nspm產品如何提升安全運維

為配合NSPM產品在不同行業不同類型的網絡架構中最大限度的發揮產品優勢，探索不同網絡架構中對產品的適配性。分多個行業目前的傳統網絡架構與未來演進的架構進行深入調研。

從目前數據中心所使用協議的數據層上看，IT方案都是以二/三層網絡（例如以太網+IP網絡）為基礎的，例如GRE、VXLAN等等，其解決和設計方案就是為了解決現有網絡的缺陷和不足，為某一個特定問題而設計的。而現有的二/三層網絡本質問題並沒有得到有效的解決，網絡潛在的資源並未得到有效的利用，安全問題也並有效的管理和抑制。
以下我們對不同行業的的網絡架構和安全部署進行分析，

網絡分析
某數據中心的網絡是按照傳統網絡架構進行部署，采用多業務區域邏輯隔離實現數據交互，各業務區域間的訪問及安全域間的訪問通過防火墻安全策略進行安全控制，在各個區域邊界部署網絡安全設備，在邏輯層進行隔離，保障數據的安全。

數據中心部署的核心業務主要分為以下幾類：
集團網站群、OA系統、ERP、視頻會議、BPC等數數據分析系統，電子商務系統，分別分布在應用系統接入區、DMZ區域，對於數據中心的邊界主要在廣域網、互聯網區域。

需求分析

1、數據中心防火墻產品無法提供異構環境下復雜網絡和策略的自動化、可視化及可控性管理。
2、由於數據中心業務項目不斷上線，網絡及策略需要頻繁變更，無法針對策略變更的生命周期實現智能化、自動化的變更流程管理。
3、經過長期的業務變更，策略經過反復變化無法清楚的識別策略是否存在權限漏洞、風險無法識別、是否滿足合規性需求，不利於網絡團隊與安全團隊的工作開展。
4、設備更新替換需要策略割接，人工策略遷移工作量大，實施成本高。工作繁瑣，需頻繁整理被遷移設備。

工作場景
某央企是世界500強企業，中國最大的基礎化學的制造企業。全國140多家企業，北京為全國數據中心，共有400多臺防火墻分布在全國各地。
防火墻類型包括：網神、網禦、天融信、思科、華為、H3C、Juniper、
路由交換設備; 思科、華為、H3C、銳捷、惠普、博科、
運維挑戰：
策略變更控制完全完全手動化且非常復雜，變更記錄以表格形式存儲，回溯性差；僅有幾十名IT員工，每天需要監控和核實防火墻變更需求，需要工程師熟練掌握不同安全廠家防火墻變更技術且需要熟悉企業內部ITSM變更控制系統。變更程序需要在全國範圍內多重檢驗，由於網絡環境變更的復雜性，無法滿足較為寬松的安全基線要求，通過各地設備本身的審計日誌也無法有效控制變更合理性。
關於NSPM產品在上述網絡架構中解決方案
1、提供異構環境下對復雜網絡和策略自動化、可視化和可控性管理，使用戶安全和網絡團隊能智能化的對網絡環境內的網絡安全策略進行優化，並監控策略變更項，確保防火墻配置的有效性、安全性和合規性。
2、NSPM產品在策略優化、工單推送、設備變更記錄可滿足企業當前此類問題。
異構防火墻與網絡設備的集中管理，設備管理模塊可以詳細記錄異構設備的安全策略、接口信息、路由信息、VLAN信息等，從而達到設備的集中管理，管理員不需要手工多次重復性的到設備上采集信息，可通過NSPM產品自動化、可視化直觀發現所需的信息。
3、解決隨著多業務數據中心項目中不斷增加的需求，導致策略出現多處權限松散打破了最小權限優先的原則，降雲的策略優化可對這些未使用的策略、覆蓋策略、冗余策略、可合並的策略進行優化，從而使用戶的網絡環境增強健壯。
4、網內安全策略會由於變更會出現很多風險，風險會導致網內的業務系統等會出現安全事件，降雲產品的風險分析，全面的風險分析庫、能夠根據嚴重程度排列分析、提供風險細節和補救措施。 後期降雲產品還會支持國內合規性的要求例如等保三級、ISO27000
NSPM產品在行業網絡環境下的價值體現；
*提高安全性
識別並減輕網絡安全和網絡設備策略風險
確保策略變更不會帶來新的風險
並安全風險進行排序並勾畫其趨勢
了解策略變更對業務的影響
自動合規
減少大部分的審計工作量
確保持續合規
提高公司管理水平
高效運維
減少大量的手工操作時間
較少部分無用變更
提高操作的準確性
提高網絡性能及可用性
緊密結合安全和運維團隊。

*

關於nspm品類產品在行業用戶網絡架構中的研究分析（建議安全自動化運維工具開發者，了解）