关于nspm品类产品在行业用户网络架构中的研究分析（建议安全自动化运维工具开发者，了解）

为配合NSPM产品在不一样行业不一样类型的网络架构中最大限度的发挥产品优点，探索不一样网络架构中对产品的适配性。分多个行业目前的传统网络架构与将来演进的架构进行深刻调研。

从目前数据中心所使用协议的数据层上看，IT方案都是以二/三层网络（例如以太网+IP网络）为基础的，例如GRE、VXLAN等等，其解决和设计方案就是为了解决现有网络的缺陷和不足，为某一个特定问题而设计的。而现有的二/三层网络本质问题并无获得有效的解决，网络潜在的资源并未获得有效的利用，安全问题也并有效的管理和抑制。
如下咱们对不一样行业的的网络架构和安所有署进行分析，

网络分析
某数据中心的网络是按照传统网络架构进行部署，采用多业务区域逻辑隔离实现数据交互，各业务区域间的访问及安全域间的访问经过防火墙安全策略进行安全控制，在各个区域边界部署网络安全设备，在逻辑层进行隔离，保障数据的安全。

数据中心部署的核心业务主要分为如下几类：
集团网站群、OA系统、ERP、视频会议、BPC等数数据分析系统，电子商务系统，分别分布在应用系统接入区、DMZ区域，对于数据中心的边界主要在广域网、互联网区域。

需求分析

一、数据中心防火墙产品没法提供异构环境下复杂网络和策略的自动化、可视化及可控性管理。
二、因为数据中心业务项目不断上线，网络及策略须要频繁变动，没法针对策略变动的生命周期实现智能化、自动化的变动流程管理。
三、通过长期的业务变动，策略通过反复变化没法清楚的识别策略是否存在权限漏洞、风险没法识别、是否知足合规性需求，不利于网络团队与安全团队的工做开展。
四、设备更新替换须要策略割接，人工策略迁移工做量大，实施成本高。工做繁琐，需频繁整理被迁移设备。

工做场景
某央企是世界500强企业，中国最大的基础化学的制造企业。全国140多家企业，北京为全国数据中心，共有400多台防火墙分布在全国各地。
防火墙类型包括：网神、网御、天融信、思科、华为、H3C、Juniper、
路由交换设备; 思科、华为、H3C、锐捷、惠普、博科、
运维挑战：
策略变动控制彻底彻底手动化且很是复杂，变动记录以表格形式存储，回溯性差；仅有几十名IT员工，天天须要监控和核实防火墙变动需求，须要工程师熟练掌握不一样安全厂家防火墙变动技术且须要熟悉企业内部ITSM变动控制系统。变动程序须要在全国范围内多重检验，因为网络环境变动的复杂性，没法知足较为宽松的安全基线要求，经过各地设备自己的审计日志也没法有效控制变动合理性。
关于NSPM产品在上述网络架构中解决方案
一、提供异构环境下对复杂网络和策略自动化、可视化和可控性管理，使用户安全和网络团队能智能化的对网络环境内的网络安全策略进行优化，并监控策略变动项，确保防火墙配置的有效性、安全性和合规性。
二、NSPM产品在策略优化、工单推送、设备变动记录可知足企业当前此类问题。
异构防火墙与网络设备的集中管理，设备管理模块能够详细记录异构设备的安全策略、接口信息、路由信息、VLAN信息等，从而达到设备的集中管理，管理员不须要手工屡次重复性的到设备上采集信息，可经过NSPM产品自动化、可视化直观发现所需的信息。
三、解决随着多业务数据中心项目中不断增长的需求，致使策略出现多处权限松散打破了最小权限优先的原则，降云的策略优化可对这些未使用的策略、覆盖策略、冗余策略、可合并的策略进行优化，从而使用户的网络环境加强健壮。
四、网内安全策略会因为变动会出现不少风险，风险会致使网内的业务系统等会出现安全事件，降云产品的风险分析，全面的风险分析库、可以根据严重程度排列分析、提供风险细节和补救措施。 后期降云产品还会支持国内合规性的要求例如等保三级、ISO27000
NSPM产品在行业网络环境下的价值体现；
*提升安全性
识别并减轻网络安全和网络设备策略风险
确保策略变动不会带来新的风险
并安全风险进行排序并勾画其趋势
了解策略变动对业务的影响
自动合规
减小大部分的审计工做量
确保持续合规
提升公司管理水平
高效运维
减小大量的手工操做时间
较少部分无用变动
提升操做的准确性
提升网络性能及可用性
紧密结合安全和运维团队。

*