服務(wù)器安全審計(jì):權(quán)衡知識(shí)和性能
除了最小型的企業(yè)外,所有組織都有針對(duì)服務(wù)器的某些等級(jí)的安全審計(jì)。不管它收集的信息關(guān)于失敗登錄次數(shù)、安全文件訪問、文件刪除、活動(dòng)目錄修改或是其它,事實(shí)是我們大部分人需要獲取一定量的信息。
在一次討論會(huì)上,我發(fā)起了一次有關(guān)審計(jì)的小組討論,這次討論弄清楚了一件事:Windows的本地安全審計(jì)明確地有些安全問題。某位先生的故事可以代表每個(gè)人的經(jīng)歷:
管理方面要求我提供一些關(guān)于失敗登錄、成功登錄等事情的細(xì)節(jié)。我告訴他們,我們目前沒有收集這些信息,他們命令我們要去做這件事。我啟用了必要的審計(jì),又盡快地幾乎將它們?nèi)P(guān)了。我們的域控制器根本不能處理額外的負(fù)載。
審計(jì)導(dǎo)致性能損失的事實(shí)最初讓很多管理員感到驚訝,因?yàn)檫@不完全是直覺。畢竟,域控制器已經(jīng)在執(zhí)行工作,為什么僅僅對(duì)它做個(gè)標(biāo)注會(huì)這么難呢?它確實(shí)很難:有人表示,審計(jì)在他的公司是放在容量規(guī)劃里的工作。他估計(jì)他的團(tuán)隊(duì)擁有的域控制器是處理登錄流量所需域控制器的兩倍,因?yàn)樗呀?jīng)開啟了幾乎每一個(gè)可能的審計(jì)選項(xiàng)。
對(duì)文件服務(wù)器而言,拒絕訪問文件的請(qǐng)求是一件事,而打開事件日志并將事實(shí)標(biāo)注出來又是完全不同的操作。雖然Windows的本地事件日志架構(gòu)是roburst,它并不是免費(fèi)的。它需要計(jì)算力,它可以耗盡一臺(tái)服務(wù)器的所有性能。這也是審計(jì)幾乎總是在性能和知識(shí)間平衡的原因。發(fā)生越多的審計(jì),這臺(tái)服務(wù)器最終處理的用戶工作負(fù)載就越少,因?yàn)樗趯徲?jì)工作負(fù)載上花的時(shí)間更多。一些組織只部署更多的計(jì)算資源來處理這些工作負(fù)載,其它企業(yè)為了保持服務(wù)器在理想的性能級(jí)別運(yùn)行,不得不將審計(jì)量調(diào)整回去。
第三方審計(jì)解決方案有時(shí)候比本地事件日志架構(gòu)處理更高等級(jí)的審計(jì)。它們通過結(jié)合三種基本技術(shù)來完成這一任務(wù):
安裝在服務(wù)器上的代理可以直接接入Windows的應(yīng)用程序接口(API),而不是等待事件寫入到事件日志中。這些代理節(jié)省了事件日志的日常開支,因?yàn)楸镜貙徲?jì)可以關(guān)閉。直接從API流量中獲取數(shù)據(jù)通常花費(fèi)也更少。
審計(jì)數(shù)據(jù)可以“慵懶寫入”,這意味著它可以在較段時(shí)間內(nèi)排隊(duì)等候日志。這通常不是很長(zhǎng)的一段時(shí)間,但它確實(shí)允許審計(jì)占用次要位置來處理用戶工作負(fù)載。
事件通常傳輸?shù)街醒霐?shù)據(jù)庫用于從服務(wù)器上實(shí)際地編寫、移除多一點(diǎn)的工作負(fù)載,因?yàn)樵摲?wù)器不需要維持實(shí)際的日志。
管理員可能不得不做一些基于實(shí)驗(yàn)室的實(shí)驗(yàn)來精確地查看服務(wù)器環(huán)境中創(chuàng)建什么級(jí)別的性能會(huì)影響所選的審計(jì)配置。選擇審計(jì)方法的核心信息是:你不能擁有全部。管理需要理解,獲取每一點(diǎn)可能的信息都會(huì)產(chǎn)生性能影響,公司需要愿意為這些影響付出額外的服務(wù)器、更大的服務(wù)器或降低性能的代價(jià)。
【編輯推薦】
