如何構建有助於提高IT安全性的網路架構

2020 年 1 月 20 日
筆記

外圍的安全性不再重要

多年前，網路安全實踐模仿了中世紀的領主，他們依靠堅固的城堡牆來保護他的內在王國。城堡防禦設計圍繞固定防滲牆，而攻擊者依靠他們突破圍牆的能力，他們的士兵將通過外露的牆壁進入。以類似的方式，企業依靠強大的防火牆設備建立周邊來保護網路免受來自外部的攻擊，以抵消外部攻擊者的努力，這些外部攻擊者努力探查外圍暴露或被忽視的埠。

然而，今天是一個不同的世界。正如軍事防禦戰略已經發展以抵禦由技術創新驅動的先進攻擊戰術一樣，今天的企業再也不能依靠單一焦點解決方案來保護自己免受所有威脅。由於攻擊機制的迅速流動，現代軍事防禦戰略不再將其大部分資源投入到前線。就像法國人未能阻止德國閃電戰一樣，過時的安全模式也無法再保護當今龐大的流動企業，因為普遍存在的攻擊者可以毫不減弱地隨意行動。相反，軍事戰略家依靠所謂的縱深防禦，其中儲備位於前線的後面，網路安全戰略家現在採用多重防禦層的理念來對抗攻擊者的胚胎威脅。黑客繼續推進他們的攻擊方法，並在我們今天生活的移動數字連接世界中利用用戶及其設備。IT安全專業人員需要以融合多層防禦策略的方式思考網路架構，創建一種系統方法，其中多種防禦策略涵蓋其他組件的缺陷。為了打擊無窮無盡的零日攻擊列表，破壞性惡意軟體企業必須採用多種防禦策略來阻止差距攻擊途徑，這些途徑可以作為數據中心的核心高速公路。在將這些工具實施為綜合戰略的過程中，整體大於其各部分的總和。我們的想法是在您的物理網路和軟體環境的各個層面上整合資訊安全，這是國家安全局（NSA）推薦的策略。

今天，內部IT的作用始於網路安全。在本教程的以下部分中，我們將介紹構成當今典型多層安全模型所需的安全組件，以及它們應如何成為企業架構的自然組成部分。雖然防火牆設備仍然是企業安全架構的重中之重，但後續組件同樣必不可少，在確保用戶、設備、數據和基礎架構的安全性方面發揮著至關重要的作用。

防火牆

無論您是為少於10人的小型企業辦公室創建架構，還是由數十萬員工組成的全球企業集團，都要從建立周邊開始，這構成了某種類型的防火牆。至少，防火牆設備在內部LAN和外部WAN之間建立了一個標記。然後它作為交通警察，允許或丟棄試圖在內部和外部區域之間流動的交通流量。許多組織也可能有其他區域。一個常見的例子被稱為DMZ，它託管互聯網資源，如網路託管，FTP或電郵伺服器。由於匿名外部用戶必須訪問這些伺服器，因此DMZ的限制區域不如LAN 。雖然防火牆會拒絕來自網路外部的HTTP / HTTPS流量進入LAN，但它允許授權的Web流量進入DMZ。這顯然使企業面臨潛在的漏洞，這就是為什麼防火牆限制DMZ和LAN之間的流量以便在DMZ中包含惡意流量並防止它滲透更多有價值的資產和資源的原因。

組織可能有限制區域，包含關鍵業務系統和大型敏感資訊庫。限制區通常包括包含人力資源，財務或知識產權的資料庫。這些區域的限制性要大得多，以防止任何可能損害組織競爭優勢或聲譽的威脅。應該採取控制措施，不僅要面對互聯網流量，還要保護內部資產的授權訪問許可權。

