對於IT專家而言, 網路安全無疑是最重要的的話題之一。 即便是對安全工程師、首席資訊安全官、首席資訊官、甚至首席執行官也是一樣。
網路安全的關鍵問題在於:“究竟如何才能提升安全性?”其答案就在於“增強串聯安全工具的部署”。 在遵循PCI-DSS標準與HIPAA監管要求方面, 串聯安全工具部署也許並不十分重要, 但它對提升安全架構的防禦效果來說, 卻是必不可少。
關於IT專家如何改進企業串聯安全架構, 可被歸納為以下五項舉措:
1. 在網路與安全工具之間安裝旁路交換機, 以提高網路可用性與可靠性
2. 在網路進/出口處部署威脅情報網關,
3. 將SSL解密功能從現有安全設備(如:防火牆和WAF等)分離到網路資料包中轉設備或專項設備, 以降低延遲並提高安全工具效率
4. 對可疑資料按順序進行工具鏈式檢查, 以便改進資料檢查流程
5. 利用N+1或高可用性技術, 插入網路資料包中轉設備, 提高安全設備可用性
旁路交換機通常是提升網路安全性與可靠性一個不錯的起點。 雖然直接部署串聯安全工具亦可以加強防線, 然而一旦出現故障, 這些工具也會形成單個故障點。 雖然安全工具中的內置旁路可以儘量降低這種風險, 但如果在後期需要移除該工具設備, 它也可能會形成另一個服務中中斷點。
外部旁路交換機不但具有內部旁路的優勢,
威脅情報網關是第二個出色的策略, 這是因為它能消除往來的已知惡意IP位址流量。 企業即使配備了防火牆、IPS以及各種安全工具, 仍對每天遭受重大入侵的原因毫無頭緒, 為什麼?這是由於大量的警報極大地佔用了安全團隊的處理能力以及基礎架構容量。 威脅情報網關可自動協助過濾進入網路且需要分析的流量。 通過消除已知的惡意流量, 一些企業減少了30%以上的IPS誤報,
雖然許多安全工具(如:防火牆、WAF和IPS等)具有流量解密的能力, 以便對傳入流量進行安全分析, 但這也會影響CPU性能, 並大幅拖慢(高達80%)安全設備的處理能力。 這是因為這些設備的處理器同時也在執行其他任務, 例如分析資料包以應對安全威脅, 包括:跨站腳本攻擊(XSS)、SQL注入、隱藏的惡意軟體以及安全威脅等。 因此SSL解密有可能成為這些安全工具的巨大負擔, 並降低安全工具效率, 進而增加檢查網路資料的成本。 由於在資料解密時會受到性能衝擊, 許多安全團隊會選擇關閉安全工具的此項特性, 而這將可能帶來極大的安全風險。
解決方案之一就是採用網路資料包中轉設備(NPB),
另一個要考慮的策略是串列資料鏈, 它通過預定資料分析序列, 即以串列方式將可疑資料發送至多台安全工具進行額外安全檢查與解析——增強資料檢查。 這確保了各種行動的正確順序且不會遭到忽略。 安全與監測工具可以通過網路資料包中轉設備內的軟體資源調配而連接起來, 以控制資料流程在選定服務依序傳輸。 這實際上可以讓您實現自動化檢查流程, 以增加警報檢查與後續行動。
第五種增強安全架構的方法是通過安裝有擴展性生存能力的NPB來提高安全設備的可用性。
雖然在不使用網路資料包中轉設備的情況下, 上述任務也能完成, 但負載均衡設備及其方法往往過程複雜。 網路資料包中轉設備具有內部程式設計能力, 可處理負載均衡及心跳資訊,以檢測工具何時出現故障以及何時可用,從而構建起經濟高效的自愈架構。而另一個更加穩健但成本更高的選項就是部署高可用性,即N+M選項,在該選項中,配備了一套完全冗餘的設備。儘管成本非常高,但根據業務需求,這可能也是最佳的選擇。
上述五大舉措可以顯著改進安全架構,包括解決方案可靠性,真實檢測以及防止/限制安全威脅。
可處理負載均衡及心跳資訊,以檢測工具何時出現故障以及何時可用,從而構建起經濟高效的自愈架構。而另一個更加穩健但成本更高的選項就是部署高可用性,即N+M選項,在該選項中,配備了一套完全冗餘的設備。儘管成本非常高,但根據業務需求,這可能也是最佳的選擇。上述五大舉措可以顯著改進安全架構,包括解決方案可靠性,真實檢測以及防止/限制安全威脅。