)用程序連接映射，以便成功地實現(xiàn)和維護微分段。保持多個合規(guī)級別也是非常重要的。

NSPM工具提供了對不同網(wǎng)絡(luò)、第三方防火墻和應(yīng)用程序連接的集中可見性和控制，以便網(wǎng)絡(luò)安全團隊可以在保持合規(guī)性的同時應(yīng)用微分段。在混合網(wǎng)絡(luò)團隊的支持下，安全團隊無需登錄多個不同的控件即可集中查看和控制SDN和公有云平臺的本地策略。所有更改都會被跟蹤，任何違規(guī)行為都會被突出顯示，這樣就可以在不破壞應(yīng)用程序的情況下進行修復(fù)。盡管涉及多個不同的設(shè)備、網(wǎng)絡(luò)和應(yīng)用程序，這些功能能夠共同幫助企業(yè)保持有效的微分段控制。

持續(xù)審核和安全策略的合規(guī)性

敏感數(shù)據(jù)和與之相關(guān)的安全控制越來越分散在多個環(huán)境和供應(yīng)商之間。不同的法規(guī)，如《薩班斯-奧克斯利法案》（SOX）、《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》（PCI DSS）、《通用數(shù)據(jù)保護條例》（GDPR）和《健康保險便攜性與責(zé)任法案》（HIPAA）等，要求公司定期展示合規(guī)性。如果沒有一種自動化的方法來驗證審計人員的合規(guī)性，網(wǎng)絡(luò)安全團隊必須花時間在多個位置手動檢查和驗證控件。

NSPM解決方案提供了多種現(xiàn)成的合規(guī)性配置文件，這些配置文件可以在違反策略時發(fā)出警報，也可以提供顯示實時合規(guī)狀態(tài)的儀表板。創(chuàng)建特定于企業(yè)策略的自定義安全指導(dǎo)原則是一個擴展到固定的常規(guī)合規(guī)性模板之外的功能。例如，一家公司擔(dān)心存儲在本地存儲區(qū)域中的敏感數(shù)據(jù)可以從外部訪問，可以創(chuàng)建一個定制的合規(guī)性規(guī)則，該規(guī)則將檢測到任何時間將數(shù)據(jù)暴露在公共互聯(lián)網(wǎng)上的行為（參見圖4）。

圖4.定制評估報告樣本

來源: FireMon

變更管理與網(wǎng)絡(luò)安全運行自動化

使用手動更改過程來更新安全策略的網(wǎng)絡(luò)安全團隊通常會發(fā)現(xiàn)響應(yīng)安全事件和遵守更改管理流程非常麻煩，而且容易出錯。快速、安全地進行更改是在確保環(huán)境得到保護的同時保護公司運營正常運行時間的關(guān)鍵。因此，NSPM工具的變更管理系統(tǒng)是其中最重要的組成部分之一。

NSPM供應(yīng)商提供內(nèi)置的變更控制系統(tǒng)，支持變更管理的整個周期，以允許受控變更并防止計劃外停機。更改控制用于請求新規(guī)則或?qū)ΜF(xiàn)有規(guī)則的更改。一旦發(fā)出請求，它們將執(zhí)行流量分析，然后列出與此更改相關(guān)的所有躍點（網(wǎng)關(guān)、服務(wù)器）。變更管理系統(tǒng)檢查請求，并在違反任何標(biāo)準(zhǔn)時發(fā)出警報；它還突出顯示與更改相關(guān)的任何風(fēng)險。一旦解決了所有警報和風(fēng)險，請求就會得到批準(zhǔn)并得到實施。這使管理員能夠暫存在狹窄的更改窗口期間自動發(fā)生的更改。

在實施新的變更之前，還可以執(zhí)行變更影響分析。此功能為用戶提供了一個模擬環(huán)境，在該環(huán)境中，可以在尋求進一步批準(zhǔn)之前分析更改的影響。它還使用戶能夠跳過任何更改過程，并自動執(zhí)行可能不需要批準(zhǔn)或風(fēng)險分析的常規(guī)日常規(guī)則。因此，可以為選定的規(guī)則實現(xiàn)端到端的自動化（參見圖5）。

圖5. 變更管理工作流

來源: Gartner (February 2019)

