對(duì)于IT專家而言，網(wǎng)絡(luò)安全無(wú)疑是最重要的的話題之一。即便是對(duì)安全工程師、首席信息安全官、首席信息官、甚至首席執(zhí)行官也是一樣。

網(wǎng)絡(luò)安全的關(guān)鍵問(wèn)題在于：“究竟如何才能提升安全性？”其答案就在于“增強(qiáng)串聯(lián)安全工具的部署”。在遵循PCI－DSS標(biāo)準(zhǔn)與HIPAA監(jiān)管要求方面，串聯(lián)安全工具部署也許并不十分重要，但它對(duì)提升安全架構(gòu)的防御效果來(lái)說(shuō)，卻是必不可少。

關(guān)于IT專家如何改進(jìn)企業(yè)串聯(lián)安全架構(gòu)，可被歸納為以下五項(xiàng)舉措：

1．  在網(wǎng)絡(luò)與安全工具之間安裝旁路交換機(jī)，以提高網(wǎng)絡(luò)可用性與可靠性

2．  在網(wǎng)絡(luò)進(jìn)／出口處部署威脅情報(bào)網(wǎng)關(guān)，以減少安全誤報(bào)

3．  將SSL解密功能從現(xiàn)有安全設(shè)備（如：防火墻和WAF等）分離到網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備或?qū)ｍ?xiàng)設(shè)備，以降低延遲并提高安全工具效率

4．  對(duì)可疑數(shù)據(jù)按順序進(jìn)行工具鏈?zhǔn)綑z查，以便改進(jìn)數(shù)據(jù)檢查流程

5．  利用N＋1或高可用性技術(shù)，插入網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備，提高安全設(shè)備可用性

旁路交換機(jī)通常是提升網(wǎng)絡(luò)安全性與可靠性一個(gè)不錯(cuò)的起點(diǎn)。雖然直接部署串聯(lián)安全工具亦可以加強(qiáng)防線，然而一旦出現(xiàn)故障，這些工具也會(huì)形成單個(gè)故障點(diǎn)。雖然安全工具中的內(nèi)置旁路可以盡量降低這種風(fēng)險(xiǎn)，但如果在后期需要移除該工具設(shè)備，它也可能會(huì)形成另一個(gè)服務(wù)中斷點(diǎn)。

外部旁路交換機(jī)不但具有內(nèi)部旁路的優(yōu)勢(shì)，還消除了直接部署串聯(lián)工具的痛點(diǎn)，這是因?yàn)樗�提供了自�?dòng)按需式故障切換功能，對(duì)網(wǎng)絡(luò)的影響幾乎難以察覺(jué)（毫秒級(jí)）。由于旁路交換機(jī)始終駐留于網(wǎng)絡(luò)，因此可以設(shè)置為旁路模式，從而支持按需添加、移除或升級(jí)安全與監(jiān)測(cè)設(shè)備。

威脅情報(bào)網(wǎng)關(guān)是第二個(gè)出色的策略，這是因?yàn)樗�能消除往�?lái)的已知惡意IP地址流量。企業(yè)即使配備了防火墻、IPS以及各種安全工具，仍對(duì)每天遭受重大入侵的原因毫無(wú)頭緒，為什么？這是由于大量的警報(bào)極大地占用了安全團(tuán)隊(duì)的處理能力以及基礎(chǔ)架構(gòu)容量。威脅情報(bào)網(wǎng)關(guān)可自動(dòng)協(xié)助過(guò)濾進(jìn)入網(wǎng)絡(luò)且需要分析的流量。通過(guò)消除已知的惡意流量，一些企業(yè)減少了30％以上的IPS誤報(bào)，從而讓網(wǎng)絡(luò)安全團(tuán)隊(duì)集中精力應(yīng)對(duì)真正的潛在威脅。

