當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

安博通網(wǎng)絡(luò)防火墻“策略集中管理平臺(tái)”深度分析

 2020-06-24 16:16  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

引語(yǔ):Gartner 預(yù)測(cè)“到2023年99%的防火墻被攻破是由于防火墻配置錯(cuò)誤而非防火墻本身的缺陷。”

防火墻是最常見(jiàn)的網(wǎng)絡(luò)安全防護(hù)設(shè)備,在各類金融機(jī)構(gòu)的網(wǎng)絡(luò)中有著廣泛的部署。防火墻的基本功能是通過(guò)設(shè)置網(wǎng)絡(luò)訪問(wèn)控制策略,收斂網(wǎng)絡(luò)訪問(wèn)權(quán)限,落地最小授權(quán)原則,防止非授權(quán)訪問(wèn),預(yù)防和減少網(wǎng)絡(luò)風(fēng)險(xiǎn)。訪問(wèn)控制策略是防火墻的靈魂,是網(wǎng)絡(luò)安全防御體系的基礎(chǔ),它設(shè)置的效果直接影響著防火墻的應(yīng)用效果與網(wǎng)絡(luò)安全防御的整體水平。如果一個(gè)網(wǎng)絡(luò)的訪問(wèn)控制策略部署的不夠好,即使擁有再先進(jìn)的網(wǎng)絡(luò)安全設(shè)備,攻擊者都有可能通過(guò)最簡(jiǎn)單的方式實(shí)現(xiàn)非法入侵。2019年2月,Gartner在一份技術(shù)觀察報(bào)告中這樣預(yù)測(cè):“到2023年99%的防火墻被攻破是由于防火墻配置錯(cuò)誤而非防火墻本身的缺陷。”

當(dāng)前,大多數(shù)金融機(jī)構(gòu)的防火墻策略采用人工方式進(jìn)行管理。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大與業(yè)務(wù)的頻繁變更,策略規(guī)則的數(shù)量與日劇增、效果評(píng)估難于完成、合規(guī)性難于保證。等保2.0中明確提出了防火墻策略精細(xì)化、集中化的管理要求,但無(wú)論對(duì)于用戶單位還是測(cè)評(píng)機(jī)構(gòu),在復(fù)雜網(wǎng)絡(luò)場(chǎng)景下,海量防火墻策略的分析已超出了人力所及,防火墻策略的精細(xì)化管理工作與測(cè)評(píng)工作均難于落地。

金融機(jī)構(gòu)防火墻策略管理的難點(diǎn)

金融機(jī)構(gòu)防火墻策略管理工作的難點(diǎn)主要體現(xiàn)在三個(gè)方面:異構(gòu)性、復(fù)雜性與動(dòng)態(tài)性。

1. 異構(gòu)性

金融機(jī)構(gòu)網(wǎng)絡(luò)中的防火墻的品牌普遍在五個(gè)以上,不同品牌設(shè)備的訪問(wèn)控制策略配置不同,而且同一品牌設(shè)備的不同軟件版本在訪問(wèn)控制策略配置方面也會(huì)存在差異。大中型金融機(jī)構(gòu)網(wǎng)絡(luò)中防火墻的數(shù)量能達(dá)到幾十臺(tái)至幾百臺(tái),每臺(tái)設(shè)備的策略規(guī)則普遍在1000條以上,核心邊界設(shè)備的策略規(guī)則能達(dá)到幾萬(wàn)條。異構(gòu)性的另一主要表現(xiàn)是本地與云同時(shí)存在的混合網(wǎng)絡(luò)環(huán)境,訪問(wèn)控制設(shè)備呈現(xiàn)為物理、虛擬、安全組策略、主機(jī)訪問(wèn)控制等多種形態(tài)。

2. 復(fù)雜性

防火墻策略設(shè)置的有效性與風(fēng)險(xiǎn)性分析不僅限于單臺(tái)防火墻,還需要通過(guò)網(wǎng)絡(luò)對(duì)象間的訪問(wèn)關(guān)系與訪問(wèn)路徑進(jìn)行分析。網(wǎng)絡(luò)中兩點(diǎn)間的訪問(wèn)路徑需要對(duì)多臺(tái)網(wǎng)絡(luò)設(shè)備的邏輯連接與訪問(wèn)控制進(jìn)行關(guān)聯(lián)分析,這里面所提到的網(wǎng)絡(luò)設(shè)備不僅指防火墻,還包括路由器、交換機(jī)與負(fù)載均衡,需要分析的數(shù)據(jù)包括IP、VLAN、VXLAN、路由、策略路由、NAT、ACL、安全策略等。金融機(jī)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,人工方式實(shí)現(xiàn)全局網(wǎng)絡(luò)對(duì)象訪問(wèn)路徑與訪問(wèn)關(guān)系分析基本不可能。

