如何做好基础安全设备运维

一 基础安全设备包含哪些?

下图是一个典型的企业业务网络架构包含常见的安全设备。

绘图1.png

基础安全设备包含构造业务安全防御系统的常用安全设备,能够搭建深度防御体系的各种安全设备、安全软件。大型的互联网结构不太一样,主要为数据流量很大,传统安全厂家的设备很难满足需求,攻击检测和防护会自己开发,本文还是以传统业务网络为主。传统业务网络包含的安全设备一般有以下几种:

1.1 检测告警类

网络入侵检测

用于检测网络入侵事件,常见部署在核心交换上,用于收集核心交换机的镜像流量,通过检测攻击特征形成告警事件。

网络流量分析

镜像流量分析,通常也是连接到核心交换,可以分析流量,可以回溯流量,遇到分析安全事件的时候可以通过回溯流量分析攻击过程。

1.2 安全防护类

安全防护类产品同样有检测攻击的能力,检测出攻击才能进行防护,也常见防护类的产品只做检测用。

抗拒绝服务产品

部署在主链路上,内部网络的抗D设备可以处理低于出口带宽的 DDoS 流量,超过的一般用云抗D服务。

防火墙

用于做网络边界区分,虽然下一代防火墙有很多花哨的功能,但是在实际应用中最有用的还是网络访问控制。常见部署在核心路由和核心交换机之间,或者在应用服务器和数据库服务器之间,或者不同的业务之间,有边界隔离需求的都可以部署。

WAF(Web应用防火墙)

现在几乎所有的应用都使用Web的方式提供,相比较传统防火墙设备,Web应用防火墙提供了应用层的防护能力,更专业一些。常见部署在应用服务器与核心交换之间,或者核心交换与核心防火墙之间。

也有的业务系统比较复杂,WAF已旁路镜像流量的方式作为Web的入侵检测设备存在,只检测Web攻击事件。

网络入侵防御

逻辑是串在主链路上,真用作防御功能的情况还是比较少,需要业务简单,交互情况少的情况下。误报和漏报需要平衡好。

企业杀毒软件

目前普遍部署在企业网络的杀毒软件都是基于 Windows 版的,使用统一管理,可以从整体查看病毒在组织网络中的感染情况。企业网策略比较保守,发现病毒只是告警,不直接删除或清除,有可能导致系统文件出错。越来越多的组织使用 Linux 作为主要操作系统,很少有合适的杀毒软件部署。还有种 APT 的产品,杀毒是其中的一个组件或模块。

1.3 监管评估类

漏洞扫描工具

国内最常见的绿盟的扫描器了,扫描漏洞了,当然会出现漏报和误报,也需要安全运维人员有能力验证发现的漏洞。

配置核查工具

实现统一的安全配置标准以便规范日常的安全配置操作,快速有效地对网络中种类、数量繁多的设备和软件进行安全配置检测,集中收集核查结果,快速出报告。

网站安全监控

可以对网站漏洞、网站内容、网站可用性监控的设备,属于主动扫描类的工具。

漏扫、配置检查、网站监控都是属于主动扫描的设备。

堡垒机

有时候也叫运维审计系统,可以配合 Windows 域或其他认证系统,对运维人员的操作进行审计。网络的访问控制做的好的话,个人认为堡垒机是安全运维里面最有用的设备之一。

日志审计

传统日志审计,后台使用关系型数据库的,局限性很大,相当于各种日志数据处理后放到一个数据库中,安全事件发生后可以用作做事件回溯查询。数据量大了后表现就是查询速度很慢。另外一般设备是一个盒子,保存的数据量也有限。

数据库审计

镜像应用到数据库的流量,可以获得所有的数据库操作请求,通过设定一定的规则也能检测针对数据库的攻击。

有些适合企业办公网使用的安全设备,如上网行为管理、网络准入系统等不在这里介绍了。

二 基础安全设备的运维需求

2.1 人力资源需求

主要有3块工作需比较多的工作量,一个是安全设备日志审计,一个是设备配置,最后一个是配合其他部门做漏洞扫描、通告和修复。

2.1.1 安全设备日志审计

组织购买了安全产品,也在供应商的支持下部署了安全产品,之后就需要人员来查看相关日志,一个入侵检测设备的告警事件每天可能从几千到几万条,就算粗略的过一遍也不差不多需要一个小时,然后看WAF日志、杀毒软件日志等等。网络环境复杂、规模较大,安全设备多,人工看日志都看不完。也可以依赖供应商的巡检,周期比较长,不同供应商只做自己产品的巡检,做出的报告可能作用不大(比没有要好)。

