企业网络安全方案企业网络安全之大规模纵深防御体系设计与实现

教程列表见微信微信官方账号底部菜单

文章图片

本文展示了如何进行整体安全建设，从点到面从哪里开始布局，最终实现系统建设所需的大部分任务。
1.设计方案的考虑
检测和保护的作用
很多人提到了一个问题，“既然是纵深防御，似乎就有很多部分，但是用于防护的部分很少”，这确实是大规模安防系统的现状。因为安全手段必须妥协才能适应业务，而不能只以安全效果最大化来衡量。所以基于给业务让路的原则，检测方法有很多，阻断方法一般都不好用。在BAT这样的商业模式中，广义上的服务占了绝大多数，所以在很多场景中，阻断安全手段变成了WAF，而除了WAF之外，似乎没有太多具有强阻断属性的安全产品，所以最后给人的印象是，除了WAF之外，其他所有的安全产品都是检测安全产品。客观来说，如果你熟悉甲方的安全施工，WAF并不是唯一的拦网角色。所谓保护是一系列措施的结果，包括但不限于以下措施:
低安全域分区/VPC/VLAN隔离。
●OS硬化，比如目录的wrx权限，cgroup+namespace+chroot。
●四层过滤。
最终的检测手段是相对独立的产品形式，而保护手段则是散落各处。
(1)数据流视角
感知防御系统的思想类似于从各个维度收集数据，然后利用大数据(包括机器学习)最终生成攻击告警信息。图1所示为传感数据源采集的公共维度，对应的是生产网络环境而不是办公网络环境。

文章图片

图1常见入侵感知数据源集合的维度
1)网络(安全)设备:防火墙、WAF、NIDS。在大型IDC环境中，这些产品可能不是“盒子”，而是分布式软件、模块或代理。
2)操作系统层:HIDS数据、系统本地日志和应用层日志。
3)运行时环境:比如JVM、Zend等解释器的定制日志。，这也属于可以在操作系统级别以形式收集的数据。
4)数据层:对应大型分布式中间件代理产生的访问和安全告警。
5)信息:由网络扫描器或主机本地代理收集的信息。
6)资产和配置管理数据:iplist等是基础数据。如果这样的数据不正确，在发现问题后，会对多维数据关联和处理流程造成很大障碍。
这个图中其实还有一部分没有标识出来:第三方数据(比如IP信誉、恶意域名、灰色URL等)。).但观察到，大部分企业的安全建设还不够成熟，无法引流常规维度的数据，所以这部分通常不会被放在紧迫重要的位置。
(2)服务器视角
从更具体的部署角度出发，以服务环境中的各个功能为例，描述了安全产品部署的选择性，因为并不是所有的安全产品都需要统一部署。
图2是一个抽象的大中型Web服务架构。通常情况下，SLB软件负载均衡(第7层)可能同时扮演一些WAF的角色，需要加载相应的WAF模块和人机识别模块(采集业务安全数据)。后端应用服务器，比如Java、PHP或者node.js，首先是一个Linux OS环境。需要在HIDS主机层进行入侵检测。其次，因为有应用程序在上面运行，所以需要RASP运行时环境的沙盒模块。一般来说，需要一个收集大数据日志的代理来收集系统和应用级别的实时日志(Flume是一个流行的大数据代理)。HIDS和水槽所使用的数据通道能否通过自主开发的方式合并成一个代理并不是解决这个问题的关键。这里解释需要实现什么功能。后来的中间件不是直接对外公开的服务，更多的是关注系统自身状态是否可疑，所以需要HIDS和一个大数据日志采集代理。如果后端是关系数据库，使用非私有的SQL协议，那么可以在这里加载SQL审计模块(形式上可能挂在旁路上)。如果使用私有协议，可以考虑将SQL审计改为接口调用审计。最后一个数据库关心的是操作系统本身是否被渗透，它也是一个HIDS，一个大数据代理。这些服务器上具有不同功能的数据收集点构成了感知的数据源。