簡介：預測策略可視化2019三大發(fā)展趨勢，全面盤點國內外策略管理領域廠商動向。

前言

安博通作為國內可視化網絡安全技術先行者，已連續(xù)2年在美國RSA大會上對參展的網絡安全可視化產品與技術進行深度調研，并分享了一系列技術文章，網絡閱讀量超過10萬+，成為國內安全圈從業(yè)者以及廣大甲方技術人員洞察和了解國際網絡安全可視化態(tài)勢的重要參考資料。

2019年RSA大會上，安博通繼續(xù)深入調研了以網絡安全可視化為主的廠商及其核心產品與技術，為讀者帶來第一手資料。在RSA2019熱詞榜中，云安全超過網絡安全和數(shù)據(jù)安全躍居第一位。網絡安全可視化產品與技術，自然少不了在云環(huán)境下的發(fā)力，已然在云環(huán)境下開始了一輪新的比拼，我們將在下文中做詳細分析說明。

一、2019安全策略可視化平臺全球三 大發(fā)展趨勢

在2019年RSA展會調研中，我們發(fā)現(xiàn)網絡策略可視化平臺類的產品呈現(xiàn)出以下三個主要的發(fā)展趨勢：

全面支持各種云環(huán)境

面對復雜的混合IT基礎架構，安全運維團隊如何做到輕松管理全網所有防火墻及路由交換設備的安全策略，并利用精準的拓撲映射和分析，確保網絡和應用的連接以及安全性是安全策略可視化類產品旨在解決的核心問題之一。早年間，混合IT基礎架構主要體現(xiàn)在防火墻、路由器、交換機與負載均衡等安全連接技術（網絡連接與安全控制）的混合；多品牌設備異構的混合。但隨著各種共有云、私有云以及混合云的大行其道，企業(yè)與組織也在積極將其核心業(yè)務遷移到云環(huán)境中，因此當前混合IT基礎架構還多了一層傳統(tǒng)物理環(huán)境、虛擬化環(huán)境與云化環(huán)境的混合，策略可視化類產品也面臨著能夠有效管理整個異構性物理網絡和混合云平臺中的安全控制層，并最終平衡業(yè)務敏捷性和安全性的需求。

在新的混合IT基礎架構環(huán)境下，采用云策略并遷移應用程序以利用云的規(guī)模經濟時，他們的安全態(tài)勢面臨新的復雜性和風險。而領先云供應商的安全控制和網絡體系結構彼此不同，并且與內部數(shù)據(jù)中心的安全控制和網絡體系結構有根本區(qū)別，因此策略可視化類產品支持和兼容混合云平臺環(huán)境中的安全策略管理刻不容緩。

其實早在2017年RSA上，我們就依稀看到了各廠商均宣稱對 Amazon Web Services ( AWS ) 和其他云計算環(huán)境的支持，對 Virtual Private Cloud ( VPC ) 的部署和變更進行及時響應，提供基于云環(huán)境的可視化分析，但實際更多還是在預研和Demo階段。而在2019年，我們看到了幾乎所有廠商均能通過有效管理跨混合云和物理網絡環(huán)境中的安全控制層，提供及時策略變更可視性、風險評估和合規(guī)分析，提供統(tǒng)一的安全策略管理并獲得整個企業(yè)的一致性安全性和合規(guī)性。更有比較激進的廠商Tufin，在原有策略管理平臺基礎上增加了對云環(huán)境的支持，同時新發(fā)布了一款專門針對公有云環(huán)境下的安全策略管理平臺Tufin Iris。

目前基本所有廠商均支持對主流混合云服務提供的安全組和實例進行采集解析并結合傳統(tǒng)物理環(huán)境中的防火墻安全策略進行一致安全性和合規(guī)性分析，如：VMWare NSX，Amazon Web Services（AWS），Microsoft Azure，Cisco ACI和OpenStack等。