3. 動(dòng)態(tài)性

金融機(jī)構(gòu)防火墻策略變更是常態(tài)化的,每周至少兩次以上的變更窗口,其主要原因是防火墻訪問(wèn)控制策略與網(wǎng)絡(luò)連通性和安全性都相關(guān),訪問(wèn)控制的安全原理就是通過(guò)收斂網(wǎng)絡(luò)連通性以降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。所以,只要網(wǎng)絡(luò)結(jié)構(gòu)與業(yè)務(wù)發(fā)生變化,訪問(wèn)控制策略就需要隨之變化,對(duì)于業(yè)務(wù)敏捷性高的金融機(jī)構(gòu)網(wǎng)絡(luò)來(lái)說(shuō),策略變更加頻繁、規(guī)則數(shù)量更大。

以上三方面的問(wèn)題使得金融機(jī)構(gòu)防火墻策略精細(xì)化管理工作難于落地,將會(huì)造成了兩方面的后果,一是頻繁的策略變更增加了安全風(fēng)險(xiǎn)引入的機(jī)會(huì),二是占用了大量的人力。有些金融機(jī)構(gòu)的策略管理工作量占比達(dá)到安全運(yùn)維工作量的40%,直接導(dǎo)致其他更高層面工作資源得不到保證。

防火墻策略集中管理的應(yīng)對(duì)

1.關(guān)于NSPM的定義

Gartner在2019年的一篇技術(shù)觀察中對(duì)網(wǎng)絡(luò)安全策略管理(NSPM:Network security policy management)進(jìn)行了定義:NSPM超越了防火墻供應(yīng)商提供的用戶策略管理界面,提供異構(gòu)環(huán)境下集中的安全策略可視化控制能力,NSPM將整網(wǎng)的設(shè)備及其訪問(wèn)控制規(guī)則映射為虛擬網(wǎng)絡(luò)拓?fù)洌瑸橐?guī)則優(yōu)化、變更管理工作流、規(guī)則仿真、合規(guī)性評(píng)估與可視化提供分析和審計(jì)能力。NSPM提供異構(gòu)品牌安全策略的集中管理、變更管理、風(fēng)險(xiǎn)和脆弱性分析與應(yīng)用程序連接管理四個(gè)方面的能力。

混合網(wǎng)絡(luò)環(huán)境下,網(wǎng)絡(luò)防火墻的形態(tài)更加多樣化,包括專用的物理設(shè)備、虛擬設(shè)備、嵌入式防火墻模塊、IaaS平臺(tái)提供的防火墻控制系統(tǒng)。Gartner在2019年網(wǎng)絡(luò)防火墻魔力象限報(bào)告中建議用戶應(yīng)考慮使用NSPM之類的專用工具,以便能夠集中管理混合網(wǎng)絡(luò)的訪問(wèn)控制策略。

2.防火墻策略集中管理平臺(tái)總體架構(gòu)

參考Gartner關(guān)于NSPM的定義,結(jié)合現(xiàn)階段金融行業(yè)用戶防火墻策略的管理方法與管理體系的調(diào)研,接下來(lái)本文將對(duì)防火墻策略集中管理平臺(tái)總體架構(gòu)進(jìn)行一般性的描述,希望能夠?qū)鹑谛袠I(yè)用戶在防火墻策略集中管理體系的設(shè)計(jì)、建設(shè)與運(yùn)行方面起到借鑒作用。

防火墻策略集中管理平臺(tái)總體架構(gòu)包含四大部分,即:策略配置管理、策略優(yōu)化清理、基線與風(fēng)險(xiǎn)管理、變更流程管理。

策略配置管理模塊 是平臺(tái)的基礎(chǔ),需要實(shí)現(xiàn)不同品牌、不同種類的網(wǎng)絡(luò)訪問(wèn)控制設(shè)備配置的采集,對(duì)策略相關(guān)數(shù)據(jù)進(jìn)行提取,為上層計(jì)算模塊提供標(biāo)準(zhǔn)化數(shù)據(jù),并且可以反向?qū)⑴渲媚_本下發(fā)至設(shè)備。策略配置管理模塊可以通過(guò)SSH、Telnet、https等方式登錄到設(shè)備上進(jìn)行配置采集,也可以通過(guò)API接口從設(shè)備上或CMDB中獲取配置。之后,需要解析策略ID、源地址對(duì)象、目的地址對(duì)象、服務(wù)、動(dòng)作、生效時(shí)間、老化時(shí)間等策略相關(guān)數(shù)據(jù),并基于標(biāo)準(zhǔn)化的格式進(jìn)行輸出,使得采用不同語(yǔ)法的策略配置數(shù)據(jù)實(shí)現(xiàn)統(tǒng)一的、標(biāo)準(zhǔn)化的展示。策略配置管理模塊需要支持不同品牌防火墻策略配置腳本模版的預(yù)置與自定義,以實(shí)現(xiàn)防火墻策略配置腳本自動(dòng)生成與下發(fā)。為了實(shí)現(xiàn)安全拓?fù)涞淖詣?dòng)生成,策略配置管理模塊還需要實(shí)現(xiàn)接口、IP、路由、 NAT等數(shù)據(jù)的解析。

