為基礎(chǔ)架構(gòu)選擇正確的網(wǎng)絡(luò)安全措施是非常重要的,因?yàn)楸Wo(hù)敏感數(shù)據(jù)和消除安全威脅是重中之重的工作。在開始尋找解決方案時(shí),你會(huì)發(fā)現(xiàn)可供選擇的安全供應(yīng)商有很多——而且他們都會(huì)說自己的產(chǎn)品是最好的。但是,有一些網(wǎng)絡(luò)安全措施會(huì)更適合你的網(wǎng)絡(luò)架構(gòu)和特殊珠數(shù)據(jù)安全需求。本文將介紹用于對(duì)比企業(yè)網(wǎng)絡(luò)安全產(chǎn)品的條件。
關(guān)鍵任務(wù)數(shù)據(jù)的位置
理解公司目前將數(shù)據(jù)存儲(chǔ)在什么位置——以及將來會(huì)存儲(chǔ)在什么位置,就能很好地反映需要什么類型的安全工具,以及它們對(duì)于整個(gè)安全架構(gòu)的重要性。數(shù)據(jù)存儲(chǔ)在內(nèi)部、云中還是兩個(gè)位置都存儲(chǔ),這會(huì)影響到安全工具的有效性和重要性。
如果大部分?jǐn)?shù)據(jù)都存儲(chǔ)在私有數(shù)據(jù)中心,那么使用下一代防火墻(NGFW)和網(wǎng)絡(luò)訪問控制(NAC)的邊界安全性就是一種重要的數(shù)據(jù)保護(hù)措施。防火墻將防止企業(yè)網(wǎng)絡(luò)之外的用戶接觸到數(shù)據(jù),而NAC則負(fù)責(zé)保證用戶與設(shè)備有正確的數(shù)據(jù)訪問權(quán)限。
另一方面,如果數(shù)據(jù)目前或?qū)泶鎯?chǔ)在云中,那么整體架構(gòu)安全性則應(yīng)該重要關(guān)注于兼容云平臺(tái)的安全工具。例如,許多NGFW都支持用虛擬防火墻來兼容云平臺(tái)。類似地,網(wǎng)絡(luò)安全措施還應(yīng)該注重使用安全的Web網(wǎng)關(guān)(SWG)和惡意軟件沙箱來防止網(wǎng)絡(luò)之間發(fā)生數(shù)據(jù)丟失。此外,這些工具能限制可能滋生惡意軟件的數(shù)據(jù)在企業(yè)網(wǎng)絡(luò)、各種云服務(wù)提供商及互聯(lián)網(wǎng)之間傳輸。許多SWG和惡意軟件沙箱都提供了云服務(wù),因此它們更適合那些將數(shù)據(jù)存儲(chǔ)在云中的企業(yè)。
內(nèi)部用戶與設(shè)備
通過禁止不可信外部連接(如互聯(lián)網(wǎng)和WAN邊界網(wǎng)絡(luò))來保護(hù)企業(yè)組織是必然的選擇。但是,如果有一些特殊數(shù)據(jù)只能由特定用戶訪問呢?另外,有一些外部咨詢?nèi)藛T、訪問及其他有權(quán)限訪問內(nèi)部網(wǎng)絡(luò)的用戶,他們是否也屬于不可信范圍呢?這時(shí)就應(yīng)該使用NAC和NGFW。通過使用NAC,我們就可以驗(yàn)證每一個(gè)試圖訪問網(wǎng)絡(luò)的用戶身份。不允許連接該網(wǎng)絡(luò)的用戶會(huì)被完全阻擋在外。而其他有一定訪問權(quán)限的用戶則允許進(jìn)入網(wǎng)絡(luò),但是只能訪問安全管理員所允許的應(yīng)用、網(wǎng)絡(luò)和數(shù)據(jù)。NAC規(guī)則可以集成到網(wǎng)絡(luò)交換/路由設(shè)備中,也可以通過使用各過程中劃分內(nèi)部網(wǎng)絡(luò)的內(nèi)部NGFW實(shí)現(xiàn)。
