【IT168 专稿】威胁越来越复杂,法规遵从要求越来越高,加上应用程序不断变化,这不断给你的网络安全体系留下了新的缺口。你知道,更多的单点解决方案并非解决之道——你的团队很难管理已经拥有的系统。但试图通过选择一家提供单一安全功能的厂商,从而统一威胁管理基础架构,这未必能解决你的问题。实际上,除非你的厂商提供统一的管理、报告和全球威胁研究,否则你最终得到的管理难题与多厂商解决方案的一样多。
网络安全难题
作为控制网络安全的IT主管而言,你面临一项困难的任务,这归咎于面临的威胁越来越复杂,法规遵从方面的压力越来越大,而且新的应用程序和技术带来了各种漏洞。
黑客不再那么关注扬名立万,而是牟取经济利益——实际上,有组织的犯罪活动正在成为网络安全之争当中一个越来越重要的角色。再加上广泛存在的漏洞开发框架,多了牟取经济利益这一层动机后,就意味着威胁的出现和变化比以往更快,而威胁不再依赖单单某种利用漏洞的机制。此外,你要关注的不只是网络层安全——当初防火墙和入侵防御系统(IPS)就是针对这种安全而开发的;还要关注内容(数据)层安全。邮件安全、反病毒、反垃圾邮件、Web过滤和反间谍软件……你所需要的技术只会越来越多。
考虑到这种压力,你还可能面临这种可能性:没有跟上这些威胁的步伐,结果面临刑事和民事惩罚,这无异于雪上加霜。监管法规和非常好的实践方面的指导原则给IT主管们添加了巨大的尽职调查压力,比如《萨班斯-奥克斯利法案》、《巴塞尔第二号协议》和支付卡行业数据安全性标准(PCI/DSS)。
你不但要跟上最新技术的步伐以应对潜在攻击,证明你已经尽了最大努力来保护敏感的数据和网络,还要能够把流量和事件记入日志。这不但有助于证明你遵从法规的法律要求的审计,还有助于取证工作——为了发觉及迅速补救安全体系当中的薄弱环节,取证工作非常重要。
最后,更糟糕的是,IT主管面临的最大难题是:为了提高经营效率,并且有助于提升竞争优势、促使业务成功,你只好竭尽全力来提供更高的用户移动性、互连性以及第三方访问你网络的便利。另外,你已经认真采用了新技术(它们承诺可以增加利润),实施了新的应用程序,并让现有的应用软件处于最新版本。而得到的回报是什么呢?无一例外的是,除了提高公司业绩外,你(或者确切的说,你的厂商)势必会增添新的缺口给攻击者留下可趁之机。而这甚至还没有考虑像用户可能会私自添加的Skype这些互联网应用,以及他们本身带来的种种漏洞!
遗憾的是,你要做所有这些工作,但预算与这些威胁的紧迫性相比却微不足道。事实上,IT安全只是整个IT预算的一部分;而IT预算又只是整个公司预算的一小部分。你不但要根据威胁对公司的潜在影响来认真评定威胁级别,还要根据IT预算中的其他各部分来权衡适当的补救技术和产品。最后就是,这一切必须基于这个必要原则:降低与资本支出有关的运营费用。要是你派不出人员和时间来运营,那么世界上最好的威胁管理策略对你也没有太大的好处。
这一切可以解释为什么IT主管们对统一威胁管理如此有兴趣,因为它有望降低实施及管理安全基础架构的复杂性,从而降低成本。但它同时也为关注这种统一的IT主管们提供了一种特别实用的方法,这种方法可以归纳为以下三点:
1、不要把安全本身看成是目标,把它看成确保网络和应用程序可用性的一个重要部分更合适——目的是让用户能完成工作。你选择的安全技术和产品将取决于它们实际上如何满足这个目的。这种观点的一个优点就是,因而很容易把安全决策与总体IT目标联系起来,并且与服务对象:公司的经济收入联系起来。
2、厂商合并变得很重要。要降低运营费用,需要简洁性,而不是复杂性。继续购买各不相同的“同类中非常好的”的单一功能产品,以应对不断变化的安全“威胁格局”,那只会带来管理上的灾难;如果你最后面临难以管理的混乱局面,单一功能产品性能再佳,也毫无用处,正如下文会介绍的那样,这同样需要你选择的厂商提供统一的管理、报告和搜索功能。
3、没有叉车式升级!不管你实施了什么方案,都必须作为现有安全投资的补充。这个道理太明显不过了,简直不值得一提;可是那么多的厂商似乎想当然地认为:自己的解决方案胜过你在多年来的慎重投资、实施、培训和经验。不过,这同样使得统一的管理、报告和搜索功能变得更加重要,避免数量激增的管理接触点(management touchpoint)多得你的团队无力应对。管理方面的复杂性望远不可能完全避免,但如果选择合适的厂商,还是可以尽量减小复杂性的。
实用主义的本质就是不考虑那套理论,而是把相反的概念付诸实践。相反,实用主义者则利用理论作为一张地图,任期藉此寻找一种实用的解决方案。为了制作一份有用的地图,以便找到统一威胁管理基础架构的出路,一个办法就是把你的IT基础架构分成多个功能网段(functional network segment),它们也许是物理型的(如数据中心或者核心),也许是逻辑型的(如访客接入或者电子邮件通信)。然后,你可以试着找出每一个网段当中可能存在哪些安全缺口。这样你在进一步调查比较各种技术和厂商时知道应该问哪些问题,列一份简短的清单,然后做出最后的决定。
要遵守这种实用策略,先要问一个简单的问题:我在以下每一个功能网段都落实了合理的产品和技术吗?
