减少网络攻击不可忽视的问题
2016-03-13
引言: 各种威胁往往不在数据中心内部,而是更多地体现为恶意软件或泄露企业机密的内部人员。事实上,当今的网络外围不再是一种物理或虚拟场所,但许多人仍将争论的焦点集中在外围。这意味着企业IT和安全专家必须采取一种不同的信息安全观。
多数网络攻击和破坏未必体现为攻击者破坏数据中心或者网络外围。各种威胁往往不在数据中心内部,而是更多地体现为恶意软件或泄露企业机密的内部人员。事实上,当今的网络外围不再是一种物理或虚拟场所,但许多人仍将争论的焦点集中在外围。
这意味着企业IT和安全专家必须采取一种不同的信息安全观,尤其是关注如下七个方面:
正确地保障边界的安全
多租户的动态云架构的发展和分布式计算环境已严重地破坏了外围安全的基本要素。
如果只是关注数据中心的边缘,就会忽视最大的攻击面,即从未越过边界的内部负载通信。安全专家必须重视由新软件和云计算的基础架构所带来的数据中心内部及其之间的架构挑战。
安全应为开发周期的一部分
安全应当是构建到应用程序内部的一个要件,而不是事后再去增加的内容或功能。企业越来越依赖于敏捷的软件开发,却缺乏相对应的快速移动的安全方法,这会增加遭受攻击的风险。你不能在一个分布式的应用和计算环境中构建并安装应用,却要依赖一个分层的静态安全模型。
端口仍很重要
如何监视数据中心内部负载或迁移到公共云中负载的端口?开发服务器面向互联网开放必然造成严重的安全危害。企业采用白名单模式可以有效地减少攻击面。
减少复杂性
与端口问题相对应的是,当今的多数企业都遭受“策略债务”问题,因为企业积累了日渐增多的控制,如关于外围安全的防火墙策略。某大型企业的安全领导曾告诉笔者,他们企业的防火墙规则多达250万条!而如此海量的规则不但没有使企业感到企业有了更强大的控制,反而使其感到更不安全,因为他们感到更不容易掌控局势了。“策略负债”提高了成本和复杂性,并会给外部的渗透和内部的数据泄密带来了机会。
加密机密数据
对内部通信进行加密的传统方法是将VLAN通信连接到防火墙,然后再创建一个连接到另一个防火墙的加密通道,然后再反转此过程。在传统的数据中心环境中,这很费时,而在异构的云环境中,这是几乎不可能的。例如,现代的大型云供应商都是固有的多租户环境。因而,加密方式必须要转变。
实时监视和警告
可见性和监视对于保障云和数据中心架构的安全至关重要。此外,异常和对策略的违反也必须实时地标记和控制。实时地监视和策略警告可以有效地减少恶意软件感染其它机器的机会,并减少修复过程中的损失。
不要在网络和主机之间进行选择
传统上的厂商们只能跟踪主机或网络上的安全性,其中必然包含其固有的缺陷。如今,如果要避免日益复杂的网络攻击,就要同时理解计算和网络的环境和相互关系。
总之,信息安全是一种需要协调且自动化的过程,只有如此才能满足当今的复杂计算环境并减少成本。而且,此过程必须不断升级才能满足由分布式环境所带来的挑战。这就要求我们重新考虑以往那些关于信息安全的所谓“真理”。