No.020 瞭解Gartner屢次強調的網路資安策略管理 (NSPM, Network Security Policy Management ) 之重要性
四, 05/04/2023 - 13:32
您的防火牆真的安全嗎?
到2023年,99% 的防火牆破口是由防火牆資安策略配置錯誤引起的,而不是防火牆自身缺失。這是Gartner在一份行業觀察報告中提出的觀點。乍看之下,99% 這個數字似乎言過其實,但細想之後會發現在日常維運中,開通存取權限時的曲折過程,安全審查和風險評估時列出的隱患清單,這個數字又似乎恰如其分。
只增策略、不減策略的防火牆維運習慣,讓我們很難對現存策略做到全面精準控制。違規存取授權、高風險埠開放、控制寬鬆,還有過期、錯誤配置,都會被攻擊者利用發起進攻。
什麼是 NSPM?
Gartner對NSPM給出了明確定義:超越防火牆廠商提供的管理界面,通過將整體網路設備與資安策略對映為可視化的網路拓撲,提供策略優化、策略變更管理、策略模擬、合規性檢查等分析與審核能力,通常具備應用程式連接管理、資安策略優化、面向風險的威脅路徑分析等功能模組。
NSPM工具主要通過與多個網路資安產品整合來提供資安運營(SecOps)功能。這些工具有可能滿足多種網路安全和應用程式管理用途。NSPM工具擴展了對公共和私有雲平台的可視性和資安策略管理功能。雖然,到目前為止,管理公共和私有雲的安全策略是一項不斷發展的技術,只支持有限的雲平台供應商,其中最常用的包括VMware NSX、Amazon Web Services(AWS)、Microsoft Azure,有時還有OpenStack。
NSPM產品的關鍵組成部分是:
1. 多品牌防火牆及網路資安設備的安全策略管理
2. 變更管理系統
3. 風險和漏洞分析管理
4. 應用程式連接管理
NSPM 的評估重點
重點1:資安策略管理
安全策略管理給維運團隊帶來了很大挑戰,資安設備的品牌眾多、資安設備的管理分散、資安策略的不可見是根本原因。
由於企業的組織架構變化、IT分階段建置和IT分散式維運等原因,網路設備和資安設備的品牌複雜化無法避免,需要熟悉多品牌設備的操作介面與命令,是維運人員的第一個挑戰。
廠商提供的是針對每一台設備的獨立介面,設備之間資安策略的關聯分析是對運維人員的第二個挑戰,往往會出現遺漏某台設備的變更,造成整體變更未生效的狀況。因此,對於資安策略管理,需要具備能做到多品牌設備集中管理、資安策略可視性、配置準確性核查等功能。
重點2:風險與漏洞管理
許多維運人員慣性的認為,資安風險評估就是針對各種系統漏洞的清查與管理,但開通any的寬鬆控制、未關閉的高風險埠、違規的存取授權,同樣是風險與脆弱性的重要組成部分。所以,對資安策略進行合規及剛性安全要求的風險檢查,也是NSPM的重要部分。
重點3:應用程式連接管理
應用程式連接管理通過對網路與資安設備策略的關聯,提供網路中應用端到端的可視化連接詳情,讓維運人員確實了解資產間的互連關係,支援故障排除、綜合風險評估等。
重點4:策略變更管理
策略變更管理不是單純的網路自動化工作,不是只將變更需求翻譯成可執行的命令列腳本,而是從效率提升和風險控制方面實現安全維運能力的整體提升。
接收到變更請求後,首先應該判斷是否需要變更以及做什麼樣的變更,而不是立刻執行審批流程,等結束繁雜的審批後才發現根本不需要變更。
控制策略變更中的風險是第二步,NSPM能夠檢查並規避變更過程中出現的寬鬆控制、高風險埠開放、違規授權、策略衝突等問題。
之後才是傳統意義上的自動生成腳本和腳本推送驗證工作,此一流程可以保證策略變更的持續安全與合規。
為您的企業選擇合適的 NSPM 安全解決方案
在當今零信任網路架構被大力提倡與重視的情況下,NSPM已是零信任架構中資安策略管理的核心元件,IT 部門需要在不影響網路正常運作的情況下,加速導入 NSPM工具來強化資安策略的管理,強化策略一致性、雲地同步,使其更易於管理。
天鉞科技身為專業的資安服務廠商,歡迎您與我們業務同仁聯繫,我們將為您詳細說明NSPM 安全解決方案的具體做法,並依據您的環境與應用,推薦最佳的方案!!!