策略優(yōu)化清理模塊 主要的作用是實(shí)現(xiàn)垃圾策略與風(fēng)險(xiǎn)策略的檢查,通過(guò)定期對(duì)存量策略規(guī)則的清理優(yōu)化,實(shí)現(xiàn)策略規(guī)則最小化與精細(xì)化的平衡。在策略優(yōu)化清理模塊中,需要對(duì)標(biāo)準(zhǔn)化的策略數(shù)據(jù)進(jìn)行計(jì)算,檢查策略規(guī)則之間的相互關(guān)系,從而發(fā)現(xiàn)隱藏策略、冗余策略與可合并策略,并且通過(guò)某些字段的分析發(fā)現(xiàn)空策略、含ANY策略、過(guò)期策略,實(shí)現(xiàn)垃圾策略與風(fēng)險(xiǎn)策略的檢查,并提供處置建議,優(yōu)化策略規(guī)則。對(duì)于一些較為深層的問(wèn)題策略,不能通過(guò)策略配置的分析實(shí)現(xiàn),需要將策略配置數(shù)據(jù)與會(huì)話日志數(shù)據(jù)進(jìn)行比對(duì),在一段時(shí)間周期內(nèi)統(tǒng)計(jì)策略配置中源地址、目的地址、服務(wù)三個(gè)對(duì)象的命中率與命中細(xì)節(jié),實(shí)現(xiàn)寬松策略與長(zhǎng)期不命中策略的分析。

基線與風(fēng)險(xiǎn)管理模塊 包含三個(gè)子模塊,即安全域與安全拓?fù)涔芾?、訪問(wèn)控制基線管理與網(wǎng)絡(luò)暴露風(fēng)險(xiǎn)管理。安全域與安全拓?fù)涔芾碜幽K 需實(shí)現(xiàn)全局訪問(wèn)控制策略關(guān)聯(lián)分析建模,自動(dòng)生成安全拓?fù)洌踩負(fù)渑c傳統(tǒng)基于SNMP的物理拓?fù)洳煌?,基于SNMP的網(wǎng)絡(luò)拓?fù)渲饕枋鲈O(shè)備的物理狀態(tài)與物理連接關(guān)系,而安全拓?fù)涿枋龅氖蔷W(wǎng)絡(luò)對(duì)象間的邏輯連接關(guān)系與訪問(wèn)控制關(guān)系;訪問(wèn)控制基線管理子模塊 能夠根據(jù)安全域間訪問(wèn)控制規(guī)則設(shè)置區(qū)域之間的訪問(wèn)控制基線,訪問(wèn)控制基線信息至少包括源域、源地址、目的域、目的地址、協(xié)議、端口、動(dòng)作等信息,支持黑白名單、高危端口、病毒端口的自定義,支持定期依據(jù)訪問(wèn)控制基線對(duì)網(wǎng)絡(luò)訪問(wèn)控制策略進(jìn)行檢查,發(fā)現(xiàn)違規(guī)策略;網(wǎng)絡(luò)暴露風(fēng)險(xiǎn)管理子模塊 能夠以某一主機(jī)或主機(jī)組為對(duì)象,自動(dòng)化實(shí)現(xiàn)網(wǎng)絡(luò)暴露路徑與暴露風(fēng)險(xiǎn)的分析,從網(wǎng)絡(luò)訪問(wèn)關(guān)系與安全路徑的角度描述其對(duì)外的暴露情況,可以幫助用戶及時(shí)了解某些重要主機(jī)與主機(jī)組網(wǎng)絡(luò)暴露面的大小、風(fēng)險(xiǎn)的高低,輔助用戶進(jìn)行暴露面收斂與暴露路徑的安全加固。

