企業網絡的安全設計是一項非常具有挑戰性和藝術性的工作,它包括風險確定、模型設計、安全成本控制等等。本文將從幾個關鍵點方面向讀者介紹如何設計一個安全的企業網絡。
確定可接受的風險
企業所有的信息系統都會導致企業風險,引入風險水平是否可以被接受最終是一個商業決策。風險的可接受水平取決於不同組織自身的風險承受能力。風險厭惡型的企業最終願意接受較低的風險水平並在已有系統中需要更多的安全控制。管理層的風險承受能力是通過政策,程序,作業指導等方式傳遞給員工。一套完整的政策表達了管理層的風險偏好及其信息安全風險的容忍度,使員工在設計和保障新系統和網絡時作出適當的決定。因此,基礎設施的設計和配置成爲那些政策文件得以執行的保障。
一些組織不願意承擔法律保護範圍之內其他未知法律文書的更多風險。隨着計算機信息和法律的迅速發展和變化,光美國的法律材料就有數百卷和數千個網頁。這甚至沒有考慮到跨國公司所面臨的多個國家本土化操作問題。在政策的發展過程中政策將指導系統和網絡的設計,管理應該花必要的時間和精力,以確定是否需要使用這些特殊的法律注意事項。
許多企業無意中違反某些法律,甚至還不知道(例如,存儲信用卡號碼不考慮支付卡行業的數據安全標準[PCI DSS],或存儲病人數據未考慮健康保險流通與責任法案[HIPAA]的規定)修改實際控制應用後產生的剩餘風險水平,因爲,計劃的控制措施可能無法解決在制定控制計劃之前未明確的風險。
網絡的安全性設計
安全性是網絡設計中經常被忽視的一個部分,從頭改造一個已有網絡的安全設計代價可能很大並且難以實施。根據不同的信任程度和安全要求分隔資產應是任何新的項目在設計階段的整體目標。將安全需求相似的資產整合在專門的區域,使得組織可以使用較少量的網絡安全設備,如防火牆、***檢測系統,保護和監控多個應用程序系統。
另外的網絡設計影響因素包括預算,可用性的要求,網絡的規模和範圍,未來增長的預期,網絡容量的要求,以及管理層的風險容忍度。例如,使用專用WAN鏈路進行遠程辦公比使用虛擬專用網絡(***)更可靠,但其成本更高,尤其是需要長距離覆蓋。全冗餘網絡可以很容易地從故障中恢復,但硬件費用成倍增加,以及更多可用的路由路徑,並難以保障網絡流量的安全和隔離。
確定適當的安全設計策略時,一個重要但常常錯過或不考慮的因素是確定如何使用網絡以及期望它支持哪些業務。良好的設計有助於在網絡建設完成後避免昂貴和困難的網絡改造。以下是幾個關鍵的網絡設計策略。
網絡設計模型
爲了更清晰的描述整體設計好壞是如何影響系統安全的,我們以購物商場和機場設計爲例。在一個購物商場裏,爲了使進出儘可能的方便,設計了很多入口和出口。然而大量的出入口使得對商場出入控制的成本提高且難度加大。在各出入口都需要有安檢措施,識別和阻止不受歡迎的人。此外,安檢並非唯一的安全措施,在各種措施部署完成後,每種措施必須保持正確配置和更新,以確保未經授權的人無法隨意通過商場。
相比商場來說,一個機場的設計旨在讓所有乘客通過少量且嚴格的檢查站接受檢查。購物中心的網絡設計模型本質上比機場周圍網絡的設計模型難以設計。有大量互聯的網絡安全設計本質上難度更大,因爲有大量訪問控制機制(諸如防火牆)必須部署和維護。
機場的設計並不僅僅考慮在一個航站樓內對旅客的檢查。總的來說,機場採用高度分區分域的設計,有人需要通過任意兩個區域都需要進行安全檢查。並非所有的檢查都是顯式的,一些監控手段是被動的,包括攝像頭和機場便衣警員。在主要的航站樓和門區以及門區和飛機之間有顯式的檢查點,在機場內部同樣有安檢措施,機場員工進入內部區域需要有特定的鑰匙,如行李間和停機坪等區域。
一般大城市機場都有多個航站樓分流旅客,這樣減少了安全問題在單個航站樓的影響面。這些更小、有更高的安全性的航站樓可以有更嚴格的安全檢查,並可以滿足旅客不同級別的安全需求。允許乘客用不同的安全要求,如政治家和囚犯可被安全隔離,降低了某些人羣對其他人可能造成的安全風險。所有這些因素可以轉化爲網絡設計思想,如通過防火牆和認證系統控制網絡數據傳輸,利用網絡隔離不同的敏感級別的網絡數據,以及通過監測系統來檢測未經授權的活動。
設計一個合適的網絡
人們對網絡總會有衆多的需求和期望,如滿足甚至超越組織對可用性和性能的要求,提供一個有利於保護網絡敏感資產的平臺,並能與其他網絡高效和安全的互聯。最重要的是,網絡總體設計必須提供可擴展能力,支持將來對網絡需求。正如之前對機場和購物商場的類比,整體網絡設計會影響組織提供與該網絡存在風險相稱的安全防護水平的能力。