防火牆多年來不斷發展，現在利用多種方法來檢查網路流量，以便識別交通流的意圖。主要類型如下：

數據包過濾 – 這種傳統的過濾方法可能有些過時了，但至今仍在使用。它也稱為靜態數據包過濾，它基於由對象和服務組成的已建立規則集。規則規定允許來自流向點B的流量來自利用規定的協議或埠號的流量通過。默認情況下，拒絕列表中未包含的任何流量。雖然大多數防火牆仍然使用這種做法，但現代防火牆需要更高的智慧來保護當今企業免受不斷擴大的威脅基礎的影響。
狀態檢查 – 傳統的數據包過濾僅檢查數據包的標頭，而狀態檢查實際上會將數據包分析到應用程式層。這是一種基於情報的方法，可以分析流量的流入和流出，以便更好地識別哪些類型的流量是網路習慣性的，哪些類型應該被視為可疑流量。
下一代防火牆 – 這個概念用於概括這些高度徹底的智慧設備的目的。與狀態檢查一樣，下一代防火牆（NGFW）設備超越了 OSI模型的第 3層和第 4 層，以確定交通流的適當性。這些系統提供更精細的應用程式和流量行為檢查，甚至可以分析HTTPS和 SSH流量的內容。它還可以識別嵌入在合法流量背後的嵌入式惡意軟體或惡意程式碼。NGFW解決方案包括各種安全工具，以增強其保護能力，如入侵檢測系統（IDS）和入侵防護服務（IPS）以及防病毒檢測和應用程式控制。他們還能夠執行服務品質（QoS）任務，以限制或優先處理不同類型的流量和應用程式，以及抵禦拒絕服務攻擊。
Web應用程式防火牆 – WAF是一種專用防火牆，用於保護基於Web的應用程式。它通常通過放置在一個或多個Web應用程式前面的代理進行部署。WAF檢查傳入和傳出的數據包，分析第7層流量並使用情報來仔細檢查流量和模式。WAF旨在打擊零日攻擊，跨站點腳本， SQL注入以及 Open Web Application Security Project（OWASP）定義的其他攻擊。

一些網路管理員犯的一個錯誤就是只過濾傳入的流量。雖然傳入流量是主要的安全問題，但也必須仔細檢查傳出流量。內部用戶下載垃圾郵件或蠕蟲並立即將其惡意流量分散到外部世界的情況並不少見。允許這些傳出流量模式可能會導致您的組織被列入黑名單或更糟。

網路分割和隔離

今天的企業網路有許多方面和組件，公司的整體網路只有保護好最薄弱的環節才能安全。一個黑客總是首先利用最簡單的攻擊途徑，經常使用社會工程攻擊來感染使用本地管理員許可權登錄到本地電腦的用戶，或者控制那些使用默認密碼的物聯網設備。一旦攻擊者在目標企業中獲得某種類型的立足點，他們將嘗試在網路中移動以便定位和訪問有價值的資訊和主機。一個典型的例子是就是最近各醫院被感染的GlobeImposter3.0的勒索病毒《關於近期醫院感染勒索病毒情況的通報》。

網路細分涉及將網路劃分為更小的單元。然後將每個單元隔離，以便這些單元之間的訪問由嚴格的規則集管理，以限制主機和服務之間的通訊和訪問。這與船舶製造商今天使用的設計策略相同，即大型船舶的船體被分割成多個艙室，如同蜂巢，如果發生泄漏，船舶的艙室內將受到損壞，但不會對整艘船造成致命傷害。將此做法納入IT意味著在包含敏感數據和其他所有內容的伺服器之間創建分離層。該策略不僅可以保護內部資產和數據免受外部威脅，還可以保護內部引發的攻擊。至少，分段和隔離的這種組合將通過迫使它花費時間來擺脫每個分段部分來減緩攻擊。這可以為企業人員花費寶貴的時間來發現攻擊並對其進行打擊。雖然幾乎所有IT專業人員都認為網路分段是一項重要的安全措施，但只有不到25％的組織實際採用這種做法。

