強化安全架構的五大方法

　　對于IT專(zhuān)家而言，網(wǎng)絡(luò )安全無(wú)疑是最重要的的話(huà)題之一。即便是對安全工程師、首席信息安全官、首席信息官、甚至首席執行官也是一樣。

　　網(wǎng)絡(luò )安全的關(guān)鍵問(wèn)題在于：“究竟如何才能提升安全性?”其答案就在于“增強串聯(lián)安全工具的部署”。在遵循PCI-DSS標準與HIPAA監管要求方面，串聯(lián)安全工具部署也許并不十分重要，但它對提升安全架構的防御效果來(lái)說(shuō)，卻是必不可少。

　　關(guān)于IT專(zhuān)家如何改進(jìn)企業(yè)串聯(lián)安全架構，可被歸納為以下五項舉措：

　　1. 在網(wǎng)絡(luò )與安全工具之間安裝旁路交換機，以提高網(wǎng)絡(luò )可用性與可靠性

　　2. 在網(wǎng)絡(luò )進(jìn)/出口處部署威脅情報網(wǎng)關(guān)，以減少安全誤報

　　3. 將SSL解密功能從現有安全設備(如：防火墻和WAF等)分離到網(wǎng)絡(luò )數據包中轉設備或專(zhuān)項設備，以降低延遲并提高安全工具效率

　　4. 對可疑數據按順序進(jìn)行工具鏈式檢查，以便改進(jìn)數據檢查流程

　　5. 利用N+1或高可用性技術(shù)，插入網(wǎng)絡(luò )數據包中轉設備，提高安全設備可用性

　　旁路交換機通常是提升網(wǎng)絡(luò )安全性與可靠性一個(gè)不錯的起點(diǎn)。雖然直接部署串聯(lián)安全工具亦可以加強防線(xiàn)，然而一旦出現故障，這些工具也會(huì )形成單個(gè)故障點(diǎn)。雖然安全工具中的內置旁路可以盡量降低這種風(fēng)險，但如果在后期需要移除該工具設備，它也可能會(huì )形成另一個(gè)服務(wù)中斷點(diǎn)。

　　外部旁路交換機不但具有內部旁路的優(yōu)勢，還消除了直接部署串聯(lián)工具的痛點(diǎn)，這是因為它提供了自動(dòng)按需式故障切換功能，對網(wǎng)絡(luò )的影響幾乎難以察覺(jué)(毫秒級)。由于旁路交換機始終駐留于網(wǎng)絡(luò )，因此可以設置為旁路模式，從而支持按需添加、移除或升級安全與監測設備。

　　威脅情報網(wǎng)關(guān)是第二個(gè)出色的策略，這是因為它能消除往來(lái)的已知惡意IP地址流量。企業(yè)即使配備了防火墻、IPS以及各種安全工具，仍對每天遭受重大入侵的原因毫無(wú)頭緒，為什么?這是由于大量的警報極大地占用了安全團隊的處理能力以及基礎架構容量。威脅情報網(wǎng)關(guān)可自動(dòng)協(xié)助過(guò)濾進(jìn)入網(wǎng)絡(luò )且需要分析的流量。通過(guò)消除已知的惡意流量，一些企業(yè)減少了30%以上的IPS誤報，從而讓網(wǎng)絡(luò )安全團隊集中精力應對真正的潛在威脅。

　　雖然許多安全工具(如：防火墻、WAF和IPS等)具有流量解密的能力，以便對傳入流量進(jìn)行安全分析，但這也會(huì )影響CPU性能，并大幅拖慢(高達80%)安全設備的處理能力。這是因為這些設備的處理器同時(shí)也在執行其他任務(wù)，例如分析數據包以應對安全威脅，包括：跨站腳本攻擊(XSS)、SQL注入、隱藏的惡意軟件以及安全威脅等。因此SSL解密有可能成為這些安全工具的巨大負擔，并降低安全工具效率，進(jìn)而增加檢查網(wǎng)絡(luò )數據的成本。由于在數據解密時(shí)會(huì )受到性能沖擊，許多安全團隊會(huì )選擇關(guān)閉安全工具的此項特性，而這將可能帶來(lái)極大的安全風(fēng)險。

　　解決方案之一就是采用網(wǎng)絡(luò )數據包中轉設備(NPB)，由該設備執行數據解密，或者將此項任務(wù)交由單獨的解密設備。一旦數據被解密后，網(wǎng)絡(luò )數據包中轉設備就能將這些數據轉發(fā)給一臺或多臺安全工具進(jìn)行分析。

　　另一個(gè)要考慮的策略是串行數據鏈，它通過(guò)預定數據分析序列，即以串行方式將可疑數據發(fā)送至多臺安全工具進(jìn)行額外安全檢查與解析——增強數據檢查。這確保了各種行動(dòng)的正確順序且不會(huì )遭到忽略。安全與監測工具可以通過(guò)網(wǎng)絡(luò )數據包中轉設備內的軟件資源調配而連接起來(lái)，以控制數據流在選定服務(wù)依序傳輸。這實(shí)際上可以讓您實(shí)現自動(dòng)化檢查流程，以增加警報檢查與后續行動(dòng)。

　　第五種增強安全架構的方法是通過(guò)安裝有擴展性生存能力的NPB來(lái)提高安全設備的可用性。優(yōu)秀的網(wǎng)絡(luò )數據包中轉設備將擁有兩個(gè)選項。第1個(gè)選項一般稱(chēng)作N+1，部署于負載共享配置內。在負載共享配置中，您已經(jīng)配備了1臺額外安全設備，以應對其中某個(gè)重要工具(IPS、WAF等)出現故障。但是，該設備實(shí)際上與其他設備一同使用，并共享正常的處理負載，而非以空閑方式待用。這種方式通常稱(chēng)作負載均衡。如果其中1臺設備出現故障，總數據負載仍可以由剩余設備加以處理。待發(fā)生故障的工具恢復正常后，其它工具將恢復負載共享配置。

　　雖然在不使用網(wǎng)絡(luò )數據包中轉設備的情況下，上述任務(wù)也能完成，但負載均衡設備及其方法往往過(guò)程復雜。網(wǎng)絡(luò )數據包中轉設備具有內部編程能力，可處理負載均衡及心跳信息，以檢測工具何時(shí)出現故障以及何時(shí)可用，從而構建起經(jīng)濟高效的自愈架構。而另一個(gè)更加穩健但成本更高的選項就是部署高可用性，即N+M選項，在該選項中，配備了一套完全冗余的設備。盡管成本非常高，但根據業(yè)務(wù)需求，這可能也是最佳的選擇。

　　上述五大舉措可以顯著(zhù)改進(jìn)安全架構，包括解決方案可靠性，真實(shí)檢測以及防止/限制安全威脅。