網絡安全之應用可視化應對安全威脅
網絡安全—信息時代威脅重重
伴隨著通訊傳播和互聯網技術的不斷發展,全民信息化已經逐漸成為時代的趨勢。越來越多的新型開源網絡應用框架正在改變數據創建和訪問的方式,以智能手機和平板電腦為主流的各種新型移動終端也在伴隨著互聯網的發展而逐漸融入人們的生活。
但是,信息化技術的不斷完善在滿足了人們工作需要和娛樂生活的同時,也給信息化基礎設施建設帶來了強烈的沖擊,這種沖擊主要表現在兩個方面,一是數據流量,眾多的網絡應用帶來了海量的數據流量,尤其是伴隨著“云計算技術”的到來,使得數據中心的流量上限變得更加不可預測,直接對數據中心安全和存儲設備的性能提出了更高的要求,高度的可靠性、穩定性、方便管理和節能環保等特點將成為未來數據中心安全最基本的要求,這都將為數據中心建設和管理造成前所未有的壓力。
另一方面,海量數據使得數據中心的安全形勢變得不容樂觀,一是因為跟隨信息化發展而來的黑客侵入、木馬病毒、DDoS攻擊等多種不安全因素,二是新型的開源網絡應用框架和移動網絡終端的應用不斷增多,使得針對應用層的數據越來越多,而基于IP地址訪問策略控制的傳統安全管理模式已經不能滿足數據的安全需求,因而造成了很大的安全漏洞。
網絡安全—IP管理策略安全性
對于遠程接入的用戶,部分廠商采用DDNS(動態域名服務)來解決動態IP問題,但是用戶要為此承擔DDNS的故障風險。由于DDNS系統是第三方的系統,本身具備一定的脆弱性,容易受到攻擊,其可用性和可靠性因素會給用戶增加額外的不可控風險。
在利用IP管理模式進行內網管理時,用戶需要承擔IP被偽造或者假冒的風險。由于IP地址是可偽造或者假冒的,從理論上說,任何人都可通過偽造或者假冒合法IP地址欺騙安全網關,獲取訪問內網數據的權限,甚至針對內網進行網絡攻擊。
內網管理中,即使采用IP/MAC地址綁定的形式,用戶也要承擔主機被冒用的風險。簡單說,即是不具備訪問權限的人通過使用別人的內網主機,一樣也可以非法獲取對內網敏感數據的訪問權限。并且,在內網主機數量龐大的情況下,IP/MAC地址綁定而導致的額外管理成本較高。
網絡安全—角色的管理模式
如何阻止越來越多針對應用層的訪問和攻擊,確保安全管理和網絡資源協調分配,基于角色的管理模式或能夠徹底解決這一難題。基于角色的管理是安全網關類產品發展的一個趨勢,在IT安全管理和網絡資源分配的過程中,從管理的成本角度、安全管理和資源分配的效果來看,基于角色的管理模式優于傳統的基于IP的管理模式。
據了解,基于角色的管理模式與傳統的IP管理模式相比較,可以對通過訪問者身份進行認證和審核,并根據訪問者的權限對其訪問的網絡資源進行控制,在技術上可避免IP被盜用或者PC終端被盜用的可能性;
從訪問控制的角度來說,基于角色的訪問控制模式在控制上更加嚴密和便于管理,基于角色的審計結果可為追蹤和定位非法訪問者身份提供直接的依據,安全防護的效果更好;從分配資源的角度來說,基于角色的分配方式更加精細,使用戶合理地利用網絡資源。
基于角色的安全管理模式來保障網絡安全管理和網絡資源協調分配的技術已經出現,這種技術可面向角色對信息進行有效的訪問控制和網絡資源分配,可以為用戶提供基于角色和應用的帶寬管理手段,同時兼容基于IP的管理模式,可在原有的網絡上進行切換與改造。
網絡安全—應用可視化與多核安全網關
在基于角色的管理模式基礎上,應把安全做到了針對應用層的檢測,以此解決傳統防火墻對流量識別的不足,并提出“應用可視化”觀點。“應用可視化”并沒有依托于傳統的端口去匹配應用,而是基于協議的行為和特征,精確地識別各種應用協議,并針對行為進行細粒度的管理和策略控制,對嵌入應用的威脅進行實時安全防護,從而有效地防范網絡外部和內部威脅。
多核安全網關的“應用可視化”功能搭載于高性能的多核PlusG2硬件架構,通過64位安全操作系統StoneOS的創新并行流檢測引擎進行交叉檢測,從而實現了網絡行為和應用可視化,可以極大地提升網絡對嵌入應用的威脅的“偵破”能力。
對于目前的網絡安全局勢,很多公司力求將多種功能并與產品性能達到完美統一,不但要在產品功能上除了部署防火墻、VPN、病毒過濾、入侵檢測等UTM具備的功能外,還將會帶寬管理、上網行為管理、攻擊防護等安全功能集成到統一的平臺,從底層進行軟硬件和并行操作系統的優化。
基于IP地址訪問策略控制的傳統安全管理模式在安全方面具有明顯的缺陷,對于網絡管理員來說,因無法確認IP地址與人、內網主機與人之間的對應關系,所以給網絡安全帶來極大的風險,同時也會給安全事件的追蹤與審計帶來困難。
【編輯推薦】