- ·边界
- ·数据中心
- ·核心
- ·ROBO/SOHO
- ·安全的电子邮件通信
- ·端点
该表总结了这些网段和需要保护它们的技术。为了帮你开始制作一份地图以便查出潜在的安全漏洞,我们会逐一进行很简短的介绍,并列出了哪些挑战可能会带来危害性特别大的缺口。
部署的IT基础架构 | 边界 | 数据中心 | 核心 | ROBO/SOHO | 安全的电子邮件 | 端点 |
网络层保护要求 | ||||||
防火墙 | X | X | X | X | X | |
IPsec VPN | X | X | X | |||
SSL VPN | X | X | ||||
入侵检测系统(IDS) | X | X | X | X | ||
入侵防御系统(IPS) | X | X | X | X | ||
网络准入控制(NAC) | X | X | ||||
内容层保护要求 | ||||||
Web过滤 | X | X | X | |||
反病毒、反间谍软件和反恶意软件 | X | X | X | X | X | |
反垃圾邮件 | X | X | X | X | X | |
即时通讯防火墙 | X | X | X | |||
P2P防火墙 | X | X |
·边界
网络边界过去常常是网络安全的争论焦点。现在不是这样了,但就算还是这样,网络边界仍是你的第一道防线。这也是许多外部威胁所针对的地方,特别是怀有犯罪意图的那些威胁。在这方面,你面临网络层和内容层的多种威胁。应当最关注的潜在缺口会出现在VPN(IPSec或者SSL)、防火墙、入侵防御系统(IPS)和反病毒等解决方案中——吞吐量、可用性、最新的威胁程序等等。考虑一下这些解决方案的集成程度多紧密,只有紧密集成才有可能在保护方面获得协同效应,从而提高网络层和内容层的安全性。
·数据中心
数据中心是贵公司的核心。这里放着让用户能够处理工作的各种服务器和应用程序。不过总的说来,这方面的最大挑战在于吞吐量和实时操作,尤其是在关键任务应用程序的反病毒和内容扫描方面——如果解决方案跟不上要求,恶意内容最终就会潜入进来,即使不会影响你的所有用户,也会影响许多用户。统一威胁管理解决方案可以在这方面发挥作用,但前提是它们提供可扩展的容量和性能,另外提供高可用性。为了获得最高的可靠性和灵活性,就要寻找与高级电信计算架构(ATCA)兼容的硬件。
·核心
在网络核心,面临的挑战包括粗大带宽、数量众多的同步会话,还有IP语音传输(VOIP)等实时应用——这类应用的特点就是数据包很小。要当心:许多解决方案——尤其是在大众化硬件(如PC)上运行的软件——可能声称吞吐量很高,可以处理512字节的数据包;但实际上,它们在处理VoIP等应用所特有的比较小的数据包时,会出现性能严重下降。虽然在网络核心,主要关注的是防火墙、VPN和入侵防御系统(IPS)等系统的操作,但选择的解决方案必须提供可扩展的容量、性能、高可用性和冗余性。这正是ATCA硬件和专用ASIC处理器的职责范围,它们可以加速网络层和内容层保护功能!
