引語:Gartner 預測「到2023年99%的防火牆被攻破是由於防火牆配置錯誤而非防火牆本身的缺陷。」
防火牆是最常見的網絡安全防護設備,在各類金融機構的網絡中有著廣泛的部署。防火牆的基本功能是通過設置網絡訪問控制策略,收斂網絡訪問權限,落地最小授權原則,防止非授權訪問,預防和減少網絡風險。訪問控制策略是防火牆的靈魂,是網絡安全防禦體系的基礎,它設置的效果直接影響著防火牆的應用效果與網絡安全防禦的整體水平。如果一個網絡的訪問控制策略部署的不夠好,即使擁有再先進的網絡安全設備,攻擊者都有可能通過最簡單的方式實現非法入侵。2019年2月,Gartner在一份技術觀察報告中這樣預測:「到2023年99%的防火牆被攻破是由於防火牆配置錯誤而非防火牆本身的缺陷。」
當前,大多數金融機構的防火牆策略採用人工方式進行管理。隨著網絡規模的不斷擴大與業務的頻繁變更,策略規則的數量與日劇增、效果評估難於完成、合規性難於保證。等保2.0中明確提出了防火牆策略精細化、集中化的管理要求,但無論對於用戶單位還是測評機構,在複雜網絡場景下,海量防火牆策略的分析已超出了人力所及,防火牆策略的精細化管理工作與測評工作均難於落地。
金融機構防火牆策略管理的難點
金融機構防火牆策略管理工作的難點主要體現在三個方面:異構性、複雜性與動態性。
1. 異構性
金融機構網絡中的防火牆的品牌普遍在五個以上,不同品牌設備的訪問控制策略配置不同,而且同一品牌設備的不同軟體版本在訪問控制策略配置方面也會存在差異。大中型金融機構網絡中防火牆的數量能達到幾十台至幾百台,每台設備的策略規則普遍在1000條以上,核心邊界設備的策略規則能達到幾萬條。異構性的另一主要表現是本地與雲同時存在的混合網絡環境,訪問控制設備呈現為物理、虛擬、安全組策略、主機訪問控制等多種形態。
2. 複雜性
防火牆策略設置的有效性與風險性分析不僅限於單台防火牆,還需要通過網絡對象間的訪問關係與訪問路徑進行分析。網絡中兩點間的訪問路徑需要對多台網絡設備的邏輯連接與訪問控制進行關聯分析,這裡面所提到的網絡設備不僅指防火牆,還包括路由器、交換機與負載均衡,需要分析的數據包括IP、VLAN、VXLAN、路由、策略路由、NAT、ACL、安全策略等。金融機構的網絡結構複雜,人工方式實現全局網絡對象訪問路徑與訪問關係分析基本不可能。
3. 動態性
金融機構防火牆策略變更是常態化的,每周至少兩次以上的變更窗口,其主要原因是防火牆訪問控制策略與網絡連通性和安全性都相關,訪問控制的安全原理就是通過收斂網絡連通性以降低網絡風險。所以,只要網絡結構與業務發生變化,訪問控制策略就需要隨之變化,對於業務敏捷性高的金融機構網絡來說,策略變更加頻繁、規則數量更大。
以上三方面的問題使得金融機構防火牆策略精細化管理工作難於落地,將會造成了兩方面的後果,一是頻繁的策略變更增加了安全風險引入的機會,二是占用了大量的人力。有些金融機構的策略管理工作量占比達到安全運維工作量的40%,直接導致其他更高層面工作資源得不到保證。
防火牆策略集中管理的應對
1.關於NSPM的定義
Gartner在2019年的一篇技術觀察中對網絡安全策略管理(NSPM:Network security policy management)進行了定義:NSPM超越了防火牆供應商提供的用戶策略管理介面,提供異構環境下集中的安全策略可視化控制能力,NSPM將整網的設備及其訪問控制規則映射為虛擬網絡拓撲,為規則優化、變更管理工作流、規則仿真、合規性評估與可視化提供分析和審計能力。NSPM提供異構品牌安全策略的集中管理、變更管理、風險和脆弱性分析與應用程式連接管理四個方面的能力。
混合網絡環境下,網絡防火牆的形態更加多樣化,包括專用的物理設備、虛擬設備、嵌入式防火牆模塊、IaaS平台提供的防火牆控制系統。Gartner在2019年網絡防火牆魔力象限報告中建議用戶應考慮使用NSPM之類的專用工具,以便能夠集中管理混合網絡的訪問控制策略。
2.防火牆策略集中管理平台總體架構
參考Gartner關於NSPM的定義,結合現階段金融行業用戶防火牆策略的管理方法與管理體系的調研,接下來本文將對防火牆策略集中管理平台總體架構進行一般性的描述,希望能夠對金融行業用戶在防火牆策略集中管理體系的設計、建設與運行方面起到借鑑作用。
防火牆策略集中管理平台總體架構包含四大部分,即:策略配置管理、策略優化清理、基線與風險管理、變更流程管理。