圖：Tufin 最新發(fā)布的針對云環(huán)境下的策略管理平臺Tufin Iris

圖：FireMon最新發(fā)布的混合云環(huán)境下策略管理白皮書

2、策略下發(fā)補全策略管理閉環(huán)

安全策略的全生命周期管理一直是安全策略管理類產品提供的核心功能之一，在前兩年調研過程中，我們發(fā)現(xiàn)Algosec、Skybox等廠商均將閉環(huán)的策略清理和開通流程設計為工作流功能的形式，并針對盡量詳細的流程定義，通過Step by Step的步驟式操作，站在用戶視角進行過程控制。通常典型的策略開通過程包括了發(fā)起請求->技術細節(jié)確認->風險評估->實施細節(jié)確認->最終校驗等幾個步驟和環(huán)節(jié)。在策略管理工作流程的引導下，用戶將會對每一項業(yè)務變更執(zhí)行精細化的5步管理，在每一步中逐步分析影響后進行評估，流程上不斷進行審批，直到最終流程閉環(huán)。

上述策略管理功能似乎已做到業(yè)務閉環(huán)，但實際細想，其實缺少了很重要的一步，那就是策略的遠程下發(fā)。有點類似快遞進小區(qū)的最后一公里，看似簡單的最后一公里，卻由于各防火墻品牌命令行差異、API接口提供程度、寫入操作安全性等多方面因素和考量，前兩年各廠商在實際遠程下發(fā)功能方面很少提及或有意被忽略。但隨著策略管理業(yè)務閉環(huán)的切實需要，以及企業(yè)和組織對自動化運維程度要求越來越高，策略下發(fā)似乎變成了無法逾越的溝壑。慶幸的是在今年，我們看到了至少Algosec、FireMon、Tufin等幾個廠商產品在最新版本中均能支持主流國際品牌防火墻的安全策略遠程下發(fā)，在實現(xiàn)技術原理方面也基本以API接口和Command兩種方式為主。同時在本次RSA上，安博通展示的國內唯一專注于安全策略可視化分析方向的綜合類平臺產品：“晶石”安全策略可視化平臺也已經支持防火墻安全策略模擬仿真分析及策略下發(fā)驗證功能，并支持華為、思科、Juniper、山石、天融信等品牌防火墻，且后續(xù)還將陸續(xù)支持更多國產品牌防火墻。

圖：Tufin 安全策略命令行生成及下發(fā)更新至目標設備

圖：FireMon策略計劃同意后會直接在設備上實施策略

圖：安博通業(yè)務開通及策略下發(fā)與驗證

3、基于策略與路徑分析攻擊面

2018年我們在RedSeal展臺上看到了其率先與Rapid 7合作聯(lián)合推出漏洞治理方案以及基于核心資產漏洞被利用或被攻擊分析的應用場景，這似乎給其它廠商帶來了在策略管理與應用挖掘方面進一步拓展的靈感。在今年的RSA上，F(xiàn)ireMon、Algosec、Skybox以及安博通不約而同提出了與網絡攻擊面相關的功能和方案，將安全策略管理類產品在安全策略全生命周期管理、自動化運維等基本功能和價值之外的安全分析能力與價值提到了新的高度。

“攻擊面”是企業(yè)與組織的基礎架構中可以利用的資源總和，隨著新計算功能（虛擬，軟件定義網絡，物聯(lián)網，容器，公共云，私有云，聯(lián)合網絡）的興起，攻擊面已經在多個方向上擴展，這對安全專業(yè)人員來說是一個巨大的麻煩。如何有效對攻擊面進行量化及可視化分析，并針對縮小已知攻擊面提供合理建議甚至是具體措施無疑將是安全管理員所期望的。雖然在安博通產品經理看來，目前幾家廠商給出的攻擊面分析與縮小攻擊面方案或產品功能在實際應用過程中還有待進一步的完善，相互之間還有很多可借鑒之處，但整體而言，我們很有信心并期待各家均會在此方向上做出更大的突破。