可信設(shè)備正在慢慢成為一種更加重要的網(wǎng)絡(luò)安全組件,在一些允許非企業(yè)掌控設(shè)備連接內(nèi)部網(wǎng)絡(luò)的公司中更是如此。自帶設(shè)備的趨勢(shì)給網(wǎng)絡(luò)帶來了巨大的風(fēng)險(xiǎn),因?yàn)樽詭гO(shè)備的操作系統(tǒng)、應(yīng)用程序及反病毒軟件的安全性可能都沒有保障。在一些最壞的情況下,用戶可能會(huì)連接一個(gè)受惡意軟件感染的設(shè)備,結(jié)果它再感染所連接的其他設(shè)備和服務(wù)器。為了防止這種情況,我們應(yīng)該部署NAC,用它評(píng)測(cè)設(shè)備的狀態(tài),確定它的硬件/操作系統(tǒng)/反病毒軟件,從而確定它是否符合預(yù)定義的安全標(biāo)準(zhǔn)。如果它不符合規(guī)定,則應(yīng)該完全拒絕該用戶的訪問,或者在將問題解決之前把它隔離到一個(gè)網(wǎng)段中。
網(wǎng)絡(luò)安全工具的位置
許多安全工具可以部署在內(nèi)部或云服務(wù)中。部署在云中的安全工具之所以流行的原因主要有兩個(gè)。首先,基于云的安全性使內(nèi)部安全管理員不需要管理底層工具。服務(wù)提供商將負(fù)責(zé)維護(hù)網(wǎng)絡(luò)連接、補(bǔ)丁/更新及其他底層基礎(chǔ)架構(gòu)的工作。因此安全管理員可以專注于安全工具本身的配置和管理。
通過云服務(wù)部署網(wǎng)絡(luò)安全措施的另一個(gè)優(yōu)點(diǎn)是在高度分布式的網(wǎng)絡(luò)中可以更加方便地使用這些工具。例如,以前需要有一個(gè)遠(yuǎn)程站點(diǎn)負(fù)責(zé)將所有Web流量轉(zhuǎn)發(fā)回企業(yè)辦公室,才能通過一個(gè)SWG對(duì)流量進(jìn)行過濾。在每一個(gè)位置都部署一個(gè)SWG的成本太高,因此將流量轉(zhuǎn)發(fā)回總部才是最經(jīng)濟(jì)的方法。
可是,如果這個(gè)遠(yuǎn)程站點(diǎn)沒有部署冗余WAN連接并且與企業(yè)辦公室距離非常遠(yuǎn),那么這種設(shè)計(jì)通常會(huì)導(dǎo)致出現(xiàn)單點(diǎn)故障和增加網(wǎng)絡(luò)延遲。云提供商通常地理位置分散,因此SWG實(shí)際上是部署在全球各地,因此SWG可以更加接近各個(gè)遠(yuǎn)程站點(diǎn)。對(duì)于將所有互聯(lián)網(wǎng)流量送回一個(gè)位置的老設(shè)計(jì)而言,這種結(jié)構(gòu)可以顯著減少內(nèi)在的延遲問題。
在深度防御戰(zhàn)略中集成產(chǎn)品的有效性
將一個(gè)安全架構(gòu)視為一種統(tǒng)一深度防御戰(zhàn)略是非常重要的。在這個(gè)方面,許多網(wǎng)絡(luò)安全措施必須協(xié)同工作才能優(yōu)化性能和提升有效性。當(dāng)你開始評(píng)估不同的供應(yīng)商產(chǎn)品時(shí),一定要理解和確定應(yīng)用程序?qū)τ谄渌踩ぞ叩臐撛谝蕾囆?。這樣才能保證使用正確的安全工具處理這種特殊的任務(wù)及其所集成的其他組件。
例如:有一些惡意軟件沙箱是完全獨(dú)立工作的。所有數(shù)據(jù)流都通過沙箱,而惡意軟件沙箱工具則負(fù)責(zé)過濾合法的流量,同時(shí)標(biāo)記出一些可疑的數(shù)據(jù)——因此需要額外的測(cè)試。但是,其他一些惡意軟件沙箱則依靠NGFW和/或SWG來標(biāo)記可疑數(shù)據(jù)。因此,我們必須保證NGFW和SWG能夠執(zhí)行惡意軟件沙箱所需要的功能。
此外,所有網(wǎng)絡(luò)安全措施都必須與安全信息與事件管理(SIEM)平臺(tái)相兼容。SIEM的作用將捕捉所有事件,并將來自各種安全工具的數(shù)據(jù)記錄到一個(gè)知識(shí)庫(kù)中。然后,SIEM可以分析數(shù)據(jù)以發(fā)現(xiàn)潛在惡意安全趨勢(shì)及合規(guī)性問題。雖然大多數(shù)數(shù)據(jù)采集技術(shù)都使用基于標(biāo)準(zhǔn)的日志記錄和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP),但是一定要確認(rèn)計(jì)劃使用的安全工具兼容目前已經(jīng)在使用或計(jì)劃實(shí)現(xiàn)的SIEM。