關於nspm品類產品在行業用戶網絡架構中的研究分析（建議安全自動化運維工具開發者，瞭解）

爲配合NSPM產品在不一樣行業不一樣類型的網絡架構中最大限度的發揮產品優點，探索不一樣網絡架構中對產品的適配性。分多個行業目前的傳統網絡架構與將來演進的架構進行深刻調研。

從目前數據中心所使用協議的數據層上看，IT方案都是以二/三層網絡（例如以太網+IP網絡）爲基礎的，例如GRE、VXLAN等等，其解決和設計方案就是爲了解決現有網絡的缺陷和不足，爲某一個特定問題而設計的。而現有的二/三層網絡本質問題並無獲得有效的解決，網絡潛在的資源並未獲得有效的利用，安全問題也並有效的管理和抑制。
如下咱們對不一樣行業的的網絡架構和安所有署進行分析，

網絡分析
某數據中心的網絡是按照傳統網絡架構進行部署，採用多業務區域邏輯隔離實現數據交互，各業務區域間的訪問及安全域間的訪問經過防火牆安全策略進行安全控制，在各個區域邊界部署網絡安全設備，在邏輯層進行隔離，保障數據的安全。

數據中心部署的核心業務主要分爲如下幾類：
集團網站羣、OA系統、ERP、視頻會議、BPC等數數據分析系統，電子商務系統，分別分佈在應用系統接入區、DMZ區域，對於數據中心的邊界主要在廣域網、互聯網區域。

需求分析

一、數據中心防火牆產品沒法提供異構環境下複雜網絡和策略的自動化、可視化及可控性管理。
二、因爲數據中心業務項目不斷上線，網絡及策略須要頻繁變動，沒法針對策略變動的生命週期實現智能化、自動化的變動流程管理。
三、通過長期的業務變動，策略通過反覆變化沒法清楚的識別策略是否存在權限漏洞、風險沒法識別、是否知足合規性需求，不利於網絡團隊與安全團隊的工做開展。
四、設備更新替換須要策略割接，人工策略遷移工做量大，實施成本高。工做繁瑣，需頻繁整理被遷移設備。

工做場景
某央企是世界500強企業，中國最大的基礎化學的製造企業。全國140多家企業，北京爲全國數據中心，共有400多臺防火牆分佈在全國各地。
防火牆類型包括：網神、網禦、天融信、思科、華爲、H3C、Juniper、
路由交換設備; 思科、華爲、H3C、銳捷、惠普、博科、
運維挑戰：
策略變動控制徹底徹底手動化且很是複雜，變動記錄以表格形式存儲，回溯性差；僅有幾十名IT員工，天天須要監控和核實防火牆變動需求，須要工程師熟練掌握不一樣安全廠家防火牆變動技術且須要熟悉企業內部ITSM變動控制系統。變動程序須要在全國範圍內多重檢驗，因爲網絡環境變動的複雜性，沒法知足較爲寬鬆的安全基線要求，經過各地設備自己的審計日誌也沒法有效控制變動合理性。
關於NSPM產品在上述網絡架構中解決方案
一、提供異構環境下對複雜網絡和策略自動化、可視化和可控性管理，使用戶安全和網絡團隊能智能化的對網絡環境內的網絡安全策略進行優化，並監控策略變動項，確保防火牆配置的有效性、安全性和合規性。
二、NSPM產品在策略優化、工單推送、設備變動記錄可知足企業當前此類問題。
異構防火牆與網絡設備的集中管理，設備管理模塊能夠詳細記錄異構設備的安全策略、接口信息、路由信息、VLAN信息等，從而達到設備的集中管理，管理員不須要手工屢次重複性的到設備上採集信息，可經過NSPM產品自動化、可視化直觀發現所需的信息。
三、解決隨着多業務數據中心項目中不斷增長的需求，致使策略出現多處權限鬆散打破了最小權限優先的原則，降雲的策略優化可對這些未使用的策略、覆蓋策略、冗餘策略、可合併的策略進行優化，從而使用戶的網絡環境加強健壯。
四、網內安全策略會因爲變動會出現不少風險，風險會致使網內的業務系統等會出現安全事件，降雲產品的風險分析，全面的風險分析庫、可以根據嚴重程度排列分析、提供風險細節和補救措施。 後期降雲產品還會支持國內合規性的要求例如等保三級、ISO27000
NSPM產品在行業網絡環境下的價值體現；
*提升安全性
識別並減輕網絡安全和網絡設備策略風險
確保策略變動不會帶來新的風險
並安全風險進行排序並勾畫其趨勢
瞭解策略變動對業務的影響
自動合規
減小大部分的審計工做量
確保持續合規
提升公司管理水平
高效運維
減小大量的手工操做時間
較少部分無用變動
提升操做的準確性
提升網絡性能及可用性
緊密結合安全和運維團隊。

*