现代网络安全架构必备功能
|
样式和用例不绝变革,收集安详也必需越发全面、智能、相应快。
信息技能行业成长早期,Sun Microsystems 代表着计较界的远见高见。Sun 公司率先提出了 “收集就是电脑” (The network is the computer) 的奇异理念。什么意思呢?这意味着,IT 基本办法在松耦合架构中通过以太网线和 TCP/IP 之类联网技能毗连在一路。因此,必必要正确计划和设置收集才可以最大化收集可用性、机能和营业效益。 虽然,从上世纪九十年月早期到此刻,天下已经改变太多。现在有些收集根植云端,有些是假造的,尚有些依靠应用间的毗连,但 IT 体系依然通过各类方法靠收集毗连在一路。 当代收集安详 收集的变迁天然对收集安详也提出了与时俱进的要求。当代收集安详必需支持以下几点: (1) 端到端包围:搜查进/出流量的界线安详已不再满意必要。当代收集安详节制必需深入全部网段,检察横向流量、云端收集通讯,以及基础不触及公司收集的软件即处事 (SaaS) 长途收集通讯。换句话说,全部收集流量都应纳入检察包围范畴。 (2) 全面加解密:企业计谋团体 (ESG) 研究指出,当今 50%~60% 的收集流量都是加密的,且将来加密流量的比例只会越来越高。这意味着收集安详架构必需具备在大量节制点上解密并搜查流量的手段。当代收集安详技能还应可以或许无需解密所有就可以检测可疑流量。思科 Encrypted Traffic Analytics (ETA) 加密流量说明办理方案和 Barac.io 等公司推出的独立办理方案均已包括此成果。 (3) 以营业为中心的脱离:全部当代收集安详技能都应以减小进攻界面为首要要求。这包罗两个方面的成果:
中央节制面板与漫衍式实验:这是 “必备” 要素。全部收集安详节制(如物理节制、假造节制、基于云的节制)都必需向一个通用节制面板陈诉打点举动(如设置打点、计策打点、变换打点等)。中央节制面板很也许设在云端,以是 CISO 应为此变革做好对风险规避审计员和营业司理的培训。有来自中央呼吁与节制的指令支持,收集安详体系在阻止恶意流量和实验计策时应不消思量自身位置或尺寸了。需留意的是,尽量每家收集安详供给商都推许自身中央打点处事,FireMon、Skybox 和 Tufin 等级三方软件提供商在这一规模也占据一席之地。 全面监督与说明:安详界有句老话:“收集不会撒谎。”由于全部收集进攻的杀伤链都绕不外收集通讯这一环,安详说明师必需可以或许会见 OSI 技能栈全部层上的端到端收集流量说明 (NTA)。最好的 NTA 器材应在根基流量监督基本之上附加检测法则、开导式说明、剧本说话和呆板进修,以便辅佐说明师检测未知威胁,将恶意举动映射进 MITRE ATT&CK 框架。CISO 必需广撒网,由于可供选择的强盛办理方案太多了,有纯初创公司 (Bricata、Corelight、DarkTrace、IronNet、Vectra Networks 等),有收集专家(思科、ExtraHop、NETSCOUT 等),尚有收集安详供给商(Fidelis、火眼、Lastline、惠普企业等)。购者自慎! 收集安详技能必需支持细粒度计策与法则,基于用户位置、收集设置或新发明的威胁/裂痕敏捷做出响应改变。公司企业必需拥有无论何时何地都能启动/封锁或修改收集安详处事的手段。当代收集安详节制须能顺应物联网 (IoT) 装备及协议,在尺度操纵体系上用的结实计策与实验应能同样应用到物联网装备上。最后,收集安详架构必需环绕易于会见的 API 打造,以便可以或许快速集成。 Sun Microsystems 早已磨灭在 IT 成长的汗青洪水中(顺带一提,这家公司今朝归属 Oracle),但无论外在情势怎样,收集仍旧是 IT 要害构成部门。当代收集安详架构不只仅掩护全部收集流量,还辅佐企业减小进攻界面,改进威胁检测/相应,缓解收集风险。这就很能声名题目了。 【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安详牛(微信公家号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文
(编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