遷移

2019年，數(shù)據(jù)中心和網(wǎng)絡(luò)處于不斷變化的狀態(tài)。為了提高效率和靈活性，組織正在采用軟件設(shè)計的網(wǎng)絡(luò)原則，并將工作負載轉(zhuǎn)移到公有云中——通常是多個公有云。將應(yīng)用程序遷移到云或其他數(shù)據(jù)中心而不中斷應(yīng)用程序連接或創(chuàng)建安全漏洞是一項挑戰(zhàn)。不斷的基礎(chǔ)設(shè)施演進會導(dǎo)致一個混亂的網(wǎng)絡(luò)安全政策環(huán)境，在這種環(huán)境中，網(wǎng)絡(luò)安全和運營領(lǐng)導(dǎo)人爭先恐后地保持防火墻政策的最新性和相關(guān)性。

NSPM解決方案提供了一種附加到特定應(yīng)用程序的管理策略的方法，而不管應(yīng)用程序駐留在何處。NSPM描述了應(yīng)用程序遷移之前、期間和之后的應(yīng)用程序流，確保通信流在整個過程中保持不中斷。這些解決方案有助于從安全性和連接性的角度規(guī)劃、執(zhí)行和跟蹤遷移項目的所有階段。遷移后，NSPM可以幫助刪除無關(guān)的、遺留的防火墻規(guī)則。

連續(xù)網(wǎng)絡(luò)安全風(fēng)險分析與脆弱性評估

隨著多個安全漏洞和安全事件的發(fā)生，業(yè)務(wù)主管和網(wǎng)絡(luò)安全運營團隊不斷尋求基于風(fēng)險的方法來查看其基礎(chǔ)架構(gòu)和應(yīng)用程序。隨著多種技術(shù)和多種漏洞掃描器的出現(xiàn)，風(fēng)險分析和關(guān)聯(lián)的工作變得更具挑戰(zhàn)性。

NSPM工具提供基于風(fēng)險的分析，其中還包括與第三方漏洞分析掃描儀的集成。實時網(wǎng)絡(luò)漏洞管理功能和集中的基于風(fēng)險的儀表板視圖等功能可幫助企業(yè)持續(xù)了解其網(wǎng)絡(luò)中的風(fēng)險。該產(chǎn)品的一個強大功能是在批準(zhǔn)和不批準(zhǔn)任何更改之前基于資產(chǎn)脆弱性的影響分析。

應(yīng)用程序連接管理

應(yīng)用程序及其可用性對于許多以應(yīng)用程序為中心的業(yè)務(wù)至關(guān)重要。應(yīng)用程序可用性對于此類企業(yè)的業(yè)務(wù)連續(xù)性至關(guān)重要。NSPM工具通過提供應(yīng)用程序發(fā)現(xiàn)和連接功能來解決這個使用案例。

這些工具還提供應(yīng)用程序自動發(fā)現(xiàn)功能以檢測企業(yè)中使用的應(yīng)用程序。它們在維護連接圖的同時提供實時應(yīng)用程序連接細節(jié)。不同的企業(yè)所有者可以生成基于應(yīng)用程序的更改管理請求，網(wǎng)絡(luò)安全操作團隊可以實施更改，同時對應(yīng)用程序連接性和合規(guī)性要求進行影響評估。應(yīng)用程序連接性映射還幫助網(wǎng)絡(luò)安全操作團隊通過對應(yīng)用程序連接性執(zhí)行影響分析來跨數(shù)據(jù)中心和云平臺遷移應(yīng)用程序，從而避免意外停機（見圖6）。它也有助于識別未使用的應(yīng)用程序，以便可以安全地從網(wǎng)絡(luò)中停用它們。

圖6.應(yīng)用程序連接映射

來源: AlgoSec

DevOps

對應(yīng)用程序驅(qū)動的安全設(shè)備策略更改的緩慢審查和批準(zhǔn)是DevOps團隊實現(xiàn)最大速度的主要挑戰(zhàn)。這些過程可以為發(fā)布周期增加幾周時間，而一些高級DevOps團隊的目標(biāo)周期時間不到一小時。

