如何通过部署深度防御来规划安全的网络

深度防御(Defense-in-depth)描述的是利用一系列防御机制来保护计算机网络的理念,这一系列防御机制的组织结构方式是:如果其中某一机制无法正常运行,会有另外一个可正常运行的机制替代它。本文侧重描述一个实用的利用现有技术来部署深度防御的例子,以及探索怎样将它们结合起来,从而构建一个全面、有效的企业网络安全体系。

环境

为了阐述怎样部署深度防御,我们先来考虑下面的一个普通企业信息技术体系方案。许多企业都选择使用第三方作为基础设施托管商,他们这样做是有一些原因的。通过同外部托管商合作,企业可以使传统范围和权力模式(也称为空间出租,colocation)都限制在托管商那里的一个非常安全的平台中,同时还可以自己对系统进行管理,或者从提供商那里购买功能更强大的托管服务,包括网络、系统和安全服务。这种平台通常是为托管一个企业的公共访问系统而设计的,服务范围从企业用户的邮件或文件传输,到企业的电子商务平台。

无论采取配置或托管部署方法,安全性都是这种平台设计中的重要组成部分。典型的为这种平台设计安全体系的方法是从网络开始的,为了便于讨论,我们假设企业将其电子商务平台托管在该工作环境中,该电子商务平台(为了讨论的方面,我们对其进行了高度的简化)包括Web层,它扮演的是各种交易的购物车或是支付途径的角色,这反过来又是通过中间设备(应用服务器)和数据库层来支持的。这种设计需要每个层面都在自己专门网络中进行管理,即虚拟局域网(VLANs),这通常是通过使用类似防火墙一样的过滤设备分割层面来实现的,即将Web服务器设置在低安全接口处,而把中间设备和数据库层设置在高安全接口处,中间设备和数据库层不能从公共网络直接访问。在有些设计方案中,中间设备和数据库层在同样的防火墙接口处,但是在不同VLAN,这种情况下,两个层面之间就不存在网络流量过滤,除非通过开关强制执行。

在这种情况下防火墙可能主要也只是起到对互联网的防御作用。而我们要做的是:利用现有的安全技术,以这种环境平台为基础,实施一个深度防御战略。

实用深度防御

我采取一种“厨房水槽”方式来实施如上所述的环境的安全保障工作,用这种方式,每一部分能够独立于其它部分单独实施,并且能随每个企业的特定具体要求而定。

深度防御刚开始可能面临的难题是由提供商所提供的网络基础设施中的企业平台外部强制引起的。这种技术组件负责保护平台不受分布式拒绝服务(DDoS)攻击,而DDoS攻击缓解技术通常由两部分组成:第一部分负责通过监控正常传输流中存在的异样来检测攻击,第二部分负责通过已知的传输行为方式来缓解这种攻击(例如威胁管理系统,即TMS)。

DDoS保护是通过近乎即时传输分流来实现的,这种分流采用从核心路由设备到DDoS清理中心(TMS)的边界网关协议(BGP)。最有效的DDoS攻击缓解方法是通过提供商的基础设备(上游)来实现的,因此链接饱和与增加带宽花费的风险就降低了。

虽然防火墙在防御某些网络威胁时是有效的,但在一些端口对互联网HTTP(80//TCP)和HTTPS(443/TCP)开放的托管平台里,防火墙的效果就降低了。在这种平台环境中,再加入一个网络应用防火墙(WAF)以形成一个增强的防火墙体系,这是一个不错的想法。

WAF主要为保护平台免受一些特定应用型攻击服务,如跨站点脚本(XSS)、结构化查询语言(SQL)注入和参数的篡改。这些设备通常是在托管平台内沿防火墙到核心网关之间的途径配置的,在那里,WAF起一个桥接设备的作用,具有阻止与已知应用层的攻击媒介相匹配的攻击的能力,同时,它也可以在硬件故障时使打开命令不能执行,这样可以保证传输继续流到网络服务器处。一些WAF供应商还提供数据库监控和保护功能,能够处理针对数据库的威胁,保护是通过代理实施,并安装在托管数据库实例的服务器上的。

由于WAFs通常侧重于来自应用层的攻击,它们在阻止类似网络蠕虫这样的以网络为中心的攻击时,效率是有限的。WAF可以用来与入侵防御系统(IPS)配合,这种方式的侧重点是利用基于签名的网络层缓解措施,从而弥补这方面的不足。这些设备可以作为能够与内嵌防火墙集成的模块,在那里即使威胁离开防火墙也能被阻止。

当我们越靠近服务器平台,对深度防御来说,防止恶意威胁与文件系统监控就变得至关重要。这可以通过主流杀毒反恶意软件产品和内容完整性监控系统(CIMS)的结合使用来实现,从而实时跟踪并对文件系统的变化发出警报。

将所有这一系列捆绑起来就形成了一个集中的日志管理系统,除了具有传统的服务器日志功能之外,它还可以储存来自每个安全组件的工作记录。日志管理系统(LMS)除了可以为从各个安全组件查询记录数据提供灵活的搜索界面之外,还可以在预先设定的事件过滤器上产生实时警报。另外,一系列以日志管理为基础的产品,称为安全信息和事件管理(SIEM)系统,也可以被用在日志管理系统(LMS)上,SIEM通过提供智能威胁分析和威胁缓解功能而扩展了LMS的功能。

组合

正如你所看到的,从提供商的基础设备DDoS攻击缓解开始,到防火墙和IPS技术对网络的保护,到WAF对应用层的保护,再到CIMS对文件系统完整性的保护,最后到LMS起到储存来自各个安全组件和服务器组件日志信息的作用,我们已经确定了一种具体的、可用于保护企业托管平台每个组件的安全技术。通过实施深度防御,或者只实施其中的部分组件(如LMS),你的企业将逐步进入一个灵活的、可以提供实时安全威胁监控的安全平台。