的最近的T-Mobile数据泄露据报道,他们受到了袭击者的协助获得对未受保护的路由器的访问从那里进入网络,可以通过使用网络自动化来防止。
IDS,IPS,SASE和其他较新技术的关注程度更加重视,但自动化对现代网络安全至关重要。这是一种了解自动化应该如何用于增强网络安全性。
健全的网络设备安全实践
有效的网络运营离不开人、流程和技术的三位一体。你需要正确的人,拥有正确的技能和能力来做有效的工作,良好的政策和流程,以及正确的技术来实现它。自动化是一种允许您构建可重复流程来验证和执行网络策略的技术。
通过自动化设备发现和配置验证过程,可以确保您的设备和配置不会意外地留下任何安全漏洞,从而加强良好的网络安全性。换句话说,自动化的目标是确保您的网络策略在整个网络中得到一致的应用。一个被遗忘和不安全的路由器可能是坏人利用的途径。
一旦发现网络上的每个设备,自动化系统将下载其配置,并根据实现网络策略的配置规则检查它们。这些策略包括从与安全无关的简单内容(如设备命名标准)到基本的安全策略(如身份验证控制和访问控制列表)。自动化系统帮助部署和维护反映您的策略的配置。
(有一个策略没有反映在设备配置中:尽量减少网络设计的变化。例如,分支机构网络的部署将由一个单一的网络设计来指定,该设计包括设备硬件、操作系统和每个网络链路使用的接口等细节。这种方法大大简化了它们的自动化,使其更容易加强良好的网络安全性。
应用自动化
您必须了解网络上的每一个设备,因为您无法管理您不知道存在的设备。虽然安全团队可能不希望网络扫描,因为他们产生的警报流量,这是唯一的方法来识别网络上的一切。
扫描系统应该检查容易猜测和默认的凭证。网络扫描可以使用强力ping扫描,但更好的方法是使用许多协议创建的邻居表。路由邻居用于查找其他子网,而ARP表和交换MAC地址表会通知二层数据链路邻居。你可以使用开源工具自动发现网络,比如nmap或者各种商业的。请注意,在开始其他自动化阶段之前,您不必有一个完整的网络发现。
网络更改和配置管理(NCCM)系统可以使用您的网络库存将网络设备配置的备份自动化为中央存储库。NCCM系统应包括用于检查配置更改的自动机制,有时称为配置漂移。
然后为每种设备类型创建黄金配置,以确保网络策略得到执行。您需要一个自动化的配置审计系统来识别与您定义的策略不匹配的配置。
当然,您需要修复不遵守您定义的策略的配置,这是更高级产品显示其优势的地方。寻找可以智能删除配置语句的产品以及添加新配置元素。例如,在某些产品中对访问控制列表进行更改,必须遵循特定的步骤来到达所需的结果。还查找不坚持管理整个配置的产品。您希望只能管理要管理的配置部分,并将其留下未触及的配置部分。这是在逐步过程中采用自动化的重要功能。
随着您采用自动化的进展,您将希望消除手动配置更改,并通过自动化系统执行所有设备配置。你越早走到这一步越好。它将显著提高网络基础设施的安全性。
验证
好吧,你已经采用了自动化,并且认为你已经覆盖了网络安全,但是你怎么知道你已经达到了预期的结果呢?这需要验证测试。寻找能够从全球互联网扫描您的网络的产品,寻找您的网络和IT系统中的安全漏洞。把这些产品看作是外包的自动化。
在网络中,使用自动化验证网络状态。这与配置审核不同,只验证部署的配置是您想要部署的配置。例如,BGP邻居的集合是正确的,它们是否在既定状态?生成树的根桥是否正确地位于拓扑中?是网络时间协议与正确的对等体正确运行吗?内部系统可以在应该孤立时到达互联网,一种内外测试?考虑一半定期执行网络状态验证。
网络自动化成本是多少?
网络自动化系统的成本并非微不足道,它取决于许多因素,包括网络规模、网络复杂性、人员技能和您正在部署的产品。
对于商业经理,每年购买价值数十万美元的购买产品和订阅很难,但替代方案正在处理违约的结果。您可能会发现在员工全职等同物方面讨论成本很有用,并指出不必处理赎金软件或数据盗窃的节省。您还可以注意到,通过适应改变商业环境,自动化通过减少中断和更敏捷的次数使业务运营更加稳定。
另一种潜在的有用方法是在企业风险管理的背景下讨论自动化。使用外部安全扫描仪识别安全漏洞或网络发现工具通常不需要大量努力,以查找对业务产生风险的非托管设备。自动化可以很容易地转化为值得投资的竞争优势。