当前,数据中心可以当之无愧的说是企业业务运营的神经中枢。企业业务的成功最终需要取决于数据中心的弹性和安全性。伴随着当前的网络安全威胁形势变得越来越复杂,企业组织正被迫将安全保护分层到他们的数据中心基础设施中。
在本文中,我们就将帮助广大读者诸君了解当前市场上正在发生的变化,以及企业亟待进行哪些方面的考察,以便能够充分利用贵公司数据中心的安全保护。文章中,我们将为您介绍在对数据中心安全产品之间进行比较时,需要考察的五大关键领域。
现如今,应用程序经济已经将几乎每家企业组织都变成了一家软件公司,这种转变推动运行企业所有软件的数据中心开始担任更为关键性的角色。数据中心越来越成为企业业务运营的神经中枢。而最终,企业业务的成功则需要取决于数据中心的弹性和安全性。
这就是为什么当前越来越多的企业组织为了保护数据中心资产而投入比以往更多的资金并不奇怪的原因所在了。数据中心网络安全预算的增长速度远远超过了其他IT部门。根据最近的调研数据显示,仅在2016年全球数据中心安全市场价值就已经达到61.5亿美元,预计2022年将达到约141.1亿美元,2017年至2022年期间的复合年增长率为14.85%。
由于虚拟化的数据中心、混合云和软件定义的网络模糊了现代数据中心的界限,使得业界目前对于数据中心安全性的投资均旨在应对当今基础设施日益复杂性的问题。与此同时,随着网络安全攻击者不断调整其逃避技术,以避开现有数据中心的安全技术,使得企业数据中心的安全保护策略始终处于不断变化之中。
●2017年,在74个最常见的漏洞攻击工具和有效载荷感染路径中,99%使用了逃避技术。
●网络安全攻击者每天发布新的恶意软件样本数量高达360,000个。
●数据泄露总数超过1.74亿,平均违规成本为360万美元。
随着企业客户逐渐开始调查数据中心的安全选项,以应对当前的这些安全风险,他们需要了解市场中正在发生的相关变化。曾经构成单一产品的功能:如数据中心防火墙(DCFW)或数据中心IPS(DCIPS)现在已在其他产品中发现。因此随着新的子类别的出现,更难对这些产品进行一对一的比较。因此,企业采购人员需要明确相关的事实和确定的基准来比较具有类似配置的类似产品,以便能够为他们所在企业的具体使用案例挑选最佳产品,并将其用于实践过程中的概念验证测试。
数据中心网络安全的演进
随着当前的网络安全威胁形势变得越来越复杂,企业组织正在被迫将安全保护分层到他们的数据中心基础设施中。而DCFW和DCIPS所提供的功能对此至关重要。
DCFW的目标首先是在两个网络之间实施访问控制策略。防火墙已从早期的数据包过滤和电路中继防火墙发展到应用程序层(基于代理)和动态数据包过滤防火墙,但其基本目的是保护可信网络免受不可信网络的侵害,同时允许授权通信在它们之间传输。
而DCIPS的目标是识别和阻止针对数据中心资源(如Web服务器、应用程序服务器和数据库服务器)的攻击。这些产品不断发展,以保持捕获日益复杂的攻击的平衡,同时产生几乎为零的误报,并满足严格的网络性能要求。
鉴于企业组织以前倾向于采用差异化的单一产品DCFW或DCIPS来提供阻止或过滤功能,现在有些企业正在寻求一种可以执行访问控制和深度数据包检测的单一平台,以保护服务器应用程序免受远程攻击。
因此,即使DCFW和DCIPS演进到具备下一代的相关功能,市场上仍然出现了一类名为数据中心安全网关(DCSG)的新产品,这类新产品将DCFW和DCIPS的下一代功能进行了结合。与保护用户免受互联网干扰的下一代防火墙(NGFW)不同,DCSG通过互联网保护数据中心资产资源,例如网络服务器、邮件服务器、DNS服务器、应用程序服务器等。
理想情况下,DCSG旨在对所有数据包和端口以及所有协议执行深度数据包检测,以确定哪些应用程序在哪些端口上运行,从而有效保护它们。这应该注重性能,提供安全性,同时保持应用程序的平稳运行。