策略配置管理模塊是平台的基礎,需要實現不同品牌、不同種類的網絡訪問控制設備配置的採集,對策略相關數據進行提取,為上層計算模塊提供標準化數據,並且可以反向將配置腳本下發至設備。策略配置管理模塊可以通過SSH、Telnet、https等方式登錄到設備上進行配置採集,也可以通過API接口從設備上或CMDB中獲取配置。之後,需要解析策略ID、源地址對象、目的地址對象、服務、動作、生效時間、老化時間等策略相關數據,並基於標準化的格式進行輸出,使得採用不同語法的策略配置數據實現統一的、標準化的展示。策略配置管理模塊需要支持不同品牌防火牆策略配置腳本模版的預置與自定義,以實現防火牆策略配置腳本自動生成與下發。為了實現安全拓撲的自動生成,策略配置管理模塊還需要實現接口、IP、路由、 NAT等數據的解析。
策略優化清理模塊主要的作用是實現垃圾策略與風險策略的檢查,通過定期對存量策略規則的清理優化,實現策略規則最小化與精細化的平衡。在策略優化清理模塊中,需要對標準化的策略數據進行計算,檢查策略規則之間的相互關係,從而發現隱藏策略、冗餘策略與可合併策略,並且通過某些欄位的分析發現空策略、含ANY策略、過期策略,實現垃圾策略與風險策略的檢查,並提供處置建議,優化策略規則。對於一些較為深層的問題策略,不能通過策略配置的分析實現,需要將策略配置數據與會話日誌數據進行比對,在一段時間周期內統計策略配置中源地址、目的地址、服務三個對象的命中率與命中細節,實現寬鬆策略與長期不命中策略的分析。
基線與風險管理模塊包含三個子模塊,即安全域與安全拓撲管理、訪問控制基線管理與網絡暴露風險管理。安全域與安全拓撲管理子模塊需實現全局訪問控制策略關聯分析建模,自動生成安全拓撲,安全拓撲與傳統基於SNMP的物理拓撲不同,基於SNMP的網絡拓撲主要描述設備的物理狀態與物理連接關係,而安全拓撲描述的是網絡對象間的邏輯連接關係與訪問控制關係;訪問控制基線管理子模塊能夠根據安全域間訪問控制規則設置區域之間的訪問控制基線,訪問控制基線信息至少包括源域、源地址、目的域、目的地址、協議、埠、動作等信息,支持黑白名單、高危埠、病毒埠的自定義,支持定期依據訪問控制基線對網絡訪問控制策略進行檢查,發現違規策略;網絡暴露風險管理子模塊能夠以某一主機或主機組為對象,自動化實現網絡暴露路徑與暴露風險的分析,從網絡訪問關係與安全路徑的角度描述其對外的暴露情況,可以幫助用戶及時了解某些重要主機與主機組網絡暴露面的大小、風險的高低,輔助用戶進行暴露面收斂與暴露路徑的安全加固。
變更流程管理模塊需要實現策略變更業務的全流程閉環管理,包括策略變更工單管理、路徑仿真計算、路徑合規與風險分析、策略開通與驗證。變更工單管理子模塊的作用是接受業務部門的策略變更申請,並對工單執行進展進行監控,對執行結果實行記錄與審計。路徑仿真計算子模塊的作用是基於策略變更工單的需求對變更路徑進行計算與查詢,自動找出需要開通的路徑與需要進行策略配置變更的目標設備。路徑合規與風險分析子模塊的作用主要有兩方面:一是分析新增策略規則與現有策略規則是否存在衝突關係,避免出現冗餘與隱藏規則;二是分析新增策略規則是否符合域間安全基線與風險策略規則。策略開通與驗證子模塊的作用主要有兩方面:一方面是依據路徑仿真的計算結果,對不同目標設備的策略變更配置腳本進行生成;二是將生成的配置腳本進行下發,下發完成後,依據策略變更工單的路徑開通要求,進行源到目的路徑查詢,以確認策略變更是否正確完成。
防火牆策略集中管理平台還需要考慮與安全運營管理中心的對接,一方面網絡訪問控制策略管理是安全運營管理體系的組成部分。另一方面可以實現策略配置數據的採集與下發、多種安全能力的集成與用戶業務平台的流程對接。
防火牆策略集中管理平台應用價值總結
首先,落地防火牆策略的精細化與集中化管理,實現海量策略規則的快速優化清理,降低網絡風險,同時降低了網絡訪問控制設備的性能負載。
其次,基於網絡安全基礎架構建模分析生成網絡安全拓撲,實現策略安全基線的設定與動態監控,實現網絡暴露風險的可視化分析,幫助用戶收斂網絡暴露面、降低網絡風險。
第三,實現防火牆策略變更全流程自動化閉環管理,確保新增策略滿足合規管理要求與安全控制要求,實現訪問控制策略的持續合規運維,並且大幅提升策略變更工作的效率。
當前,能夠提供防火牆策略集中管理平台產品的主要是國外幾家廠商,國內的安博通在該領域研究較為深入,並且擁有大型金融機構的成功案例。安博通今年還發布了免費版的防火牆策略檢查工具,大家可以到其官方網站下載、體驗。