深層防御是指用一系列防御機制保護電腦,在這種防御機制下,如果其中一個失效,那么其他保護方法還可以發(fā)揮作用。它側(cè)重實用的深層防御部署案例,我們的例證整合了現(xiàn)有的技術(shù)和高效的綜合型企業(yè)網(wǎng)絡(luò)安全架構(gòu)。
環(huán)境
為了闡明如何部署深層防御,讓我們先考慮下面這個常見的企業(yè)IT安裝情境。許多企業(yè)出于不同的原因使用第三方托管架構(gòu)服務(wù)。通過外部托管,企業(yè)有能力利用傳統(tǒng)空間或能源模式在托管服務(wù)供應(yīng)商租借一個安全的環(huán)境,同時又可以對系統(tǒng)進行自主管理,或者他們也可以從供應(yīng)商那里購買托管服務(wù),這其中包括網(wǎng)絡(luò),系統(tǒng)和安全服務(wù)。這些環(huán)境旨在托管企業(yè)中可被公眾訪問的系統(tǒng),其范圍涉及郵件,公司用戶文件傳輸服務(wù),企業(yè)電子商務(wù)平臺。
不論是租借的還是托管型部署,安全都在環(huán)境設(shè)計中扮演著重要的角色。設(shè)計此類環(huán)境安全的一種典型方法是利用網(wǎng)絡(luò)。這樣討論的目的在于讓我們設(shè)想企業(yè)將自己的電子商務(wù)平臺托管到這樣的環(huán)境中。電子商務(wù)平臺包括Web層級,這些層級就好像是各種交易的傳輸工具或支付網(wǎng)關(guān)一樣。中間件和數(shù)據(jù)庫層級起支持作用。這樣的設(shè)計要求把每個層級都托管到合適的網(wǎng)絡(luò),也就是虛擬局域網(wǎng)或VLAN。用過濾設(shè)備,如在安全性較低的界面使用帶有Web服務(wù)器的防火墻等,便可以完成這一任務(wù)。而中間件和數(shù)據(jù)庫層級要托管到安全性較高的界面。而且不能從公共網(wǎng)絡(luò)直接訪問中間件和數(shù)據(jù)庫層級。在某些設(shè)計情境中,中間件和數(shù)據(jù)庫層級位于相同的防火墻界面之后,只不過位于不同VLAN上。在此類情境中,兩個層級之間不存在流量過濾,除非交換機強制要求進行過濾。
這類案例中的防火墻就好像是防御互聯(lián)網(wǎng)威脅的最基本屏障。我們會將這樣的環(huán)境作為部署深層防御策略(使用現(xiàn)有安全技術(shù))的基線。
切實可行的深層防御
筆者想到了一個為上述環(huán)境部署安全部署安全方案的好方法,我們可以按照不同企業(yè)的具體需求分別對待。
深層防御的第一步是在供應(yīng)商網(wǎng)絡(luò)架構(gòu)中的企業(yè)環(huán)境外強制部署。該技術(shù)組件主要負責保護環(huán)境免受分布式DDoS攻擊。DDoS攻擊緩解技術(shù)一般包括兩個組件:第一個組件主要通過監(jiān)控普通流量中的異常行為來檢測攻擊,第二個組件主要通過已知的流量行為來減輕攻擊(例如,威脅管理系統(tǒng)或TMS)。
DDoS保護通過邊界網(wǎng)關(guān)協(xié)議(從中心路由設(shè)備到DDoS清理中心)實現(xiàn)瞬時的流量分離。最有效的DDoS減緩時通過供應(yīng)商的架構(gòu)實現(xiàn),因此可以減少鏈接飽和的風險和增加的帶寬成本。
防火墻可以有效阻擋特定網(wǎng)絡(luò)威脅,但是在托管環(huán)境中,端口對互聯(lián)網(wǎng)敞開——HTTP(80/TCP)和HTTPS(443/TCP)——其有效性受到局限。在這樣的環(huán)境中,最好是用Web應(yīng)用防火墻設(shè)備來增大防火墻。
Web 應(yīng)用防火墻主要被用來保護環(huán)境免受針對應(yīng)用的攻擊,如跨站點腳本攻擊,SQL注入和參數(shù)篡改等。這些設(shè)備都是通過托管環(huán)境中,防火墻和核心網(wǎng)絡(luò)交換機之間的物理連接來配置。一個Web應(yīng)用防火墻就像是一個橋接設(shè)備,它可以在應(yīng)用層攔截那些與已知攻擊向量流量的特征相符合的數(shù)據(jù)流。當硬件啟動失效的時候,它也不能被打開,所以它能確保流量繼續(xù)流向Web服務(wù)器。一些Web應(yīng)用防火墻供應(yīng)商也提供數(shù)據(jù)庫的監(jiān)控和保護服務(wù),這些服務(wù)可以掌控通向數(shù)據(jù)庫的威脅。保護是通過代理強制部署,而代理通常被安裝在托管數(shù)據(jù)庫的服務(wù)器上。
由于Web應(yīng)用防火墻一般關(guān)注的都是發(fā)生在應(yīng)用層的攻,因此它對以網(wǎng)絡(luò)為中心的攻擊不能進行有效攔截——如互聯(lián)網(wǎng)蠕蟲。一個Web應(yīng)用防火墻可用來配合入侵防御系統(tǒng),后者主要是對網(wǎng)絡(luò)層上完成基于簽名的修復(fù)。這些設(shè)備在內(nèi)聯(lián)容量中整合了防火墻,而它們離開防火墻的同時會攔截威脅,因此可作為模塊使用。
隨著我們進一步接近服務(wù)器平臺,對于有效地深層防御而言,抵抗惡意威脅和監(jiān)控文件系統(tǒng)的任務(wù)顯得尤為重要??梢越Y(jié)合主流 反病毒/反惡意 軟件和內(nèi)容完整性監(jiān)控系統(tǒng)來實現(xiàn)這一任務(wù),其中內(nèi)容完整性監(jiān)控系統(tǒng)可以實時追蹤文件系統(tǒng)發(fā)生的更改,并發(fā)出警告。
將所有的嘗試結(jié)合在一起就可以實現(xiàn)集中式日志管理系統(tǒng),該系統(tǒng)就好像是單獨安全組件的日志存取器。除了可以用作傳統(tǒng)服務(wù)器的日志存取器,一個日志管理系統(tǒng)還可以在預(yù)置的事件過濾器上生成實時警告。而且,它還能為各種安全組件的日志數(shù)據(jù)提供靈活的搜索界面。另一類名為安全信息和事件管理的系統(tǒng),則在日志管理中具備根。它可被用來代替日志管理系統(tǒng)。安全信息和事件管理系統(tǒng)擴展了日志管理系統(tǒng)的功能,因為它還可以提供智能的威脅分析與減弱威脅的功能。
綜合利用
如你所見,我們已經(jīng)指出一些可以保護企業(yè)托管環(huán)境中單個組件的特有安全技術(shù),從供應(yīng)商架構(gòu)中的DDoS減弱方法,到用于網(wǎng)絡(luò)保護的防火墻和入侵防御(IPS)技術(shù),再到用于應(yīng)用層保護的Web應(yīng)用防火墻,還有用于保護文件系統(tǒng)完整性的內(nèi)容完整性監(jiān)控系統(tǒng)(CIMS),最后是為各種安全和服務(wù)器組件提供日志信息的日志管理系統(tǒng)(LMS)。不過,要想擁有一個可以實時監(jiān)測安全威脅并具備安全適應(yīng)性的平臺,恐怕還任重而道遠。