深層防御是指用一系列防御機制保護電腦,在這種防御機制下,如果其中一個失效,那么其他保護方法還可以發揮作用。它側重實用的深層防御部署案例,我們的例證整合了現有的技術和高效的綜合型企業網絡安全架構。
環境
為了闡明如何部署深層防御,讓我們先考慮下面這個常見的企業IT安裝情境。許多企業出于不同的原因使用第三方托管架構服務。通過外部托管,企業有能力利用傳統空間或能源模式在托管服務供應商租借一個安全的環境,同時又可以對系統進行自主管理,或者他們也可以從供應商那里購買托管服務,這其中包括網絡,系統和安全服務。這些環境旨在托管企業中可被公眾訪問的系統,其范圍涉及郵件,公司用戶文件傳輸服務,企業電子商務平臺。
不論是租借的還是托管型部署,安全都在環境設計中扮演著重要的角色。設計此類環境安全的一種典型方法是利用網絡。這樣討論的目的在于讓我們設想企業將自己的電子商務平臺托管到這樣的環境中。電子商務平臺包括Web層級,這些層級就好像是各種交易的傳輸工具或支付網關一樣。中間件和數據庫層級起支持作用。這樣的設計要求把每個層級都托管到合適的網絡,也就是虛擬局域網或VLAN。用過濾設備,如在安全性較低的界面使用帶有Web服務器的防火墻等,便可以完成這一任務。而中間件和數據庫層級要托管到安全性較高的界面。而且不能從公共網絡直接訪問中間件和數據庫層級。在某些設計情境中,中間件和數據庫層級位于相同的防火墻界面之后,只不過位于不同VLAN上。在此類情境中,兩個層級之間不存在流量過濾,除非交換機強制要求進行過濾。
這類案例中的防火墻就好像是防御互聯網威脅的最基本屏障。我們會將這樣的環境作為部署深層防御策略(使用現有安全技術)的基線。
切實可行的深層防御
筆者想到了一個為上述環境部署安全部署安全方案的好方法,我們可以按照不同企業的具體需求分別對待。
深層防御的第一步是在供應商網絡架構中的企業環境外強制部署。該技術組件主要負責保護環境免受分布式DDoS攻擊。DDoS攻擊緩解技術一般包括兩個組件:第一個組件主要通過監控普通流量中的異常行為來檢測攻擊,第二個組件主要通過已知的流量行為來減輕攻擊(例如,威脅管理系統或TMS)。
DDoS保護通過邊界網關協議(從中心路由設備到DDoS清理中心)實現瞬時的流量分離。最有效的DDoS減緩時通過供應商的架構實現,因此可以減少鏈接飽和的風險和增加的帶寬成本。
防火墻可以有效阻擋特定網絡威脅,但是在托管環境中,端口對互聯網敞開——HTTP(80/TCP)和HTTPS(443/TCP)——其有效性受到局限。在這樣的環境中,最好是用Web應用防火墻設備來增大防火墻。
Web 應用防火墻主要被用來保護環境免受針對應用的攻擊,如跨站點腳本攻擊,SQL注入和參數篡改等。這些設備都是通過托管環境中,防火墻和核心網絡交換機之間的物理連接來配置。一個Web應用防火墻就像是一個橋接設備,它可以在應用層攔截那些與已知攻擊向量流量的特征相符合的數據流。當硬件啟動失效的時候,它也不能被打開,所以它能確保流量繼續流向Web服務器。一些Web應用防火墻供應商也提供數據庫的監控和保護服務,這些服務可以掌控通向數據庫的威脅。保護是通過代理強制部署,而代理通常被安裝在托管數據庫的服務器上。
由于Web應用防火墻一般關注的都是發生在應用層的攻,因此它對以網絡為中心的攻擊不能進行有效攔截——如互聯網蠕蟲。一個Web應用防火墻可用來配合入侵防御系統,后者主要是對網絡層上完成基于簽名的修復。這些設備在內聯容量中整合了防火墻,而它們離開防火墻的同時會攔截威脅,因此可作為模塊使用。
隨著我們進一步接近服務器平臺,對于有效地深層防御而言,抵抗惡意威脅和監控文件系統的任務顯得尤為重要。可以結合主流 反病毒/反惡意 軟件和內容完整性監控系統來實現這一任務,其中內容完整性監控系統可以實時追蹤文件系統發生的更改,并發出警告。
將所有的嘗試結合在一起就可以實現集中式日志管理系統,該系統就好像是單獨安全組件的日志存取器。除了可以用作傳統服務器的日志存取器,一個日志管理系統還可以在預置的事件過濾器上生成實時警告。而且,它還能為各種安全組件的日志數據提供靈活的搜索界面。另一類名為安全信息和事件管理的系統,則在日志管理中具備根。它可被用來代替日志管理系統。安全信息和事件管理系統擴展了日志管理系統的功能,因為它還可以提供智能的威脅分析與減弱威脅的功能。
綜合利用
如你所見,我們已經指出一些可以保護企業托管環境中單個組件的特有安全技術,從供應商架構中的DDoS減弱方法,到用于網絡保護的防火墻和入侵防御(IPS)技術,再到用于應用層保護的Web應用防火墻,還有用于保護文件系統完整性的內容完整性監控系統(CIMS),最后是為各種安全和服務器組件提供日志信息的日志管理系統(LMS)。不過,要想擁有一個可以實時監測安全威脅并具備安全適應性的平臺,恐怕還任重而道遠。
京公網安備 11010502049343號