爲了設計和維護一個符合用戶需求的網絡,網絡架構師和工程師必須充分理解用戶需要什麼。最好的辦法是讓那些構架師和工程師參與應用開發的過程。儘早參與開發週期的全過程,工程師可以提出更安全的設計和網絡拓撲,並能保證項目團隊對安全考慮和能力有一個清晰的認識。此外,他們可以確保新項目能夠更好的兼容現有的企業基礎設施。
獲得這類信息的一般方法包括與項目干係人、應用程序和系統所有者、開發者、管理層和用戶會面。對於新項目的性能、安全性、可用性、預算和總體重要性,理解他們的期望和需求是十分重要的。充分理解這些因素將確保項目目標符合需求,並在設計中考慮合適的網絡性能優化和安全控制機制。在網絡實施過程中的一個最普遍的問題是由於假設的不同導致未滿足預期的目標。這就是爲什麼預期應該儘可能多的分解成相互看得見的(可測量)儘可能多的事實,所以安全設計師要保證任何功能建議都有清晰易懂並且被簽署的顯式協議。
控制安全的成本
實施安全控制機制是需要費用的,包括購買、部署和運維等,並且實現這些系統的冗餘方式會顯著增加成本。爲一個系統或網絡考慮適當的冗餘和安全控制機制時,可創建一系列負面場景如發生安全漏洞或系統停運,這有助於確定組織在每次事件所花費的成本。這種風險模型方法能夠幫助管理者確定各種安全控制機制對於公司的價值所在。
例如,修復一個安全漏洞或在非工作日處理系統中斷事件產生了哪些費用?一定要包括直接損失,例如銷售損失、生產率降低、更換費用等,同時也要考慮間接損失,例如組織聲譽受損、品牌力下降、客戶信心下降等。根據預期損失的估算值,公司可確定合適的支出水平。例如,花費20萬美元升級交易系統實現99.999%的可用性,也許表面上看起來過於昂貴,但如果系統宕機可能造成公司每小時25萬美元的損失,這筆費用就顯得微不足道了。
務必強調網絡可用性
網絡可用性要求系統具備一定的彈性,並可及時爲用戶提供服務(也就是當用戶需要時即可用)。與可用性相對的概念是拒絕服務,也就是當用戶需要時無法及時訪問到資源。拒絕服務可以是故意的(例如,惡意的個人行爲)或是意外的(如硬件或軟件發生故障)。不可用系統使企業失去收入,降低員工的工作效率,而且還會以無形的方式(如消費者失去信心和負面宣傳)使得組織遭受損失。業務可用性需求使得一些組織建立備份數據中心,進行系統和數據的實時鏡像,實現故障切換,降低自然災害或恐怖襲擊摧毀他們唯一數據中心的風險。
根據具體的業務和風險因素,冗餘往往會增加成本和複雜性。確定合適的可用性和冗餘級別是一個重要的設計元素,這是由業務需求和資源可用性之間的平衡點所決定的。
確保可用性的最佳做法是在整個架構中避免單點故障。這可能需要在硬件、網絡和應用程序功能提供冗餘和故障切換的能力。完全冗餘方案的部署和維護是非常昂貴的,因爲隨着故障切換機制數量的增加,系統的複雜性增加,這樣會提高支持成本和故障排除的複雜程度。
應用程序的可用性應經過評估,以確定系統不可用對財務及業務的影響。執行這項評估將有助於管理層針對某個特定網絡或應用程序,在故障切換機制、成本和複雜性之間找到最佳的平衡點。衆多的安全設備廠商有故障切換機制解決方案,當主防火牆發生故障時,備份防火牆會承擔相關的處理責任。除了防火牆,路由器也可以被部署爲高可用性配置。
要了解需要哪種冗餘,就要儘量確定業務正常運行多長時間後,可能出現故障。防火牆或路由器的冗餘解決方案只是實現一個完整的高可用性網絡構架的其中一步。例如,兩個防火牆被接入到同一臺交換機的時候,高可用性防火牆解決方案就沒有價值,因爲該交換機存在單點故障,在其正常運行過程中的任何中斷都將使得防火牆中斷,無法體現防火牆故障切換機制的價值。該問題同樣適用於路由器,如果連接防火牆和其餘網絡之間只有一臺路由器,那麼該路由器的故障也會導致整個網絡中斷。
一個真正的高可用性設計將在交換機、網絡、防火牆和應用程序層面上都採用冗餘的硬件組件。在消除故障點時,一定要考慮所有可能的組件。你可能希望通過備用電池提供可靠的電源,通常稱爲不間斷電源(UPS),甚至是一臺應急發電機以應對可能的長時間中斷的風險。設計師應考慮提供多個互聯網服務供應商的互聯網連接服務,以防止某個供應商網絡出現問題時影響到組織。
今天的高可用性的設計在現代數據中心、網絡和計算架構中已經達到很高的水平,從設施本身到運行於最終用戶的應用程序。負載平衡器在保障網絡服務的可用性和性能方面也發揮了重要作用。今天的應用交付技術正在被用於保障安全性和可用性。在某些情況下,企業已經完全摒棄了Web端,而是直接在應用交付控制器(ADC)上操作,它能提供優化的應用和網絡性能。