IT团队企业数据安全最佳实践

日期: 2015-12-10 作者:Brad Casey翻译:陈德文 来源:TechTarget中国 英文

数据中心经理必须与网络、安全以及系统管理员协作,制定数据中心安全最佳实践,并使用合适的工具来完成配置设定。 安全管理员通常都会实施特定、独立的数据安全策略,以保护企业网络。其中一些措施是以网络为中心的概念,如入侵检测系统(IDS)规则、防火墙或者虚拟局域网配置。其他则基于文件——文件和磁盘加密或策略配置,确定谁可以访问哪些文件。

为了保证IT基础设施安全,数据中心经理必须发问:这些候选的选项当中,是否存在一个选择比其他选择都好?如果有,IT团队什么时候才可以采用它? 基于网络的安全控制 最基础的层面,基于网络的安全控制决定哪些流量可以与不可以进入或离开网络。网络安全通常涉及防火墙、IDC或者两……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

数据中心经理必须与网络、安全以及系统管理员协作,制定数据中心安全最佳实践,并使用合适的工具来完成配置设定。

安全管理员通常都会实施特定、独立的数据安全策略,以保护企业网络。其中一些措施是以网络为中心的概念,如入侵检测系统(IDS)规则、防火墙或者虚拟局域网配置。其他则基于文件——文件和磁盘加密或策略配置,确定谁可以访问哪些文件。

为了保证IT基础设施安全,数据中心经理必须发问:这些候选的选项当中,是否存在一个选择比其他选择都好?如果有,IT团队什么时候才可以采用它?

基于网络的安全控制

最基础的层面,基于网络的安全控制决定哪些流量可以与不可以进入或离开网络。网络安全通常涉及防火墙、IDC或者两者结合。防火墙深度包检测(DPI)针对试图进入或离开特定网络的二进制文件数据进行多种有效的检查。

比较便宜的防火墙没有DPI功能,网络管理员可能因为安全问题而禁止某些特定类型的流量。例如,某个特定范围的IP地址,如10.1.1.0/24是恶意活动的来源,网络管理员会配置防火墙规则,如:# iptables -A INPUT -s 10.1.1.0/24 -j DROP。

入侵检测系统工作方式与网络防火墙类似,但也有明显差异。IDS和传统防火墙在网络中扮演不同的角色:传统防火墙主要控制允许或拒绝,而IDS仅负责转发和告警。例如,安全管理员好奇哪些类型的网络流量正在进入网络,但不确定其是否恶意,可以使用IDS来检查。网络管理员可能会关注任何从防火墙外部流入内部的任何Web流量。

IDS规则,以开源的Snort工具为例,配置为:警告tcp any any -> any 80 (content:"GET";),任何内部发往外部的HTTP GET请求都需要告警。这个流量可能只是发现恶意行为漫长分析中的第一个线索。

防火墙与IDS的概念

Cisco ASA的FirePower Service服务概念最近获取了大量数据安全收益。由Cisco与Sourcefire开发,它结合了Cisco ASA系列防火墙与入侵检测系统Snort的粒度。因此,尽管入侵监测管理和网络管理目前还是分开的科目,但两者啮合指日可待。

基于文件的IT安全

一般情况下,基于文件的安全控制都非常精细。大多数操作系统中,管理员可以把复杂的策略限制部署到单个文件或整个文件目录。例如,Linux管理员可以使用命令chmod 640 test.txt 来赋予特定权限。chmod命令的功能是修改某个特定文件的权限。 6表示文件的拥有者具有读取和写入权限,4表示该文件所属的组具有读取权限,而其他用户都没有访问该文件的权限。

这个例子只是基于文件的安全策略非常小的一点,IT团队需要考虑采取其他措施,如文件加密和基于主机的安全产品,包括Microsoft Security Essentials。

结合两者使用

结合基于网络和文件的安全控制策略是常见的定义数据安全最佳实践,特别是最近几年前普及的深度防御范式。

当网络、安全和其他专家协作,安全能获得最大的利益。以Windows管理员为例,他们经常需要基于用户特定角色允许或拒绝特定的文件类型。管理员可能需要禁止终端用户工作站上运行可执行程序。企业通过这种方式获得基于文件的安全控制。网络管理员同样可以拒绝特定的可执行文件通过防火墙,基于网络的安全控制结合基于文件的安全控制是多层次IT安全的基础。

互联网遭受破坏时,第一个问题是:入侵发生时,是否有正确执行数据安全最佳实践?网络安全涉及到网络以及安全管理员的切身利益,他们不但需要承担自己的职责,更应该在该领域互相合作。这也包括在出问题之前,任何IT基础设施安全控制的微小细节。

作者

Brad Casey
Brad Casey

数据中心专家

翻译

陈德文
陈德文

TechTarget中国特约编辑

相关推荐