侵權(quán)投訴
訂閱
糾錯
加入自媒體

網(wǎng)絡(luò)IT專家強(qiáng)化安全架構(gòu)的五大方法

2018-01-26 11:27
來源: Ixia

對于IT專家而言,網(wǎng)絡(luò)安全無疑是最重要的的話題之一。即便是對安全工程師、首席信息安全官、首席信息官、甚至首席執(zhí)行官也是一樣。

網(wǎng)絡(luò)安全的關(guān)鍵問題在于:“究竟如何才能提升安全性?”其答案就在于“增強(qiáng)串聯(lián)安全工具的部署”。在遵循PCI-DSS標(biāo)準(zhǔn)與HIPAA監(jiān)管要求方面,串聯(lián)安全工具部署也許并不十分重要,但它對提升安全架構(gòu)的防御效果來說,卻是必不可少。

關(guān)于IT專家如何改進(jìn)企業(yè)串聯(lián)安全架構(gòu),可被歸納為以下五項舉措:

1.  在網(wǎng)絡(luò)與安全工具之間安裝旁路交換機(jī),以提高網(wǎng)絡(luò)可用性與可靠性

2.  在網(wǎng)絡(luò)進(jìn)/出口處部署威脅情報網(wǎng)關(guān),以減少安全誤報

3.  將SSL解密功能從現(xiàn)有安全設(shè)備(如:防火墻和WAF等)分離到網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備或?qū)m椩O(shè)備,以降低延遲并提高安全工具效率

4.  對可疑數(shù)據(jù)按順序進(jìn)行工具鏈?zhǔn)綑z查,以便改進(jìn)數(shù)據(jù)檢查流程

5.  利用N+1或高可用性技術(shù),插入網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備,提高安全設(shè)備可用性

旁路交換機(jī)通常是提升網(wǎng)絡(luò)安全性與可靠性一個不錯的起點。雖然直接部署串聯(lián)安全工具亦可以加強(qiáng)防線,然而一旦出現(xiàn)故障,這些工具也會形成單個故障點。雖然安全工具中的內(nèi)置旁路可以盡量降低這種風(fēng)險,但如果在后期需要移除該工具設(shè)備,它也可能會形成另一個服務(wù)中斷點。

外部旁路交換機(jī)不但具有內(nèi)部旁路的優(yōu)勢,還消除了直接部署串聯(lián)工具的痛點,這是因為它提供了自動按需式故障切換功能,對網(wǎng)絡(luò)的影響幾乎難以察覺(毫秒級)。由于旁路交換機(jī)始終駐留于網(wǎng)絡(luò),因此可以設(shè)置為旁路模式,從而支持按需添加、移除或升級安全與監(jiān)測設(shè)備。

威脅情報網(wǎng)關(guān)是第二個出色的策略,這是因為它能消除往來的已知惡意IP地址流量。企業(yè)即使配備了防火墻、IPS以及各種安全工具,仍對每天遭受重大入侵的原因毫無頭緒,為什么?這是由于大量的警報極大地占用了安全團(tuán)隊的處理能力以及基礎(chǔ)架構(gòu)容量。威脅情報網(wǎng)關(guān)可自動協(xié)助過濾進(jìn)入網(wǎng)絡(luò)且需要分析的流量。通過消除已知的惡意流量,一些企業(yè)減少了30%以上的IPS誤報,從而讓網(wǎng)絡(luò)安全團(tuán)隊集中精力應(yīng)對真正的潛在威脅。

雖然許多安全工具(如:防火墻、WAF和IPS等)具有流量解密的能力,以便對傳入流量進(jìn)行安全分析,但這也會影響CPU性能,并大幅拖慢(高達(dá)80%)安全設(shè)備的處理能力。這是因為這些設(shè)備的處理器同時也在執(zhí)行其他任務(wù),例如分析數(shù)據(jù)包以應(yīng)對安全威脅,包括:跨站腳本攻擊(XSS)、SQL注入、隱藏的惡意軟件以及安全威脅等。因此SSL解密有可能成為這些安全工具的巨大負(fù)擔(dān),并降低安全工具效率,進(jìn)而增加檢查網(wǎng)絡(luò)數(shù)據(jù)的成本。由于在數(shù)據(jù)解密時會受到性能沖擊,許多安全團(tuán)隊會選擇關(guān)閉安全工具的此項特性,而這將可能帶來極大的安全風(fēng)險。

解決方案之一就是采用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備(NPB),由該設(shè)備執(zhí)行數(shù)據(jù)解密,或者將此項任務(wù)交由單獨的解密設(shè)備。一旦數(shù)據(jù)被解密后,網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備就能將這些數(shù)據(jù)轉(zhuǎn)發(fā)給一臺或多臺安全工具進(jìn)行分析。

另一個要考慮的策略是串行數(shù)據(jù)鏈,它通過預(yù)定數(shù)據(jù)分析序列,即以串行方式將可疑數(shù)據(jù)發(fā)送至多臺安全工具進(jìn)行額外安全檢查與解析——增強(qiáng)數(shù)據(jù)檢查。這確保了各種行動的正確順序且不會遭到忽略。安全與監(jiān)測工具可以通過網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備內(nèi)的軟件資源調(diào)配而連接起來,以控制數(shù)據(jù)流在選定服務(wù)依序傳輸。這實際上可以讓您實現(xiàn)自動化檢查流程,以增加警報檢查與后續(xù)行動。

第五種增強(qiáng)安全架構(gòu)的方法是通過安裝有擴(kuò)展性生存能力的NPB來提高安全設(shè)備的可用性。優(yōu)秀的網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備將擁有兩個選項。第1個選項一般稱作N+1,部署于負(fù)載共享配置內(nèi)。在負(fù)載共享配置中,您已經(jīng)配備了1臺額外安全設(shè)備,以應(yīng)對其中某個重要工具(IPS、WAF等)出現(xiàn)故障。但是,該設(shè)備實際上與其他設(shè)備一同使用,并共享正常的處理負(fù)載,而非以空閑方式待用。這種方式通常稱作負(fù)載均衡。如果其中1臺設(shè)備出現(xiàn)故障,總數(shù)據(jù)負(fù)載仍可以由剩余設(shè)備加以處理。待發(fā)生故障的工具恢復(fù)正常后,其它工具將恢復(fù)負(fù)載共享配置。

雖然在不使用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備的情況下,上述任務(wù)也能完成,但負(fù)載均衡設(shè)備及其方法往往過程復(fù)雜。網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備具有內(nèi)部編程能力,可處理負(fù)載均衡及心跳信息,以檢測工具何時出現(xiàn)故障以及何時可用,從而構(gòu)建起經(jīng)濟(jì)高效的自愈架構(gòu)。而另一個更加穩(wěn)健但成本更高的選項就是部署高可用性,即N+M選項,在該選項中,配備了一套完全冗余的設(shè)備。盡管成本非常高,但根據(jù)業(yè)務(wù)需求,這可能也是最佳的選擇。

上述五大舉措可以顯著改進(jìn)安全架構(gòu),包括解決方案可靠性,真實檢測以及防止/限制安全威脅。(作者:Keith Bromley,Ixia解決方案營銷高級經(jīng)理)

聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點和對其真實性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問題的,請聯(lián)系我們。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

    安防 獵頭職位 更多
    文章糾錯
    x
    *文字標(biāo)題:
    *糾錯內(nèi)容:
    聯(lián)系郵箱:
    *驗 證 碼:

    粵公網(wǎng)安備 44030502002758號