数据中心网络安全概述
单一平台的部分吸引力在于其可管理性因素——企业组织可以通过单一平台跟踪和控制应用程序的性能和安全性级别。事实上,随着越来越多的企业组织要求简化数据中心的安全控制,未来,这一新类别可能会包含Web应用程序防火墙(WAF)功能。
那么问题是,一家企业组织是否可以取消其DCFW和DCIPS设备,以支持单个DCSG呢?在很多情况下,的确是可以的。但这并不一定意味着对单一功能的数据中心安全设备的需求正在消失。他们将继续发展,以供企业组织在某些有限的使用情况下的使用。
例如,一些企业组织可能会用位于其数据中心边缘的融合多功能DCSG取代单功能DCFW和DCIPS。然而,他们也可能选择在数据中心周边背后部署DCIPS(即,作为“线路中的碰撞”),以实现细分和深度检查功能,而不会带来路由防火墙的复杂性。
这些新的DCSG产品要求那些负责获取数据中心保护技术的人员为其评估过程带来新的纪律。企业采购人员需要了解独立产品与新融合DCSG产品之间的差异,以便有效评估产品,并确定适合其所在企业组织的合适性。
充分利用数据中心安全保护
数据中心网络安全设备可处理正在访问服务器场中大型应用程序的数十万用户的流量。应用程序流量为每个请求生成很多连接和事务,这对网络安全设备快速建立多个连接,保持许多连接打开,并实现高吞吐率的能力提出了很高的要求。
最终,企业组织需要获得充分的可视性和控制,不仅仅是周边的数据,而是在整个数据中心边界上流动的数据。
DCSG必须能够执行访问控制和深度数据包检测,以保护服务器应用程序免受远程攻击,并且他们应该了解网络分段需求。他们还必须抵制真实的攻击者绕过安全技术的回避技术。
同时,这些保护措施必须在不影响数据中心运行的服务器和应用程序的情况下实现交付。由于受DCSG保护的服务器和应用程序的性质,高可用性,低延迟和容错性是关键性的任务。
一对一的比较:衡量数据中心安全产品
安全产品的评估应始终基于具有类似配置的类似产品类别。当企业的采购人员评估数据中心网络安全产品时,他们必须确保他们所选择的DCSG产品能够相互融合(即DCFW产品应与DCFW产品进行比较,DCIPS产品应与DCIPS产品进行比较),并且所有产品的设置均是一致的。
例如,如果安全旁路模式默认情况下在一个产品上启用,而不是在另一个产品启用,其可以提供增强的性能统计信息,但代价是允许未经检查的流量进入网络,而管理员对此并不知道。
这可能会在POC期间歪曲比较。这个例子强调了安全有效性和性能之间的动态关系,在评估任何安全产品时必须牢记这一点。
企业组织评估数据中心安全产品时,应该尝试使用以下5个类别中的某些基准测试,并对产品评分(以DCSG为例)。这样做将建立一个强有力的比较矩阵,以决定为POC提供哪些产品。
安全有效性
DCSG产品应在防火墙策略执行和IPS流量检查中进行安全有效性评估,同时牢记各种条件下的稳定性和可靠性。
企业数据中心应测试防火墙的功能,以查看设备如何在不同信任级别的不同区域之间执行策略。还应该测试IPS功能,以查看设备使用调整策略阻止恶意流量的情况,但是测试时公众可以使用签名。
防火墙有效性测试
至少,防火墙必须提供可信的内部接口和不可信的外部/互联网接口。
企业通常会制定相关的策略以允许或拒绝来自以下一个或两个区域的网络流量:
●不受信任——通常是外部网络,并且被视为未知且不安全。互联网就是一个不可信网络的例子。
●可信任——通常是企业内部网络;即被认为是安全和受保护的网络。
理想情况下,测试应验证执行策略的性能和能力,以执行从受信任区域到不受信任区域,以及从不受信任区域到受信任区域的流量策略。
IPS有效性测试
在典型的企业中,安全工程师们通常会调整IPS,以确保其保护范围与其所处环境的需求相匹配。因此,应该使用调整后的政策来测试安全有效性。
