如果我說:防火墻將退出IT舞臺。你會不會覺得有點信口開河?多年來,依靠SPI(全狀態(tài)數(shù)據(jù)包檢測型防火墻)與代理防火墻機制保障安全幾乎成了IT工作者們的金科玉律,脫離防火墻簡直是無稽之談。但是時代在發(fā)展,一切都不同了,對于面向互聯(lián)網(wǎng)的大型服務(wù)器集群來說,防火墻的加入不過是陡增多余的故障點。
服務(wù)器前端不設(shè)置防火墻并不意味著我們無法對系統(tǒng)接入加以控制。或許你并不相信,關(guān)閉防火墻反而能在一定程度上提高網(wǎng)絡(luò)及主機安全的可靠性與堅實性。下面,我們將從三個角度出發(fā),論證為什么防火墻的退出能改善日常工作、幫助企業(yè)簡化轉(zhuǎn)型難題。
“不要防火墻”并不意味著“不要控制”
服務(wù)器前端不設(shè)置防火墻并不意味著我們無法對系統(tǒng)接入加以控制。事實上,現(xiàn)代操作系統(tǒng)中早已普及了路由器訪問列表、基于主機的內(nèi)置數(shù)據(jù)包過濾器等簡單但可靠的技術(shù),而這些機制完全能夠提供足夠的控制功能。邊緣路由器能夠很好地剔除異常數(shù)據(jù)包,同時幫助企業(yè)節(jié)約防火墻產(chǎn)品的開銷。如果一臺服務(wù)器僅監(jiān)聽443端口,那么它就應(yīng)該成為邊緣路由器的惟一開放端口并接收能通過服務(wù)器自身防火墻的訪問請求。
另一種非常重要且有效的解決方案在于利用邊緣路由器控制出站連接。攻擊者必須與被攻破的主機進行通信才能實施進一步惡意活動,如果主機無法建立出站連接,那么攻擊者也將無從下手。與互聯(lián)網(wǎng)對接的服務(wù)器應(yīng)該能與內(nèi)部服務(wù)器溝通DNS及NTP協(xié)議、從內(nèi)部補丁庫中下載補丁并向內(nèi)部日志服務(wù)器發(fā)送日志文件。然而一旦涉及對外服務(wù),嚴密控制將使攻擊者無機可乘。即使大家的企業(yè)無法接受徹底脫離標準網(wǎng)絡(luò)防火墻的觀念,也應(yīng)將嚴格把控出站連接當作防火墻設(shè)置工作的重點。
主機擁有充足的自保能力
防火墻可用于多種用途,而目前其最主要的預(yù)定目標就是對孱弱或者糟糕的主機安全性提供支持。相比保護主機本身,很多系統(tǒng)管理者更樂于將系統(tǒng)隱藏在互聯(lián)網(wǎng)防火墻之下,并認為一套狀態(tài)化防火墻能夠保護系統(tǒng)免受嚴重威脅。但我要遺憾地提醒大家,這種思路完全行不通。這種方案好比“掩耳盜鈴”。
系統(tǒng)管理者們是時候認真了解自己的主機安全機制并啟用內(nèi)置隔離功能了,這樣服務(wù)器才能從坐以待斃的窘境中擺脫出來,以積極姿態(tài)應(yīng)對來自企業(yè)局域網(wǎng)或者外部互聯(lián)網(wǎng)的猛烈攻勢。每一種現(xiàn)代操作系統(tǒng)都提供多種訪問控制方式,我們只要稍加配置就能使其生效。請記住,我們越是接近想要保護的信息、安全工作就越容易開展。
應(yīng)對攻擊數(shù)據(jù)保護是根本
對主機失去控制令人頭痛,正如我們對正門上的涂鴉無可奈何一樣。無論惡意人士是從正門闖入還是網(wǎng)絡(luò)潛入,由此造成的數(shù)據(jù)丟失都屬于很嚴重的后果。事實上,無論防火墻是否存在,主機都有可能被攻破。因此保護重要信息的工作應(yīng)該從信息本身著手,而不能僅在周圍部署一些防御機制、然后坐等攻擊活動發(fā)生。
為了實現(xiàn)這一目標,我們需要采用合適的數(shù)據(jù)保護控制方案:加密、數(shù)據(jù)隱藏、歸檔甚至清除計劃任務(wù)中的臨時文件等。這一切都能降低主機被攻破后所引發(fā)的后續(xù)風險。如果被竊取的內(nèi)容并不重要或者攻擊者無法使用取得的信息,我們的企業(yè)也就不至于因為安全事件而登上新聞頭條、更不可能違規(guī)事故的責任承擔者。
除此之外,我們還應(yīng)妥善分隔系統(tǒng)與應(yīng)用程序管理流程中的職責與權(quán)限,盡量降低來自內(nèi)部人員的潛在風險。系統(tǒng)管理員與網(wǎng)絡(luò)管理員并不需要訪問關(guān)鍵性業(yè)務(wù)數(shù)據(jù)的權(quán)限,應(yīng)用程序擁有者也不需要擁有與操作系統(tǒng)管理員等同的權(quán)限。大家一定還記得將美國國家安全局拉入泥潭的斯諾登——他的作為是否正確姑且不論,但如果安全局方面能明確劃分各崗位的具體權(quán)限,如今的麻煩也將不復存在。