如果要实现可预测和可靠的控制,网络和连接到它的设备和人员必须作为团队合作。虽然我们中的许多人将在随着时间的推移,我们的网络中添加到我们网络中的遗留硬件和软件,但我们中的一些人正在设计明天的网络。
无论您目前的网络状态如何,如果您做出驱动网络朝向闭环过程控制模型的决策,您将处于更好的位置,以解决今天和明天的安全问题。
Précis.
在本章开始时,我们将讨论架构,以及现有的基础设施如何影响如何将CLPC集成到企业中的决策。讨论了“你需要叉车吗?”的问题,以及一些有趣的替代方案,以彻底改造你的网络。
然后,我们将讨论供应商社区如何支持端点安全性和完整性。我们讨论一些球员是谁,他们的优势和劣势是什么。
在没有某种形式的修复没有某种形式的修复的情况下,做出关于允许或拒绝访问网络的决定显然是一个无星期,所以我们讨论漏洞和一些修复技术。
特殊兴趣点
关于漏洞的讨论似乎引发了一系列巨大的争议定义。虽然这是一个值得众多讨论的主题,但我们现在将通过它来传递它。在本章中,我们使用该术语漏洞意味着一种攻击端点和网络的方法。
我们扩展的定义身份验证稍微包含操作系统和相关应用程序。这是CLPC概念的关键,因为信任是针对规定的政策衡量的。
我们已经尝试在网络和端点上解决这个问题。供应商,根据他们的产品,选择ITàla思科和微软的方向和工作。本问题的简单事实是网络需要帮助端点,并且端点需要帮助网络。只有通过这个共生,我们只能提供建立CLPC所需的必要控制。
体系结构是关键
当我们开始任何设计过程时,谨慎的工程告诉我们,我们应该从一些基本假设开始推动我们的体系结构。当我们沿着特定的架构路径进行,改变我们的思想或改变基本假设通常意味着使妥协降低我们预期设计的有效性。
有三种方法可以建立我们的控制解决方案。一个是基于行业标准,而两个是基于各自业务行业提供的领导者提供的专有解决方案。
思科是一个尝试控制和保护端点的网络供应商,Microsoft是一个尝试使用网络基础架构的部件来添加安全性的端点解决方案供应商。
一些供应商,如Juniper(通过收购Funk)和赛门铁克(通过收购Sygate),已经扩展了802.1x请求器的功能,超越了简单的认证,这是我们开始看到真正的比例控制标准的基础,真正的闭环。
这些新产品,如赛门铁克的企业保护,1不仅要检查端点,还要确保在允许系统与网络连接之前遵守了系统级策略问题。它们还为系统添加了一些保护措施,以确保系统能够保护自身及其包含的数据。
基本
要使CLPC工作,您需要拥有支持它的基础架构。您必须有一些强制执行政策的机制;否则,这是一个自愿参与模型。
如果您的意图是积极执行您的策略:802.1x和动态主机配置协议(DHCP),则可以从两个基本选择中工作。当然,您可以通过独裁化化实现策略执行的被动类型。划分的缺点是它增加了对网络架构的复杂性,并且复杂性意味着增加了失败的可能性。在课堂化以后更多。
多大了?
所以,让我们假设我们将使用802.1x作为我们的执法机制。我们已经出去买了一个支持我们对CLPC的概念的产品,并在我们的终点上安装了代理商和有关人员。
拥有支持802.1x的客户端固然很好,但您还需要网络基础设施来支持它。很多(如果不是全部的话)旧的基础设施不支持802.1x。一个简单的方法就是看看你什么时候购买了网络设备。如果你是在无线时代之前买的东西,你还没有能力使用802.1x。如果你足够幸运,你可能可以升级,但这将是昂贵的。
在我的日常业务过程中,我的一个客户,一家主要的金融机构,对他们的设备做了一个调查,并确定将他们的网络升级到能够支持802.1x的水平需要花费100多万美元。
哦,还有我们在第12章“嵌入式设备”中看到的所有那些讨厌的嵌入式系统,比如打印机和呼吸器,它们没有提到802.1x(或者说是防病毒),仍然需要解决。
卧室化仍然有效
当您通过设计新的网络架构的痛苦时,您意识到当您开始切换时,真正的乐趣将开始。我们少数人有机会从头开始建立一个全新的网络。您通常必须以某种可控方式从旧架构转换到新的架构。这种转变代表了合并和收购人的巨大问题。
这是分隔级化可以用作迁移工具以及安全工具的地方。通过将安全网关放置在强制网络和传统网络之间,您可以将安全风险降低到整个网络。请注意,我没有说“消除”;我说“减少”。