IPS的有效性应该基于产品阻断现实世界的能力来进行测试。这包括一系列的漏洞和有效载荷,其中包括:
●返回一个反向shell
●在目标上打开绑定shell,允许攻击者执行任意命令
●执行任意代码
●安装了恶意负载
●系统无响应
使用一系列的漏洞和有效载荷,你企业的测试应该建立一个比较产品的整体阻止率 (Block Rate)。
由于许多较早的应用程序、操作系统和攻击仍然在流通并保持相关性,因此使用面向较旧漏洞的攻击测试IPS有效性,并根据漏洞年份来衡量漏洞可能很有价值。
此外,根据漏洞攻击的影响来衡量IPS覆盖率可能很有价值:
●最严重的漏洞攻击是导致远程系统泄密的漏洞,为攻击者提供执行任意系统级命令的能力。
●稍微不那么严重的攻击会导致单个服务的破坏,但不会导致任意的系统级命令执行。
●最后,导致系统或服务级别故障的攻击会导致目标服务或应用程序崩溃,并需要管理操作来重新启动服务或重新引导系统。
根据漏洞利用效果比较有效性可以提供有关设备安全功能的宝贵信息。
稳定性和可靠性
当组织评估DCSG时,他们应该考虑这些设备在正常工作负载下如何保持长期稳定性,以及它们如何处理特殊情况(如电源故障)和扩展攻击,如分布式拒绝服务(DDoS)攻击。不应考虑在恶意攻击时无法维持合法流量(或崩溃)的产品。
DCSG的整体有效性应该使用一个公式来结合产品的防火墙有效性得分,IPS有效性以及稳定性和可靠性得分。
回避技术
企业必须能够依靠其DCSG来预测和识别专门设计用于逃避检测的恶意活动。
回避技术是在交付时伪装和修改攻击的手段,以避免被安全产品检测和阻止。安全设备未能正确识别特定类型的规避可能会允许攻击者使用设备假定具有保护功能的整个类别的漏洞。这意味着DCSG应该通过一系列的测试,使他们受到一系列通用规避技术的影响。在不充分考虑逃税的情况下提供保护结果可能会产生误导。
漏掉的类别越多(例如IP数据包碎片、流分段、RPC碎片、URL混淆和FTP回避),设备的效率越低。例如,好是错过一个逃避类别中的所有技术,比如FTP逃避,而不是每个类别中的一种技术,这会导致更广泛的攻击面。
出于这个原因,在总体安全有效性评分中包含防规避结果是至关重要的。
性能
企业组织需要知道他们的DCSG是否能够在支持关键业务应用程序所需的性能阈值内进行风险管理。因此,他们应该寻找与安全有效性指标并行测试的性能指标。这包括测量诸如原始数据包处理,延迟和大容量等领域的性能。
总体拥有成本
负责DCSG采购的决策者必须考虑可能影响设备总体成本的四个因素。
●产品购买:购买产品需要多少成本?
●产品维护:一旦采购了产品之后,供应商会如何收取维护、支持和更新费用
●安装:买方承诺部署产品的一次性资源是多少?
●维护:从供应商处获得更新和补丁需要哪些资源?
在POC期间寻找什么
显然,即使是数据中心安全产品评估的早期阶段,也需要深入了解设备功效所有领域的指标。市场上有相应的服务机构可以为企业采购人员们提供实践性的测试,比较类似测试条件下的产品性能,并使用类似的产品配置。
从实践测试阶段开始,企业的评估人员可以快速挑选候选产品,并在需要深入分析或专门针对其环境定制的测试领域启动更为密集的POC评估。随着企业客户将候选产品名单提交给POC,他们应该将重点放在若干领域。例如,当谈到测试DCSG的防火墙功能时,他们应该进一步深入定制的数据中心访问配置和内部网络区域的部分分段。
关于IPS功能,他们应该测试产品如何处理内部攻击行为和横向移动技术。
此外,企业客户可能会使用POC来评估基于其更先进功能的设备的未来发展。 对于某些情况,这可能包括应用程序服务器保护或WAF保护,以防止防火墙或IPS功能带来太多延迟以适应应用程序(如在线交易)。 对于其他一些企业而言,其可能是使用服务提供的云平台测试企业在场外的功能。