縱深防禦是指使用多種產品和做法來保護網路的網路安全策略。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
「縱深防禦」 (DiD) 是一種網路安全策略,它使用多種安全產品和做法來保護組織的網路、Web 資產和資源。它有時與「分層式安全性」一詞互換使用,因為它依賴於多個控制層(實體、技術和管理)的安全解決方案,來防止攻擊者存取受保護的網路或內部部署資源。
最初,縱深防禦是指一種軍事戰略,犧牲一條防線來阻止敵方部隊。儘管名稱相似,但該方法與我們所說的安全策略並不相似,在縱深防禦安全策略中,多個產品協同工作來阻止攻擊者和其他威脅。
縱深防禦策略的指導原則是,單一安全產品無法完全保護網路免受可能面臨的每一次攻擊。但是,實作多種安全產品和做法可以幫助偵測和阻止出現的攻擊,使組織能夠有效地緩解各種威脅。隨著組織擴展其網路、系統和使用者,這種方法變得越來越重要。
分層式安全性的另一個優點是備援。如果外部攻擊者破壞了一道防線或內部人員威脅危及組織網路的一部分,則其他安全措施可以幫助限制和減輕對整個網路的損害。相比之下,僅使用一種安全產品會產生單一故障點;如果它遭到入侵,整個網路或系統可能因此遭到破壞或損壞。
雖然縱深防禦策略會根據組織的需求和可用資源而有所不同,但它們通常包括以下類別的一種或多種產品:
實體安全控制可保護 IT 系統、公司建築、資料中心和其他實體資產免受篡改、盜竊或未經授權的存取等威脅。這些可能包括不同類型的存取控制和監視方法,例如監視攝影機、警報系統、身分證掃描儀和生物特徵辨識安全性(例如指紋讀取器、面部識別系統等)。
技術安全控制包括防止資料外洩、DDoS 攻擊以及針對網路和應用程式的其他威脅所需的硬體和軟體。該層的常見安全產品包括防火牆、安全 Web 閘道 (SWG)、入侵偵測或預防系統 (IDS/IPS)、瀏覽器隔離技術、端點偵測和回應 (EDR) 軟體、資料外洩防護軟體 (DLP)、Web 應用程式防火牆 (WAF) 和反惡意程式碼等。
管理安全控制是指系統管理員和安全團隊設定的原則,用於控制對內部系統、公司資源和其他敏感性資料以及應用程式的存取。它還可能包括安全意識訓練,以確保使用者養成良好的安全衛生習慣、對資料保密,並避免將系統、裝置和應用程式暴露在不必要的風險中。
除了安全產品和原則之外,組織還需要實作強大的安全做法來限制其網路和資源的風險。這些可能包括以下一項或多項:
最低權限存取是僅向使用者授予其角色所需的系統和資源的存取權限的原則。如果使用者的認證洩露,且未經授權的使用者嘗試執行攻擊或存取敏感資料,則該方法有助於最小化對網路其他部分的風險。
顧名思義,多重要素驗證 (MFA) 要求多種形式的驗證,以便在允許存取網路或應用程式之前驗證使用者或裝置的身分。MFA 通常包括採用嚴格的密碼要求(即復雜、難以猜測和經常變更的密碼)、建立嚴格的裝置控制措施,以及透過外部裝置和工具驗證身分(例如輸入來自行動裝置的驗證碼)。
加密保護敏感性資料不被暴露給未經授權者或惡意方。透過將純文字(人類可讀的資訊)轉換為加密文字(隨機產生的字母、數字和符號的組合)來隱藏資訊。
網路分段有助於限制內部系統和資料暴露給廠商、承包商和其他外部使用者。例如,為內部使用者和外部使用者設定單獨的無線網路,使組織能夠更好地保護敏感性資訊免受未經授權方的侵害。網路分段還可以幫助安全團隊遏制內部人員威脅、限制惡意程式碼的傳播並遵守資料法規。
行為分析可以幫助在異常流量模式和攻擊發生時偵測它們。它透過將使用者行為與過去觀察到的正常行為基準線進行比較來做到這一點。任何異常都可以觸發安全系統重新導向惡意流量並防止攻擊被執行。
Zero Trust 安全性是一種將上述許多概念捆綁在一起的安全理念,其假設網路中已經存在威脅,且預設不應信任任何使用者、裝置或連線。
這些只是分層式安全性方法中應該採用的一些做法。隨著攻擊類型不斷發展以利用現有安全產品中的漏洞,必須開發新的產品和策略來阻止它們。
有效的縱深防禦策略不僅需要分層的安全控制,還需要整合的安全做法。儘管這些詞彙聽起來很相似,但它們的含義略有不同:
將分層式安全性想像成來自多個賣家的一套盔甲。有些部件可能比其他部件更新或品質更高;儘管穿戴者受到了多種針對實體傷害的保護,但不同的部件之間可能存在使穿戴者更容易受到攻擊的間隙或弱點。
相比之下,整合式安全性就像一套定制的盔甲。它可能由不同的部件(安全控制)組成,但它們本質上都是為了共同保護佩戴者而設計的——不留空隙或弱點。
然而,在設定網路安全解決方案時,從單一廠商處購買多個安全產品並不能始終保證組織能夠獲得整合式方法的好處。有關此主題的更多資訊,請參閱「Web 應用程式安全性的未來」。
Cloudflare 的整合式安全性套件旨在學習其他安全和效能產品並與之無縫運作。例如,Cloudflare 傀儡程式管理本身就有效地阻止了惡意機器人活動,但在與 Cloudflare WAF 結合使用時獲得了額外的功能,這使客戶能夠動態封鎖看起來是自動化的請求並觸發其他識別元。
共用威脅情報也是 Cloudflare 縱深防禦方法的重要組成部分。Cloudflare 在其遍佈超過 330 個地點的龐大全球網路上擁有數百萬個網際網路內容,Cloudflare 可以從流量模式中收集見解,並改進對新的和發展中的威脅的防禦。