下圖是乙個典型的企業業務網路架構包含常見的安全裝置。
基礎安全裝置包含構造業務安全防禦系統的常用安全裝置,能夠搭建深度防禦體系的各種安全裝置、安全軟體。大型的網際網路結構不太一樣,主要為資料流量很大,傳統安全廠家的裝置很難滿足需求,攻擊檢測和防護會自己開發,本文還是以傳統業務網路為主。傳統業務網路包含的安全裝置一般有以下幾種:
網路入侵檢測
用於檢測網路入侵事件,常見部署在核心交換上,用於收集核心交換機的映象流量,通過檢測攻擊特徵形成告警事件。
網路流量分析
映象流量分析,通常也是連線到核心交換,可以分析流量,可以回溯流量,遇到分析安全事件的時候可以通過回溯流量分析攻擊過程。
安全防護類產品同樣有檢測攻擊的能力,檢測出攻擊才能進行防護,也常見防護類的產品只做檢測用。
抗拒絕服務產品
部署在主鏈路上,內部網路的抗d裝置可以處理低於出口頻寬的 ddos 流量,超過的一般用雲抗d服務。
防火牆
用於做網路邊界區分,雖然下一代防火牆有很多花哨的功能,但是在實際應用中最有用的還是網路訪問控制。常見部署在核心路由和核心交換機之間,或者在應用伺服器和資料庫伺服器之間,或者不同的業務之間,有邊界隔離需求的都可以部署。
waf(web應用防火牆)
現在幾乎所有的應用都使用web的方式提供,相比較傳統防火牆裝置,web應用防火牆提供了應用層的防護能力,更專業一些。常見部署在應用伺服器與核心交換之間,或者核心交換與核心防火牆之間。
也有的業務系統比較複雜,waf已旁路映象流量的方式作為web的入侵檢測裝置存在,只檢測web攻擊事件。
網路入侵防禦
邏輯是串在主鏈路上,真用作防禦功能的情況還是比較少,需要業務簡單,互動情況少的情況下。誤報和漏報需要平衡好。
企業防毒軟體
目前普遍部署在企業網路的防毒軟體都是基於 windows 版的,使用統一管理,可以從整體檢視病毒在組織網路中的感染情況。企業網策略比較保守,發現病毒只是告警,不直接刪除或清除,有可能導致系統檔案出錯。越來越多的組織使用 linux 作為主要作業系統,很少有合適的防毒軟體部署。還有種 apt 的產品,防毒是其中的乙個元件或模組。
漏洞掃瞄工具
國內最常見的綠盟的掃瞄器了,掃瞄漏洞了,當然會出現漏報和誤報,也需要安全運維人員有能力驗證發現的漏洞。
配置核查工具
實現統一的安全配置標準以便規範日常的安全配置操作,快速有效地對網路中種類、數量繁多的裝置和軟體進行安全配置檢測,集中收集核查結果,快速出報告。
**安全監控
可以對**漏洞、**內容、**可用性監控的裝置,屬於主動掃瞄類的工具。
漏掃、配置檢查、**監控都是屬於主動掃瞄的裝置。
堡壘機
有時候也叫運維審計系統,可以配合 windows 域或其他認證系統,對運維人員的操作進行審計。網路的訪問控制做的好的話,個人認為堡壘機是安全運維裡面最有用的裝置之一。
日誌審計
傳統日誌審計,後台使用關係型資料庫的,侷限性很大,相當於各種日誌資料處理後放到乙個資料庫中,安全事件發生後可以用作做事件回溯查詢。資料量大了後表現就是查詢速度很慢。另外一般裝置是乙個盒子,儲存的資料量也有限。
資料庫審計
映象應用到資料庫的流量,可以獲得所有的資料庫操作請求,通過設定一定的規則也能檢測針對資料庫的攻擊。
有些適合企業辦公網使用的安全裝置,如上網行為管理、網路准入系統等不在這裡介紹了。
主要有3塊工作需比較多的工作量,乙個是安全裝置日誌審計,乙個是裝置配置,最後乙個是配合其他部門做漏洞掃瞄、通告和修復。
2.1.1 安全裝置日誌審計
組織購買了安全產品,也在**商的支援下部署了安全產品,之後就需要人員來檢視相關日誌,乙個入侵檢測裝置的告警事件每天可能從幾千到幾萬條,就算粗略的過一遍也不差不多需要乙個小時,然後看waf日誌、防毒軟體日誌等等。網路環境複雜、規模較大,安全裝置多,人工看日誌都看不完。也可以依賴**商的巡檢,週期比較長,不同**商只做自己產品的巡檢,做出的報告可能作用不大(比沒有要好)。
2.1.2 裝置配置工作
舉個防火牆配置的例子,某組織業務系統越來越多,變動也越來越頻繁,還是沿用舊的管理方式,逐一登陸防火牆,逐一設定生效,效率低,而且缺乏對現有策略的統籌。另外配置防火牆變更可能走配置變更流程,一整套下來也需要花費大量的時間。
2.1.3 漏洞掃瞄、通告、修復
漏洞掃瞄和通告一般由安全部門負責,漏洞修復則需要其他部門的配合,常見的實際漏洞修復時間比規定要求的時間多3倍。
