保护公司的数据中心就好比设法保护一头大象别让一大群苍蝇咬到。尽管你使出了浑身解数,大象到头来还是免不了被苍蝇咬。就在各安全组件(比如防火墙、反病毒软件、垃圾邮件和间谍软件过滤器)共同出现在产品套件中以便精细管理的同时,另外还有一些新兴的安全工具值得我们重新考虑。
轻松管理日志
首席安全官们面临的最大问题之一就是,搞清楚是什么因素在切实威胁着自己的数据中心。反病毒软件、防火墙和入侵检测系统可以把大量数据记入日志,而这些数据涉及谁在试图对数据中心做什么事情。James Quin是加拿大安大略省伦敦信息技术研究集团的高级研究分析师,他表示仅仅跨不同的软件程序、跨各部门系统来跟踪分析这些数据,这本身就是大伤脑筋的难题。
Quin说:“让组织对所有这些数据进行解析,然后把它们关联起来,并进行相互参照,这涉及巨大的工作量,也很费人力。”他建议使用能够从各种系统聚集数据的日志分析器,这种分析器又叫安全信息管理器(SIM)和安全信息与事件管理器(SIEM)。这种工具便于集中关联及管理日志,还通常随带报告和分析工具。
ArcSight就是这样一款工具,它最适合跟踪大量日志数据或者需要许多功能的那些公司。
旧金山富国银行的高级信息安全工程师Dennis Hein说,ArcSight好比是“分析日志的瑞士军刀”。他利用该产品,把这家银行的所有系统日志汇集到一个地方。他说,这样自己就不必跟踪查明异常情况。Hein说:“以前要花好几天来调查,现在我们只要几分钟、几小时内就能调查完毕,因为这款工具经设置后可得出格式符合规范的报告。”
对那些规模比较小或者不太需要定制的公司而言,虽然TriGeo网络安全公司的TriGeo和赛门铁克公司的安全信息管理器其功能不如ArcSight来得强大,但是它们用起来更简单,对没有特定安全专业知识的公司而言更是如此。
使用日志汇集器的另一个实际原因就是,它们能够阻止智能化攻击。Mike Halperin是位于马萨诸塞州韦斯特伯勒的Akibia公司的技术副总裁,这家公司专门提供数据中心方面的咨询服务。他说:“如果知道怎么做的某个人进入贵公司,攻击事件可能会引发一连串黄旗,但不会引发红旗。”
暴露缺点
首席安全官应当进行反省,因而需要在数据中心里面进行搜索,查找薄弱环节。就这个过程而言,可以考虑使用漏洞评估和管理工具,比如eEye Digital Security公司的Retina漏洞扫描器、GFI LANguard公司的漏洞扫描器(具有补丁管理和安全审计功能),或者是Qualys,这款使用起来相对简单、基于Web的工具适用于可能缺少具备相应技能的安全人员的公司。
总部设在加利福尼亚州默塞德的县银行(County Bank)开有40家分行,运行一台AS/400服务器和大约40台PC服务器,使用Qualys定期对服务器进行扫描。
县银行的信息安全官Charlie McClain说:“有Qualys这样的工具极为重要,因为Windows环境里面的安全漏洞情况每天都在变化。”他之所以喜欢Qualys,是因为它可以找出那些最新的安全漏洞,这意味着他没必要亲自查找。
除了每天扫描Windows服务器外,县银行还每个月扫描一次AS/400服务器。
市面上还有Nessus,这款开源漏洞扫描器因内核兼容性问题而不再包括在BackTrack CD中。
经常进行扫描很重要。Ken van Wyk是总部设在弗吉尼亚州亚历山德里亚的KRvW Associates公司的创始人兼首席顾问,他说:“每天扫描一次,查找人们经常犯的愚蠢错误。”他表示,应用程序、系统配置、服务器或网络出现的任何更改无意中都可能会暴露安全漏洞——这是意外后果,要及早发现这些漏洞。
助力计算机取证
漏洞扫描器也许是最知名的计算机取证工具了。取证工具多种多样,既有功能基本的日志扫描器,又有能够深入检查系统内部情况的非常复杂的程序。运行及使用这些工具所需要的技能和技术知识大不相同。重要的取证分析是专家们的工作,但是其他比较简单的分析工具几乎谁都会使用,不过解读分析结果可能要有专门知识。每个首席安全官至少要有一些基本的取证工具用于数据中心。
BackTrack 3 CD也许是一个最好的例子。BackTrack 3 CD(www.remote-exploit.org/backtrack.html)是一款光盘启动(Live CD)发行版,里面含有一批开源取证工具。弗雷斯特研究公司的高级分析师John Kindervag说:“从事数据中心安全工作的人要做的其中一件事情就是,下载BackTrack 3 CD,学习如何使用,并学习如何深入了解网络环境。”
查漏补缺
有一种软件能够监控离开数据中心的数据,并且试图防止敏感数据外泄出去,它就叫数据泄漏防护软件。这个相当新的领域还有其他好多名称,比如数据丢失预防(DLP)、信息泄漏检测和预防(ILDP)、信息泄漏防护(ILP)、内容监控与过滤(CMF))或者泄露预防系统。
数据泄漏防护技术所用软件可以监控哪些数据从数据中心发出去,并且试图防止敏感数据外泄出去。由于许多公司的重点从完全关注进入公司的威胁,转移到哪些数据离开了本公司,于是这项技术备受关注。Quin说:“确保数据没有以不适当的方式离开公司从而保护数据很关键。”他补充说,数据泄漏防护“照目前情况来看还不是标准技术,但肯定与每一家公司都大有关系。”
DLP市场中的大多数公司是刚成立的新兴公司;不过在过去的半年左右时间里,一些知名安全厂商已经收购了这个市场的许多独立厂商。他强调,如今赛门铁克公司拥有了Vontu,RSA拥有了Tablus(如今是RSA数据丢失预防套件的一部分),迈克菲也拥有了Reconnex。Quin说:“这些工具得到了规模更大、财力更厚、能力更强的大公司的支持,工具组合起来使这些工具和这些公司处于领导地位。”
其他需要考虑的因素是公司规模有多大以及你需要专门为安全投入多少资源。Quin表示,目前这样有几个领域:功能最强大的产品未必是最适合中小企业的产品;不管怎样,首席安全官都必须评估比较功能与制约因素(如价格和人员需求)。
必须遵守
控制访问是数据中心安全管理的一个基本方面。经过设置后可控制合法用户能够访问哪些资源的身份管理系统如今已经得到了确认,此类工具包括IBM公司的Tivoli身份管理器和访问管理器,以及Oracle、BMC、冠群和Novell等公司的竞争性产品。
不过访问管理中一个新出现的部分就是策略合规管理系统,它使用安全策略来控制对资源的访问,而不是查看每个身份。赛门铁克的BindView和Elemental安全公司的Elemental安全平台就是这样的产品。
要记住这点:数据中心安全的一个方面在于,许多工具都有相互重叠的功能和特性集。比方说,一名分析师使用的日志分析工具到了另一名分析师手里说不定就成了安全信息管理器。厂商们试图增强产品线功能的同时,这种情况可能继续存在。