圖：FireMon縮小攻擊面方案及功能演示

圖：安博通主機攻擊面量化分析

二、參展廠商分析

從2016年開始，我們持續(xù)關注防火墻策略管理領域的國內外廠商，從參展廠商來看，最近三年幾乎沒有太大變化，主要還是5家國際廠商和1家國內廠商為主。前兩年安博通看RSA系列文章中已對幾家廠商基本情況做過詳細介紹，此次，我們將重點介紹各家廠商的產品新特性和新動向。

Tufin

Tufin今年相比其他幾家的產品迭代和更新可謂是最大的，一方面在原有策略管理平臺基礎上增加了對云環(huán)境的支持，同時新發(fā)布了一款專門針對公有云環(huán)境下的安全策略管理平臺Tufin Iris；另一方面進一步優(yōu)化和完善防火墻安全策略運維功能，支持策略工作流模板的自定義，支持對策略的修改，對策略下發(fā)順序的管理等方面非常細致和易用。

Tufin的優(yōu)勢在于防火墻安全策略運維管理，在這一領域Tufin無疑是最佳的能力者，從今年新特性和新動向來看，Tufin的意圖很明顯，一方面想繼續(xù)保持防火墻策略運維管理方面的領導者地位，同時在新的云環(huán)境和云安全大趨勢和背景下，希望能先發(fā)制人，快速搶占云環(huán)境下安全策略管理的市場。

圖：Tufin Iris通過對云策略監(jiān)控自動發(fā)現(xiàn)顯示所有應用程序

FireMon

FireMon展示了最新的基于混合云環(huán)境下的策略管理平臺，但從產品功能演示方面除了兼容更多的云平臺、VPC安全策略之外，沒有發(fā)現(xiàn)太大的變化。

圖：FireMon針對混合云環(huán)境下安全策略平臺架構

FireMon今年最大的亮點是收購了一家專門做網絡拓撲的公司Lumeta，以補足其在全局網絡拓撲分析方面的弱點，但在現(xiàn)場演示時我們還沒有看到引入并集成后的效果，不過還是很期待FireMon新的拓撲分析。

另外FireMon雖然在縮小網絡攻擊面方案較成熟，但產品化功能體現(xiàn)得并不是很明顯，還有待進一步提升。

綜合來看，今年FireMon產品功能變化不是太大，但在云環(huán)境支持、網絡拓撲、攻擊面等方面都很清晰看到了FireMon已經做好了充足了準備，現(xiàn)階段正處于蓄能蛻變的階段，我們拭目以待。

Red seal

Redseal的核心能力在于策略路徑的網絡拓撲地圖計算，最新的網絡拓撲已經可以支持各種云環(huán)境策略參與計算和分析，其網絡拓撲地圖業(yè)績領先水平似乎依然無法撼動。

Redseal一直以來給人的感覺都是一家持續(xù)創(chuàng)新的廠商，今年同樣給我們帶來了小驚喜，那就是它針對下一代防火墻的策略解析和分析增加了七層應用維度（L7 APP ID）。雖然從功能演示來看，可選的APP不超過10項，且無法得知針對異構品牌防火墻場景下應用如何統(tǒng)一定義和區(qū)分，目前這個創(chuàng)新還不夠成熟，但我們認為這個功能的引入將對安全策略管理帶來不小的改變，比如基于應用的策略檢查、路徑分析等將會更加精準。

圖：RedSeal針對下一代防火墻支持應用配置的解析和分析

Algosec

以工作流+業(yè)務流相結合FireFlow一直是Algosec 引以自豪的核心能力，我們在調研中發(fā)現(xiàn)，F(xiàn)ireFlow依然是Algosec重點介紹和演示的功能，該功能又在去年基礎上豐富了不少，或者說是“復雜”了不少，主要是我們比較擔心這么靈活復雜的流程模板如何教會給客戶管理員使用。除此之外，Alogosec在此次展會上并未展現(xiàn)出特別具體的技術能力進步，似乎保持在舒適領域而不敢突破，創(chuàng)新技術的枯竭，必然導致產品競爭力的逐年下滑。

