关于nspm品类产品在行业用户网络架构中的研究分析(建议安全自动化运维工具开发者,了解)

为配合NSPM产品在不同行业不同类型的网络架构中最大限度的发挥产品优势,探索不同网络架构中对产品的适配性。分多个行业目前的传统网络架构与未来演进的架构进行深入调研。

从目前数据中心所使用协议的数据层上看,IT方案都是以二/三层网络(例如以太网+IP网络)为基础的,例如GRE、VXLAN等等,其解决和设计方案就是为了解决现有网络的缺陷和不足,为某一个特定问题而设计的。而现有的二/三层网络本质问题并没有得到有效的解决,网络潜在的资源并未得到有效的利用,安全问题也并有效的管理和抑制。
以下我们对不同行业的的网络架构和安全部署进行分析,

网络分析
某数据中心的网络是按照传统网络架构进行部署,采用多业务区域逻辑隔离实现数据交互,各业务区域间的访问及安全域间的访问通过防火墙安全策略进行安全控制,在各个区域边界部署网络安全设备,在逻辑层进行隔离,保障数据的安全。

数据中心部署的核心业务主要分为以下几类:
集团网站群、OA系统、ERP、视频会议、BPC等数数据分析系统,电子商务系统,分别分布在应用系统接入区、DMZ区域,对于数据中心的边界主要在广域网、互联网区域。

需求分析

1、数据中心防火墙产品无法提供异构环境下复杂网络和策略的自动化、可视化及可控性管理。
2、由于数据中心业务项目不断上线,网络及策略需要频繁变更,无法针对策略变更的生命周期实现智能化、自动化的变更流程管理。
3、经过长期的业务变更,策略经过反复变化无法清楚的识别策略是否存在权限漏洞、风险无法识别、是否满足合规性需求,不利于网络团队与安全团队的工作开展。
4、设备更新替换需要策略割接,人工策略迁移工作量大,实施成本高。工作繁琐,需频繁整理被迁移设备。

工作场景

某央企是世界500强企业,中国最大的基础化学的制造企业。全国140多家企业,北京为全国数据中心,共有400多台防火墙分布在全国各地。
防火墙类型包括:网神、网御、天融信、思科、华为、H3C、Juniper、
路由交换设备; 思科、华为、H3C、锐捷、惠普、博科、
运维挑战:
策略变更控制完全完全手动化且非常复杂,变更记录以表格形式存储,回溯性差;仅有几十名IT员工,每天需要监控和核实防火墙变更需求,需要工程师熟练掌握不同安全厂家防火墙变更技术且需要熟悉企业内部ITSM变更控制系统。变更程序需要在全国范围内多重检验,由于网络环境变更的复杂性,无法满足较为宽松的安全基线要求,通过各地设备本身的审计日志也无法有效控制变更合理性。
关于NSPM产品在上述网络架构中解决方案
1、提供异构环境下对复杂网络和策略自动化、可视化和可控性管理,使用户安全和网络团队能智能化的对网络环境内的网络安全策略进行优化,并监控策略变更项,确保防火墙配置的有效性、安全性和合规性。
2、NSPM产品在策略优化、工单推送、设备变更记录可满足企业当前此类问题。
异构防火墙与网络设备的集中管理,设备管理模块可以详细记录异构设备的安全策略、接口信息、路由信息、VLAN信息等,从而达到设备的集中管理,管理员不需要手工多次重复性的到设备上采集信息,可通过NSPM产品自动化、可视化直观发现所需的信息。
3、解决随着多业务数据中心项目中不断增加的需求,导致策略出现多处权限松散打破了最小权限优先的原则,降云的策略优化可对这些未使用的策略、覆盖策略、冗余策略、可合并的策略进行优化,从而使用户的网络环境增强健壮。
4、网内安全策略会由于变更会出现很多风险,风险会导致网内的业务系统等会出现安全事件,降云产品的风险分析,全面的风险分析库、能够根据严重程度排列分析、提供风险细节和补救措施。 后期降云产品还会支持国内合规性的要求例如等保三级、ISO27000
NSPM产品在行业网络环境下的价值体现;
*提高安全性
识别并减轻网络安全和网络设备策略风险
确保策略变更不会带来新的风险
并安全风险进行排序并勾画其趋势
了解策略变更对业务的影响
自动合规
减少大部分的审计工作量
确保持续合规
提高公司管理水平
高效运维
减少大量的手工操作时间
较少部分无用变更
提高操作的准确性
提高网络性能及可用性
紧密结合安全和运维团队。

