Posted on Dec 14th, 2021 by Dan Rheault

我们最近在Tufin市场上发布了 安全策略生成器应用程序 可让任何Tufin客户轻松地分析、自动生成和维护现有的公司网络分割安全策略。更好的是,它可供免费使用。

这款新应用程序将改变网络安全专家的游戏规则。让我们了解如何使用它在整个网络中实现有效的访问控制体系结构。首先,让我们讨论网络分割的价值和目标。

为什么网络分割很重要?

网络分割是网络安全的一个重要方面。它涉及根据相似特征将网段定义为公共组。例如,大多数组织可能会将其PCI区域从其网络中分割出来,以确保它们符合PCI-DSS委员会制定的标准。然后,安全专家将他们的PCI网络进一步分割为PCI Web、PCI应用程序和PCI数据区域,并指定哪个区域可以访问其他区域以及如何访问这些区域。这种类型的网络分割对演示PCI遵从性至关重要,通常是最容易实现的网络分割示例之一,因为它是规定性的(在本例中,它规定只有公司网络应该能够与PCI区域通信,而互联网永远不能直接与PCI区域通信)。

如何定义网段?

让我们考虑一下传统的网络安全实践。网段是一组IP、子网或具有类似特征的安全组。在最基本的层次上,我们可以为互联网、DMZ和内部定义网段。当我们定义这些网段时,所有公共IP地址(除了组织的面向公共的地址)都可能是您的互联网区域。您的DMZ区域非常容易解释,公司网络是您的地址池和云的剩余部分。

对于大多数组织,简单地定义公司区域是远远不够的。存在区域合规要求,公司拥有专有的信息技术,其独特的弱点可通过特定服务加以利用,网络之间也可能存在逻辑隔离(例如,会计信息应仅供会计、首席财务官和首席执行官获取,以防止丢失可能被用来操纵市场或告知股票对收益的影响的敏感信息)。

通常,这些类型的分割通过云中的安全组进行分配,具体分配到IPAM或DDI解决方案中维护的子网范围。IPAM通常作为网络遗产的唯一真实来源,而相关的云控制台维护虚拟基础设施的库存。但是,这些网络通常由多个命名约定来分配,使用一个或多个可扩展属性,如信任、区域、业务实体等。

幸运的是,Tufin客户可根据 通过Tufin的IPAM安全策略应用程序获得DDI/IPAM数据动填充和维护网段, 或在 Tufin Orchestration Suite SecureTrack的基础组件中手动建立和维护这些网段。

如果仍有疑问,请 观看我主持的网络研讨, 更详细地了解这一点。

超出区域……定义基于访问的安全策略

然而,基于企业访问的安全策略可能是定义、实现和维护的最具挑战性的网络分割模型。原因如下。

当我与客户讨论如何定义基于访问的安全策略时,通常可以追溯“几代”员工。那些定义初始安全策略的人可能已经不在公司,他们通过部落知识将安全策略传递给其他人。当有人需要检查访问请求以打开新端口时,通常是有人盯着自己的大脑回忆所请求的访问是否合适,然后做出决定。当他们继续前进时,下一个责任人会承担责任,熟悉访问安全策略模型并做出判断。

这显然不理想。人员离职,网络发生变化,七年前为记录访问安全策略而创建的Word文档自最初起草以来没有变化。这是一个非常现实的问题。安全策略的执行要求一致性和不可变的审计跟踪。

一种定义基于访问的企业安全策略的新方法

Tufin的安全策略生成器应用程序是业界首个解决方案,它使安全专家能够轻松地分析整个网络(云和现场)网段之间的访问,创建可视化模型。最重要的是,根据对现有访问和区域的分析,推荐一个全面的基于访问的安全策略。

这意味着所有关于访问的历史决策都转换成一个专为网络分割而设计的风险框架,安全专家可以在 Tufin SecureChange内进行评估、调整和实施。

一旦部署,任何违反安全策略的可用访问都将被网络安全部门识别出来进行处理(例如,取消认证、删除、指定为跟踪异常)。此外,任何新的访问请求的风险评估不仅基于准确的网段数据,还基于组织准确的基于访问的安全策略。

其结果是,安全专家能够有效地衡量、管理和维护其基于企业访问的安全策略,以最大限度地减少网络的攻击面和后续的违规风险。

维护有效的安全策略

人生有三件可以确定的事,其中之一就是变化。公司网络会发生变化。收购和合并企业,开设办公室,扩展网络,增长业务线。在所有这些变化中,您允许的访问也将发生变化。因此,基于访问的安全策略也必须如此。

安全策略生成器应用程序最有价值的之一方面是,它能够根据安全团队允许的变化,逐步调整基于访问的安全策略。该应用程序使安全专业人员能够轻松地在增量基础上审查访问变化,以确定是否应调整现有的安全策略。让我们来看一个例子。

假设我们在美国设立一家制造厂,利用新引进的机器人系统生产商品。这些系统是通过国产软件运行的,要让这些系统进行通信,我们需要在制造用户网络部分和工厂之间启用RDP(希望在此过程中增加更多工厂)。从历史上看,RDP是有风险的访问,我们不允许它跨越网络,因此每个请求都被路由到安全性。但我们发现每次在定义的区域之间请求这种访问时,我们都允许这种访问,这种访问很可能不是高风险的,而是我们只允许在这些区域之间访问。

这种增量分析对于维护基于访问的安全策略的准确性和有效性非常重要,因为这意味着安全专家可以依赖于他们从Tufin收到的任何访问违规的准确性,并减少访问请求处理的时间(这有助于企业在提高运营效率的同时降低风险)

开始生成

现在,Tufin市场上免费提供Tufin安全生成器应用程序。使用Aurora版本Tufin Orchestration Suite的客户现在可以开始利用新应用程序来设计、构建和管理基于访问的安全策略。如果使用经典版本的Tufin Orchestration Suite,请查看升级规划器,以便我们为您升级到最先进的网络安全策略管理解决方案进行规划。