前言
作为国内可视化网络安全技术先行者的安博通,已连续2年在美国RSA大会上对参展的网络安全可视化产品与技术进行深度调研,并分享了系列技术文章,网络阅读量超过10万+,成为国内安全圈从业者以及广大甲方技术人员洞察和了解国际网络安全可视化态势的重要参考资料。
2019年RSA大会上,安博通继续深入调研了以网络安全可视化为主的厂商及其核心产品与技术,为读者带来第一手资料。在RSA2019热词榜中,云安全超过网络安全和数据安全跃居第一位。网络安全可视化产品与技术,自然少不了在云环境下的发力,已然在云环境下开始了一轮新的比拼,我们将在下文中做详细分析说明。
一、2019安全策略可视化平台全球三大发展趋势
在2019年RSA展会调研中,我们发现网络策略可视化平台类的产品呈现出以下三个主要的发展趋势:
1、全面支持各种云环境
面对复杂的混合IT基础架构,安全运维团队如何做到轻松管理全网所有防火墙及路由交换设备的安全策略,并利用精准的拓扑映射和分析,确保网络和应用的连接以及安全性是安全策略可视化类产品旨在解决的核心问题之一。
早年间,混合IT基础架构主要体现在防火墙、路由器、交换机与负载均衡等安全连接技术(网络连接与安全控制)的混合;多品牌设备异构的混合。但随着各种共有云、私有云以及混合云的大行其道,企业与组织也在积极将其核心业务迁移到云环境中,因此当前混合IT基础架构还多了一层传统物理环境、虚拟化环境与云化环境的混合,策略可视化类产品也面临着能够有效管理整个异构性物理网络和混合云平台中的安全控制层,并最终平衡业务敏捷性和安全性的需求。
在新的混合IT基础架构环境下,采用云策略并迁移应用程序以利用云的规模经济时,他们的安全态势面临新的复杂性和风险。而领先云供应商的安全控制和网络体系结构彼此不同,并且与内部数据中心的安全控制和网络体系结构有根本区别,因此策略可视化类产品支持和兼容混合云平台环境中的安全策略管理刻不容缓。
其实早在2017年RSA上,我们就依稀看到了各厂商均宣称对 Amazon Web Services ( AWS ) 和其他云计算环境的支持,对 Virtual Private Cloud ( VPC ) 的部署和变更进行及时响应,提供基于云环境的可视化分析,但实际更多还是在预研和Demo阶段。而在2019年,我们看到了几乎所有厂商均能通过有效管理跨混合云和物理网络环境中的安全控制层,提供及时策略变更可视性、风险评估和合规分析,提供统一的安全策略管理并获得整个企业的一致性安全性和合规性。更有比较激进的厂商Tufin,在原有策略管理平台基础上增加了对云环境的支持,同时新发布了一款专门针对公有云环境下的安全策略管理平台Tufin Iris。
目前基本所有厂商均支持对主流混合云服务提供的安全组和实例进行采集解析并结合传统物理环境中的防火墙安全策略进行一致安全性和合规性分析,如:VMWare NSX,Amazon Web Services(AWS),Microsoft Azure,Cisco ACI和OpenStack等。
图:Tufin 最新发布的针对云环境下的策略管理平台Tufin Iris
图:SkyBox 在混合云环境下绘制的网络拓扑
图:FireMon最新发布的混合云环境下策略管理白皮书
2、策略下发补全策略管理闭环
安全策略的全生命周期管理一直是安全策略管理类产品提供的核心功能之一,在前两年调研过程中,我们发现Algosec、Skybox等厂商均将闭环的策略清理和开通流程设计为工作流功能的形式,并针对尽量详细的流程定义,通过Step by Step的步骤式操作,站在用户视角进行过程控制。
通常典型的策略开通过程包括了发起请求->技术细节确认->风险评估->实施细节确认->最终校验等几个步骤和环节。在策略管理工作流程的引导下,用户将会对每一项业务变更执行精细化的5步管理,在每一步中逐步分析影响后进行评估,流程上不断进行审批,直到最终流程闭环。
上述策略管理功能似乎已做到业务闭环,但实际细想,其实缺少了很重要的一步,那就是策略的远程下发。有点类似快递进小区的最后一公里,看试简单的最后一公里,却由于各防火墙品牌命令行差异、API接口提供程度、写入操作安全性等多方面因素和考量,前两年各厂商在实际远程下发功能方面很少提及或有意被忽略。但随着策略管理业务闭环的切实需要,以及企业和组织对自动化运维程度要求越来越高,策略下发似乎变成了无法逾越的沟壑。
