現如今,應用程序經濟已經將幾乎每家企業組織都變成了一家軟件公司,這種轉變推動運行企業所有軟件的數據中心開始擔任更爲關鍵性的角色。數據中心越來越成爲企業業務運營的神經中樞。而最終,企業業務的成功則需要取決於數據中心的彈性和安全性。
這就是爲什麼當前越來越多的企業組織爲了保護數據中心資產而投入比以往更多的資金並不奇怪的原因所在了。數據中心網絡安全預算的增長速度遠遠超過了其他那部門。根據最近的調研數據顯示,僅在2016年全球數據中心安全市場價值就已經達到61.5億美元,預計2022年將達到約141.1億美元,2017年至2022年期間的複合年增長率爲14.85%。
由於虛擬化的數據中心,混合雲和軟件定義的網絡模糊了現代數據中心的界限,使得業界目前對於數據中心安全性的投資均旨在應對當今基礎設施日益複雜性的問題。與此同時,隨着網絡安全攻擊者不斷調整其逃避技術,以避開現有數據中心的安全技術,使得企業數據中心的安全保護策略始終處於不斷變化之中。
●2017年,在74個最常見的漏洞攻擊工具和有效載荷感染路徑中,99%使用了逃避技術。
●網絡安全攻擊者每天發佈新的惡意軟件樣本數量高達360000個。
●數據泄露總數超過1.74億,平均違規成本爲360年萬美元。
隨着企業客戶逐漸開始調查數據中心的安全選項,以應對當前的這些安全風險,他們需要了解市場中正在發生的相關變化。曾經構成單一產品的功能:如數據中心防火牆(DCFW)或數據中心IPS(DCIPS)現在已在其他產品中發現,因此隨着新的子類別的出現,更難對這些產品進行一對一的比較,因此,企業採購人員需要明確相關的事實和確定的基準來比較具有類似配置的類似產品,以便能夠爲他們所在企業的具體使用案例挑選最佳產品,並將其用於實踐過程中的概念驗證測試。
數據中心網絡安全的演進
隨着當前的網絡安全威脅形勢變得越來越複雜,企業組織正在被迫將安全保護分層到他們的數據中心基礎設施中。而DCFW和DCIPS所提供的功能對此至關重要。
DCFW的目標首先是在兩個網絡之間實施訪問控制策略。防火牆已從早期的數據包過濾和電路中繼防火牆發展到應用程序層(基於代理)和動態數據包過濾防火牆,但其基本目的是保護可信網絡免受不可信網絡的侵害,同時允許授權通信在它們之間傳輸。
而DCIPS的目標是識別和阻止針對數據中心資源(如Web服務器,應用程序服務器和數據庫服務器)的攻擊。這些產品不斷髮展,以保持捕獲日益複雜的攻擊的平衡,同時產生幾乎爲零的誤報,並滿足嚴格的網絡性能要求。
鑑於企業組織以前傾向於採用差異化的單一產品DCFW或DCIPS來提供阻止或過濾功能,現在有些企業正在尋求一種可以執行訪問控制和深度數據包檢測的單一平臺,以保護服務器應用程序免受遠程攻擊。
因此,即使DCFW和DCIPS演進到具備下一代的相關功能,市場上仍然出現了一類名爲數據中心安全網關(DCSG)的新產品,這類新產品將DCFW和DCIPS的下一代功能進行了結合。與保護用戶免受互聯網干擾的下一代防火牆(NGFW)不同,DCSG通過互聯網保護數據中心資產資源,例如網絡服務器,郵件服務器,DNS服務器,應用程序服務器等。
理想情況下,DCSG旨在對所有數據包和端口以及所有協議執行深度數據包檢測,以確定哪些應用程序在哪些端口上運行,從而有效保護它們。這應該注重性能,提供安全性,同時保持應用程序的平穩運行。
數據中心網絡安全概述
單一平臺的部分吸引力在於其可管理性因素,企業組織可以通過單一平臺跟蹤和控制應用程序的性能和安全性級別。事實上,隨着越來越多的企業組織要求簡化數據中心的安全控制,未來,這一新類別可能會包含網絡應用程序防火牆(WAF)功能。
