強化安全架構(gòu)的五大方法

Keith Bromley

網(wǎng)絡(luò)安全的關(guān)鍵問題在于：“究竟如何才能提升安全性？”其答案就在于“增強串聯(lián)安全工具的部署”。

對于IT專家而言，網(wǎng)絡(luò)安全無疑是最重要的的話題之一。即便是對安全工程師、首席信息安全官、首席信息官甚至首席執(zhí)行官也是一樣。

網(wǎng)絡(luò)安全的關(guān)鍵問題在于：“究竟如何才能提升安全性？”其答案就在于“增強串聯(lián)安全工具的部署”。在遵循PCI-DSS標準與HIPAA監(jiān)管要求方面，串聯(lián)安全工具部署也許并不十分重要，但它對提升安全架構(gòu)的防御效果來說，卻是必不可少。

關(guān)于IT專家如何改進企業(yè)串聯(lián)安全架構(gòu)，可歸納為以下五項舉措：

1.在網(wǎng)絡(luò)與安全工具之間安裝旁路交換機，以提高網(wǎng)絡(luò)可用性與可靠性。

2.在網(wǎng)絡(luò)進/出口處部署威脅情報網(wǎng)關(guān)，以減少安全誤報。

3.將SSL解密功能從現(xiàn)有安全設(shè)備（如防火墻和WAF等）分離到網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備或?qū)ｍ椩O(shè)備，以降低延遲并提高安全工具效率。

4.對可疑數(shù)據(jù)按順序進行工具鏈式檢查，以便改進數(shù)據(jù)檢查流程。

5.利用N+1或高可用性技術(shù)，插入網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備，提高安全設(shè)備可用性。

旁路交換機通常是提升網(wǎng)絡(luò)安全性與可靠性一個不錯的起點。雖然直接部署串聯(lián)安全工具亦可以加強防線，然而一旦出現(xiàn)故障，這些工具也會形成單個故障點。雖然安全工具中的內(nèi)置旁路可以盡量降低這種風(fēng)險，但如果在后期需要移除該工具設(shè)備，它也可能會形成另一個服務(wù)中斷點。

外部旁路交換機不但具有內(nèi)部旁路的優(yōu)勢，還消除了直接部署串聯(lián)工具的痛點，這是因為它提供了自動按需式故障切換功能，對網(wǎng)絡(luò)的影響幾乎難以察覺（毫秒級）。……