纵深防御是指使用多种产品和实践来保护网络的网络安全策略。
阅读本文后,您将能够:
相关内容
订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!
复制文章链接
“纵深防御” (DiD) 是一种网络安全策略,它使用多种安全产品和实践来保护组织的网络、Web 资产和资源。它有时与“分层安全”一词互换使用,因为它依赖于多个控制层(物理、技术和管理)的安全解决方案,来防止攻击者访问受保护的网络或本地资源。
最初,纵深防御是指一种军事战略,牺牲一条防线来阻止敌方部队。尽管名称相似,但该方法与我们所说的安全策略并不相似,在纵深防御安全策略中,多个产品协同工作以阻止攻击者和其他威胁。
纵深防御策略的指导原则是,单一安全产品无法完全保护网络免受可能面临的每一次攻击。但是,实施多种安全产品和实践可以帮助检测和预防出现的攻击,使组织能够有效地缓解各种威胁。随着组织扩展其网络、系统和用户,这种方法变得越来越重要。
分层安全的另一个优点是冗余。如果外部攻击者破坏了一道防线或内部威胁危及组织网络的一部分,则其他安全措施可以帮助限制和减轻对整个网络的损害。相比之下,仅使用一种安全产品会产生单点故障;如果它受到损害,整个网络或系统可能因此遭到破坏或损坏。
虽然纵深防御策略会根据组织的需求和可用资源而有所不同,但它们通常包括以下类别的一种或多种产品:
物理安全控制可保护 IT 系统、公司建筑、数据中心和其他物理资产免受篡改、盗窃或未经授权的访问等威胁。这些可能包括不同类型的访问控制和监视方法,例如安全摄像头、警报系统、身份证扫描仪和生物识别安全(例如指纹读取器、面部识别系统等)。
技术安全控制包括防止数据泄露、DDoS 攻击以及针对网络和应用程序的其他威胁所需的硬件和软件。该层的常见安全产品包括防火墙、安全 Web 网关 (SWG)、入侵检测或预防系统 (IDS/IPS)、浏览器隔离技术、端点检测和响应 (EDR) 软件、数据丢失防护软件 (DLP)、Web 应用程序防火墙 (WAF) 和反恶意软件等。
管理安全控制是指系统管理员和安全团队设置的政策,用于控制对内部系统、公司资源和其他敏感数据以及应用程序的访问。它还可能包括安全意识培训,以确保用户养成良好的安全卫生习惯、对数据保密,并避免将系统、设备和应用程序暴露在不必要的风险中。
除了安全产品和政策之外,组织还需要实施强大的安全实践来限制其网络和资源的风险。这些可能包括以下一项或多项:
最低权限访问是仅向用户授予其角色所需的系统和资源的访问权限的原则。如果用户的凭证泄露,且未经授权的用户尝试执行攻击或访问敏感数据,则该方法有助于最小化对其余网络的风险。
顾名思义,多因素身份验证 (MFA) 要求多种形式的身份验证,以便在允许访问网络或应用程序之前验证用户或设备的身份。MFA 通常包括练习严格的密码要求(即复杂、难以猜测和经常更改的密码)、建立严格的设备控制措施以及通过外部设备和工具验证身份(例如输入来自移动设备的验证码)。
加密保护敏感数据不被暴露给未经授权或恶意方。通过将明文(人类可读的信息)转换为密文(随机生成的字母、数字和符号的组合)来隐藏信息。
网络分段有助于限制内部系统和数据暴露给供应商、承包商和其他外部用户。例如,为内部用户和外部用户设置单独的无线网络,使组织能够更好地保护敏感信息免受未经授权的各方的侵害。网络分段还可以帮助安全团队遏制内部威胁、限制恶意软件的传播并遵守数据法规。
行为分析可以帮助在异常流量模式和攻击发生时检测它们。它通过将用户行为与过去观察到的正常行为基线进行比较来做到这一点。任何异常都可以触发安全系统重定向恶意流量并防止攻击被执行。
零信任安全是一种将上述许多概念捆绑在一起的安全理念,假设网络中已经存在威胁,并且默认不应信任任何用户、设备或连接。
这些只是分层安全方法中应该采用的一些实践。随着攻击类型不断发展以利用现有安全产品中的漏洞,必须开发新的产品和策略来阻止它们。
有效的纵深防御策略不仅需要分层的安全控制,还需要集成的安全实践。尽管这些术语听起来很相似,但它们的含义略有不同:
将分层安全性想象成来自多个卖家的一套盔甲。有些部件可能比其他部件更新或质量更高;尽管穿戴者受到了多种物理伤害的保护,但不同的部件之间可能存在间隙或穿戴者更容易受到攻击的弱点。
相比之下,集成安全就像一套定制的盔甲。它可能由不同的部件(安全控制)组成,但它们本质上都是为了共同保护佩戴者而设计的——不留空隙或弱点。
然而,在配置网络安全解决方案时,从单个供应商处购买多个安全产品并不能始终保证组织能够从集成方法中受益。有关此主题的更多信息,请参阅“Web 应用程序安全的未来”。
Cloudflare 的集成安全套件旨在学习其他安全和性能产品并与之无缝运行。例如,Cloudflare 机器人管理本身就有效地阻止了恶意机器人活动,但在与 Cloudflare WAF 结合使用时获得了额外的功能,这使客户能够动态阻止看起来是自动化的请求并触发其他标识符。
共享威胁情报也是 Cloudflare 纵深防御方法的重要组成部分。Cloudflare 在其遍布 330 多个地点的庞大全球网络上拥有数百万个互联网资产,Cloudflare 可以从流量模式中收集见解,并改进对新的和发展中的威胁的防御。