一些NSPM供應(yīng)商通過實現(xiàn)安全評估和執(zhí)行的自動化來為DevOps用例提供支持。這允許開發(fā)團隊和安全團隊進行協(xié)作，并將自動化的安全問題作為構(gòu)建管道的一部分。供應(yīng)商可以提供與構(gòu)建工具（如Jenkins）或開發(fā)自動化解決方案（如Chef或Ansible）的本地集成。第三方DevOps工具鏈供應(yīng)商的支持因NSPM解決方案而異，但NSPM供應(yīng)商提供的API集成通常可供DevOps團隊利用。安全和DevOps團隊需要仔細評估應(yīng)用程序開發(fā)的傳統(tǒng)安全控制的自動化，而不是本地云安全工具的實現(xiàn)，如云工作負載保護平臺（CWPP）和云安全策略管理解決方案。

采用率

第三方網(wǎng)絡(luò)安全策略管理是一個快速發(fā)展的市場。多供應(yīng)商防火墻規(guī)則管理在這些工具中已經(jīng)非常成熟。現(xiàn)在，隨著云應(yīng)用的增加，這些工具正在增強其為云平臺提供可見性和管理支持的能力，這將進一步推動增長。除了網(wǎng)絡(luò)安全策略管理之外，根據(jù)合規(guī)性和基于審計的報告維護安全策略也是采用這些工具的主要用例。Gartner還將網(wǎng)絡(luò)脆弱性評估和風(fēng)險分析視為采用這些工具的新興使用案例。采用的主要驅(qū)動因素各不相同。

風(fēng)險

·將NSPM工具添加到規(guī)模較小的安全組織的解決方案組合中是很昂貴的。

·由于這些工具與多供應(yīng)商設(shè)備和環(huán)境（包括防火墻、路由器、交換機以及私有和公有云）交互，如果這些工具沒有正確實施，企業(yè)通常會面臨實施和初始管理問題。

·企業(yè)在將這些產(chǎn)品引入市場之前往往無法對其進行適當(dāng)?shù)脑u估，最終將面臨與現(xiàn)有網(wǎng)絡(luò)安全設(shè)備和變更管理工具的集成問題。

·這些工具正在將其對可見性和控制的支持?jǐn)U展到混合環(huán)境中，但對私有和公有云的支持僅擴展到少數(shù)有限的功能有限的提供商。

·在沒有明確安全策略管理實施目標(biāo)的情況下，網(wǎng)絡(luò)安全運營主管可能會過度購買平臺模塊，而這些模塊不會立即為其組織帶來好處，從而導(dǎo)致一些模塊在組織支付支持費用時處于休眠狀態(tài)。

·相反，購買這些解決方案的網(wǎng)絡(luò)安全運營主管往往低估了其預(yù)期使用情形的范圍，因此購買的容量不夠大。一些Gartner客戶內(nèi)部有多個NSPM工具，其中大多數(shù)都以有限的方式使用，很有可能成為擱置軟件。

·這一領(lǐng)域的供應(yīng)商通常非常擅長于支持操作使用案例（例如，防火墻策略管理）或風(fēng)險和漏洞管理使用案例，但不能同時支持這兩個使用案例。這對于那些希望擁有一系列功能的買家來說是令人失望的。購買時沒有概念驗證（POC）可能導(dǎo)致期望值未得到滿足，以及與許多網(wǎng)絡(luò)安全產(chǎn)品的集成不完整。

·供應(yīng)商對公有云和私有云中的Linux容器提供有限的支持，例如Amazon Elastic Container Service（ECS）、Amazon Elastic Container Service for Kubernetes（EKS）、AWS Fargate和Azure Kubernetes Service（AKS）、Google Kubernetes Engine以及Red Hat OpenShift等產(chǎn)品的內(nèi)部部署。

·這些工具的許多功能與其他網(wǎng)絡(luò)操作（NetOps）工具（如網(wǎng)絡(luò)配置和更改管理（NCCM）工具和防火墻管理工具）重疊。同一組織中的NetOps團隊可能會使用這些SecOps團隊可能不知道的具有基本安全操作能力的工具，從而最終購買提供類似功能的重復(fù)工具。

