企业网络及其资产经常遭到入侵者的攻击。完全可穿透的企业网络外围使这一问题雪上加霜。多数企业在构建安全 IT 基础结构时,都将保持不间断的业务连续性作为主要目标。然而,由于攻击者的攻击力可损及用户的计算机、移动设备、服务器或者应用程序,企业环境中存在频繁停机的情况。
分布式拒绝服务 (DDoS) 是一种可导致带宽耗尽的攻击。值得注意的是,许多其他情况也会导致网络负载过重。例如,对等文件共享、对流式视频的大量使用以及内部或外部服务器的峰值用量(例如,零售行业的黑色星期五),都可导致内部用户和外部客户访问网络时网络运行缓慢。
流式视频是又一个很好的高耗带宽应用程序的例子,很多不同类型的企业都日渐高度依赖流式视频进行核心业务操作。异地分布式公司使用它进行办公室间通信,品牌管理公司使用它进行媒体活动,军方使用它发布命令和进行控制。
下述情况导致了不稳定状况。发起 DDoS 攻击容易;流式视频对带宽可用性高度敏感;即使在最优情况下,网络负载也已过重;企业越来越依赖这些技术。
IT 管理人员必须有所准备。他们需要改变长期以来对资源用量、对保护网络上的设备以及对保护关键网络带宽的想法和规划。此端点安全模型有助于他们结合当前现实考虑这些问题。
四大支柱
四大支柱的基本前提是允许网络执行,即使在遭到攻击时也是如此。第一步是识别端点。什么是端点?在此模型中,端点是实际完成工作时所在的下列任何位置:桌面、服务器和移动设备。
记住这些端点后,制定策略保护这些端点很重要。此策略 — 端点安全的四大支柱 — 的目标如下:
防止端点遭到攻击
使端点自动恢复
监视网络带宽
使网络自动恢复
记住上述目标。有效的端点安全的四大支柱如下:
端点强硬化
端点恢复力
网络优先顺序
网络恢复力
对于每个支柱,还需要考虑几个其他目标。首先,建议尽可能使此过程实现自动化。毕竟一天只有那么多小时,而 IT 管理人员的时间已安排得满满的。
第二,应该对网络进行集中监控,以便了解实时情况。虽然两大恢复力支柱的目标之一就是尽可能减轻此监控负担,但有时您必须实施手动防御和防范措施。另外,即使在正常情况下,设备有时也会出现故障。
第三,建立反馈循环。攻击变得越来越复杂,我们必须承认我们的防御并非时时刻刻都能跟上,除非是以不断地进行正确防御投资为支撑。同时我们又必须意识到,根据以往的情形,很难证明有充足的理由将网络安全投资作为重要的业务支出。
这就是持续监控和反馈之所以重要的原因。我们越是了解(而且可以演示)发生在外围和网络内的实际威胁与攻击,越能找出充足理由证明为保护那些企业资产所投入的注意力以及进行的支出是合理的。
端点强硬化
第一个支柱 — 端点强硬化 — 的目标是确保网络资产使用最新技术阻止威胁。典型的威胁包括不安全电子邮件附件、蠕虫之类通过网络传播的病毒、任何与威胁到您的 Web 浏览器有关的东西。
攻击防御措施的一个示例是使用防病毒/反恶意软件这样的软件。另一示例是通过 OS 强制执行的强制完整性级别将计算机应用程序进程与潜在恶意软件隔离或对潜在恶意软件进行沙箱处理。此防护类型适用于 Windows Vista 和 Windows 7 上的 Internet Explorer 版本 7 和版本 8。
一个有用的改进是能够在中央为整个主机部署和管理隔离设置。为实现有用性,执行此任务的方式要使第三方应用程序能不间断工作(同时受到保护)。
那么如何对此支柱进行监控?您应采用可伸缩的方式监控域中的网络资产,防止其遭到入侵。您还应监视意外的行为模式。
端点恢复力
端点恢复力的目标是确保不断地收集并监控设备和应用程序的运行状况信息。这样出现故障的设备或应用程序可以自动修复,因而使操作得以继续。
下列技术是可以使端点更有恢复力的示例:网络访问保护、配置“基线”和管理工具(例如 Microsoft System Center)。这方面的一项改进将与上述技术结合,生成以易于扩展的标准化基线为基础的自动恢复行为。
如何对此支柱进行监控?请考虑以下任意方面的趋势:哪些特定计算机不符合规定;它们具体是怎么不符合规定的;这种不符合状态是何时出现的?无论是内部威胁、外部威胁、配置错误、用户错误等,都可以根据所有这些趋势进行关于潜在威胁的推定。另外,用这种方式识别威胁时,您可以不断地使端点在面对越来越复杂的分布式攻击面前更为强健。
网络优先顺序
网络优先顺序的目标是确保您的基础结构可以始终满足应用程序带宽需要。不仅会在众所周知的峰值需求时间应用此考虑因素,而且,当出现意外的网络负载浪涌以及分布式外部和内部攻击时,也会应用它。
可以管理应用程序带宽的技术包括 DiffServ 和 QoS。然而,此支柱当前代表了所需和商业供给之间的最大技术空白。将来,它将帮助解决方案集成用户标识、应用程序标识和企业优先级。然后网络路由器可以根据该信息自动划分带宽。
如何对此支柱进行监控?网络路由器应执行流量记录来分析趋势。今日流量与昨日流量有何不同?负载增加了吗?涉及哪些新地址?它们是否来自国外?有效的综合监控有助于回答这些问题。
网络恢复力
网络恢复力的目标是允许无缝的资产故障转移。利用这方面的技术,能理想地在性能下降时实时重新配置网络。此支柱与端点恢复力类似之处在于,其目标是促进网络自恢复性能,最小化管理负担。
然而,此支柱也提醒大家注意,必须考虑故障转移和冗余,既要考虑大规模的情况,也要考虑小规模的情况。例如,您可以使用群集技术提供数据中心内单一节点的故障转移,但我们如何故障转移整个数据中心或区域?无可否认,因为我们还必须考虑办公室空间、基本服务以及员工(这个最重要),所以灾难恢复计划这项挑战的范围仍在加大。
除群集之外,此支柱麾下的其他相关技术包括复制和虚拟化。如何对此支柱进行监控?故障转移技术通常依靠监控。另外,当企业需要发展时,您可以使用加载数据执行资源和采购计划。
实现各支柱
端点安全的这四大支柱中的每个支柱,都可能是大多数组织未充分利用或尚未部署的商业供给安全、网络和业务连续性技术。因此,IT 管理人员有下列商机:
使用四大支柱(或某些其他框架)识别网络防御中的威胁和缝隙
在自动化和监控方面进行额外投资
更紧密地参与企业决策者就这些努力的成本和好处做出决定的过程
一些企业可能已发现自己在一个或多个支柱领域处于现有技术的最前沿。因此,相应的企业家有大量商机。关键是要调整想法考虑这四大支柱中的每一个,因为每个都重要。