圖：Alogosec自定義復雜的策略工作流審批模板

Skybox

Skybox的流程化組織能力是其重要的核心能力之一，但比較遺憾的是在Skybox Change Manager平臺上依然還不能支持安全策略的遠程下發(fā)。與Algosec情況相似，Skybox在此次展會上也并未展現(xiàn)出特別具體的技術能力進步。但與Algosec不同的是，Skybox更側重在安全分析，且今年在攻擊面可視化、漏洞與威脅分析、防火墻合規(guī)性等方面均有不少更新和加強，產品更加靠近安全管理平臺的定位。

圖：Skybox基于漏洞攻擊路徑模擬分析

安博通

安博通作為國內安全可視化的先行者，今年第三次亮相RSA大會，展示了國內唯一專注于安全策略可視化分析方向的綜合類平臺產品：“晶石”安全策略可視化平臺。

安博通基于前幾年在安全策略可視化方面不斷的積累，今年最新發(fā)布的“晶石”安全策略可視化平臺（V1.7版本）在系統(tǒng)底層算法優(yōu)化、業(yè)務組織編排、系統(tǒng)UI與交換體驗等方面做了較大的調整和更新，同時補充了攻擊面分析、策略風險分析、策略模擬仿真、策略遠程下發(fā)等諸多新功能和能力，產品競爭力以及給客戶帶來的實際價值顯著提升。

圖：安博通新版策略可視化平臺功能架構

「晶石」以安全策略分析及控制能力為核心，具備策略優(yōu)化清理、安全風險分析與策略智能運維三大功能體系，致力于為用戶提供安全、可控、合規(guī)的網絡安全基礎架構管理解決方案，幫助用戶實現(xiàn)安全策略精細化管理，縮減網絡攻擊面，緩解網絡威脅。同時，大幅降低安全策略運維難度，提升運維效率。

安博通策略可視化產品經過三四年的不斷打磨和迭代，已基本達到國際主流廠商的能力和水平，且在網絡攻擊面分析、策略命中與收斂分析等方面已經具備一定的領先優(yōu)勢。特別是近一年來在國內率先提出攻擊面可視化方案，并自主研發(fā)攻擊面分析建模、量化攻擊指標等多項創(chuàng)新技術，在廣大金融、運營商、政企等客戶中已形成良好口碑。

安博通策略可視化產品目前暫不支持云環(huán)境中的策略分析和管理。一方面，由于國內外IT基礎架構設施差異，國內大型企業(yè)和組織在虛擬化、云化方面較國外普及程度要晚至少一到兩年，這便給我們預留了一定的時間窗口；另一方面，安博通策略可視化技術團隊已經在云環(huán)境支持方面做了預研與Demo，計劃會在2019年底全面適配支持國內主流云平臺安全策略管理。

小結

眾所周知，中美之間在IT技術領域之前一直存在顯著差距，尤其是在芯片、OS、網安等方面尤為突出。但從此次RSA大會來看，網安之間的差距正在縮小。安博通網絡安全可視化的快速發(fā)展只是中國網安產品技術和企業(yè)實力的縮影，今年參展的每家中國企業(yè)均展示了最新成果并在各自領域與國際主流廠商產品逐漸看齊，中國力量發(fā)展迅猛，相信在不遠的將來必將憑借領先的技術進一步站上國際舞臺。

關于安博通

北京安博通科技股份有限公司（簡稱“安博通”），成立于2011年，以“看透安全，體驗價值”理念為核心，是國內領先的可視化網絡安全專用核心系統(tǒng)產品與安全服務提供商。其自主研發(fā)的SPOS可視化網絡安全系統(tǒng)套件，已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網絡安全系統(tǒng)平臺，是國內眾多部委與央企安全態(tài)勢感知平臺的核心組件與數(shù)據(jù)來源。

更多詳情，敬請查閱：www.abtnetworks.com