常見網絡安全防御體系
常見網絡安全防御體系
大多數互聯網公司的業務開展都依賴互聯網,所以我們這里討論的是基于數據中心/云環境下的業務網絡安全問題。甲方安全的主要職責是保護公司互聯網業務的安全,比如業務持續性,業務數據的私密性,所以要優先解決以下問題:
- 抗DDOS攻擊,保障業務的持續性;
- 防拖庫,保護業務數據的私密性,放置用戶數據,交易數據等核心數據被竊取;
- 放后門,防止黑客非法獲取服務器權限。
邊界防御體系
常見的防御體系是邊界防護,從UTM到下一代防火墻,WAF都是這一體系的產物,這類體系強調御敵于國門之外,在網絡邊界解決安全問題。優勢是部署簡單,只要在網絡邊界部署安全設備就行了,似乎包治百病;但弱點也很明顯,一旦邊界被黑客突破,即可以長驅直入。有人打過一個比方,稱這種防御體系是城堡體系,防御都在城墻,防護住了還好,沒防住就只能讓敵人進城屠城了。
縱深防御體系
縱深防御體系是對邊界防御體系的改進,強調的是任何防御體系都不是萬能的,存在黑客可以突破防御措施的概率,所以縱深防御體系的本質就是多層防御,就好比在城堡周圍建設了好幾道防御,城堡又分為外城和內城,內部重要設施還配備專職首位俄,黑客必須突破好幾層才能接觸到核心數據資產,能大大提高成本。縱深防御的理念在很長一段時間內都是成功的,因為黑客攻擊也是有成本的,不少黑客久攻不下,就開始想其他辦法了。大型的傳統安全廠商一般都會有縱深防御的解決方案。
縱深防御體系
在Web領域至少會包含下面幾層,數據庫端,服務器端,網絡層,網絡邊界。優點是每個產品功能定位清晰,允許不同品牌產品混用,攻擊成本較高,安全性較好,不足之處是各個產品之間缺乏協同機制,如盲人摸象,各自為政,檢測手段多是基于規則和黑白名單,對于抱有經濟政治目的的專業黑客,攻克這種防御體系也只是時間問題。需要說明的是,完整的縱深對抗方式其實還會包括服務器內核級別檢測和對抗。對應的安全產品:
- 數據庫端:數據庫審計,數據庫防火墻
- 服務器端:主機IDS,服務器殺毒,內核加固類產品,主機waf
- 網絡層:IDS,Web威脅感知,Web審計
- 網絡邊界:防火墻,UTM,WAF,IPS,本地流量清洗設備
河防體系
騰訊lake2提出的河防體系,防御方要贏就要靠一個字,“控”,即把對手控制在一個可控范圍,在用豐富的資源打敗他。回到企業入侵防御上來,“控”的思路就是步步為營,層層設防,讓黑客即使入侵進來也是在可控的范圍內活動。具體措施就是要在隔離的基礎上,嚴格控制辦公網對生產網的訪問,同時在對生產網內部進行隔離的基礎上進行邊界防護以及檢測。河防體系特別適合數據中心用戶,而且從業務規劃就融入安全管控的公司,對于具有一定開發能力的公司,如果打算自助建設安全體系可以參考該體系。
塔防體系
數字公司提過多次塔防體系,塔防體系本質上也是縱深防御,不過優于縱深防御的是強調了終端要納入安全防御網絡中,具有自我防御能力,并且有了云的管控能力和威脅情報數據。
下一代安全體系
下一代縱深防御體系
下一代Web縱深防御體系突破了傳統基于邊界防護安全的設計的概念,從網絡主機,數據庫層面,依托人工智能技術以及沙箱技術,結合威脅情報提供提供全方位的Web縱深防護,從傳統邊界防護過度到新一代的基于預測,檢測,協同,防御,響應,溯源理念的Web縱深防御。威脅情報好比是積累的知識,大數據和人工智能好比是聰明的大腦,WAF,SIEM,服務器安全好比是有效的武器,大家互相配合,實現了下一代的縱深防御體系,對于未知的威脅也具有一定的防御能力。
