从目前数据中心所使用协议的数据层上看,IT方案都是以二/三层网络(例如以太网+IP网络)为基础的,例如GRE、VXLAN等等,其解决和设计方案就是为了解决现有网络的缺陷和不足,为某一个特定问题而设计的。而现有的二/三层网络本质问题并没有得到有效的解决,网络潜在的资源并未得到有效的利用,安全问题也并有效的管理和抑制。
以下我们对不同行业的的网络架构和安全部署进行分析,
网络分析
某数据中心的网络是按照传统网络架构进行部署,采用多业务区域逻辑隔离实现数据交互,各业务区域间的访问及安全域间的访问通过防火墙安全策略进行安全控制,在各个区域边界部署网络安全设备,在逻辑层进行隔离,保障数据的安全。
数据中心部署的核心业务主要分为以下几类:
集团网站群、OA系统、ERP、视频会议、BPC等数数据分析系统,电子商务系统,分别分布在应用系统接入区、DMZ区域,对于数据中心的边界主要在广域网、互联网区域。
需求分析
1、数据中心防火墙产品无法提供异构环境下复杂网络和策略的自动化、可视化及可控性管理。
2、由于数据中心业务项目不断上线,网络及策略需要频繁变更,无法针对策略变更的生命周期实现智能化、自动化的变更流程管理。
3、经过长期的业务变更,策略经过反复变化无法清楚的识别策略是否存在权限漏洞、风险无法识别、是否满足合规性需求,不利于网络团队与安全团队的工作开展。
4、设备更新替换需要策略割接,人工策略迁移工作量大,实施成本高。工作繁琐,需频繁整理被迁移设备。
工作场景
某央企是世界500强企业,中国最大的基础化学的制造企业。全国140多家企业,北京为全国数据中心,共有400多台防火墙分布在全国各地。
防火墙类型包括:网神、网御、天融信、思科、华为、H3C、Juniper、
路由交换设备; 思科、华为、H3C、锐捷、惠普、博科、
运维挑战:
策略变更控制完全完全手动化且非常复杂,变更记录以表格形式存储,回溯性差;仅有几十名IT员工,每天需要监控和核实防火墙变更需求,需要工程师熟练掌握不同安全厂家防火墙变更技术且需要熟悉企业内部ITSM变更控制系统。变更程序需要在全国范围内多重检验,由于网络环境变更的复杂性,无法满足较为宽松的安全基线要求,通过各地设备本身的审计日志也无法有效控制变更合理性。
关于NSPM产品在上述网络架构中解决方案
1、提供异构环境下对复杂网络和策略自动化、可视化和可控性管理,使用户安全和网络团队能智能化的对网络环境内的网络安全策略进行优化,并监控策略变更项,确保防火墙配置的有效性、安全性和合规性。
2、NSPM产品在策略优化、工单推送、设备变更记录可满足企业当前此类问题。
异构防火墙与网络设备的集中管理,设备管理模块可以详细记录异构设备的安全策略、接口信息、路由信息、VLAN信息等,从而达到设备的集中管理,管理员不需要手工多次重复性的到设备上采集信息,可通过NSPM产品自动化、可视化直观发现所需的信息。
3、解决随着多业务数据中心项目中不断增加的需求,导致策略出现多处权限松散打破了最小权限优先的原则,降云的策略优化可对这些未使用的策略、覆盖策略、冗余策略、可合并的策略进行优化,从而使用户的网络环境增强健壮。
4、网内安全策略会由于变更会出现很多风险,风险会导致网内的业务系统等会出现安全事件,降云产品的风险分析,全面的风险分析库、能够根据严重程度排列分析、提供风险细节和补救措施。 后期降云产品还会支持国内合规性的要求例如等保三级、ISO27000
NSPM产品在行业网络环境下的价值体现;
*提高安全性
识别并减轻网络安全和网络设备策略风险
确保策略变更不会带来新的风险
并安全风险进行排序并勾画其趋势
了解策略变更对业务的影响
自动合规
减少大部分的审计工作量
确保持续合规
提高公司管理水平
高效运维
减少大量的手工操作时间
较少部分无用变更
提高操作的准确性
提高网络性能及可用性
紧密结合安全和运维团队。
*
关于nspm品类产品在行业用户网络架构中的研究分析(建议安全自动化运维工具开发者,了解)
原文地址:http://blog.51cto.com/13769225/2121626