如果說普通的配置需要基礎安全知識和it技術能力,調整安全裝置規則就需要專業些的能力支援了。ids/ips 修改規則需要了解網路攻擊的相關知識,waf 修改規則需要了解 http 協議和 web 滲透的相關知識。
做好基礎的安全裝置運維工作不僅是簡單的修改配置,調整策略,更多的是結合自己組織實際整體的業務網路環境,明白各個安全裝置在網路中的位置啟什麼作用,通過整體的考慮和配置提公升組織的安全防護能力。同樣也需要配合安全管理規範和流程,安全裝置配置的每一次修改都留有審核、有記錄,安全運維人員對每次修改的配置會對整個業務網路環境造成的影響能夠進行評估,做到心中有數。
從工作職責說明上寫清楚安全運維人員的職責和績效評估方法,因為安全裝置的運維都屬於日常性的工作,可以做工作計畫,按照計畫推動安全裝置的日常運維工作。
梳理安全裝置相關的制度流程,要符合自己組織的實際情況,並充分於相關部門人員溝通、培訓,使流程能夠實際執行。結合運維、開發部門流程將與安全流程整合到一起。
需要了解網路部門的提供的業務網路架構,對安全裝置的部署提供合理建議,按照功能和業務劃分網段,如業務網段、運維網段、安全管理網段,從網路上配置嚴格的訪問控制,防火牆、堡壘機的使用效果很依賴於網路的訪問控制。有些 ip 有全網訪問許可權的,需要做好嚴格控制。可能的流程(可能需要配合運維)有:
伺服器上線/下線流程日誌分析、裝置巡檢最好由系統自動完成,有條件使用 spunk,沒條件使用 elk,收集的所有安全裝置日誌使用安全事件關聯規則處理,降低每天檢視的日誌量。對日誌檢查任務進行標準化工作,盡量規範化定義日常的日誌檢視需要檢查哪些內容。裝置配置變更流程
vpn賬戶/堡壘機賬戶許可權審批流程
漏洞修復流程
檢查內容可以從業務威脅分析得出,可以通過內部討論的形式分析業務都會遭受哪些威脅,會在安全裝置上留下哪些日誌,在搜尋分析日誌,形成日常檢測任務,如果有自動化平台,再將這些規則移到自動化平台上,關聯分析規則後面再說。
安全裝置的規則調整可以依賴**商,**商的定期巡檢和安全事件的應急要能夠及時調整安全裝置規則策略。要求巡檢報告或應急報告裡包含對規則的調整建議。
需要配置的防火牆較多,可以考慮開發或採購防火牆管理系統, 通過管理系統統一下發策略配置, 能根據輸入內容,進行多個防火牆同時查詢, 能保留防火牆日誌,同時能實現根據輸入內容對防火牆防火牆進行查詢,記錄策略的訪問頻率,提供防火牆優化決策資料,對防火牆策略的使用提供統籌依據,如策略重複、策略合併、多餘策略等。防火牆裝置較少可以手工整理,不管什麼方式,都需要乙份防火牆的策略配置和說明文件。想要集中化配置所有安全裝置可以考慮使用soc了。
可以考慮開發或採購配置管理系統,將安全裝置配置可以匯入到配置管理系統上,每次更改配置也能做好記錄。如果運維部門有類似的系統,放在一起做。裝置少的情況下也可以手工記錄。
定期對業務網路環境做漏洞掃瞄,跟業務部門、開發部門、運維部門確認漏洞修復狀態,不能修復的說明情況,採取補償的方式對有漏洞系統進行防護。
在人員編制不足的情況下也可以考慮將這部分任務外包給安全公司來做。
如何做好技術分享
5.分享的過程 6.多參與分享,向大佬學習。最近在團隊中需要進行技術的分享,趁此機會複製貼上一波如何做好技術分享。開拓眼界 通過作者分享,聽眾能了解到自己從來沒有接觸過的技術和領域,提公升自己的技術視野,開拓眼界。增加溝通 聽眾在工作中遇到的問題,可以藉此機會進行溝通交流 匯報成果 這個就是匯報工作...
經驗分享 如何做好產品可行性分析?
作為一名產品經理,會面對千奇百怪的需求,也會面對無數需求方,需求方可能是老闆 使用者 合作方等等,大都從自身的利益角度出發思考問題。這都沒錯,但是產品經理作為產品的第一負責人,你總要面對乙個問題,這個產品方案到底能不能落地?產品經理有必要全方位的評估產品需求的可行性,你當然不希望拼盡全力去做的產品是...
如何做好團隊技術分享
最近一段時間一直在思考如何將技術分享和內部培訓利用起來,幫忙團隊小夥伴們盡快提公升工作中需要的技術。突然想到其實一次精心準備的技術分享,也算是乙個小小的專案了。作為乙個專案,當然也要經過啟動 計畫 執行 監控和收尾的過程,只不過在這五大過程組之中,根據實際需要具體過程會有所刪減。想要中獎,至少要先買...