科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理综合利用 切实可行地部署企业深层防御

综合利用 切实可行地部署企业深层防御

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

深层防御是指用一系列防御机制保护电脑,在这种防御机制下,如果其中一个失效,那么其他保护方法还可以发挥作用。它侧重实用的深层防御部署案例,我们的例证整合了现有的技术和高效的综合型企业网络安全架构。

来源:安全在线 2011年2月12日

关键字: 安全策略 网络安全

  • 评论
  • 分享微博
  • 分享邮件

  深层防御是指用一系列防御机制保护电脑,在这种防御机制下,如果其中一个失效,那么其他保护方法还可以发挥作用。它侧重实用的深层防御部署案例,我们的例证整合了现有的技术和高效的综合型企业网络安全架构。

  环境

  为了阐明如何部署深层防御,让我们先考虑下面这个常见的企业IT安装情境。许多企业出于不同的原因使用第三方托管架构服务。通过外部托管,企业有能力利用传统空间或能源模式在托管服务供应商租借一个安全的环境,同时又可以对系统进行自主管理,或者他们也可以从供应商那里购买托管服务,这其中包括网络,系统和安全服务。这些环境旨在托管企业中可被公众访问的系统,其范围涉及邮件,公司用户文件传输服务,企业电子商务平台。

  不论是租借的还是托管型部署,安全都在环境设计中扮演着重要的角色。设计此类环境安全的一种典型方法是利用网络。这样讨论的目的在于让我们设想企业将自己的电子商务平台托管到这样的环境中。电子商务平台包括Web层级,这些层级就好像是各种交易的传输工具或支付网关一样。中间件和数据库层级起支持作用。这样的设计要求把每个层级都托管到合适的网络,也就是虚拟局域网或VLAN。用过滤设备,如在安全性较低的界面使用带有Web服务器的防火墙等,便可以完成这一任务。而中间件和数据库层级要托管到安全性较高的界面。而且不能从公共网络直接访问中间件和数据库层级。在某些设计情境中,中间件和数据库层级位于相同的防火墙界面之后,只不过位于不同VLAN上。在此类情境中,两个层级之间不存在流量过滤,除非交换机强制要求进行过滤。

  这类案例中的防火墙就好像是防御互联网威胁的最基本屏障。我们会将这样的环境作为部署深层防御策略(使用现有安全技术)的基线。

  切实可行的深层防御

  笔者想到了一个为上述环境部署安全部署安全方案的好方法,我们可以按照不同企业的具体需求分别对待。

  深层防御的第一步是在供应商网络架构中的企业环境外强制部署。该技术组件主要负责保护环境免受分布式DDoS攻击。DDoS攻击缓解技术一般包括两个组件:第一个组件主要通过监控普通流量中的异常行为来检测攻击,第二个组件主要通过已知的流量行为来减轻攻击(例如,威胁管理系统或TMS)。

  DDoS保护通过边界网关协议(从中心路由设备到DDoS清理中心)实现瞬时的流量分离。最有效的DDoS减缓时通过供应商的架构实现,因此可以减少链接饱和的风险和增加的带宽成本。

  防火墙可以有效阻挡特定网络威胁,但是在托管环境中,端口对互联网敞开——HTTP(80/TCP)和HTTPS(443/TCP)——其有效性受到局限。在这样的环境中,最好是用Web应用防火墙设备来增大防火墙。

  Web 应用防火墙主要被用来保护环境免受针对应用的攻击,如跨站点脚本攻击,SQL注入和参数篡改等。这些设备都是通过托管环境中,防火墙和核心网络交换机之间的物理连接来配置。一个Web应用防火墙就像是一个桥接设备,它可以在应用层拦截那些与已知攻击向量流量的特征相符合的数据流。当硬件启动失效的时候,它也不能被打开,所以它能确保流量继续流向Web服务器。一些Web应用防火墙供应商也提供数据库的监控和保护服务,这些服务可以掌控通向数据库的威胁。保护是通过代理强制部署,而代理通常被安装在托管数据库的服务器上。

  由于Web应用防火墙一般关注的都是发生在应用层的攻,因此它对以网络为中心的攻击不能进行有效拦截——如互联网蠕虫。一个Web应用防火墙可用来配合入侵防御系统,后者主要是对网络层上完成基于签名的修复。这些设备在内联容量中整合了防火墙,而它们离开防火墙的同时会拦截威胁,因此可作为模块使用。

  随着我们进一步接近服务器平台,对于有效地深层防御而言,抵抗恶意威胁和监控文件系统的任务显得尤为重要。可以结合主流 反病毒/反恶意 软件和内容完整性监控系统来实现这一任务,其中内容完整性监控系统可以实时追踪文件系统发生的更改,并发出警告。

  将所有的尝试结合在一起就可以实现集中式日志管理系统,该系统就好像是单独安全组件的日志存取器。除了可以用作传统服务器的日志存取器,一个日志管理系统还可以在预置的事件过滤器上生成实时警告。而且,它还能为各种安全组件的日志数据提供灵活的搜索界面。另一类名为安全信息和事件管理的系统,则在日志管理中具备根。它可被用来代替日志管理系统。安全信息和事件管理系统扩展了日志管理系统的功能,因为它还可以提供智能的威胁分析与减弱威胁的功能。

  综合利用

  如你所见,我们已经指出一些可以保护企业托管环境中单个组件的特有安全技术,从供应商架构中的DDoS减弱方法,到用于网络保护的防火墙和入侵防御(IPS)技术,再到用于应用层保护的Web应用防火墙,还有用于保护文件系统完整性的内容完整性监控系统(CIMS),最后是为各种安全和服务器组件提供日志信息的日志管理系统(LMS)。不过,要想拥有一个可以实时监测安全威胁并具备安全适应性的平台,恐怕还任重而道远。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章