那麼問題是,一家企業組織是否可以取消其DCFW和DCIPS設備,以支持單個DCSG呢?在很多情況下,的確是可以的。但這並不一定意味着對單一功能的數據中心安全設備的需求正在消失。他們將繼續發展,以供企業組織在某些有限的使用情況下的使用。
例如,一些企業組織可能會用位於其數據中心邊緣的融合多功能DCSG取代單功能DCFW和DCIPS。然而,他們也可能選擇在數據中心周邊背後部署DCIPS(即,作爲“線路中的碰撞”),以實現細分和深度檢查功能,而不會帶來路由防火牆的複雜性。
這些新的DCSG產品要求那些負責獲取數據中心保護技術的人員爲其評估過程帶來新的紀律。企業採購人員需要了解獨立產品與新融合DCSG產品之間的差異,以便有效評估產品,並確定適合其所在企業組織的合適性。
充分利用數據中心安全保護
數據中心網絡安全設備可處理正在訪問服務器場中大型應用程序的數十萬用戶的流量。應用程序流量爲每個請求生成很多連接和事務,這對網絡安全設備快速建立多個連接,保持許多連接打開,並實現高吞吐率的能力提出了很高的要求。
最終,企業組織需要獲得充分的可視性和控制,不僅僅是周邊的數據,而是在整個數據中心邊界上流動的數據。
DCSG必須能夠執行訪問控制和深度數據包檢測,以保護服務器應用程序免受遠程攻擊,並且他們應該瞭解網絡分段需求。他們還必須抵制真實的攻擊者繞過安全技術的迴避技術。
同時,這些保護措施必須在不影響數據中心運行的服務器和應用程序的情況下實現交付。由於受DCSG保護的服務器和應用程序的性質,高可用性,低延遲和容錯性是關鍵性的任務。
一對一的比較:衡量數據中心安全產品
安全產品的評估應始終基於具有類似配置的類似產品類別。當企業的採購人員評估數據中心網絡安全產品時,他們必須確保他們所選擇的DCSG產品能夠相互融合(即DCFW產品應與DCFW產品進行比較,DCIPS產品應與DCIPS產品進行比較),並且所有產品的設置均是一致的。
例如,如果安全旁路模式默認情況下在一個產品上啓用,而不是在另一個產品啓用,其可以提供增強的性能統計信息,但代價是允許未經檢查的流量進入網絡,而管理員對此並不知道。
這可能會在POC期間歪曲比較,這個例子強調了安全有效性和性能之間的動態關係,在評估任何安全產品時必須牢記這一點。
企業組織評估數據中心安全產品時,應該嘗試使用以下5個類別中的某些基準測試,並對產品評分(以DCSG爲例)。這樣做將建立一個強有力的比較矩陣,以決定爲POC提供哪些產品。
安全有效性
DCSG產品應在防火牆策略執行和ip流量檢查中進行安全有效性評估,同時牢記各種條件下的穩定性和可靠性。
企業數據中心應測試防火牆的功能,以查看設備如何在不同信任級別的不同區域之間執行策略。還應該測試IPS功能,以查看設備使用調整策略阻止惡意流量的情況,但是測試時公衆可以使用簽名。
防火牆有效性測試
至少,防火牆必須提供可信的內部接口和不可信的外部/互聯網接口。
企業通常會制定相關的策略以允許或拒絕來自以下一個或兩個區域的網絡流量:
●不受信任,通常是外部網絡,並且被視爲未知且不安全。互聯網就是一個不可信網絡的例子。
●可信任,通常是企業內部網絡,即被認爲是安全和受保護的網絡。
理想情況下,測試應驗證執行策略的性能和能力,以執行從受信任區域到不受信任區域,以及從不受信任區域到受信任區域的流量策略。
IPS有效性測試
在典型的企業中,安全工程師們通常會調整IPS,以確保其保護範圍與其所處環境的需求相匹配。因此,應該使用調整後的政策來測試安全有效性。
IPS的有效性應該基於產品阻斷現實世界的能力來進行測試。這包括一系列的漏洞和有效載荷,其中包括:
●返回一個反向殼