網(wǎng)絡(luò)安全策略管理替代方案

大多數(shù)現(xiàn)有的安全供應(yīng)商都在擴展對混合環(huán)境的支持。這些供應(yīng)商包括防火墻、入侵檢測和預(yù)防系統(tǒng)（IDPS）、漏洞掃描、SIEM、端點安全等等。如果客戶對合規(guī)性、規(guī)則管理和威脅可見性有基本要求，建議他們與現(xiàn)有的解決方案提供商聯(lián)系。例如，大多數(shù)防火墻供應(yīng)商都提供集中管理器來管理多個防火墻。雖然集中式管理器并沒有提供前面在關(guān)鍵用例和定義部分中提到的所有功能，但是它們確實提供了集中的防火墻規(guī)則管理。

有一些示例替代供應(yīng)商提供了一些功能，并滿足了關(guān)鍵使用案例部分中提到的一些使用案例：

防火墻供應(yīng)商

·Check Point Software Technologies CloudGuard Dome9

·Cisco Stealthwatch Cloud and Cisco Tetration

·Fortinet Security Fabric

·Juniper Networks Junos Space Security Director

·Palo Alto Networks RedLock

管理本地云的安全處理管理供應(yīng)商

·CloudCheckr

·Cloudvisory

網(wǎng)絡(luò)自動化供應(yīng)商

·AppViewX

·Nuage Networks from Nokia

·Red Hat Ansible

多種云風(fēng)險與漏洞管理供應(yīng)商

·AlienVault

·RedSeal

·Tenable

基于主服務(wù)器的微分段供應(yīng)商

·Alcide

·Guardicore

·Illumio

建議

負責(zé)網(wǎng)絡(luò)安全運營的安全和風(fēng)險管理領(lǐng)導(dǎo)人們:

·在入圍供應(yīng)商之前，將確定主要和初始使用案例作為主要需求。閱讀“優(yōu)點和使用”部分，以確定最能定義您的需求的使用案例。

·如果主要目標(biāo)是跨私有網(wǎng)絡(luò)和混合網(wǎng)絡(luò)進行防火墻策略管理，則評估現(xiàn)有集中式防火墻管理器供應(yīng)商的能力，因為這些供應(yīng)商也在發(fā)展對公有云（如AWS和Azure）的支持。

·識別相鄰的使用案例，并與能夠協(xié)作和評估這些工具的相應(yīng)業(yè)務(wù)主管交談。

·避免在未對主要和相鄰使用案例進行適當(dāng)評估的情況下，最終確定購買任何NSPM工具。評估因素必須包括對不同網(wǎng)絡(luò)安全產(chǎn)品當(dāng)前固件版本的支持。

·根據(jù)您的使用案例準(zhǔn)備一份環(huán)境中正在使用的設(shè)備和工具的列表，以檢查NSPM供應(yīng)商提供的集成功能。這個列表應(yīng)該超越防火墻和路由器，包括漏洞掃描程序、SOAR、ITSM和DevOps工具。

·如果它們是您當(dāng)前或未來使用案例的一部分的話，評估對私有和公有云的混合網(wǎng)絡(luò)的支持，因為這種支持是一個不斷發(fā)展的功能，NSPM供應(yīng)商支持的功能有限。

·利用這些供應(yīng)商提供的專業(yè)執(zhí)行服務(wù)來實現(xiàn)穩(wěn)定的實施。確保管理員和業(yè)務(wù)主管接受此工具的全面培訓(xùn)，以最佳方式利用其所有功能。

·在通過評估NSPM解決方案來啟用DevOps時，驗證網(wǎng)絡(luò)安全控制是否是自動持續(xù)集成/連續(xù)交付（CI/CD）管道中的瓶頸。如果不是這樣，就不要強調(diào)這些能力。如果安全是主要的瓶頸，那么安全團隊需要與DevOps團隊密切合作，以了解應(yīng)用程序的安全需求，以確定NSPM工具是否可以幫助消除這種限制。

·如果您是一個有成本意識或規(guī)模較小的安全團隊，那么就減少現(xiàn)有供應(yīng)商，而不是將另一個供應(yīng)商添加到已經(jīng)很復(fù)雜的安全產(chǎn)品組合中，如果這樣您可能會發(fā)現(xiàn)NSPM工具很昂貴。

（本文作者：Rajpreet Kaur、Adam Hils、John Watts）