【廉環(huán)話】漫談信息安全設(shè)計(jì)與治理之應(yīng)用網(wǎng)閘、遠(yuǎn)程訪問(wèn)與維護(hù)及行為管理審計(jì)設(shè)計(jì)
原創(chuàng)【51CTO.com 原創(chuàng)】各位好!想必各位看官通過(guò)“圍觀”廉哥的前兩篇漫談,已經(jīng)慢慢開(kāi)始抽絲剝繭,漸入佳境了。8過(guò),套用Amazon老板貝索斯的一句話:“It's still day one."或者說(shuō)“萬(wàn)里長(zhǎng)征才都第一步!”讓我們繼續(xù)由老driver帶信息安全路,新手童鞋們請(qǐng)快上車吧。
1. 應(yīng)用網(wǎng)閘設(shè)計(jì)
前文我們提到:各個(gè)企業(yè)特別是在線交易型企業(yè)本著“出名就乘早”的宗旨,紛紛上馬O2O型互聯(lián)網(wǎng)創(chuàng)新系統(tǒng),而且是一副“根本停不下來(lái)”的樣子。可是理性的網(wǎng)絡(luò)架構(gòu)師們應(yīng)該冷靜的考慮到數(shù)據(jù)流是通過(guò)架設(shè)在外網(wǎng)的門戶網(wǎng)站,然后再傳遞并導(dǎo)入到內(nèi)網(wǎng)數(shù)據(jù)庫(kù)中。這就涉及到了信息從非信任網(wǎng)絡(luò)向信任網(wǎng)絡(luò)的單向流入。根據(jù)現(xiàn)有合規(guī)的要求,就算企業(yè)總裁多么霸道,也有責(zé)任和義務(wù)保證客戶資料的CIA“機(jī)密性,完整性和未篡改性”,因此本人設(shè)計(jì)了在導(dǎo)入的路徑上架設(shè)應(yīng)用網(wǎng)閘(GAP)。
GAP的專用隔離交換單元受硬件電路控制高速切換,在任一瞬間僅連接內(nèi)網(wǎng)或外網(wǎng)之一,并與之進(jìn)行數(shù)據(jù)交換。外部數(shù)據(jù)到達(dá)GAP后,斷開(kāi)鏈路層并切斷所有的TCP連接,GAP對(duì)應(yīng)用層的數(shù)據(jù)按安全策略進(jìn)行安全檢查,因此能夠保證數(shù)據(jù)的安全性并防止未知病毒的感染破壞;掃描完成后再將其轉(zhuǎn)移到內(nèi)網(wǎng)數(shù)據(jù)庫(kù)中。通過(guò)GAP的信息擺渡保證了即使某個(gè)低安全級(jí)別區(qū)域出現(xiàn)了安全問(wèn)題,其他安全域也不會(huì)受到影響。另外,由于GAP工作在硬件鏈路層上,切斷了所有TCP、UDP、ICMP等各類協(xié)議的連接,因此它有效的阻斷了例如基于TCP的木馬以及未知的攻擊。
從個(gè)人的設(shè)計(jì)和實(shí)施經(jīng)驗(yàn)來(lái)看,使用此類產(chǎn)品的企業(yè)并不多,一般僅限于對(duì)網(wǎng)絡(luò)安全和保密較高的電子政務(wù)、涉密等保、業(yè)務(wù)與辦公內(nèi)網(wǎng)等場(chǎng)合。說(shuō)白了“安全第一、成本第二”的壕們。
2. 遠(yuǎn)程訪問(wèn)與維護(hù)設(shè)計(jì)
雖然在我們這個(gè)正在崛起的國(guó)度里,苦逼員工們熬夜加班已是各個(gè)行業(yè)常態(tài),但隨著移動(dòng)辦公和辦公消費(fèi)電子化的普及,這終將被“隨時(shí)、隨地、片段、分散”的處理工作方式所取代。因此遠(yuǎn)程接入的SSL VPN設(shè)備是網(wǎng)絡(luò)系統(tǒng)中必不可少的“重炮手”。在拓?fù)浣Y(jié)構(gòu)上SSL VPN的部署一般采用旁路部署方式,將其直接與三層交換機(jī)組相連接。這樣便可在不改變?cè)芯W(wǎng)絡(luò)主體架構(gòu)的狀況下實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。SSL VPN設(shè)備使用基于應(yīng)用層的SSL VPN協(xié)議進(jìn)行數(shù)據(jù)加密處理,在客戶終端與SSL 設(shè)備之間構(gòu)建一條專有的安全通道。在SSL VPN設(shè)備上,通過(guò)“角色”的定義與設(shè)置,可以“細(xì)粒度”的進(jìn)行用戶、用戶組與應(yīng)用資源的綁定。
