9

数据中心建设之信息安全技术和产品选型总结

Posted by loong on 2018/06/14 in IT系统管理专业积累 |

近期在为单位数据中心建设项目进行规划和安全相关产品的选型,从信息化基础架构的整体规划、安全相关产品的类别、用途、品牌选型等方面进行了一些学习和思考,本文进行简要梳理总结记录,如果能对面临同样问题的朋友多少有所帮助更好。

作为一个金融企业的数据中心,在信息安全上既要防范外来的入侵攻击等安全威胁,又要管控内部的信息泄露等信息安全风险,下面将从这两个方面主要涉及的部分技术和产品进行介绍。


先说外部网络威胁防护的3种主要技术,依次是网络防火墙、IPS、WAF。

网络防火墙

网络防火墙(FireWall)部署在网络边界,在OSI模型的三层按照预定的规则来监视和控制传入和传出网络流量,主要基于IP、端口、协议类型进行过滤。

举个通俗的例子,防火墙就类似园区的门卫,这个门卫有一本登记册,所有要进出园区的车辆都得告诉门卫自己是从哪里来、要到哪里去、要去做什么,门卫对照登记册进行查看后会决定要不要放行。

企业网络防火墙产品的选型,Gartner 2017年的魔力象限(Magic Quadrant)图如下:blog of loong

从Gartner魔力象限图中可以看出,CheckPoint、Fortinet(飞塔)、PaloAlto处于领导者象限,国内品牌有处于挑战者象限的巨头华为,还有位于特定领域象限的H3C、山石、深信服等。

网络防火墙是基于IP层包过滤的产品,因此无法分析上层协议,对于封装成HTTP等应用层请求的恶意攻击就无能为力了,正如同园区门卫是无法防范合法进入的快递小哥的车里藏有炸弹这种事情的。

入侵防御系统(IPS:Intrusion Prevention System)

上面说了,网络防火墙有自身的局限,IPS就是对防火墙的补充。

IPS可以深入数据包内部,基于攻击的特征进行匹配检测,从而达到监控、阻止恶意攻击的目的。IPS采用的是“允许除非明确否认”的工作模式,通俗说就是黑名单,发现被黑名单的特征匹配到的就告警或拦截。

IPS就类似大楼入口处的安检仪,使用X射线等技术可以对进出的包裹进行深度扫描检查,同时违禁品都是明确列出来的,如果查到有违禁品清单上的物品就会报警或阻止。

企业IPS产品选型,Gartner 2018年的魔力象限(Magic Quadrant)图如下:blog of loong

TrendMicro(趋势)、Mcafee(迈克菲)、Cisco(思科)位于IPS产品领导者象限,国内品牌只有Hillstone(山石)进入了特定领域象限,当然有很多厂商的下一代防火墙都集成了IPS。

IPS基于黑名单的防护方式,特征库都是基于已知的漏洞提取出来的,不可能全面覆盖,

Web应用防火墙(WAF:Web Application Firewall,也称:网站应用级入侵防御系统)

WAF是专门针对http协议的安全防护技术,用于防护针对WEB应用的页面篡改等网络防火墙和IPS无法有效防范的安全威胁。

如果说网络防火墙是园区的门卫,IPS是大楼入口处的安检仪,那WAF就类似于针对特定人、物的专门保镖。

企业IPS产品选型,Gartner 2017年的魔力象限(Magic Quadrant)图如下:blog of loong

位于WAF产品领导者象限的是Imperva、Akamai(阿卡迈)和F5,国内品牌只有绿盟(NSFOCUS)进入特定领域象限。

 

说完了外部网络威胁防护技术,对于数据中心来说较为常见的内部信息安全防范技术主要介绍一下数据库审计和堡垒机。

数据库审计(DAP:Database Audit and protection)

除了面向用户的应用程序,数据中心内部的关联系统、数据库管理员也都会通过客户端、程序接口等多种方式对数据库进行访问和操作,这样从内部信息安全控制的角度来说就存在着信息泄露、误操作、恶意操作等多种风险。

数据库审计,主要是用于全面记录针对数据库的访问操作行为,用于查证、合规审计、问题分析等事后安全。

数据库审计署于近些年兴起的技术,目前gartner尚未发布过针对数据库审计产品的魔力象限。企业数据库审计产品选型的话国内安全大厂绿盟、安恒等都有相应产品,另外还有一些比较专注于数据库安全领域的厂商如安华金和等。

堡垒机

堡垒机是一个通俗的叫法,又的厂商叫运维安全审计,顾名思义,堡垒机系统如同一个堡垒一样,切断了运维管理人员对核心生产系统的直接访问,以代理的方式扮演者生产系统的看门人角色,像一个单位的传达室或前台一样,所有对内的访问都要经过它。堡垒机可以实现对用户的身份认证、资源授权、访问控制、操作记录、审计回放等多种功能。

同数据库审计类似,企业堡垒机产品选型的话国内安全大厂绿盟、安恒等都有相应产品,另外还有一些比较专注于数据库安全领域的厂商如上讯信息、齐治科技等。


想更便捷的免费收到本站为你准备的精彩内容?

赶快微信扫一扫微信二维码(或直接添加微信ID:loong_1688)关注我们的微信公众号吧!我们一起享受精彩的移动互联网生活!!!

微信公众号“Loong精选(ID:Loong_1688)

 



标签:, , , , , , , , , , , ,

9 Comments

果玩加州西梅果树苗进行回复 取消回复

电子邮件地址不会被公开。

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © 2012-2018 blog of loong All rights reserved.