·ROBO/SOHO
远程办事处/分支机构(ROBO)和小型办公室/家庭办公室(SOHO)工作带来了与传统边界防御同样的问题。它们不但增加了漫游的用户和设备,以及无线网络和各种接入设备(如DLS调制调解器)的安全漏洞,还增添了语音及其他实时应用。同样要检查任何解决方案在处理小数据包方面的性能,确保厂商标称的吞吐量适用于这些应用。这方面最关键的也许是良好的集中管理。你不可能做到每个分支机构都派有IT员工,在雇员家里更做不到这一点!你将依靠UTM厂商功能强大的产品来帮助自己:比如便于集中管理的反病毒、反间谍软件和Web内容过滤等功能。
·安全的电子邮件通信
用户们对电子邮件不以为然,但关注安全的IT主管们绝对不可以这样。从许多方面来看,这是最根本的安全缺口:电子邮件是传播病毒感染的头号途径、导致数据不安全的一个重要来源(由于一无所知或者不怀好意的用户)、而且常常是引发法律纠纷的根源(比如各种不当行为及/或侵权行为)。这方面的挑战是来自多方面的。当然,最主要的是入站安全:垃圾邮件、间谍软件、病毒及其他种类的恶意软件。但也不要忽视了出站安全:说到遵从法规要求,先进的归档功能可能是一项重要功能;出站内容过滤功能可以保护重要的机密信息。
·端点
深层防御需要密切关注网络上的端点:台式电脑、笔记本电脑以及越来越多的个人数字助理(PDA)。这方面的安全缺口既影响网络的完整性,又影响应用程序的完整性;能够严格遵守公司制订的安全标准是关键所在。如果端点不安全,就不可以接入网络!防范间谍软件和病毒的保护机制具有的效果尤其重要。个人防火墙和可靠的VPN客户端能够增加另一层保护。
你在考虑统一威胁管理解决方案时,寻找这样一家厂商很重要:它不但提供一系列广泛的安全技术;更重要的是,它还为你提供统一的管理、报告和威胁研究。不然,你最后会面临与一批不同的单点产品带来的同样的管理负担,从而严重浪费你的经营开支。
·统一的管理
管理安全基础架构的首要工作就是,制订、分发及执行安全策略,另外管理网络上各个部分的多个安全设备的配置,如上所述。你的UTM解决方案应当提供单一管理控制台,用于策略设置及配置版本控制。
此外,考虑到威胁格局具有动态变化的特性,你需要通过中心控制台,实时了解整个企业的安全事件和系统事件,并与报告功能集成起来。最后,为了避免少数几个关键员工身上的管理负担越来越大,就要坚持采用基于角色的管理,以便对管理工作实行细粒度控制。
·统一的日志、报告及分析
策略管理需要强大的报告功能,以便能够集成来自多个设备和技术的事件;并且能提供网络容量和利用情况方面的数据,帮助你的团队有效地规划及管理网络。你需要预定报告和按需报告;为了帮助你避免从事重复性工作,厂商应当根据客户们的使用体验,提供数量众多的标准报告;又允许你对报告进行定制,以满足特定的要求。为了充分发挥UTM解决方案提供的集成功能,就要着眼于事件关联、取证分析和漏洞扫描等功能。当然,还有能够与管理控制台紧密集成!
·统一的威胁研究
最后,要牢记这一点:UTM解决方案当中的许多技术依靠及时更新配置文件、病毒特征、URL及其他威胁信息,让你能够应对千变万化的威胁。但单单自动更新机制还不够,UTM厂商应当愿意为你提供更新方面的服务级别协议(SLA),最好是按几小时、而不是按几天来评估服务。威胁响应时间至关重要!这些更新应得到综合更新库、全球威胁研究团队(网络越广泛,就有可能越早发现新威胁)以及24/7运营方式的支持。最后,还要寻找威胁反馈机制,以便你遇到的情况能迅速成为解决方案考虑的一部分。
总之,统一安全解决方案为关注网络安全的IT主管们提供了一种方法,可以把多项新的安全技术集成到网络基础架构当中,又用不着增加管理接触点。这些解决方案不但包括统一威胁管理网络设备;在某些情况下,还包括专用的电子邮件安全设备和端点保护机制,另外还有及时、完整的全球威胁研究,确保保护机制能够应对最新的威胁。
最主要的是,这类解决方案必须提供统一的管理和报告控制台,以便把所有部分融为一体——因为没有这种统一控制台,解决方案也就无法兑现有望降低IT部门每个部分要求的运营开支的承诺。安全缺口分析是选择合适UTM解决方案、并将其与现有安全投资集成的第一步。
简而言之,你的网络应当得到端到端UTM解决方案全面而统一的保护,如下图所示,既为你提供了保护网络各个部分的灵活性,又提供了对你的环境很有必要的相应安全功能。
图表1:威胁复杂性不断加大
