如何构建有助于提高IT安全性的网络架构

外围的安全性不再重要

多年前，网络安全实践模仿了中世纪的领主，他们依靠坚固的城堡墙来保护他的内在王国。城堡防御设计围绕固定防渗墙，而攻击者依靠他们突破围墙的能力，他们的士兵将通过外露的墙壁进入。以类似的方式，企业依靠强大的防火墙设备建立周边来保护网络免受来自外部的攻击，以抵消外部攻击者的努力，这些外部攻击者努力探查外围暴露或被忽视的端口。

然而，今天是一个不同的世界。正如军事防御战略已经发展以抵御由技术创新驱动的先进攻击战术一样，今天的企业再也不能依靠单一焦点解决方案来保护自己免受所有威胁。由于攻击机制的迅速流动，现代军事防御战略不再将其大部分资源投入到前线。就像法国人未能阻止德国闪电战一样，过时的安全模式也无法再保护当今庞大的流动企业，因为普遍存在的攻击者可以毫不减弱地随意行动。相反，军事战略家依靠所谓的纵深防御，其中储备位于前线的后面，网络安全战略家现在采用多重防御层的理念来对抗攻击者的胚胎威胁。黑客继续推进他们的攻击方法，并在我们今天生活的移动数字连接世界中利用用户及其设备。IT安全专业人员需要以融合多层防御策略的方式思考网络架构，创建一种系统方法，其中多种防御策略涵盖其他组件的缺陷。为了打击无穷无尽的零日攻击列表，破坏性恶意软件企业必须采用多种防御策略来阻止差距攻击途径，这些途径可以作为数据中心的核心高速公路。在将这些工具实施为综合战略的过程中，整体大于其各部分的总和。我们的想法是在您的物理网络和软件环境的各个层面上整合信息安全，这是国家安全局（NSA）推荐的策略。

今天，内部IT的作用始于网络安全。在本教程的以下部分中，我们将介绍构成当今典型多层安全模型所需的安全组件，以及它们应如何成为企业架构的自然组成部分。虽然防火墙设备仍然是企业安全架构的重中之重，但后续组件同样必不可少，在确保用户、设备、数据和基础架构的安全性方面发挥着至关重要的作用。

防火墙

无论您是为少于10人的小型企业办公室创建架构，还是由数十万员工组成的全球企业集团，都要从建立周边开始，这构成了某种类型的防火墙。至少，防火墙设备在内部LAN和外部WAN之间建立了一个标记。然后它作为交通警察，允许或丢弃试图在内部和外部区域之间流动的交通流量。许多组织也可能有其他区域。一个常见的例子被称为DMZ，它托管互联网资源，如网络托管，FTP或电邮服务器。由于匿名外部用户必须访问这些服务器，因此DMZ的限制区域不如LAN 。虽然防火墙会拒绝来自网络外部的HTTP / HTTPS流量进入LAN，但它允许授权的Web流量进入DMZ。这显然使企业面临潜在的漏洞，这就是为什么防火墙限制DMZ和LAN之间的流量以便在DMZ中包含恶意流量并防止它渗透更多有价值的资产和资源的原因。

组织可能有限制区域，包含关键业务系统和大型敏感信息库。限制区通常包括包含人力资源，财务或知识产权的数据库。这些区域的限制性要大得多，以防止任何可能损害组织竞争优势或声誉的威胁。应该采取控制措施，不仅要面对互联网流量，还要保护内部资产的授权访问权限。

防火墙多年来不断发展，现在利用多种方法来检查网络流量，以便识别交通流的意图。主要类型如下：

• 数据包过滤 - 这种传统的过滤方法可能有些过时了，但至今仍在使用。它也称为静态数据包过滤，它基于由对象和服务组成的已建立规则集。规则规定允许来自流向点B的流量来自利用规定的协议或端口号的流量通过。默认情况下，拒绝列表中未包含的任何流量。虽然大多数防火墙仍然使用这种做法，但现代防火墙需要更高的智能来保护当今企业免受不断扩大的威胁基础的影响。    
• 状态检查 - 传统的数据包过滤仅检查数据包的标头，而状态检查实际上会将数据包分析到应用程序层。这是一种基于情报的方法，可以分析流量的流入和流出，以便更好地识别哪些类型的流量是网络习惯性的，哪些类型应该被视为可疑流量。       
• 下一代防火墙 - 这个概念用于概括这些高度彻底的智能设备的目的。与状态检查一样，下一代防火墙（NGFW）设备超越了 OSI模型的第 3层和第 4 层，以确定交通流的适当性。这些系统提供更精细的应用程序和流量行为检查，甚至可以分析HTTPS和 SSH流量的内容。它还可以识别嵌入在合法流量背后的嵌入式恶意软件或恶意代码。NGFW解决方案包括各种安全工具，以增强其保护能力，如入侵检测系统（IDS）和入侵防护服务（IPS）以及防病毒检测和应用程序控制。他们还能够执行服务质量（QoS）任务，以限制或优先处理不同类型的流量和应用程序，以及抵御拒绝服务攻击。   
• Web应用程序防火墙 - WAF是一种专用防火墙，用于保护基于Web的应用程序。它通常通过放置在一个或多个Web应用程序前面的代理进行部署。WAF检查传入和传出的数据包，分析第7层流量并使用情报来仔细检查流量和模式。WAF旨在打击零日攻击，跨站点脚本， SQL注入以及 Open Web     Application Security Project（OWASP）定义的其他攻击。