●在目標上打開綁定外殼,允許攻擊者執行任意命令
●執行任意代碼
●安裝了惡意負載
●系統無響應
使用一系列的漏洞和有效載荷,你企業的測試應該建立一個比較產品的整體阻止率(塊)。
由於許多較早的應用程序,操作系統和攻擊仍然在流通並保持相關性,因此使用面向較舊漏洞的攻擊測試IPS有效性,並根據漏洞年份來衡量漏洞可能很有價值。
此外,根據漏洞攻擊的影響來衡量IPS覆蓋率可能很有價值:
●最嚴重的漏洞攻擊是導致遠程系統泄密的漏洞,爲攻擊者提供執行任意系統級命令的能力。
●稍微不那麼嚴重的攻擊會導致單個服務的破壞,但不會導致任意的系統級命令執行。
●最後,導致系統或服務級別故障的攻擊會導致目標服務或應用程序崩潰,並需要管理操作來重新啓動服務或重新引導系統。
根據漏洞利用效果比較有效性可以提供有關設備安全功能的寶貴信息。
穩定性和可靠性
當組織評估DCSG時,他們應該考慮這些設備在正常工作負載下如何保持長期穩定性,以及它們如何處理特殊情況(如電源故障)和擴展攻擊,如分佈式拒絕服務(DDoS)攻擊。不應考慮在惡意攻擊時無法維持合法流量(或崩潰)的產品。
DCSG的整體有效性應該使用一個公式來結合產品的防火牆有效性得分,IPS有效性以及穩定性和可靠性得分。
迴避技術
企業必須能夠依靠其DCSG來預測和識別專門設計用於逃避檢測的惡意活動。
迴避技術是在交付時僞裝和修改攻擊的手段,以避免被安全產品檢測和阻止。安全設備未能正確識別特定類型的規避可能會允許攻擊者使用設備假定具有保護功能的整個類別的漏洞。這意味着DCSG應該通過一系列的測試,使他們受到一系列通用規避技術的影響。在不充分考慮逃稅的情況下提供保護結果可能會產生誤導。
漏掉的類別越多(例如IP數據包碎片,流分段,RPC碎片,URL混淆和FTP迴避),設備的效率越低,例如,最好是錯過一個逃避類別中的所有技術,比如FTP逃避,而不是每個類別中的一種技術,這會導致更廣泛的攻擊面。
出於這個原因,在總體安全有效性評分中包含防規避結果是至關重要的。
性能
企業組織需要知道他們的DCSG是否能夠在支持關鍵業務應用程序所需的性能閾值內進行風險管理,因此,他們應該尋找與安全有效性指標並行測試的性能指標。這包括測量諸如原始數據包處理,延遲和最大容量等領域的性能。
總體擁有成本
負責DCSG採購的決策者必須考慮可能影響設備總體成本的四個因素。
●產品購買:購買產品需要多少成本嗎?
●產品維護:一旦採購了產品之後,供應商會如何收取維護,支持和更新費用
●安裝:買方承諾部署產品的一次性資源是多少嗎?
●維護:從供應商處獲得更新和補丁需要哪些資源?
在POC期間尋找什麼
顯然,即使是數據中心安全產品評估的早期階段,也需要深入瞭解設備功效所有領域的指標。市場上有相應的服務機構可以爲企業採購人員們提供實踐性的測試,比較類似測試條件下的產品性能,並使用類似的產品配置。
從實踐測試階段開始,企業的評估人員可以快速挑選候選產品,並在需要深入分析或專門針對其環境定製的測試領域啓動更爲密集的POC評估。隨着企業客戶將候選產品名單提交給POC,他們應該將重點放在若干領域,例如,當談到測試DCSG的防火牆功能時,他們應該進一步深入定製的數據中心訪問配置和內部網絡區域的部分分段。
關於IPS功能,他們應該測試產品如何處理內部攻擊行爲和橫向移動技術。
此外,企業客戶可能會使用POC來評估基於其更先進功能的設備的未來發展。對於某些情況,這可能包括應用程序服務器保護或WAF保護,以防止防火牆或IPS功能帶來太多延遲以適應應用程序(如在線交易)。對於其他一些企業而言,其可能是使用服務提供的雲平臺測試企業在場外的功能。
沒有留言:
張貼留言