大多數企業使用多種方法來分割和隔離其網路。

路由器 – 您可以使用路由器將網路分成不同的物理段。這將限制惡意軟體廣播的範圍。您還可以創建訪問控制列表（ACL），以根據埠，協議和 IP地址執行基本的第3層和第 4 層防火牆過濾。
VLAN – 企業交換機用於創建虛擬網段，每個網段包含一個唯一的子網。每個訪問埠都分配了一個VLAN。插入該埠的任何設備都會自動分配給該特定VLAN。這是將IoT設備或 BYOD設備與核心網路分離的簡單而有效的方法。
物理安全 – 雖然在當今的數字世界中很容易忽視物理安全，但物理安全仍然是一種有效的方法來阻止潛在攻擊者的方式。這些措施包括鎖、門禁卡、密碼和生物識別控制系統。
隔離 – 在某些情況下，安全性至關重要，它構成了網段或設備的完全隔離。對於高度敏感的政府機構而言，這種情況並不罕見，因為這些機構完全終止了對互聯網或外部世界的訪問。但是，還有其他形式的隔離。高級虛擬化技術利用虛擬容器來處理網站或程式碼。這類似於沙盒，其中安全設備創建一個隔離的測試環境，該環境模擬生產環境，以便可以執行或引爆可疑文件或URL。
IPsec – 通過在Windows伺服器和客戶端上實施IPsec，您可以通過發布策略來加密它們之間的流量。這是一種有效的方法，只允許授權的電腦訪問託管在指定伺服器上的數據。

分割和隔離的最終目標是傳播零信任架構模型，這反過來通過限制黑客和惡意軟體可以遍歷的途徑來限制黑客和惡意軟體的可操作性。然後，網路管理員通過部署分散式應用程式和用戶一直到工作負載級別的粒度安全策略來實施此體系結構。

電子郵件和web安全的重要性

那麼為什麼電子郵件和Web過濾包含在關於網路架構安全性的主題中呢？嗯，根據2016年的一項研究，91％的網路攻擊始於某種類型的網路釣魚郵件。它是勒索軟體和其他惡意軟體攻擊的主要傳遞機制。即使是美國對俄羅斯關於2016年總統選舉的起訴也是以網路釣魚郵件開始的。今年早些時候，一項針對美國，英國，德國和澳大利亞600家商業決策者的調查顯示，網路釣魚電子郵件是其業務中最大的網路威脅。而垃圾郵件的概念十年前可能是一個滑稽的事情，但網路釣魚詐騙今天不是笑話。2016年，美泰公司（Mattel Corporation）因陷害網路釣魚騙局而損失了300萬美元，這些騙局涉及他們將錢匯入中國銀行賬戶。如果不考慮如何保護電子郵件和Web攻擊途徑，您就無法考慮網路架構。

正如電話成為篡奪前門屏障並與房主聯繫的機制一樣，電子郵件也是允許黑客繞過防火牆邊界並直接接觸用戶的工具。這就是為什麼專用的電子郵件安全解決方案對於當今的任何企業都至關重要。由於移動設備現在很常見，許多用戶在本地區域網的受保護範圍之外檢查他們的電子郵件，使其成為在用戶設備上部署惡意軟體的完美機制。一旦這些設備返回區域網，這些惡意軟體應用程式就可以執行其惡意行為。傳統上，電子郵件安全解決方案以網關設備，公共雲和私有雲的形式部署解決方案今天非常流行。如今，有效的電子郵件安全解決方案不僅要識別基於垃圾郵件的域和短語。它必須能夠掃描嵌入的鏈接和附件，執行多層分析和收件人驗證。

直到最近，網路過濾主要用作阻止令人反感的網路內容的手段。它還可以阻止或限制媒體流媒體或社交媒體網站，這些網站會消耗員工的注意力並對生產力產生負面影響。今天，Web過濾是分層安全策略的重要組成部分。今天的解決方案與惡意軟體檢測集成在一起，可以阻止黑客設法存放在合法網站上的惡意程式碼。他們還可以阻止通常為惡意目的而存在的新購買或停放的域名。如果具有到惡意軟體部署站點的嵌入式鏈接的網路釣魚電子郵件能夠通過，則Web過濾系統可以作為您的電子郵件安全解決方案的備份。