一些网络管理员犯的一个错误就是只过滤传入的流量。虽然传入流量是主要的安全问题，但也必须仔细检查传出流量。内部用户下载垃圾邮件或蠕虫并立即将其恶意流量分散到外部世界的情况并不少见。允许这些传出流量模式可能会导致您的组织被列入黑名单或更糟。

网络分割和隔离

今天的企业网络有许多方面和组件，公司的整体网络只有保护好最薄弱的环节才能安全。一个黑客总是首先利用最简单的攻击途径，经常使用社会工程攻击来感染使用本地管理员权限登录到本地计算机的用户，或者控制那些使用默认密码的物联网设备。一旦攻击者在目标企业中获得某种类型的立足点，他们将尝试在网络中移动以便定位和访问有价值的信息和主机。一个典型的例子是就是最近各医院被感染的GlobeImposter3.0的勒索病毒《关于近期医院感染勒索病毒情况的通报》。

网络细分涉及将网络划分为更小的单元。然后将每个单元隔离，以便这些单元之间的访问由严格的规则集管理，以限制主机和服务之间的通信和访问。这与船舶制造商今天使用的设计策略相同，即大型船舶的船体被分割成多个舱室，如同蜂巢，如果发生泄漏，船舶的舱室内将受到损坏，但不会对整艘船造成致命伤害。将此做法纳入IT意味着在包含敏感数据和其他所有内容的服务器之间创建分离层。该策略不仅可以保护内部资产和数据免受外部威胁，还可以保护内部引发的攻击。至少，分段和隔离的这种组合将通过迫使它花费时间来摆脱每个分段部分来减缓攻击。这可以为企业人员花费宝贵的时间来发现攻击并对其进行打击。虽然几乎所有IT专业人员都认为网络分段是一项重要的安全措施，但只有不到25％的组织实际采用这种做法。

大多数企业使用多种方法来分割和隔离其网络。

• 路由器 - 您可以使用路由器将网络分成不同的物理段。这将限制恶意软件广播的范围。您还可以创建访问控制列表（ACL），以根据端口，协议和 IP地址执行基本的第3层和第 4 层防火墙过滤。     
• VLAN - 企业交换机用于创建虚拟网段，每个网段包含一个唯一的子网。每个访问端口都分配了一个VLAN。插入该端口的任何设备都会自动分配给该特定VLAN。这是将IoT设备或 BYOD设备与核心网络分离的简单而有效的方法。    
• 物理安全 - 虽然在当今的数字世界中很容易忽视物理安全，但物理安全仍然是一种有效的方法来阻止潜在攻击者的方式。这些措施包括锁、门禁卡、密码和生物识别控制系统。    
• 隔离 - 在某些情况下，安全性至关重要，它构成了网段或设备的完全隔离。对于高度敏感的政府机构而言，这种情况并不罕见，因为这些机构完全终止了对互联网或外部世界的访问。但是，还有其他形式的隔离。高级虚拟化技术利用虚拟容器来处理网站或代码。这类似于沙盒，其中安全设备创建一个隔离的测试环境，该环境模拟生产环境，以便可以执行或引爆可疑文件或URL。    
• IPsec - 通过在Windows服务器和客户端上实施IPsec，您可以通过发布策略来加密它们之间的流量。这是一种有效的方法，只允许授权的计算机访问托管在指定服务器上的数据。

分割和隔离的最终目标是传播零信任架构模型，这反过来通过限制黑客和恶意软件可以遍历的途径来限制黑客和恶意软件的可操作性。然后，网络管理员通过部署分布式应用程序和用户一直到工作负载级别的粒度安全策略来实施此体系结构。

电子邮件和web安全的重要性

那么为什么电子邮件和Web过滤包含在关于网络架构安全性的主题中呢？嗯，根据2016年的一项研究，91％的网络攻击始于某种类型的网络钓鱼邮件。它是勒索软件和其他恶意软件攻击的主要传递机制。即使是美国对俄罗斯关于2016年总统选举的起诉也是以网络钓鱼邮件开始的。今年早些时候，一项针对美国，英国，德国和澳大利亚600家商业决策者的调查显示，网络钓鱼电子邮件是其业务中最大的网络威胁。而垃圾邮件的概念十年前可能是一个滑稽的事情，但网络钓鱼诈骗今天不是笑话。2016年，美泰公司（Mattel Corporation）因陷害网络钓鱼骗局而损失了300万美元，这些骗局涉及他们将钱汇入中国银行账户。如果不考虑如何保护电子邮件和Web攻击途径，您就无法考虑网络架构。

