減少網(wǎng)絡(luò)攻擊不可忽視的問題

引言： 各種威脅往往不在數(shù)據(jù)中心內(nèi)部，而是更多地體現(xiàn)為惡意軟件或泄露企業(yè)機密的內(nèi)部人員。事實上，當(dāng)今的網(wǎng)絡(luò)外圍不再是一種物理或虛擬場所，但許多人仍將爭論的焦點集中在外圍。這意味著企業(yè)IT和安全專家必須采取一種不同的信息安全觀。

多數(shù)網(wǎng)絡(luò)攻擊和破壞未必體現(xiàn)為攻擊者破壞數(shù)據(jù)中心或者網(wǎng)絡(luò)外圍。各種威脅往往不在數(shù)據(jù)中心內(nèi)部，而是更多地體現(xiàn)為惡意軟件或泄露企業(yè)機密的內(nèi)部人員。事實上，當(dāng)今的網(wǎng)絡(luò)外圍不再是一種物理或虛擬場所，但許多人仍將爭論的焦點集中在外圍。

這意味著企業(yè)IT和安全專家必須采取一種不同的信息安全觀，尤其是關(guān)注如下七個方面：

正確地保障邊界的安全

多租戶的動態(tài)云架構(gòu)的發(fā)展和分布式計算環(huán)境已嚴(yán)重地破壞了外圍安全的基本要素。

如果只是關(guān)注數(shù)據(jù)中心的邊緣，就會忽視最大的攻擊面，即從未越過邊界的內(nèi)部負(fù)載通信。安全專家必須重視由新軟件和云計算的基礎(chǔ)架構(gòu)所帶來的數(shù)據(jù)中心內(nèi)部及其之間的架構(gòu)挑戰(zhàn)。

安全應(yīng)為開發(fā)周期的一部分

安全應(yīng)當(dāng)是構(gòu)建到應(yīng)用程序內(nèi)部的一個要件，而不是事后再去增加的內(nèi)容或功能。企業(yè)越來越依賴于敏捷的軟件開發(fā)，卻缺乏相對應(yīng)的快速移動的安全方法，這會增加遭受攻擊的風(fēng)險。你不能在一個分布式的應(yīng)用和計算環(huán)境中構(gòu)建并安裝應(yīng)用，卻要依賴一個分層的靜態(tài)安全模型。

端口仍很重要

如何監(jiān)視數(shù)據(jù)中心內(nèi)部負(fù)載或遷移到公共云中負(fù)載的端口？開發(fā)服務(wù)器面向互聯(lián)網(wǎng)開放必然造成嚴(yán)重的安全危害。企業(yè)采用白名單模式可以有效地減少攻擊面。

減少復(fù)雜性

與端口問題相對應(yīng)的是，當(dāng)今的多數(shù)企業(yè)都遭受“策略債務(wù)”問題，因為企業(yè)積累了日漸增多的控制，如關(guān)于外圍安全的防火墻策略。某大型企業(yè)的安全領(lǐng)導(dǎo)曾告訴筆者，他們企業(yè)的防火墻規(guī)則多達250萬條！而如此海量的規(guī)則不但沒有使企業(yè)感到企業(yè)有了更強大的控制，反而使其感到更不安全，因為他們感到更不容易掌控局勢了?！安呗载?fù)債”提高了成本和復(fù)雜性，并會給外部的滲透和內(nèi)部的數(shù)據(jù)泄密帶來了機會。

加密機密數(shù)據(jù)

對內(nèi)部通信進行加密的傳統(tǒng)方法是將VLAN通信連接到防火墻，然后再創(chuàng)建一個連接到另一個防火墻的加密通道，然后再反轉(zhuǎn)此過程。在傳統(tǒng)的數(shù)據(jù)中心環(huán)境中，這很費時，而在異構(gòu)的云環(huán)境中，這是幾乎不可能的。例如，現(xiàn)代的大型云供應(yīng)商都是固有的多租戶環(huán)境。因而，加密方式必須要轉(zhuǎn)變。

實時監(jiān)視和警告

可見性和監(jiān)視對于保障云和數(shù)據(jù)中心架構(gòu)的安全至關(guān)重要。此外，異常和對策略的違反也必須實時地標(biāo)記和控制。實時地監(jiān)視和策略警告可以有效地減少惡意軟件感染其它機器的機會，并減少修復(fù)過程中的損失。

不要在網(wǎng)絡(luò)和主機之間進行選擇

傳統(tǒng)上的廠商們只能跟蹤主機或網(wǎng)絡(luò)上的安全性，其中必然包含其固有的缺陷。如今，如果要避免日益復(fù)雜的網(wǎng)絡(luò)攻擊，就要同時理解計算和網(wǎng)絡(luò)的環(huán)境和相互關(guān)系。

總之，信息安全是一種需要協(xié)調(diào)且自動化的過程，只有如此才能滿足當(dāng)今的復(fù)雜計算環(huán)境并減少成本。而且，此過程必須不斷升級才能滿足由分布式環(huán)境所帶來的挑戰(zhàn)。這就要求我們重新考慮以往那些關(guān)于信息安全的所謂“真理”。