万兆网络并不仅仅意味着网络带宽的增加,与之相匹配的业务系统亦随之而变得更加复杂。万兆安全解决方案并不是简单的选择相应安全设备的万兆型号,还会包括更为复杂的部分。拿最为常见的Web业务安全举例,我们可以清楚的看到,随着业务系统的复杂化,安全防护措施也在不断完善。
单一技术对抗简单的攻击手段的时期
这个时期,由于Web威胁行为的危害程度不是非常高,调整网络结构或者是部署WAF产品,都可以在很大程度上解决Web威胁相关问题。其主要的手段有以下两种:
1.通过设置DMZ区来防御Web威胁
DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web业务系统以及其他对外提供服务的业务系统。将Web业务放置在DMZ区,可以避免承载重要数据的服务器直接面对来自互联网的攻击,起到缓冲的作用。
2.通过部署WAF产品来抵御Web威胁
随着攻击技术的发展,尤其是注入技术的出现,DMZ已经不能起到安全防护的作用了,攻击者可以通过最为正常不过的HTTP协议,攻陷Web业务前台系统,从而直接对后台数据进行访问或者是篡改。于是出现了用于抵御应用层攻击的WAF类产品,对Web业务前台系统的漏洞进行封堵,藉此来防护Web业务系统的安全。
多技术组合对抗复杂攻击手段的时期
这个时期,网络带宽、应用业务的复杂度都进入了一个新的阶段。Web业务资产价值的提升、Web威胁行为的危害程度升级,都进一步加大了Web业务的风险值。这个时期对Web威胁的防御,不能仅仅考虑Web业务本身,而应当扩展到全业务流程中去。
仔细审视大流量环境下的Web业务系统,我们可以发现安全风险点不仅仅存在于网络的出口。由于业务系统的庞杂,各个节点都可能存在安全隐患。
1.网络出入口的安全隐患
分布式拒绝服务攻击(DDoS)。意大利政府网站、墨西哥政府网站、CIA网站都是DDoS攻击的受害者。
数据窃取和页面篡改。今年,某黑客组织曾攻陷了数百个政府机关网站并篡改其网站页面。后来,该黑客组织还公布了1.7G的窃取自美国司法部的数据。
2.后台数据库的安全隐患
数据库的越权访问。对于大型Web业务系统而言,后台数据库服务器的维护者往往采用另外的维护入口进行数据库相关维护,拥有数据库访问权限的维护人员的越权操作,将影响Web业务系统的正常运行。
敏感信息泄露。除了可能存在的越权数据库访问之外,运维人员所使用的PC上往往存放着一些重要的信息,如数据库表结构、管理员密码等。这些信息也存在通过IM或者是邮件、U盘等泄露的可能。
一个面对复杂Web业务系统的安全解决方案,需要考虑到上面所提到的所有问题。同时,结合信息安全体系中经典的PDR模型,还需要同时考虑到检测、防护和响应三个方面。
以国内信息安全领军企业启明星辰的产品为例,通过将万兆WAF、万兆流量清洗与抗拒绝服务产品(ADM)和其他安全产品进行组合,能够提供全面的Web应用安全解决方案。在网络出入口部署WAF、流量清洗与抗拒绝服务产品进行防御;在网络内部部署堡垒机及数据防泄密(DLP)产品,降低由于内部运维人员的违规操作带来的安全风险,同时还提供针对业务系统的漏洞扫描产品,以提前发现安全隐患。而PDR模型中的响应部分,大型Web业务系统需要建立安全应急响应规范及队伍,以应对紧急情况下的应急处理。
从上面的例子可以看出,万兆网络的安全问题并不只与带宽相关,带宽的变化同时也带来了业务复杂度的增加,从而对安全提出了更高的要求。当然,带来变化的不仅仅有带宽,无线、IPV6、云计算、BYOD(自带设备办公)、SCADA,这些业务模式的变化都引发了安全状况变化。为了适应这种变化,安全防护手段亦需随之而变。