常見(jiàn)網(wǎng)絡(luò)安全防御體系
2019年07月18日
常見(jiàn)網(wǎng)絡(luò)安全防御體系
大多數(shù)互聯(lián)網(wǎng)公司的業(yè)務(wù)開(kāi)展都依賴互聯(lián)網(wǎng),所以我們這里討論的是基于數(shù)據(jù)中心/云環(huán)境下的業(yè)務(wù)網(wǎng)絡(luò)安全問(wèn)題�����。甲方安全的主要職責(zé)是保護(hù)公司互聯(lián)網(wǎng)業(yè)務(wù)的安全,比如業(yè)務(wù)持續(xù)性����,業(yè)務(wù)數(shù)據(jù)的私密性,所以要優(yōu)先解決以下問(wèn)題:
抗DDOS攻擊��,保障業(yè)務(wù)的持續(xù)性;
防拖庫(kù)���,保護(hù)業(yè)務(wù)數(shù)據(jù)的私密性����,放置用戶數(shù)據(jù)�,交易數(shù)據(jù)等核心數(shù)據(jù)被竊取;
放后門,防止黑客非法獲取服務(wù)器權(quán)限�。
邊界防御體系
常見(jiàn)的防御體系是邊界防護(hù),從UTM到下一代防火墻�,WAF都是這一體系的產(chǎn)物,這類體系強(qiáng)調(diào)御敵于國(guó)門之外����,在網(wǎng)絡(luò)邊界解決安全問(wèn)題。優(yōu)勢(shì)是部署簡(jiǎn)單��,只要在網(wǎng)絡(luò)邊界部署安全設(shè)備就行了�,似乎包治百病;但弱點(diǎn)也很明顯�����,一旦邊界被黑客突破,即可以長(zhǎng)驅(qū)直入����。有人打過(guò)一個(gè)比方,稱這種防御體系是城堡體系��,防御都在城墻����,防護(hù)住了還好,沒(méi)防住就只能讓敵人進(jìn)城屠城了��。
縱深防御體系
縱深防御體系是對(duì)邊界防御體系的改進(jìn)��,強(qiáng)調(diào)的是任何防御體系都不是萬(wàn)能的���,存在黑客可以突破防御措施的概率��,所以縱深防御體系的本質(zhì)就是多層防御����,就好比在城堡周圍建設(shè)了好幾道防御,城堡又分為外城和內(nèi)城�����,內(nèi)部重要設(shè)施還配備專職首位俄�����,黑客必須突破好幾層才能接觸到核心數(shù)據(jù)資產(chǎn)���,能大大提高成本���。縱深防御的理念在很長(zhǎng)一段時(shí)間內(nèi)都是成功的��,因?yàn)楹诳凸粢彩怯谐杀镜?���,不少黑客久攻不下,就開(kāi)始想其他辦法了�。大型的傳統(tǒng)安全廠商一般都會(huì)有縱深防御的解決方案。
縱深防御體系
在Web領(lǐng)域至少會(huì)包含下面幾層�,數(shù)據(jù)庫(kù)端,服務(wù)器端���,網(wǎng)絡(luò)層��,網(wǎng)絡(luò)邊界��。優(yōu)點(diǎn)是每個(gè)產(chǎn)品功能定位清晰���,允許不同品牌產(chǎn)品混用,攻擊成本較高�,安全性較好,不足之處是各個(gè)產(chǎn)品之間缺乏協(xié)同機(jī)制���,如盲人摸象���,各自為政,檢測(cè)手段多是基于規(guī)則和黑白名單����,對(duì)于抱有經(jīng)濟(jì)政治目的的專業(yè)黑客,攻克這種防御體系也只是時(shí)間問(wèn)題�。需要說(shuō)明的是,完整的縱深對(duì)抗方式其實(shí)還會(huì)包括服務(wù)器內(nèi)核級(jí)別檢測(cè)和對(duì)抗�����。對(duì)應(yīng)的安全產(chǎn)品:
數(shù)據(jù)庫(kù)端:數(shù)據(jù)庫(kù)審計(jì),數(shù)據(jù)庫(kù)防火墻
服務(wù)器端:主機(jī)IDS���,服務(wù)器殺毒���,內(nèi)核加固類產(chǎn)品,主機(jī)waf
網(wǎng)絡(luò)層:IDS�����,Web威脅感知����,Web審計(jì)
網(wǎng)絡(luò)邊界:防火墻,UTM����,WAF,IPS�����,本地流量清洗設(shè)備
河防體系
騰訊lake2提出的河防體系�����,防御方要贏就要靠一個(gè)字,“控”�,即把對(duì)手控制在一個(gè)可控范圍,在用豐富的資源打敗他����。回到企業(yè)入侵防御上來(lái)�,“控”的思路就是步步為營(yíng),層層設(shè)防�����,讓黑客即使入侵進(jìn)來(lái)也是在可控的范圍內(nèi)活動(dòng)�。具體措施就是要在隔離的基礎(chǔ)上����,嚴(yán)格控制辦公網(wǎng)對(duì)生產(chǎn)網(wǎng)的訪問(wèn),同時(shí)在對(duì)生產(chǎn)網(wǎng)內(nèi)部進(jìn)行隔離的基礎(chǔ)上進(jìn)行邊界防護(hù)以及檢測(cè)���。河防體系特別適合數(shù)據(jù)中心用戶���,而且從業(yè)務(wù)規(guī)劃就融入安全管控的公司,對(duì)于具有一定開(kāi)發(fā)能力的公司,如果打算自助建設(shè)安全體系可以參考該體系�����。
塔防體系
數(shù)字公司提過(guò)多次塔防體系��,塔防體系本質(zhì)上也是縱深防御���,不過(guò)優(yōu)于縱深防御的是強(qiáng)調(diào)了終端要納入安全防御網(wǎng)絡(luò)中�����,具有自我防御能力����,并且有了云的管控能力和威脅情報(bào)數(shù)據(jù)���。
下一代安全體系
下一代縱深防御體系
下一代Web縱深防御體系突破了傳統(tǒng)基于邊界防護(hù)安全的設(shè)計(jì)的概念��,從網(wǎng)絡(luò)主機(jī)����,數(shù)據(jù)庫(kù)層面���,依托人工智能技術(shù)以及沙箱技術(shù)�����,結(jié)合威脅情報(bào)提供提供全方位的Web縱深防護(hù)����,從傳統(tǒng)邊界防護(hù)過(guò)度到新一代的基于預(yù)測(cè),檢測(cè)��,協(xié)同��,防御���,響應(yīng),溯源理念的Web縱深防御���。威脅情報(bào)好比是積累的知識(shí)��,大數(shù)據(jù)和人工智能好比是聰明的大腦���,WAF,SIEM�����,服務(wù)器安全好比是有效的武器,大家互相配合���,實(shí)現(xiàn)了下一代的縱深防御體系�����,對(duì)于未知的威脅也具有一定的防御能力���。
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