雖然許多安全工具（如：防火墻、WAF和IPS等）具有流量解密的能力，以便對(duì)傳入流量進(jìn)行安全分析，但這也會(huì)影響CPU性能，并大幅拖慢（高達(dá)80％）安全設(shè)備的處理能力。這是因?yàn)檫@些設(shè)備的處理器同時(shí)也在執(zhí)行其他任務(wù)，例如分析數(shù)據(jù)包以應(yīng)對(duì)安全威脅，包括：跨站腳本攻擊（XSS）、SQL注入、隱藏的惡意軟件以及安全威脅等。因此SSL解密有可能成為這些安全工具的巨大負(fù)擔(dān)，并降低安全工具效率，進(jìn)而增加檢查網(wǎng)絡(luò)數(shù)據(jù)的成本。由于在數(shù)據(jù)解密時(shí)會(huì)受到性能沖擊，許多安全團(tuán)隊(duì)會(huì)選擇關(guān)閉安全工具的此項(xiàng)特性，而這將可能帶來(lái)極大的安全風(fēng)險(xiǎn)。

解決方案之一就是采用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備（NPB），由該設(shè)備執(zhí)行數(shù)據(jù)解密，或者將此項(xiàng)任務(wù)交由單獨(dú)的解密設(shè)備。一旦數(shù)據(jù)被解密后，網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備就能將這些數(shù)據(jù)轉(zhuǎn)發(fā)給一臺(tái)或多臺(tái)安全工具進(jìn)行分析。

另一個(gè)要考慮的策略是串行數(shù)據(jù)鏈，它通過(guò)預(yù)定數(shù)據(jù)分析序列，即以串行方式將可疑數(shù)據(jù)發(fā)送至多臺(tái)安全工具進(jìn)行額外安全檢查與解析——增強(qiáng)數(shù)據(jù)檢查。這確保了各種行動(dòng)的正確順序且不會(huì)遭到忽略。安全與監(jiān)測(cè)工具可以通過(guò)網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備內(nèi)的軟件資源調(diào)配而連接起來(lái)，以控制數(shù)據(jù)流在選定服務(wù)依序傳輸。這實(shí)際上可以讓您實(shí)現(xiàn)自動(dòng)化檢查流程，以增加警報(bào)檢查與后續(xù)行動(dòng)。

第五種增強(qiáng)安全架構(gòu)的方法是通過(guò)安裝有擴(kuò)展性生存能力的NPB來(lái)提高安全設(shè)備的可用性。優(yōu)秀的網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備將擁有兩個(gè)選項(xiàng)。第1個(gè)選項(xiàng)一般稱作N＋1，部署于負(fù)載共享配置內(nèi)。在負(fù)載共享配置中，您已經(jīng)配備了1臺(tái)額外安全設(shè)備，以應(yīng)對(duì)其中某個(gè)重要工具（IPS、WAF等）出現(xiàn)故障。但是，該設(shè)備實(shí)際上與其他設(shè)備一同使用，并共享正常的處理負(fù)載，而非以空閑方式待用。這種方式通常稱作負(fù)載均衡。如果其中1臺(tái)設(shè)備出現(xiàn)故障，總數(shù)據(jù)負(fù)載仍可以由剩余設(shè)備加以處理。待發(fā)生故障的工具恢復(fù)正常后，其它工具將恢復(fù)負(fù)載共享配置。

雖然在不使用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備的情況下，上述任務(wù)也能完成，但負(fù)載均衡設(shè)備及其方法往往過(guò)程復(fù)雜。網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備具有內(nèi)部編程能力，可處理負(fù)載均衡及心跳信息，以檢測(cè)工具何時(shí)出現(xiàn)故障以及何時(shí)可用，從而構(gòu)建起經(jīng)濟(jì)高效的自愈架構(gòu)。而另一個(gè)更加穩(wěn)健但成本更高的選項(xiàng)就是部署高可用性，即N＋M選項(xiàng)，在該選項(xiàng)中，配備了一套完全冗余的設(shè)備。盡管成本非常高，但根據(jù)業(yè)務(wù)需求，這可能也是最佳的選擇。

上述五大舉措可以顯著改進(jìn)安全架構(gòu)，包括解決方案可靠性，真實(shí)檢測(cè)以及防止／限制安全威脅。（作者：Keith Bromley，Ixia解決方案營(yíng)銷高級(jí)經(jīng)理）