庆幸的是在今年,我们看到了至少Algosec、FireMon、Tufin等几个厂商产品在最新版本中均能支持主流国际品牌防火墙的安全策略远程下发,在实现技术原理方面也基本以API接口和Command两种方式为主。同时在本次RSA上,安博通展示的国内唯一专注于安全策略可视化分析方向的综合类平台产品:“晶石”安全策略可视化平台也已经支持防火墙安全策略模拟仿真分析及策略下发验证功能,并支持华为、思科、Juniper、山石、天融信等品牌防火墙,且后续还将陆续支持更多国产品牌防火墙。
图:Tufin 安全策略命令行生成及下发更新至目标设备
图:FireMon策略计划同意后会直接在设备上实施策略
图:安博通业务开通及策略下发与验证
3、基于策略与路径分析攻击面
2018年我们在RedSeal展台上看到了其率先与Rapid 7合作联合推出漏洞治理方案以及基于核心资产漏洞被利用或被攻击分析的应用场景,这似乎给其它厂商带来了在策略管理与应用挖掘方面进一步拓展的灵感。
在今年的RSA上,FireMon、Algosec、Skybox以及安博通不约而同提出了与网络攻击面相关的功能和方案,将安全策略管理类产品在安全策略全生命周期管理、自动化运维等基本功能和价值之外的安全分析能力与价值提到了新的高度。
“攻击面”是企业与组织的基础架构中可以利用的资源总和,随着新计算功能(虚拟,软件定义网络,物联网,容器,公共云,私有云,联合网络)的兴起,攻击面已经在多个方向上扩展,这对安全专业人员来说是一个巨大的麻烦。如何有效对攻击面进行量化及可视化分析,并针对缩小已知攻击面提供合理建议甚至是具体措施无疑将是安全管理员所期望的。虽然在安博通产品经理看来,目前几家厂商给出的攻击面分析与缩小攻击面方案或产品功能在实际应用过程中还有待进一步的完善,相互之间还有很多可借鉴之处,但整体而言,我们很有信心并期待各家均会在此方向上做出更大的突破。
图:FireMon缩小攻击面方案及功能演示
图:安博通主机攻击面量化分析
二、参展厂商分析
从2016年开始,我们持续关注防火墙策略管理领域的国内外厂商,从参展厂商来看,最近三年几乎没有太大变化,主要还是5家国际厂商和1家国内厂商为主。前两年安博通看RSA系列文章中已对几家厂商基本情况做过详细介绍,此次,我们将重点介绍各家厂商的产品新特性和新动向。
Tufin
Tufin今年相比其他几家的产品迭代和更新可谓是最大的,一方面在原有策略管理平台基础上增加了对云环境的支持,同时新发布了一款专门针对公有云环境下的安全策略管理平台Tufin Iris;另一方面进一步优化和完善防火墙安全策略运维功能,支持策略工作流模板的自定义,支持对策略的修改,对策略下发顺序的管理等方面非常细致和易用。
Tufin的优势在于防火墙安全策略运维管理,在这一领域Tufin无疑是最佳的能力者,从今年新特性和新动向来看,Tufin的意图很明显,一方面想继续保持防火墙策略运维管理方面的领导者地位,同时在新的云环境和云安全大趋势和背景下,希望能先发制人,快速抢占云环境下安全策略管理的市场。
图:Tufin Iris通过对云策略监控自动发现显示所有应用程序
FireMon
FireMon展示了最新的基于混合云环境下的策略管理平台,但从产品功能演示方面除了兼容更多的云平台、VPC安全策略之外,没有发现太大的变化。
图:FireMon针对混合云环境下安全策略平台架构
FireMon今年最大的亮点是收购了一家专门做网络拓扑的公司Lumeta,以补足其在全局网络拓扑分析方面的弱点,但在现场演示时我们还没有看到引入并集成后的效果,不过还是很期待FireMon新的拓扑分析。
另外FireMon虽然在缩小网络攻击面方案较成熟,但产品化功能体现得并不是很明显,还有待进一步提升。
综合来看,今年FireMon产品功能变化不是太大,但在云环境支持、网络拓扑、攻击面等方面都很清晰看到了FireMon已经做好了充足了准备,现阶段正处于蓄能蜕变的阶段,我们拭目以待。