正如电话成为篡夺前门屏障并与房主联系的机制一样，电子邮件也是允许黑客绕过防火墙边界并直接接触用户的工具。这就是为什么专用的电子邮件安全解决方案对于当今的任何企业都至关重要。由于移动设备现在很常见，许多用户在本地局域网的受保护范围之外检查他们的电子邮件，使其成为在用户设备上部署恶意软件的完美机制。一旦这些设备返回局域网，这些恶意软件应用程序就可以执行其恶意行为。传统上，电子邮件安全解决方案以网关设备，公共云和私有云的形式部署解决方案今天非常流行。如今，有效的电子邮件安全解决方案不仅要识别基于垃圾邮件的域和短语。它必须能够扫描嵌入的链接和附件，执行多层分析和收件人验证。

直到最近，网络过滤主要用作阻止令人反感的网络内容的手段。它还可以阻止或限制媒体流媒体或社交媒体网站，这些网站会消耗员工的注意力并对生产力产生负面影响。今天，Web过滤是分层安全策略的重要组成部分。今天的解决方案与恶意软件检测集成在一起，可以阻止黑客设法存放在合法网站上的恶意代码。他们还可以阻止通常为恶意目的而存在的新购买或停放的域名。如果具有到恶意软件部署站点的嵌入式链接的网络钓鱼电子邮件能够通过，则Web过滤系统可以作为您的电子邮件安全解决方案的备份。

虚拟化和云对网络安全的影响

十多年前VMware开始推广其ESX平台时，企业开始意识到虚拟化数据中心计算组件的价值。如今，企业也在虚拟化存储和网络方面，最终形成一个无缝平台。这为公司提供了高度灵活和适应性强的基础架构，可以支持所提供的大量服务，以满足其客户的需求。所述软件定义的数据中心是统一和简化，其提供无与伦比的敏捷性的汇编。

软件定义网络的概念围绕从数据或转发平面抽象控制平面。这意味着诸如交换机和路由器之类的网络设备本质上是由集中控制器专门管理的哑设备。这允许基于实时需求条件以快速方式部署或停用网络资源，并使用部署的策略对其进行管理。

定义网络的软件也意味着定义安全性的软件。在传统网络中，安全专业人员背负着使用防火墙和访问控制列表堵塞漏洞的任务。在软件定义的网络环境中，默认情况下不会打开任何内容。相反，中央权威机构决定网络的每一步。安全性以自动化方式在网络范围内处理。为新设备或应用程序部署创建策略，确保完全保护这些资源不受其初始启动的影响。因此，安全性内置于网络的结构和体系结构中，就像IT的许多其他方面一样，作为服务提供。

虽然公司继续将资源和服务迁移到云，但许多应用程序和数据类型必须保留在内部。大多数应用程序仍然与云不兼容，许多公司不愿意在云中托管高价值的专有数据，而其他公司必须在合规性规定的前提下托管个人记录。这意味着IT必须应对在两个方面保护企业的挑战，管理有关公司数据的差异化安全要求。应对这一挑战是选择混合IT作为企业平台的激励因素之一。

混合的好处就是它提供了两全其美的解决办法：可控性和内部部署治理与可扩展性的的公共云。这种方法使IT部门能够灵活地通过不同的安全策略管理不同的数据类型和来源。正如混合IT允许您将每个工作负载与最佳平台配对一样，它允许您根据其安全参数和首选项将数据与相应的存储位置进行匹配。

可视化技术与云的融合使企业能够在几乎按需的基础上无限制地执行灾难恢复。这可以快速从诸如去年的WannaCry和NotPetya 攻击等攻击中恢复，这些攻击使世界上一些最大的企业全球巨头陷入困境数周。今天的企业架构必须从头开始设计用于冗余和备份，以便为下一组破坏性恶意软件做好准备。

安全嵌入式架构

安全性是关于降低风险，每个组织必须确定其可接受的风险级别。虽然没有企业能够保护自己免受各种威胁，但它可以将安全的设计，方法和思维方式整合到企业的各个方面。从防御攻击的外围防火墙，基于主机的防火墙和人工防火墙作为最后的安全措施，今天的企业架构必须首先围绕安全设计

每个网络安全专业人员的主要目标是减少企业的攻击面，包括外围和设备级别。无论其设计如何，IT部门都必须确保整个技术体系的安全性。这需要分层安全体系结构，而不仅仅是在现有基础架构之上简单地分层新安全工具。分层安全性是一种需要精心设计的蓝图的架构。实施安全工具的零碎方法可能会在系统管理中引入抑制性复杂性。对于IT而言，它们的安全功能不是孤立的，并且所有人员在建立安全实践、管理系统基础架构、监控警报和规划未来购买方面相互协作也很重要。从某种意义上说，就像您的安全架构一样，您的人员必须彼此协同工作。

原文作者：Brad Rudisail   发表于techopedia