變更流程管理模塊 需要實(shí)現(xiàn)策略變更業(yè)務(wù)的全流程閉環(huán)管理,包括策略變更工單管理、路徑仿真計(jì)算、路徑合規(guī)與風(fēng)險(xiǎn)分析、策略開(kāi)通與驗(yàn)證。變更工單管理子模塊 的作用是接受業(yè)務(wù)部門的策略變更申請(qǐng),并對(duì)工單執(zhí)行進(jìn)展進(jìn)行監(jiān)控,對(duì)執(zhí)行結(jié)果實(shí)行記錄與審計(jì)。路徑仿真計(jì)算子模塊 的作用是基于策略變更工單的需求對(duì)變更路徑進(jìn)行計(jì)算與查詢,自動(dòng)找出需要開(kāi)通的路徑與需要進(jìn)行策略配置變更的目標(biāo)設(shè)備。路徑合規(guī)與風(fēng)險(xiǎn)分析子模塊 的作用主要有兩方面:一是分析新增策略規(guī)則與現(xiàn)有策略規(guī)則是否存在沖突關(guān)系,避免出現(xiàn)冗余與隱藏規(guī)則;二是分析新增策略規(guī)則是否符合域間安全基線與風(fēng)險(xiǎn)策略規(guī)則。策略開(kāi)通與驗(yàn)證子模塊 的作用主要有兩方面:一方面是依據(jù)路徑仿真的計(jì)算結(jié)果,對(duì)不同目標(biāo)設(shè)備的策略變更配置腳本進(jìn)行生成;二是將生成的配置腳本進(jìn)行下發(fā),下發(fā)完成后,依據(jù)策略變更工單的路徑開(kāi)通要求,進(jìn)行源到目的路徑查詢,以確認(rèn)策略變更是否正確完成。

防火墻策略集中管理平臺(tái)還需要考慮與安全運(yùn)營(yíng)管理中心的對(duì)接,一方面網(wǎng)絡(luò)訪問(wèn)控制策略管理是安全運(yùn)營(yíng)管理體系的組成部分。另一方面可以實(shí)現(xiàn)策略配置數(shù)據(jù)的采集與下發(fā)、多種安全能力的集成與用戶業(yè)務(wù)平臺(tái)的流程對(duì)接。

防火墻策略集中管理平臺(tái)應(yīng)用價(jià)值總結(jié)

首先,落地防火墻策略的精細(xì)化與集中化管理,實(shí)現(xiàn)海量策略規(guī)則的快速優(yōu)化清理,降低網(wǎng)絡(luò)風(fēng)險(xiǎn),同時(shí)降低了網(wǎng)絡(luò)訪問(wèn)控制設(shè)備的性能負(fù)載。

其次,基于網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)建模分析生成網(wǎng)絡(luò)安全拓?fù)?,?shí)現(xiàn)策略安全基線的設(shè)定與動(dòng)態(tài)監(jiān)控,實(shí)現(xiàn)網(wǎng)絡(luò)暴露風(fēng)險(xiǎn)的可視化分析,幫助用戶收斂網(wǎng)絡(luò)暴露面、降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。

第三,實(shí)現(xiàn)防火墻策略變更全流程自動(dòng)化閉環(huán)管理,確保新增策略滿足合規(guī)管理要求與安全控制要求,實(shí)現(xiàn)訪問(wèn)控制策略的持續(xù)合規(guī)運(yùn)維,并且大幅提升策略變更工作的效率。

當(dāng)前,能夠提供防火墻策略集中管理平臺(tái)產(chǎn)品的主要是國(guó)外幾家廠商,國(guó)內(nèi)的安博通在該領(lǐng)域研究較為深入,并且擁有大型金融機(jī)構(gòu)的成功案例。安博通今年還發(fā)布了免費(fèi)版的防火墻策略檢查工具,大家可以到其官方網(wǎng)站下載、體驗(yàn)。

關(guān)于安博通

北京安博通科技股份有限公司(簡(jiǎn)稱“安博通”),是國(guó)內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商,2019年成為中國(guó)第一家登陸科創(chuàng)板的網(wǎng)絡(luò)安全企業(yè)。

其自主研發(fā)的ABT SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)平臺(tái),已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)套件,是國(guó)內(nèi)眾多部委與央企安全態(tài)勢(shì)感知平臺(tái)的核心組件與數(shù)據(jù)引擎。

更多詳情,敬請(qǐng)查閱:www.abtnetworks.com

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開(kāi)始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評(píng)選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評(píng)優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評(píng)選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過(guò)合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對(duì)電子郵件安全展開(kāi)調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時(shí),在2023年一份針對(duì)我國(guó)電子郵件安全的第三方報(bào)告顯示,與證書(shū)/憑據(jù)釣魚(yú)相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長(zhǎng)13%,增幅超過(guò)過(guò)去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營(yíng)商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星

    6月21日,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機(jī)構(gòu)“數(shù)說(shuō)安全”提供研究支持的“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)、成長(zhǎng)之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強(qiáng)勁的核心競(jìng)爭(zhēng)力再次榮登“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星”榜單。據(jù)悉,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門排行

信息推薦