互联网安全架构设计原则有哪些
互联网安全架构设计原则有以下这些:
纵深防御原则:整个企业的安全架构是由多层次的安全域和对应的安全机制构成的,要保护关键数据,需要层层设防,层层包围,这样就不太可能被攻击者得手一点就全部失守。从产品设计层面来讲,即使软件依赖的外层系统安全机制破坏时,仍然能保障应用自身数据的安全性,例如在iOS越狱的环境下,系统沙箱失效而应用的数据使用自加密。在HTTPS被劫持的状态下,仍然能保证post数据中的敏感信息难以破解。
多维防御原则:对同一种攻击有多种维度的防御和检测手段,逃过一层还有额外机制,例如,对抗SQL注入,第一层WAF,第二层Web日志分析,第三层RASP,第四层SQL审计。又譬如从SDL环节来看多维防御漏洞第一层是静态代码扫描,第二层是编译过程,第三层是运行时保护,确保的是当其中一层失效时还不至于功亏一篑。
降维防御原则:降维防御是针对降维攻击而言的,大意是在攻击者不可达、不可控、无感知的更底层进行检测和拦截。例如在内核态检测用户态攻击,使用RASP在运行时而不是在cgi层面检测webshell, HIDS的攻击检测不在本机判定,而是在云端计算,入侵者对其无感知。
实时入侵检测原则:实时入侵检测偏重的是事中进行时的检测能力而不是事后的指标。大规模IDC下,例如10万多台服务器规模仍然能做到30分钟以内即时告警,对正在进行中的入侵活动实时发现,例如攻击者刚上传了webshell就能立即告警,而不是等入侵活动阶段性结束,攻击者装了rootkit才告警。
伸缩性、可水平扩展原则:因为互联网的业务架构本身追求水平扩展,所以传统上支持几千个节点的产品,如QRadar、Arcsight等在互联网环境下基本无用武之地。不能随业务增长而扩展的安全解决方案是一个致命伤。任何安全手段,无论是WAF、HIDS,还是IPS,只要不能水平扩展,就一定不是好的解决方案。
支持分布式IDC原则:互联网公司的生产网络一般是多IDC部署,传统的单层C/S架构往往只能解决一个IDC中服务器集中管控的情况。对于海量IDC规模,需要支持去中心化,多级部署,解决一系列的失效、冗余和可用性问题。
支持自动化运维原则:服务器数量一多,不能自动化运维就不具有实际可操作性、可维护性。例如10万台服务器的安全Agent如果不能自动化分发、自动注册、报告状态,统一策略推送,那就会变成灾难。
低性能损耗原则:安全解决方案理论上有很多种可能。从架构设计的角度讲,可以hook内核,可以hook库函数,可以hook运行时容器,可以埋很多点,做很多的检测和限制,或者安全工程师可以要求从用户浏览器到反向代理到应用服务器,到数据库的连接全部走SSL/TLS加密。
业务无感知原则:所谓业务无感知就是安全方案的落地尽可能地对业务侧:不断网、不改变拓扑、不改变业务逻辑、无性能损耗。无缝集成有时也是这个意思。
去信息孤岛原则:传统解决方案中单个安全设备注重解决“自己的事”。例如IPS只关注网络而不关注其他,而互联网环境下单点的安全检测和防御是不行的,信息不能封闭在一个程序或设备中,必须可联动,可关联。IOC的信息必须在企业内部做到兼容、共享和流通,这也是多维和纵深防御的一个前提。