2.1.2 设备配置工作

举个防火墙配置的例子,某组织业务系统越来越多,变动也越来越频繁,还是沿用旧的管理方式,逐一登陆防火墙,逐一设置生效,效率低,而且缺乏对现有策略的统筹。另外配置防火墙变更可能走配置变更流程,一整套下来也需要花费大量的时间。

2.1.3 漏洞扫描、通告、修复

漏洞扫描和通告一般由安全部门负责,漏洞修复则需要其他部门的配合,常见的实际漏洞修复时间比规定要求的时间多3倍。

2.2 专业能力需求

如果说普通的配置需要基础安全知识和IT技术能力,调整安全设备规则就需要专业些的能力支持了。IDS/IPS 修改规则需要了解网络攻击的相关知识,WAF 修改规则需要了解 HTTP 协议和 Web 渗透的相关知识。

三 如何管好基础安全设备

做好基础的安全设备运维工作不仅是简单的修改配置,调整策略,更多的是结合自己组织实际整体的业务网络环境,明白各个安全设备在网络中的位置启什么作用,通过整体的考虑和配置提升组织的安全防护能力。同样也需要配合安全管理规范和流程,安全设备配置的每一次修改都留有审核、有记录,安全运维人员对每次修改的配置会对整个业务网络环境造成的影响能够进行评估,做到心中有数。

从工作职责说明上写清楚安全运维人员的职责和绩效评估方法,因为安全设备的运维都属于日常性的工作,可以做工作计划,按照计划推动安全设备的日常运维工作。

梳理安全设备相关的制度流程,要符合自己组织的实际情况,并充分于相关部门人员沟通、培训,使流程能够实际执行。结合运维、开发部门流程将与安全流程整合到一起。

需要了解网络部门的提供的业务网络架构,对安全设备的部署提供合理建议,按照功能和业务划分网段,如业务网段、运维网段、安全管理网段,从网络上配置严格的访问控制,防火墙、堡垒机的使用效果很依赖于网络的访问控制。有些 IP 有全网访问权限的,需要做好严格控制。可能的流程(可能需要配合运维)有:

服务器上线/下线流程

设备配置变更流程

VPN账户/堡垒机账户权限审批流程

漏洞修复流程

日志分析、设备巡检最好由系统自动完成,有条件使用 spunk,没条件使用 ELK,收集的所有安全设备日志使用安全事件关联规则处理,降低每天查看的日志量。对日志检查任务进行标准化工作,尽量规范化定义日常的日志查看需要检查哪些内容。

snipaste20180104_211400.png

检查内容可以从业务威胁分析得出,可以通过内部讨论的形式分析业务都会遭受哪些威胁,会在安全设备上留下哪些日志,在搜索分析日志,形成日常检测任务,如果有自动化平台,再将这些规则移到自动化平台上,关联分析规则后面再说。

安全设备的规则调整可以依赖供应商,供应商的定期巡检和安全事件的应急要能够及时调整安全设备规则策略。要求巡检报告或应急报告里包含对规则的调整建议。

需要配置的防火墙较多,可以考虑开发或采购防火墙管理系统, 通过管理系统统一下发策略配置, 能根据输入内容,进行多个防火墙同时查询, 能保留防火墙日志,同时能实现根据输入内容对防火墙防火墙进行查询,记录策略的访问频率,提供防火墙优化决策数据,对防火墙策略的使用提供统筹依据,如策略重复、策略合并、多余策略等。防火墙设备较少可以手工整理,不管什么方式,都需要一份防火墙的策略配置和说明文档。想要集中化配置所有安全设备可以考虑使用SOC了。

可以考虑开发或采购配置管理系统,将安全设备配置可以导入到配置管理系统上,每次更改配置也能做好记录。如果运维部门有类似的系统,放在一起做。设备少的情况下也可以手工记录。

定期对业务网络环境做漏洞扫描,跟业务部门、开发部门、运维部门确认漏洞修复状态,不能修复的说明情况,采取补偿的方式对有漏洞系统进行防护。

在人员编制不足的情况下也可以考虑将这部分任务外包给安全公司来做。

*本文原创作者:白河·愁,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。