網路安全性:端點安全性的四大要件
藉由重視網路安全性的這些基礎層面,您可以把壞人擋在門外,把好資料迎進門。
Dan Griffin
企業網路及其中的資產經常受到入侵者的攻擊,再加上企業網路周邊完全具有滲透性,使得問題更複雜。處理安全的 IT 基礎結構時,大多數企業的主要目標就是維持流暢的業務持續性。不過,由於攻擊者可能入侵使用者電腦、行動裝置、伺服器或應用程式,因此企業環境中常會發生停機事件。
分散式拒絕攻擊 (DDoS) 是可能造成頻寬耗盡的其中一種攻擊。要注意的是,還有其他許多情況也可能導致網路負載超支。譬如說,點對點檔案共用、大量使用視訊串流,以及內部或外部伺服器的顛峰使用情況 (例如,零售業的黑色星期五) 都可能拖慢內部使用者及外部客戶的網路執行速度。
視訊串流是另一個耗用大量頻寬的應用程式例子,而現在有許多種企業越來越依賴視訊串流來進行核心業務作業。散佈各地的公司使用它進行跨辦公室的溝通,頻寬管理公司使用它來達到媒體宣傳目的,而軍方則用它來傳達命令和執行控制。
這些情況在在導致了不穩定的局面。DDoS 是一種很容易發動的攻擊;視訊串流對於頻寬的可用性高度敏感;網路即使在理想的狀況下負載也很沉重;而且企業對於這些技術越來越依賴。
IT 管理員必須做好準備。他們必須改變自己對未來長遠的思考模式,並且針對資源運用、網路上的裝置保護,以及重要的網路頻寬保護做好規劃。這個端點安全性模型有助於將這些概念轉化成現實。
四大要件
四大要件的基本前提就是即便在受到攻擊時,也維持網路的運作。第一步是識別端點。何謂端點?在此模型中,端點是指下列任何一個實際執行工作的實體:桌上型電腦、伺服器和行動裝置。
了解這些端點之後,就必須擬定策略來保護這些端點。端點安全性四大要件的這項策略具有以下目標:
- 保護端點對抗攻擊
- 讓端點自動修復
- 守護網路頻寬
- 讓網路自動修復
了解這些目標之後,以下是有效的端點安全性四大要件:
- 端點強化
- 端點彈性
- 網路優先處理
- 網路彈性
針對每一個要件,另外還有幾個目標必須考量。首先,建議您盡可能將程序自動化。畢竟,一天有幾個小時是固定的,而 IT 管理員已經行程滿滿的了。
其次,您應該集中監控網路,才能掌握即時的狀況。雖然兩個彈性要件的目的之一是盡量減少監控工作的負荷,但有時您必須實作手動防禦和應變措施。而且,設備有時會故障,即使在正常情況下也不例外。
第三,建立意見反應管道。隨著攻擊手法越來越複雜,我們必須承認,除非不斷付出正確投資來支持防禦技術,我們的防禦方法可能會跟不上攻擊的腳步。同時,我們也必須了解,網路安全性方面的投資向來很難被證實是關鍵的業務支出。
正因如此,持續監控和意見反應非常重要。對於在周邊及網路內部發生的實際威脅與攻擊我們了解的越多 (以及展現的越多),我們就越能確定保護這些商業資產所需的注意力和支出的正當性。
端點強化
第一個要件「端點強化」的目標在於確保網路資產採用最新的技術來防禦威脅。典型的威脅包括不安全的電子郵件附件、經由網路傳播的蠕蟲狀病毒,以及造成網頁瀏覽器威脅的其他相關威脅。
舉例來說,防毒/反惡意程式碼軟體就是其中一種攻擊應變措施。另一個例子是藉由 OS 實施的強制完整性層級,將電腦應用程式作業與潛在的惡意程式碼隔離 (又稱為沙箱化)。此類型的保護適用於 Windows Vista 與 Window 7 上的 Internet Explorer 第 7 版和第 8 版。
其中一項有幫助的改良功能,就是集中部署和管理整個主機的隔離設定。為了發揮效用,使用這種方式的前提是協力廠商應用程式可以順利運作 (而且受到保護)。
那麼,此要件要如何監控呢?您應該透過可調整的方式實地監控網路資產是否遭到入侵。您還需要留意非預期的行為模式。
端點彈性
端點彈性的目的是確保持續收集和監控裝置與應用程式的健康資訊。如此一來,故障的裝置或應用程式便可以自動修復,進而繼續執行作業。
以下舉出一些能夠增加端點彈性的技術範例:網路存取保護、設定「基準」及管理工具,像是 Microsoft System Center。在此範疇的其中一項改進便是結合這些技術,藉此根據標準化且容易擴展的基準來產生自動修復行為。
此要件要如何監控呢?請考量以下各方面的趨勢:哪台機器不符合規定;它們在哪方面不合規定;此違規狀態發生在何時?所有這些趨勢都可能歸結為潛在威脅,無論是內部威脅、外部威脅、設定錯誤、使用者錯誤等等。此外,當您利用這種方式識別威脅時,您就能夠在攻擊日益複雜和分散的情勢下,不斷地穩固端點。
網路優先處理
網路優先處理的目的是確保您的基礎結構永遠符合應用程式頻寬需求。不僅在熟知尖峰需求的時間下,還有在未預期的網路負載驟增和分散式外部與內部攻擊時,都要有此方面的考量。
管理應用程式頻寬的技術包括 DiffServ 和 QoS。不過,此要件目前呈現了需求與商品之間最大的技術落差。未來,市場上將推出整合使用者身分、應用程式身分和業務優先處理的解決方案。屆時,網路路由器將可自動根據這些資訊來分割頻寬。
此要件要如何監控?網路路由器應該執行流量記錄以供趨勢分析之用。今日的流量與昨日有何不同?負載是否增加?出現哪些新的位址?位址來自海外嗎?有效及完整的監控有助於解答這些問題。
網路彈性
網路彈性的目的在於實現順暢的資產容錯移轉。此範疇的技術能夠理想地在效能降級時即時重新設定網路。這個要件與端點彈性的相似點在於,其目標是促進網路自我修復以便將管理重擔減至最低。
不過,此要件還必須注意另一項事實,就是容錯移轉和備援必須大小規模同時考量。比方說,您可以使用叢集技術來提供資料中心內的單一節點容錯移轉,但我們如何容錯移轉整個資料中心或區域呢?無可否認,嚴重損壞修復計畫的挑戰更大,因為我們還必須考量辦公室空間、基本服務,以及最重要的人員問題。
除了叢集之外,此要件底下的其他相關技術還包括複寫和虛擬化。此要件要如何監控?容錯移轉技術通常會依賴監控。此外,隨著商務需求演進,您可以使用載入資料進行資源和擷取規劃。
落實每個要件
上述端點安全性的四大要件可能分別都有商用的安全性、網路和業務持續性技術,而大部分的組織可能並未充分運用或部署這些技術。因此,IT 管理員有機會這麼做:
- 使用四大要件或其他架構來識別網路防禦中的威脅和漏洞
- 額外投資自動化和監控作業
- 就成本和這些做法的優點與商務決策者更密切溝通
有些企業可能已經發現自己在某一個或多個要件範疇中處於現有技術的領先地位。因此,企業家也擁有許多機會。重點在於,您必須調整思維來融入這四大要件,因為它們個個都很重要。
.jpg)
Dan Griffin 是西雅圖的軟體安全性顧問。他的聯絡方式為 www.jwsecure.com