為基礎架構選擇正确的網絡安全措施是非常重要的,因為保護敏感資料和消除安全威脅是重中之重的工作。在開始尋找解決方案時,你會發現可供選擇的安全供應商有很多——而且他們都會說自己的産品是最好的。但是,有一些網絡安全措施會更适合你的網絡架構和特殊珠資料安全需求。本文将介紹用于對比企業網絡安全産品的條件。
關鍵任務資料的位置
了解公司目前将資料存儲在什麼位置——以及将來會存儲在什麼位置,就能很好地反映需要什麼類型的安全工具,以及它們對于整個安全架構的重要性。資料存儲在内部、雲中還是兩個位置都存儲,這會影響到安全工具的有效性和重要性。
如果大部分資料都存儲在私有資料中心,那麼使用下一代防火牆(ngfw)和網絡通路控制(nac)的邊界安全性就是一種重要的資料保護措施。防火牆将防止企業網絡之外的使用者接觸到資料,而nac則負責保證使用者與裝置有正确的資料通路權限。
另一方面,如果資料目前或将來存儲在雲中,那麼整體架構安全性則應該重要關注于相容雲平台的安全工具。例如,許多ngfw都支援用虛拟防火牆來相容雲平台。類似地,網絡安全措施還應該注重使用安全的web網關(swg)和惡意軟體沙箱來防止網絡之間發生資料丢失。此外,這些工具能限制可能滋生惡意軟體的資料在企業網絡、各種雲服務提供商及網際網路之間傳輸。許多swg和惡意軟體沙箱都提供了雲服務,是以它們更适合那些将資料存儲在雲中的企業。
内部使用者與裝置
通過禁止不可信外部連接配接(如網際網路和wan邊界網絡)來保護企業組織是必然的選擇。但是,如果有一些特殊資料隻能由特定使用者通路呢?另外,有一些外部咨詢人員、通路及其他有權限通路内部網絡的使用者,他們是否也屬于不可信範圍呢?這時就應該使用nac和ngfw。通過使用nac,我們就可以驗證每一個試圖通路網絡的使用者身份。不允許連接配接該網絡的使用者會被完全阻擋在外。而其他有一定通路權限的使用者則允許進入網絡,但是隻能通路安全管理者所允許的應用、網絡和資料。nac規則可以內建到網絡交換/路由裝置中,也可以通過使用各過程中劃分内部網絡的内部ngfw實作。
可信裝置正在慢慢成為一種更加重要的網絡安全元件,在一些允許非企業掌控裝置連接配接内部網絡的公司中更是如此。自帶裝置的趨勢給網絡帶來了巨大的風險,因為自帶裝置的作業系統、應用程式及反病毒軟體的安全性可能都沒有保障。在一些最壞的情況下,使用者可能會連接配接一個受惡意軟體感染的裝置,結果它再感染所連接配接的其他裝置和伺服器。為了防止這種情況,我們應該部署nac,用它評測裝置的狀态,确定它的硬體/作業系統/反病毒軟體,進而确定它是否符合預定義的安全标準。如果它不符合規定,則應該完全拒絕該使用者的通路,或者在将問題解決之前把它隔離到一個網段中。
網絡安全工具的位置
許多安全工具可以部署在内部或雲服務中。部署在雲中的安全工具之是以流行的原因主要有兩個。首先,基于雲的安全性使内部安全管理者不需要管理底層工具。服務提供商将負責維護網絡連接配接、更新檔/更新及其他底層基礎架構的工作。是以安全管理者可以專注于安全工具本身的配置和管理。
通過雲服務部署網絡安全措施的另一個優點是在高度分布式的網絡中可以更加友善地使用這些工具。例如,以前需要有一個遠端站點負責将所有web流量轉發回企業辦公室,才能通過一個swg對流量進行過濾。在每一個位置都部署一個swg的成本太高,是以将流量轉發回總部才是最經濟的方法。
可是,如果這個遠端站點沒有部署備援wan連接配接并且與企業辦公室距離非常遠,那麼這種設計通常會導緻出現單點故障和增加網絡延遲。雲提供商通常地理位置分散,是以swg實際上是部署在全球各地,是以swg可以更加接近各個遠端站點。對于将所有網際網路流量送回一個位置的老設計而言,這種結構可以顯著減少内在的延遲問題。
在深度防禦戰略中內建産品的有效性
将一個安全架構視為一種統一深度防禦戰略是非常重要的。在這個方面,許多網絡安全措施必須協同工作才能優化性能和提升有效性。當你開始評估不同的供應商産品時,一定要了解和确定應用程式對于其他安全工具的潛在依賴性。這樣才能保證使用正确的安全工具處理這種特殊的任務及其所內建的其他元件。
例如:有一些惡意軟體沙箱是完全獨立工作的。所有資料流都通過沙箱,而惡意軟體沙箱工具則負責過濾合法的流量,同時标記出一些可疑的資料——是以需要額外的測試。但是,其他一些惡意軟體沙箱則依靠ngfw和/或swg來标記可疑資料。是以,我們必須保證ngfw和swg能夠執行惡意軟體沙箱所需要的功能。
此外,所有網絡安全措施都必須與安全資訊與事件管理(siem)平台相相容。siem的作用将捕捉所有事件,并将來自各種安全工具的資料記錄到一個知識庫中。然後,siem可以分析資料以發現潛在惡意安全趨勢及合規性問題。雖然大多數資料采集技術都使用基于标準的日志記錄和簡單網絡管理協定(snmp),但是一定要确認計劃使用的安全工具相容目前已經在使用或計劃實作的siem。
作者:andrew froehlich
來源:51cto
![軟體設計師筆記-----系統安全分析與設計五、系統安全分析與設計[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)