但是你如何划分?您是否根据系统和数据的分类而进行,或者您是否应该将网络闯入功能区?它具有差异,特别是如果通过路由器或防火墙中的访问控制列表(ACL)管理从区域到区域的访问。使得不正确的选择可以意味着业务流程以显着的方式影响。
例如,图5-1.描述一种基于使用的基本划分方法。这是典型的同心式建筑。Internet上的用户根据业务需要和要求限制对外网服务的访问。它们周围的虚线表明,这种服务必须容忍一定程度的孔隙度。然而,当您到达公司网络边界时,迎接您的是经典的防火墙、反病毒(AV)和入侵检测。转到内部网服务,我们遇到一些访问控制,它们限制了我们与所提供的服务的交互方式。我们可能没有写访问权限,并且服务可能对网络的所有区域都不可用。
网络的用户区域是我们的下一层。它可以访问Internet,Intranet,并可能是外联网。它还可以有限地访问关键内部服务。关键内部服务受到ACL,身份验证和授权服务等访问控制的保护。在Windows世界中,这些控件使用Active Directory(AD)和组强制执行。在非Windows Worlds中,这意味着用户服务(RADIUS)和轻量级目录访问协议(LDAP)中的远程认证拨号。
这种体系结构的缺点是它相当混杂,如果你的反病毒数据文件不是最新的,或者你受到一些零日漏洞的攻击,你将有相当大的破坏来解决。
在频谱的另一端是用于将基于雕刻到遏制区域的网络的方法,如图所示图5-2..通过使用防火墙创建众多区域并控制区域之间的所有通信,希望防止病毒的传播并控制数据的移动。
使用经典的划分级化。核心基础设施系统受到严重保护和管理。
不幸的是,潜在的消息是你不相信你的终点或使用它们的人。您不相信终点保护自己,这意味着您对安全计划没有太多信心。我可以了解“腰带和悬挂器”的方法,但必须在适当地支持它们的规则,ACL和复杂程序开始看起来像一个错误和失败的成熟地点。
正如你所看到的那样图5-2.,每个区域都有一个防火墙,因此是与其关联的防火墙规则集。您必须明确允许流量留下区域,并且您必须明确允许流量进入区域。这意味着,如果您希望用户区域1中的人员能够访问公司服务,则必须告诉用户区域1防火墙允许流量传递出站,并且您必须告诉公司服务防火墙允许入站流量。我知道你在想什么:“防火墙默认允许所有出站流量。”防火墙将允许出站流量,除非您不相信内部的系统,您可以配置防火墙,以便默认停止所有流量。请记住,这种设计的一个目的是防止病毒的传播。
我的经验是,如果没有正确管理,这种基于区域的架构可能会变得过于复杂。这类架构很容易培养自己的生活,并且在这个过程中为用户和安全团队的噩梦变得相当噩梦。我已经看到了这个架构的例子,其中每个更改网络所需的安全组批准,因为需要防火墙规则改变。这创造了一个瓶颈。必须创建一个特殊群体,只是为了使他们每天需要的防火墙的变更只是为了保持业务。结果是本组织内的业务集团无法以业务速度创新。
基于区域的划分可能会变得非常复杂。
复杂的基于区域的体系结构中的另一个受害者可能是服务水平协议(sla)。sla的存在是为了确保始终存在基本级别的功能,以便能够处理业务。sla确保文件服务器总是以最小的延迟运行,并确保Web服务向您的用户社区提供它们被禁止的功能。在复杂的基于区域的体系结构中,测量和测量服务水平所需的工具可能会受到严重的阻碍(如果没有完全切断的话)。
要公平,这种类型的架构通常由众多合并和收购以及安全人员必须管理修补覆盖网络的整体安全性的要求。我猜这意味着网络过度复杂的财务管理员的错。
我将承认该划分器,如果正常完成,也是控制恶意软件传播的有效工具。然而,它回到了我之前问的问题:您是否希望通过数据分类或函数进行分组?如果您是政府机构或军队,这个问题已经有一个答案:您已通过数据分类进行了分组。在您需要在分类区域之间进行连接或共享数据之前,这似乎很容易。如图所示图5-3,贝尔/拉帕德杜规则指出,您可以没有“写下”,没有“读取”功能。2,3这意味着具有较高分类的系统不能向较低分类的系统写入数据,较低分类的系统也不能从具有较高分类的系统读取数据。如果你认为你的网络是一个比互联网“更高”的分类级别,那么每次你的电子邮件服务器收到电子邮件时,你就违反了这条规则。
Bell/LaPadula规则防止高分类数据迁移到低分类数据。