萬兆網絡并不僅僅意味著網絡帶寬的增加,與之相匹配的業務系統亦隨之而變得更加復雜。萬兆安全解決方案并不是簡單的選擇相應安全設備的萬兆型號,還會包括更為復雜的部分。拿最為常見的Web業務安全舉例,我們可以清楚的看到,隨著業務系統的復雜化,安全防護措施也在不斷完善。
單一技術對抗簡單的攻擊手段的時期
這個時期,由于Web威脅行為的危害程度不是非常高,調整網絡結構或者是部署WAF產品,都可以在很大程度上解決Web威脅相關問題。其主要的手段有以下兩種:
1.通過設置DMZ區來防御Web威脅
DMZ是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web業務系統以及其他對外提供服務的業務系統。將 Web業務放置在DMZ區,可以避免承載重要數據的服務器直接面對來自互聯網的攻擊,起到緩沖的作用。
2.通過部署WAF產品來抵御Web威脅
隨著攻擊技術的發展,尤其是注入技術的出現,DMZ已經不能起到安全防護的作用了,攻擊者可以通過最為正常不過的HTTP協議,攻陷Web業務前臺系統,從而直接對后臺數據進行訪問或者是篡改。于是出現了用于抵御應用層攻擊的WAF類產品,對Web業務前臺系統的漏洞進行封堵,藉此來防護Web 業務系統的安全。
多技術組合對抗復雜攻擊手段的時期
這個時期,網絡帶寬、應用業務的復雜度都進入了一個新的階段。Web業務資產價值的提升、Web威脅行為的危害程度升級,都進一步加大了Web業務的風險值。這個時期對Web威脅的防御,不能僅僅考慮Web業務本身,而應當擴展到全業務流程中去。
仔細審視大流量環境下的Web業務系統,我們可以發現安全風險點不僅僅存在于網絡的出口。由于業務系統的龐雜,各個節點都可能存在安全隱患。
1.網絡出入口的安全隱患
分布式拒絕服務攻擊(DDoS)。意大利政府網站、墨西哥政府網站、CIA網站都是DDoS攻擊的受害者。
數據竊取和頁面篡改。今年,某黑客組織曾攻陷了數百個政府機關網站并篡改其網站頁面。后來,該黑客組織還公布了1.7G的竊取自美國司法部的數據。
2.后臺數據庫的安全隱患
數據庫的越權訪問。對于大型Web業務系統而言,后臺數據庫服務器的維護者往往采用另外的維護入口進行數據庫相關維護,擁有數據庫訪問權限的維護人員的越權操作,將影響Web業務系統的正常運行。
敏感信息泄露。除了可能存在的越權數據庫訪問之外,運維人員所使用的PC上往往存放著一些重要的信息,如數據庫表結構、管理員密碼等。這些信息也存在通過IM或者是郵件、U盤等泄露的可能。
一個面對復雜Web業務系統的安全解決方案,需要考慮到上面所提到的所有問題。同時,結合信息安全體系中經典的PDR模型,還需要同時考慮到檢測、防護和響應三個方面。
以國內信息安全領軍企業啟明星辰的產品為例,通過將萬兆WAF、萬兆流量清洗與抗拒絕服務產品(ADM)和其他安全產品進行組合,能夠提供全面的Web應用安全解決方案。在網絡出入口部署WAF、流量清洗與抗拒絕服務產品進行防御;在網絡內部部署堡壘機及數據防泄密(DLP)產品,降低由于內部運維人員的違規操作帶來的安全風險,同時還提供針對業務系統的漏洞掃描產品,以提前發現安全隱患。而PDR模型中的響應部分,大型Web業務系統需要建立安全應急響應規范及隊伍,以應對緊急情況下的應急處理。
從上面的例子可以看出,萬兆網絡的安全問題并不只與帶寬相關,帶寬的變化同時也帶來了業務復雜度的增加,從而對安全提出了更高的要求。當然,帶來變化的不僅僅有帶寬,無線、IPV6、云計算、BYOD(自帶設備辦公)、SCADA,這些業務模式的變化都引發了安全狀況變化。為了適應這種變化,安全防護手段亦需隨之而變。
推薦閱讀
一個最樂觀的報告說,到年底,蘋果打算推出5200萬臺iPhone5。真是讓人心馳神往的數字>>>詳細閱讀
本文標題:案例分析:萬兆環境下的Web安全思考
地址:http://www.xglongwei.com/a/xie/20120201/115692.html
網友點評
精彩導讀
科技快報
品牌展示