虛擬化和雲對網路安全的影響

十多年前VMware開始推廣其ESX平台時，企業開始意識到虛擬化數據中心計算組件的價值。如今，企業也在虛擬化存儲和網路方面，最終形成一個無縫平台。這為公司提供了高度靈活和適應性強的基礎架構，可以支援所提供的大量服務，以滿足其客戶的需求。所述軟體定義的數據中心是統一和簡化，其提供無與倫比的敏捷性的彙編。

軟體定義網路的概念圍繞從數據或轉發平面抽象控制平面。這意味著諸如交換機和路由器之類的網路設備本質上是由集中控制器專門管理的啞設備。這允許基於實時需求條件以快速方式部署或停用網路資源，並使用部署的策略對其進行管理。

定義網路的軟體也意味著定義安全性的軟體。在傳統網路中，安全專業人員背負著使用防火牆和訪問控制列表堵塞漏洞的任務。在軟體定義的網路環境中，默認情況下不會打開任何內容。相反，中央權威機構決定網路的每一步。安全性以自動化方式在網路範圍內處理。為新設備或應用程式部署創建策略，確保完全保護這些資源不受其初始啟動的影響。因此，安全性內置於網路的結構和體系結構中，就像IT的許多其他方面一樣，作為服務提供。

雖然公司繼續將資源和服務遷移到雲，但許多應用程式和數據類型必須保留在內部。大多數應用程式仍然與雲不兼容，許多公司不願意在雲中託管高價值的專有數據，而其他公司必須在合規性規定的前提下託管個人記錄。這意味著IT必須應對在兩個方面保護企業的挑戰，管理有關公司數據的差異化安全要求。應對這一挑戰是選擇混合IT作為企業平台的激勵因素之一。

混合的好處就是它提供了兩全其美的解決辦法：可控性和內部部署治理與可擴展性的的公共雲。這種方法使IT部門能夠靈活地通過不同的安全策略管理不同的數據類型和來源。正如混合IT允許您將每個工作負載與最佳平台配對一樣，它允許您根據其安全參數和首選項將數據與相應的存儲位置進行匹配。

可視化技術與雲的融合使企業能夠在幾乎按需的基礎上無限制地執行災難恢復。這可以快速從諸如去年的WannaCry和NotPetya 攻擊等攻擊中恢復，這些攻擊使世界上一些最大的企業全球巨頭陷入困境數周。今天的企業架構必須從頭開始設計用於冗餘和備份，以便為下一組破壞性惡意軟體做好準備。

安全嵌入式架構

安全性是關於降低風險，每個組織必須確定其可接受的風險級別。雖然沒有企業能夠保護自己免受各種威脅，但它可以將安全的設計，方法和思維方式整合到企業的各個方面。從防禦攻擊的外圍防火牆，基於主機的防火牆和人工防火牆作為最後的安全措施，今天的企業架構必須首先圍繞安全設計

每個網路安全專業人員的主要目標是減少企業的攻擊面，包括外圍和設備級別。無論其設計如何，IT部門都必須確保整個技術體系的安全性。這需要分層安全體系結構，而不僅僅是在現有基礎架構之上簡單地分層新安全工具。分層安全性是一種需要精心設計的藍圖的架構。實施安全工具的零碎方法可能會在系統管理中引入抑制性複雜性。對於IT而言，它們的安全功能不是孤立的，並且所有人員在建立安全實踐、管理系統基礎架構、監控警報和規劃未來購買方面相互協作也很重要。從某種意義上說，就像您的安全架構一樣，您的人員必須彼此協同工作。

原文作者：Brad Rudisail 發表於techopedia