*

原文地址:http://blog.51cto.com/13769225/2121626

时间: 2024-10-01 17:54:02

关于nspm品类产品在行业用户网络架构中的研究分析(建议安全自动化运维工具开发者,了解)的相关文章

自动化运维工具Ansible架构部署应用及playbooks简单应用

在日常服务器运维中,我们经常要配置相同的服务器配置,前期我们都是一台一台的去配置,这种方法操作主要应对于服务器数量不多且配置简单的情况还可以继续这样操作,如果我们后期维护几百服务器或者几万服务器呢? 我应该怎样去快速配置服务器呢?如果需要手动的每台服务器进行安装配置将会给运维人员带来许多繁琐而又重复的工作同时也增加服务器配置的异常,至此自动化运维工具解决我们的瓶颈---Ansible工具. Ansible是新出现的自动化运维工具,基于Python开发,集合了众多运维工具(puppet.cfeng

foreman架构的引入1-foreman作为自动化运维工具为什么会如此强大

零基础学习Puppet自动化配置管理系列文档 在引入foreman之前,笔者曾经大幅度测试过puppet的另外一个生态圈前端软件,那就是KermIT(kermit.fr需要墙).说实话基于KermIT这套架构还是相当不错的,尤其是在于mcollective的各种插件结合上做的很完美,可惜社区太不活跃,软件版本更新超慢,坑超多,最终还是放弃了.不过,他的架构还是值得借鉴的,对于那些想自己在puppet前端做UI的朋友可以多参考参考. 本文引入另外一个非常出色的前端管理工具Foreman,什么是fo

网络流量分析——NPMD关注IT运维、识别宕机和运行不佳进行性能优化。智能化分析是关键-主动发现业务运行异常。

科来 做流量分析,同时也做了一些安全分析(偏APT)--参考其官网:http://www.colasoft.com.cn/cases-and-application/network-security-analysis.php 作为安全工程师的你,想发现有谁在攻击我,还原攻击过程并且取证么? 作为立志成为网络技术大拿的你,想在学习理论知识的同时,了解实战中会遇到的哪些问题,这些问题用什么样的思路去解决么?如果以上答案为Yes,那么<CSNA网络分析经典实战案例>就是你的菜,以下内容全是网络安全真

欢迎你,企业架构CCIE,RS CCIEv5.0的升级版新时代迎合自动化运维的网工顶级认证

欢迎你,企业架构CCIE,作者乾颐堂安德 或许,这就是能力!想起一句电影台词,"股票是什么,股票是人类对未来的预测,预测对了你就是赢家,预测错了你就是输家",没错预测就是一种能力,2019年6月10日下午乾颐堂茶话会公开课,名字为"思科一出,谁与争锋!",其中的小道消息主要概括为"思科将发布新的CCIE,时间为2020年2月",果然在今天思科就发布了Glance,这个发布时间这么紧凑倒是我没想到的.好了,让我们来看看企业架构CCIE的不同吧,这是

云计算视频教程:Linux大型网站高并发架构及自动化运维

随着互联网技术的不断进步和发展,对运维人员提出了更高的要求和挑战,如何才能将运维工作自动化,提升工作的效率?让大家学完后可以具备企业真正的大型网站搭建能力以及自动化运维的实战能力.在企业中运用zabbix监控企业数据,第一时间了解服务的运行状态,通过nginx+lvs+keeplived在企业中根据公司业务做七层负载以及四层负载. 下面给大家分享一下Linux大型网站高并发架构及自动化运维的学习内容: 01-初识ansible 02-ansible-Ad-Hoc-重点模块学习 03-ansibl

Ansible自动化运维的使用领域和架构

Ansible 一.自动化运维简介: 自动化运维:将周期性.重复性.规律性的工作都交给工具去做,具体来说有应用系统维护自动化,巡检自动化和故障处理自动化这三个方面:自动化运维依赖于具体的智能管理平台,最终达到提升运维效率的目的. 二.自动化应用领域 配置管理 确保被管理的主机尽可能快速.按照正确方式达到配置文件中描述的状态,如网站高峰时候需扩展新的Web服务器,这就需要一台由配置管理控制的机器能够快速就位,即通常所说的代码化基础架构(Infratructure as code),由于构建基础架构

中小型企业通用自动化运维架构

第1章 自动化运维架构 主要讲解了自动化运维的概念,分析了现在的自动化运维的面临的挑战.基于我对自动运维的理解,提出了中小企业自动化运维架构,并讲解了该架构.后续的章节,主要是实现这个架构. 1-1 课程介绍 1-2 自动化运维流程 第2章 服务器批量管理 Ansible Ansible作为一个优秀的IT资产管理.配置工具,这一章主要讲解了Ansible的使用,包括Ansible的安装.配置.使用,并且在课程的最后,结合我们公司业务的需求,实际演示了如何使用Ansible Playbook功能实

Python自动化运维之14、网络编程之socker()、sockerserver()

一.TCP/IP相关知识 TCP/UDP提供进程地址,两个协议互不干扰的独自的协议 TCP :Transmission Control Protocol 传输控制协议,面向连接的协议,通信前需要建立通信信道(虚拟链路),结束后拆除链路,流式数据协议,可靠的连接 UDP:User Datagram Protocol 用户数据报协议,无连接的协议,不可靠的连接 IP是主机到主机之间,在传输过程中是不会变的,不能超过MTU:最大传输单元 MAC是设备到设备之间通信的,在传输中会不断封装与解封装,会不断

linux云自动化运维基础知识11(ip网络 )

####1.ip基础知识####1.ipv42进制32位-----10进制 172.25.0.10/255.255.255.0172.25.0.10:ip地址255.255.255.0:子网掩码子网掩码255位对应的ip位为网络位子网掩码0对应的ip位为主机位 ####2.配置ip####<<图形化>>1.图形界面nm-connection-editor 2.文本化图形nmtui <<命令>>ifconfig 网卡 ip netmask    ##临时设定