保护公司的数据中心是一项庞大的工程,即便一点疏忽,也可以带来巨大的威胁。作为安全工具的主力军,包括防火墙、防病毒软件、垃圾邮件过滤器和间谍软件过滤器等,共同组成的安全套件可以允许进行各种复杂的管理,并且还有一些新兴的安全工具以及其他安全工具值得我们重新考虑。
不要互吹互擂
首席安全官们面临的最大的问题之一就是要搞清楚究竟是什么在威胁他们的数据中心。防病毒软件、防火墙和入侵检测系统可以日志形式记录大量的数据,这些数据中包括各种试图对数据中心做出更改的人的行为记录。通过在不同的软件程序和跨部门系统中搜索这些记录都将是个恼人的挑战,JamesQuin表示,他是位于加拿大安大略省伦敦信息技术研究中心的高级研究分析师。
“对于那些希望剖析所有那些数据,然后将找出相互关联的数据并且对全部数据进行参照对比的组织,就会发现这是一项非常巨大的工程,而且十分耗费劳动力,”Quin说。他建议使用登陆分析器,也被称为安全信息管理器(SIM)以及安全信息和事件管理器(SIEM),因为这些分析器可以从各种不同的系统中汇总数据。这种管理器工具可以迅速找出数据相关性并且能够几种管理日志,而且通常会伴有报告工具和分析工具。
ArcSight就是一个这样的工具,它可以为那些有需要对大规模日志数据进行跟踪或者想要具备许多功能的工具的企业提供最佳解决方案。
旧金山富国银行的高级信息安全工程师DennisHein表示,ArcSight就像日志数据记录工具中的“瑞士军刀”,Hein利用这个产品来将银行的所有日志数据汇总到一个地方,这样做能够为他节省很多时间来对异常数据进行追踪。Hein表示“那些需要花费几天来完成的调查工作,我们只需要几分钟到几个小时内就能完成,因为这个工具可以设置为制造出格式规范的报告。”
而对于较小的公司或者那些不太需要定制化服务的公司,我们推荐使用TriGeo网络安全公司的TriGeo以及赛门铁克公司的安全信息管理器,虽然它们不像ArcSight一样强大,但是这两种工具使用简单,特别是对于那些没有特别的安全专业知识的公司。
使用日志汇总工具的另一个实际原因就是:他们可以阻止智能化攻击。“如果你的员工中有人熟悉汇总工具的运作机理,那么攻击可能会让安全系统挂起黄色警告旗帜,但不会是红色旗帜,”MikeHalperin表示,他是位于马赛诸塞州Westborough市的Akibia的技术副总裁,这是一家专注于数据中心的顾问公司。
暴露你的缺点
首席安全官通常会做的反省工作会涉及到在数据中心内搜索薄弱环节,对于这个过程而言,可以考虑使用漏洞评估工具和管理工具,例如eEyeDigitalSecurity公司的Retina漏洞扫描器,GFILANguard公司的漏洞扫描器,其扫描器还具有补丁管理和安全审计功能,或者还可以选择Qualys,这是一款相对简单的使用网络的工具,使用于那些可能没有具备相关技能的安全工作人员的小型公司。
位于美国加州默塞德市的拥有40个分行的County银行,运行的是一个AS/400,并且大约拥有40台电脑服务器,他们使用Qualys来定期对所有服务器上的日志记录进行扫描。
County银行的信息安全人员CharlieMcClain表示说,“拥有Qualys这样的工具是极为重要的,因为windows环境中的漏洞每天都在不断更新。”他喜欢Qualys的原因在于,这个工具可以即使更新漏洞,这意味着他不必自己去修复漏洞。
银行除了每天例行扫描Windows服务器外,每个月还会扫描一次他们的AS/400。
另外市面上还有的漏洞扫描器包括Nessus,该开源漏洞扫描器工具因为内核兼容性问题不再被包容在BackTrackCD中。
经常进行漏洞扫描是十分重要的,KRvWAssociates公司的创始人和首席顾问KenvanWyk表示,“每隔一天扫描一次,能够避免因为人类自身原因造成的愚蠢错误。”Ken认为应用软件、配置、服务器或者网络中的任何更改都可能带来漏洞问题,并且需要及早发现及早修复。
CSI数据中心
漏洞扫描器也许算是最知名的计算机取证工具了,我们所谓的取证工具,包括最基本的日志扫描器以及那些可以从较深层次检查系统内部情况的应用程序等,运行这些功能各异的工具所需要具备的技能和技术知识要求大不相同。严肃的取证分析是属于专家级的工作,但是对于其他比较简单的分析工具,则是任何人都可以使用的,虽然解译可能需要专门的知识。首席安全官们至少应该在数据中心内配置一些基本的取证工具来检查系统。
也许BackTrack3CD算是最好的例子了,BackTrack3CD(www.remote-exploit.org/backtrack.html)是一个载有开源取证工具集合包的CD。Forrester研究中心的高级分析师JohnKindervag说道,“那些正在处理数据中心安全问题的人应该做的事情就是下载BackTrack3CD,学习如何使用其中的取证工具,并了解如何向其网络环境中创建透明度。”
修复漏洞
那些能够检测数据中心的数据并能够避免敏感数据泄漏等状况的发生的软件被称为数据泄漏防护软件,对于这个新领域的其他名称还包括数据丢失防护(DLP)、信息泄漏检测和预防(ILDP),信息泄漏防护(ILP),内容检测和过虑(CMF)以及入侵防护系统等等。
数据泄漏防护工作使用的软件可以监控任何从数据中心调出去的数据,并且能够防止敏感数据泄漏事故的发生。这方面的软件吸引了众多公司关注的目光,因为现在大多数公司开始将工作重心从内部威胁转移到对调出公司外部的资源的监控。“保护数据地关键问题在于要确保没有不合时宜地将数据从公司内部调出去,”Quin表示,他还补充说道数据泄漏防护是规范以外的防护,当然每个公司肯定有各自不同的理解。
DLP市场中的大多数公司都是刚刚成立的新公司,但是在过去的6到9个月中,较大的安全供应商已经开始收购那些市场中独立的小公司,例如赛门铁克公司收购了Vontu,RSA收购了Tablus(现在是RSA数据丢失防护套件中的一部分),而McAfee收购了Reconnex,Quin指出,“由更强大、资源更丰富和有能力的公司来支持这些独立公司生产的各种产品,能够结合这些产品的所有优点,让这些产品和这些公司成为该领域的领导力量。”
其他需要考虑的因素是公司的规模和你需要为保障数据安全问题投入的资源多少,Quin表示,在某些领域中,功能最强大的产品并不一定也是最适合中小型企业的产品;但是,在任何一种情况下,公司的首席安全官都应该评估功能与制约因素(如价格和人力需求等)之间的关系。
必须遵守
访问控制是数据中心安全管理的核心问题,身份管理系统可以设置为限制访问权,这些身份管理系统目前已经非常完善了,包括IBM公司的TivoliID管理器和访问管理器以及来自甲骨文公司、BMC、CA和Novell公司的竞争性产品。
访问管理中的一个新兴管理组件是政策合规管理,该管理工具可以使用安全政策来限制对资源的访问权,而不是查看个人身份证件。这些产品包括赛门铁克公司的BindView以及ElementalSecurity公司的ElementalSecurityPlatform安全平台。
需要记住的是,数据中心安全问题中有这样一个问题,就是很多安全工具都拥有重复的功能和功能集合,举例来说,一名分析师的日志分析工具可能是另一名安全信息管理员使用的工具,这个问题的解决可能需要供应商们加强对他们产品的开发。
