強化安全架構的五大方法

網絡安全的關鍵問題在于：“究竟如何才能提升安全性？”其答案就在于“增強串聯安全工具的部署”。在遵循PCI-DSS標準與HIPAA監管要求方面，串聯安全工具部署也許并不十分重要，但它對提升安全架構的防御效果來說，卻是必不可少的。

關于如何改進企業串聯安全架構，可歸納為以下五項舉措：

第一，在網絡與安全工具之間安裝旁路交換機，以提高網絡可用性與可靠性。外部旁路交換機不但具有內部旁路的優勢，還消除了直接部署串聯工具的痛，因為它提供自動按需式故障切換功能，對網絡的影響幾乎難以察覺。

第二，在網絡進/出口處部署威脅情報網關，以減少安全誤報。威脅情報網關可自動協助過濾進入網絡且需要分析的流量。通過消除已知的惡意流量，一些企業減少了30%以上的IPS誤報，從而讓網絡安全團隊集中精力應對真正的潛在威脅。

第三，將SSL解密功能從現有安全設備分離到網絡數據包中轉設備或專項設備，以降低延遲并提高安全工具效率。雖然許多安全工具有流量解密的能力，但這也會影響CPU性能，并大幅拖慢（高達80%）安全設備的處理能力。SSL解密有可能成為這些安全工具的巨大負擔，降低安全工具效率，進而增加檢查網絡數據的成本。由于在數據解密時會受到性能沖擊，許多安全團隊會選擇關閉安全工具的此項特性，而這將可能帶來極大的安全風險。因此需采用網絡數據包中轉設備（NPB），由該設備執行數據解密，或者將此項任務交由單獨的解密設備。……