机房360首页
当前位置:首页 » 云计算资讯 » 如何创建一个可防御的网络安全架构

如何创建一个可防御的网络安全架构

来源:机房360 作者:Harris编译 更新时间:2018/9/6 7:04:02

摘要:企业需要花费一些时间了解其资产,能够在多个预防和检测解决方案中分层,并拥有高效的安全架构。

    企业需要花费一些时间了解其资产,能够在多个预防和检测解决方案中分层,并拥有高效的安全架构。
  
  互联网不断发展,诞生了一个与人们想像不同的网络互连时代。冰箱、安全摄像头和婴儿玩偶等设备已加入物联网(IOT)设备行列。这些设备制廉价且必不可少,导致不安全的配置和设置。其结果是:出现了前所未有的大规模的妥协和滥用。
  
  具体而言,由于物联网的广泛应用,其攻击面比以往更大。但这也是由于任何给定网络中使其在表面减少。存在常规修补、安全加固和防御性网络设计但不起作用。组织大量购买最新的“下一代”安全技术,但同时忽略了安全的基本租户。成熟安全的架构设计不需要昂贵的最佳解决方案。但是,它确实需要花费时间考虑环境并相应地设计一个安全的架构。
  
  花时间做正确事情的概念与现在面临的财务问题非常相似。解决财务问题的一个重要方法是花时间实施预算,然后坚持下去。然而,许多人从未花时间去做这件事。哪种感觉更有影响,根据人们预算花费200美元现金或刷信用卡?网络安全也是如此。安全并非偶然的,与信用卡或借记卡类似,希望将资金存入银行是不够的,这是一种失败的方法。安全措施应该是有意的,是精心策划的结果。
  
  在安全方面取得成功
  
  现代攻击、云计算、物联网和Web应用程序彻底改变了安全状况。他们创造了一个脱离国籍的世界,其中“内部”和“外部”或“信任”和“不信任”的旧边界不再适用。要在这种新的环境中取得成功,需要现代化的安全架构。可能令人惊讶的是,人们可能拥有赢得所需的许多技术。但是,这些技术需要重新设计才能有效。
  
  以新一代防火墙(NGFW)为例。防火墙具有入侵防御、防病毒、应用程序控制、数据丢失防护、拒绝服务保护、URL过滤、恶意软件沙箱等功能。开箱即用这种解决方案非常无效。为了更加有效,必须根据企业业务需求进行调整。在通常情况下,该盒子由专业服务或某些情况下的内部员工调整,但最终配置是一个通用调整系统,可防止互联网流量。
  
  相反,防火墙也应配置为实现网络分段的内部层。控制不仅应面向互联网,还应实施以确保从外部资产到内部资产的授权访问。这样的基本调整可以实现更好的预防控制,更重要的是检测控制。暂时考虑一下:如果子网或区域A上的计算机尝试与区域B中找到的任何系统通信,并且不允许来自A的系统,则连接将被拒绝,并且管理人员将收到通知。基本防火墙规则不是非常严密的科学,但它们是非常有效的控制。
  
  必须克服现代挑战。例如,考虑入侵检测/防御设备、Web代理、数据丢失防护传感器、网络防病毒或任何其他第7层网络检查解决方案。这些都是网络加密造成的。企业全新NGFW可能无法配置为处理70%以上的流量。基本上,如果不了解安全套接字层(SSL)检查、SSL解密镜像、HTTP严格传输安全(HSTS)、证书透明度、HTTP公钥锁定(HPKP)等技术,企业如何处理现代加密?一个良好的架构可以解决和处理网络通信。
  
  如果花费时间了解资产,将能够分层使用多种预防和检测解决方案,并拥有高效的安全架构。即使数据遍历你的网络或云平台,这样做也会让你做好准备。了解如何通过采用自己已拥有的许多安全技术来实现这样的体系结构,并以新的思维方式和现代方法实现它们,这对于创建可防御的安全体系结构至关重要。
  
  编辑:Harris

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/201896/n7219108079.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片