【賽迪網-IT技術報道】【序言:越來越複雜的威脅、持續提高的規章要求以及持續發展的應用程式,不斷帶來企業網路安全新問題。由於管理問題,增加更多的單點式解決方案並不總是最佳方案。Fortinet公司亞太區銷售副總裁Jens Andreasssen先生考慮的是企業如何才能夠開展一種實用的安全差距分析,以及選擇合適的廠商來幫助提高網路安全而無須增加管理的複雜性。】
試圖保證網路安全的IT管理者們每天面臨複雜的挑戰,因為他們面對的威脅越來越複雜化,合規負擔不斷增加,並且新的應用和技術也帶來了更多漏洞。
駭客們目前更多關注的是獲取經濟利益而不是揚名立萬,而有組織的犯罪在網路安全鬥爭中開始佔據越來越大的比重。此外,因為網路層要求保持持續的警惕並且已經開發了各種防火牆和入侵防禦系統(IPS),因此這不僅是網路層的安全問題,它還包括內容(數據)層。
資訊安全、防病毒、反垃圾郵件、網頁過濾、反間諜軟體……這個所需技術的清單還在不斷地加長,小型企業要想跟上這個速度很困難。
規章與最佳應用的指導原則給IT管理者們帶來了責任的重擔。他們不僅必須採用最新的技術來應對潛在的威脅,而且必須證明已竭盡所能來保護敏感的數據和網路。
各種流量和活動都必須記入日誌,以便於審查並證明其合規,另外也是為了方便取證。這一點對於查明並迅速修補網路安全制度方面的漏洞至關重要。這些更加重了他們的負擔。
因此,為了全力提高經營效率和獲得競爭優勢及業務成功,IT管理者們辛勤工作,努力提供更好的用戶移動性、互連互通性和第三方網路接入。
通過增加新的應用或升級現有的應用來實現對各個新技術的最基本改善,或許可以提高業務績效,但不幸的是,也增加了新的攻擊漏洞。
實用的網路安全
IT安全一般只是總體IT預算的一部分,而總體IT預算又只是總體業務預算的一小部分。我們不僅需要按照各種威脅對業務的潛在影響對它們進行分級,而且還需要平衡IT預算中與之相關的技術和產品及其他東西。所有這一切都必須按照規則進行,以降低與資本支出相關的運營費用。
這就解釋了為什麼大家對整合網路安全功能越來越感興趣,因為它能夠降低採用和管理安全設施的複雜性和成本。
但它同時還為關注這種統一的IT管理者提供了一種特別實用的方法,該方法可總結為如下三點:
(1)安全更多地被視為網路和應用可用性的一個重要部分,這種可用性使得用戶能夠完成他們的工作。在實踐中,安全技術和產品的選擇是通過它們如何服務於這一目標而決定的。這種方法的一個好處就是能夠按照總體IT目標和業務底線輕鬆地做出安全方面的決定。
(2)許多公司認為廠商整合要麼完全不做,要麼就做完全,而另一些公司則仍然堅持購買完全不同的“最佳血統”單功能產品。但實際情況是:即使整合兩、三項功能也能帶來莫大的好處,如減少管理的複雜性、降低對環境的影響(因為設備較少)和提供更高的投資回報。當採用完全不同的廠商設備時,這些因素將有助於減少問題,使網路免受不斷演變的安全“威脅”。
(3)無論採用什麼,都必須對現有的安全投資進行補充。這個幾乎是顯而易見而毋庸贅述的,但太多的廠商好像認為他們的解決方案勝過IT管理者多年的謹慎投資、實施、培訓和經驗。管理的複雜性永遠不可能完全避免,但卻可以通過選擇合適的廠商來降低。
發現並填補網路安全缺陷
制定小規模網路整合計劃和從統一威脅管理中受益的一個方法是:將IT基礎設施劃分為功能性網路分區,這些分區可以是物理的(例如:數據中心或核心網)或者是邏輯的(例如:訪客接入或電子郵件通信)。通過這個計劃,就能夠弄清楚存在什麼樣的安全缺陷,以及如何才能使IT管理員最終確定適當的解決方案。
IT管理員應該問一個簡單的問題:各功能網路分區是否採用了適當的產品和技術。
• 周邊
