強(qiáng)化安全架構(gòu)的五大方法

網(wǎng)絡(luò)安全的關(guān)鍵問題在于：“究竟如何才能提升安全性？”其答案就在于“增強(qiáng)串聯(lián)安全工具的部署”。在遵循PCI-DSS標(biāo)準(zhǔn)與HIPAA監(jiān)管要求方面，串聯(lián)安全工具部署也許并不十分重要，但它對提升安全架構(gòu)的防御效果來說，卻是必不可少的。

關(guān)于如何改進(jìn)企業(yè)串聯(lián)安全架構(gòu)，可歸納為以下五項(xiàng)舉措：

第一，在網(wǎng)絡(luò)與安全工具之間安裝旁路交換機(jī)，以提高網(wǎng)絡(luò)可用性與可靠性。外部旁路交換機(jī)不但具有內(nèi)部旁路的優(yōu)勢，還消除了直接部署串聯(lián)工具的痛，因?yàn)樗峁┳詣影葱枋焦收锨袚Q功能，對網(wǎng)絡(luò)的影響幾乎難以察覺。

第二，在網(wǎng)絡(luò)進(jìn)/出口處部署威脅情報(bào)網(wǎng)關(guān)，以減少安全誤報(bào)。威脅情報(bào)網(wǎng)關(guān)可自動協(xié)助過濾進(jìn)入網(wǎng)絡(luò)且需要分析的流量。通過消除已知的惡意流量，一些企業(yè)減少了30%以上的IPS誤報(bào)，從而讓網(wǎng)絡(luò)安全團(tuán)隊(duì)集中精力應(yīng)對真正的潛在威脅。

第三，將SSL解密功能從現(xiàn)有安全設(shè)備分離到網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備或?qū)ｍ?xiàng)設(shè)備，以降低延遲并提高安全工具效率。雖然許多安全工具有流量解密的能力，但這也會影響CPU性能，并大幅拖慢（高達(dá)80%）安全設(shè)備的處理能力。SSL解密有可能成為這些安全工具的巨大負(fù)擔(dān)，降低安全工具效率，進(jìn)而增加檢查網(wǎng)絡(luò)數(shù)據(jù)的成本。由于在數(shù)據(jù)解密時會受到性能沖擊，許多安全團(tuán)隊(duì)會選擇關(guān)閉安全工具的此項(xiàng)特性，而這將可能帶來極大的安全風(fēng)險(xiǎn)。因此需采用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備（NPB），由該設(shè)備執(zhí)行數(shù)據(jù)解密，或者將此項(xiàng)任務(wù)交由單獨(dú)的解密設(shè)備。一旦數(shù)據(jù)被解密后，網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備就能將這些數(shù)據(jù)轉(zhuǎn)發(fā)給一臺或多臺安全工具進(jìn)行分析。

第四，對可疑數(shù)據(jù)按順序進(jìn)行工具鏈?zhǔn)綑z查，以便改進(jìn)數(shù)據(jù)檢查流程。串行數(shù)據(jù)鏈通過預(yù)定數(shù)據(jù)分析序列，即以串行方式將可疑數(shù)據(jù)發(fā)送至多臺安全工具進(jìn)行額外安全檢查與解析——增強(qiáng)數(shù)據(jù)檢查。這確保了各種行動的正確順序且不會遭到忽略。

第五，利用N+1或高可用性技術(shù)，插入網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備，提高安全設(shè)備可用性。優(yōu)秀的網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備將擁有兩個選項(xiàng)。第1個選項(xiàng)一般稱作N+1，部署于負(fù)載共享配置內(nèi)。在負(fù)載共享配置中，配備1臺額外安全設(shè)備，以應(yīng)對其中某個重要工具出現(xiàn)故障。如果其中1臺設(shè)備有故障，總數(shù)據(jù)負(fù)載仍可由剩余設(shè)備加以處理。待發(fā)生故障的工具恢復(fù)正常后，其它工具將恢復(fù)負(fù)載共享配置。

網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備具有內(nèi)部編程能力，可處理負(fù)載均衡及心跳信息，以檢測工具何時出現(xiàn)故障及何時可用，從而構(gòu)建起經(jīng)濟(jì)高效的自愈架構(gòu)。而另一個更加穩(wěn)健但成本更高的選項(xiàng)就是部署高可用性，即N+M選項(xiàng)，在該選項(xiàng)中，配備了一套完全冗余的設(shè)備。盡管成本非常高，但根據(jù)業(yè)務(wù)需求，這可能也是最佳的選擇。