企业网络安全方案企业网络安全之大规模纵深防御体系设计与实现( 二 )

文章图片

图2大中型网络服务架构示意图
(3)国际数据中心视角
是否涉及这个角度，完全看尺度。如果业务规模稍微大一点，自然会涉及到跨IDC、跨全球区域的问题。与安全意识相对应的技术架构也将随着业务形式而变化。具体到执行，一般是“后续”的基础。如果采用多中心分而治之的原则，安全数据不会刻意追求最终的汇聚点进行聚合。但是，一般来说，为了关注多维数据关联的准确性，会将多级日志聚合到一个中心计算节点，如图3所示，并在最终数据集上生成攻击检测告警。

文章图片

图3国际数据中心的视角
当敏感国家和地区受到数据保护合规性和合规性要求的限制时，可以适当采用区域划分的原则，使得区域内的安全大数据可以在该区域内计算，不跨区域传输。
(4)从逻辑攻防角度
从抽象的纯角度来看，如图4所示，对于企业的生产网络，最外围的威胁如下:1)4层流量类型；2)瘫痪；3)链接劫持。最外层对应的主要防御手段是抵抗。

文章图片

图4逻辑攻击和防御视角
反攻后的第一种防御模式是快速收敛入口，缩小攻击面。通常的手段是4层、5元组的ACL过滤或者服务反向代理，对外只开放80等主要服务端口，其他全部禁止。
经过四层协议过滤后，攻防模型进入第七层应用层协议对抗，1)/HTTPS协议，防御手段为WAF；2)非协议，主要使用NIDS。在节约成本的前提下，可以省略这一措施，改为通过服务强化和强审计的方式制定折中方案；3)CC等7层攻击，通常是类似WAF的软件模块。
7层协议的后端是应用程序代码的运行时状态，低于7层协议的CGI。在比较大规模的生产环境中，检测是主要的方法，在小规模的环境中，OWASP TOP 10中的大多数类型都可以通过模块以比较严厉的方式进行检测。
后面的攻击模型介于应用级攻击和系统级攻击之间，包括直接恶意攻击(or)、蛮力破解、直接调用系统命令但未获得完全系统权限的指令执行，对应的防御模型抽象为SQL审计、系统日志分析和检测。
在攻击链的末端，最后一层的攻击模型是获取系统权限，而防御者模型是检测权限和rootkit，对应的解决方案通常是HIDS的功能。在这里，整个对抗的过程已经基本完成。虽然从攻击的角度来看攻击并没有结束，但是后续的水平渗透攻击对应的防御模型基本上都涵盖在前面提到的层次逻辑中。
2.在不同的场景中剪辑
上述“成套”设计对于大多数企业来说还是太贵了。在业务规模和安全投入达到理想水平之前，只能做出一些妥协和削减，但这种削减仍然需要在有限的总安全投入(资金、人员、内部支持团队)水平下追求最大的安全效果。
(1)差异1)IDC量表
IDC规模对切割的影响最大，因为它决定了安全方面的总投入。说得极端一点，如果你为一个小网站得到一个modsecurity或者naxsi，你可以通过安装一个OSSEC来完成，所以你不必这么复杂。但是对于绝大多数既不是上海也不是那么小的平台来说，有很多省钱的方法，比如:
1)4层抗性成本很高，不用自己构建这个能力，7层抗性也可以依靠第三方，只是不要对效果期望太高。
2)如果你没有条件做网络光谱学，那就算了。扫描仪+Web日志分析也可以。