• 數據中心
• 核心網
• ROBO/SOHO
• 安全的電子郵件通信
• 終點
周邊
網路周邊是第一道防線,是各種外部威脅的焦點,特別是網路和內容層上有犯罪目的的外部威脅。潛在的缺陷常見於VPN(IPSEC或SSL)、防火牆、入侵防禦系統(IPS)以及各種防病毒解決方案——吞吐量、可用性、最新的威脅程式等等。
數據中心
數據中心有著各種伺服器和應用程式,幫助企業用戶開展工作。這裡的最大挑戰是吞吐量和實時操作,特別是與重要應用程式防病毒和內容掃描有關的吞吐量和實時操作。如果安全解決方案跟不上,某些東西就會溜進來,對許多用戶造成影響,即便不是全部用戶。
核心網
核心網上的挑戰包括巨大帶寬和大量的併發會話,以及小數據包實時應用程式的存在,如IP語音(VoIP)。
許多解決方案聲稱針對512字節的高吞吐量。但實際上,處理較小數據包時性能通常會顯著下降。儘管核心網主要與防火牆、VPN及IPS運營有關,但是選擇的解決方案必須提供可擴展的容量、性能、高可用性和冗余性。這屬於加速網路和內容層保護能力的ATCA硬體和專用ASIC處理器的範疇。
遠程辦公/分支機構辦公(ROBO)和小型辦公/家庭辦公
遠程辦公/分支機構辦公(ROBO)和小型辦公/家庭辦公(SOHO)帶來了許多同樣的問題,同時還增加了無線網路和各種接入設備(如:DSL數據機)的漫遊用戶和攻擊漏洞,以及語音和其他實時應用程式的存在。簡單查看任意解決方案的小數據包吞吐量非常重要。
安全的電子郵件通信
電子郵件佔據了病毒感染的第一位,它是數據不安全的主要源頭,法律爭議的主要媒介。在合規性方面,先進的歸檔功能是一項重要的功能,而外發內容過濾能夠保護重要的機密資訊。
終端
深度防範要求密切關注網路上的各終端:臺式電腦、筆記本電腦以及越來越多的PDA等。這方面的安全缺陷可能損害網路和應用的完整性,而能夠符合企業安全標準是關鍵。防範間諜軟體和病毒的能力尤其重要。個人防火牆和可靠的VPN客戶端可以再增加一道防護。
融為一體
考慮統一威脅管理(UTM)解決方案時,無論對於整個網路安全功能還是其中的一部分,重要的是選擇的廠商不僅要提供各種安全技術,而且還要提供統一的管理、報告及威脅分析。否則,各種完全不同的終端產品還是會產生同樣的管理負擔,對操作費用帶來更大的影響。
統一的管理、報告及分析
安全基礎設施的管理主要涉及到安全策略的制定、發佈和實施,以及網路各部分多種安全設備配置的管理。UTM解決方案應提供一種單一的管理控制平臺,具備統一的安全功能、策略提供及配置修訂控制,從而實現精細的管理控制。
策略管理要求強大的報告功能,這些功能能夠將各種設備和技術的活動整合起來,同時提供網路容量並利用各種數據來實現良好的網路管理。預定及按需提供的報告,加上大量的標準報告,意味著在需要的時候能夠輕鬆地進行定制。這些功能包括事件相互關係、取證分析及漏洞掃描等,在與管理控制平臺更密切地整合後,都變得非常重要。
統一威脅研究
任何UTM解決方案都依賴於資料、特徵、URL和其他威脅資訊的及時更新,以便跟進迅速演變的威脅。自動更新就能夠做到這一點,但是以小時而不是天數計算的最新服務層協議卻通常無法保護網路。
總結
統一的安全解決方案,即便只有兩、三項功能,也能夠為關注網路安全的IT管理者們提供一種方法,在他們的網路基礎設施中整合多種新型的安全技術。解決方案必須提供統一的管理和報告控制平臺,將所有的東西融合為一體。如果沒有這些東西,該解決方案就無法實現降低操作成本的要求。
網路應該受到端到端UTM解決方案的全面和統一的保護,這樣的解決方案使IT管理員能夠靈活地利用適用於環境的安全功能來保護網路的各個部分。
(責任編輯:李磊)