Redseal
Redseal的核心能力在于策略路径的网络拓扑地图计算,最新的网络拓扑已经可以支持各种云环境策略参与计算和分析,其网络拓扑地图业绩领先水平似乎依然无法撼动。
Redseal一直以来给人的感觉都是一家持续创新的厂商,今年同样给我们带来了小惊喜,那就是它针对下一代防火墙的策略解析和分析增加了七层应用维度(L7 APP ID)。虽然从功能演示来看,可选的APP不超过10项,且无法得知针对异构品牌防火墙场景下应用如何统一定义和区分,目前这个创新还不够成熟,但我们认为这个功能的引入将对安全策略管理带来不小的改变,比如基于应用的策略检查、路径分析等将会更加精准。
图:RedSeal针对下一代防火墙支持应用配置的解析和分析
Algosec
以工作流+业务流相结合FireFlow一直是Algosec 引以自豪的核心能力,我们在调研中发现,FireFlow依然是Algosec重点介绍和演示的功能,该功能又在去年基础上丰富了不少,或者说是“复杂”了不少,主要是我们比较担心这么灵活复杂的流程模板如何教会给客户管理员使用。除此之外,Alogosec在此次展会上并未展现出特别具体的技术能力进步,似乎保持在舒适领域而不敢突破,创新技术的枯竭,必然导致产品竞争力的逐年下滑。
图:Alogosec自定义复杂的策略工作流审批模板
Skybox
Skybox的流程化组织能力是其重要的核心能力之一,但比较遗憾的是在Skybox Change Manager平台上依然还不能支持安全策略的远程下发。与Algosec情况相似,Skybox在此次展会上也并未展现出特别具体的技术能力进步。但与Algosec不同的是,Skybox更侧重在安全分析,且今年在攻击面可视化、漏洞与威胁分析、防火墙合规性等方面均有不少更新和加强,产品更加靠近安全管理平台的定位。
图:Skybox基于漏洞攻击路径模拟分析
安博通
安博通作为国内安全可视化的先行者,今年第三次亮相RSA大会,展示了国内唯一专注于安全策略可视化分析方向的综合类平台产品:“晶石”安全策略可视化平台。
安博通基于前几年在安全策略可视化方面不断的积累,今年最新发布的“晶石”安全策略可视化平台(V1.7版本)在系统底层算法优化、业务组织编排、系统UI与交换体验等方面做了较大的调整和更新,同时补充了攻击面分析、策略风险分析、策略模拟仿真、策略远程下发等诸多新功能和能力,产品竞争力以及给客户带来的实际价值显著提升。
图:安博通新版策略可视化平台功能架构
“晶石”以安全策略分析及控制能力为核心,具备策略优化清理、安全风险分析与策略智能运维三大功能体系,致力于为用户提供安全、可控、合规的网络安全基础架构管理解决方案,帮助用户实现安全策略精细化管理,缩减网络攻击面,缓解网络威胁。同时,大幅降低安全策略运维难度,提升运维效率。
安博通策略可视化产品经过仅三四年的不断打磨和迭代,已基本达到国际主流厂商的能力和水平,且在网络攻击面分析、策略命中与收敛分析等方面已经具备一定的领先优势。特别是近一年来在国内率先提出攻击面可视化方案,并自主研发攻击面分析建模、量化攻击指标等多项创新技术,在广大金融、运营商、政企等客户中已形成良好口碑。
安博通策略可视化产品目前暂不支持云环境中的策略分析和管理。一方面,由于国内外IT基础架构设施差异,国内大型企业和组织在虚拟化、云化方面较国外普及程度要晚至少一到两年,这便给我们预留了一定的时间窗口;另一方面,安博通策略可视化技术团队已经在云环境支持方面做了预研与Demo,计划会在2019年底全面适配支持国内主流云平台安全策略管理。
小结
众所周知,中美之间在IT技术领域之前一直存在显著差距,尤其是在芯片、OS、网安等方面尤为突出。但从此次RSA大会来看,网安之间的差距正在缩小。安博通网络安全可视化的快速发展只是中国网安产品技术和企业实力的缩影,今年参展的每家中国企业均展示了最新成果并在各自领域与国际主流厂商产品逐渐看齐,中国力量发展迅猛,相信在不远的将来必将凭借领先的技术进一步站上国际舞台。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。