本人之所以在各種VPN協(xié)議中選中SSL VPN,是因?yàn)镾SL 內(nèi)嵌在瀏覽器中,它不需要像傳統(tǒng)IPSec VPN那樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。因此用戶只要通過(guò)其終端上的瀏覽器訪問(wèn)SSL VPN服務(wù)器所對(duì)應(yīng)的網(wǎng)址(一般是以https形式出現(xiàn))便可。這一點(diǎn)對(duì)于用戶終端類型千差萬(wàn)別,且需要與公司機(jī)密信息相連接的用戶來(lái)說(shuō)是至關(guān)重要的。免去了無(wú)IT協(xié)助時(shí)遠(yuǎn)程客戶端安裝程序和配置的麻煩,實(shí)現(xiàn)了“零客戶端”的架構(gòu)。在運(yùn)維方面,SSL VPN的應(yīng)用模式也給IT部門人員提供了遠(yuǎn)程維護(hù)的便利通道,使之問(wèn)題響應(yīng)速度更迅捷,從而大幅提高整體工作效率,并節(jié)約人員來(lái)往的成本。
那么問(wèn)題來(lái)了,也許你要弱弱的問(wèn),是不是IPSec VPN一無(wú)是處,可以退休去開(kāi)轟趴了?非也!IPSec VPN在Site-Site的連接,比如說(shuō)總部和分支機(jī)構(gòu),各個(gè)零售站點(diǎn)等網(wǎng)絡(luò)層面的連接有先天優(yōu)勢(shì)。由于IPsec VPN是基于網(wǎng)絡(luò)層的VPN,它對(duì)所有的IP應(yīng)用均透明,不需改寫(xiě)。只不過(guò)IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打開(kāi)UDP500端口。
3. 行為管理審計(jì)設(shè)計(jì)
隨著各大外企遵從各種行業(yè)法案的示范作用,不少國(guó)內(nèi)企業(yè)也與時(shí)俱進(jìn)加強(qiáng)了對(duì)內(nèi)審和外審的重視程度。從耳濡目染的信息安全事件中,各個(gè)企業(yè)已經(jīng)領(lǐng)悟到對(duì)所持資料的機(jī)密性非常重要,同時(shí)也有相關(guān)規(guī)范的制約和定期的審計(jì)要求。因此在防御從外到內(nèi)諸如病毒、黑客入侵、垃圾郵件的同時(shí),本人的網(wǎng)絡(luò)設(shè)計(jì)也考慮到了從內(nèi)到外諸如審計(jì)、監(jiān)控、訪問(wèn)跟蹤、操作記錄等問(wèn)題,從而保證內(nèi)部辦公網(wǎng)絡(luò)的統(tǒng)一管理、資源的合理利用、信息資產(chǎn)的不被泄漏,杜絕對(duì)不良網(wǎng)站和危險(xiǎn)資源的訪問(wèn),防止P2P之類軟件的安全風(fēng)險(xiǎn)。在物理連接上本人選擇將行為管理設(shè)備直接與三層交換機(jī)組以旁路的方式相連接,在交換機(jī)上配置鏡像口將數(shù)據(jù)發(fā)送給上網(wǎng)行為管理。
另外,對(duì)于普遍只重視企業(yè)一般用戶行為管理的情況,本人在設(shè)計(jì)中要求該設(shè)備將維護(hù)人員也納入管理審計(jì)范圍中。通過(guò)對(duì)服務(wù)器或網(wǎng)絡(luò)、安全設(shè)備的運(yùn)行日志進(jìn)行精細(xì)化的管理,和對(duì)運(yùn)維人員的各類操作進(jìn)行記錄甚至是錄屏,以滿足律所嚴(yán)格的合規(guī)相關(guān)要求。在發(fā)生意外時(shí),對(duì)運(yùn)維人員的過(guò)往操作實(shí)現(xiàn)有據(jù)可查。
和大家聊到這里,基本上企業(yè)網(wǎng)絡(luò)的接入和主題架構(gòu)里的硬件設(shè)計(jì)都給大家展示了。熱心的觀眾如果有問(wèn)道:異常流量清洗,甚至是負(fù)載均衡設(shè)備要不要加?我的建議很簡(jiǎn)單,如果還有預(yù)算,then why not?所以說(shuō)在不破壞原有架構(gòu)和功能運(yùn)作的條件下,各種安全設(shè)備總是要有的,萬(wàn)一某個(gè)正好成功阻止了攻擊呢?另外,騷年!要學(xué)會(huì)風(fēng)險(xiǎn)轉(zhuǎn)接!你懂的!不要到出事了,再被老板給你color see see!關(guān)于信息系統(tǒng)的Wind Control(風(fēng)控,我英語(yǔ)不好,你們別騙我!)我們會(huì)在后面的章節(jié)詳解,咱不要一次聊那么多,產(chǎn)生“身體背掏空的感覺(jué)”嘛。
【51CTO.com 原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)注明作者及出處。】
