2022年數(shù)據(jù)中心安全解決方案

1、數(shù)據(jù)中心安全解決方案 吳劍剛?cè)A東區(qū)系統(tǒng)工程師1企業(yè)安全建設(shè)的發(fā)展和應(yīng)對(duì)防護(hù)重點(diǎn)安全治理觀念高效安全管理需求以邊界、安全域?yàn)橹鞯摹皞鹘y(tǒng)防護(hù)思路”被動(dòng)的、防御型的技術(shù)手段應(yīng)對(duì)型的安全建設(shè)模式通過工具化、自動(dòng)化的安全手段，應(yīng)對(duì)不斷擴(kuò)張的IT資 產(chǎn)的管理，有效落實(shí)安全管理要求逐漸轉(zhuǎn)向針對(duì)：數(shù)據(jù)內(nèi)容應(yīng)用用戶身份行為的安全防護(hù)。業(yè)務(wù)化1.加強(qiáng)主動(dòng)防御的合規(guī)管理工作。2. 加強(qiáng)安全監(jiān)控綜合分析；3. 通過安全指標(biāo)為衡量手段，推進(jìn)安全治理、衡量安全建設(shè)績(jī)效。傳統(tǒng)的思路和模式2數(shù)據(jù)中心安全方案必須回答的3個(gè)問題損害發(fā)生后，能夠?qū)徲?jì)分析出問題并有效取證嗎？當(dāng)違規(guī)操作或者惡意入侵正在發(fā)生，能及時(shí)發(fā)現(xiàn)并有效防護(hù)和預(yù)警

2、嗎？服務(wù)器是否有安全風(fēng)險(xiǎn)和配置缺陷，符合數(shù)據(jù)中心的安全要求嗎？事前事中事后1+ 種操作系統(tǒng)10+ 臺(tái)服務(wù)器100+ 次系統(tǒng)變更1000+ 次訪問3安全風(fēng)險(xiǎn)趨近式管理模型事前預(yù)防事后審計(jì)i!事中控制全生命周期基線安全端到端日志監(jiān)控分布式層次控制4安全防護(hù)零日攻擊系統(tǒng)加固非法入侵配置檢查注冊(cè)表配置文件密碼ESM發(fā)現(xiàn)配置缺陷和安全漏洞漏洞掃描服務(wù)器漏洞補(bǔ)丁安裝檢查網(wǎng)絡(luò)設(shè)備漏洞SCSP實(shí)時(shí)阻止入侵和違規(guī)操作檢查違規(guī)操作用戶變動(dòng)文件變動(dòng)權(quán)限變動(dòng)賽門鐵克數(shù)據(jù)中心安全解決方案事件收集和存儲(chǔ)能力收集ESM/SCSP以及100多種操作系統(tǒng)、防火墻、IDS、路由和交換設(shè)備的日志支持海量日志存儲(chǔ)，并進(jìn)行加密、壓縮、

3、HASH處理確?？梢宰鳛槿∽C證據(jù)SSIM收集并關(guān)聯(lián)分析系統(tǒng)日志強(qiáng)大的關(guān)聯(lián)分析能力跨產(chǎn)品日志關(guān)聯(lián)分析強(qiáng)大的查詢報(bào)告能力內(nèi)置各種法規(guī)遵從模版5安全風(fēng)險(xiǎn)趨近式管理模型事前預(yù)防事后審計(jì)i!事中控制全生命周期基線安全端到端日志監(jiān)控分布式層次控制6識(shí)別風(fēng)險(xiǎn)并開發(fā)相應(yīng)的策略治理安全基線管理流程 管理控制并解決問題證明有效性并判定趨勢(shì) Operating SystemsDatabasesApplicationsDirectoriesPeopleSOXPCI-DSSCOSOCOBITISO17799ITILCC。Internal policiesCISNISTNSA。法案規(guī)范框架標(biāo)準(zhǔn)定義公司策略基線控制度量記錄

4、報(bào)告控制檢查7用戶安全基線8安全策略遵從檢查、配置變更跟蹤查看結(jié)果調(diào)度策略運(yùn)行時(shí)間定制模塊添加模塊創(chuàng)建策略9全生命周期基線管理流程策略制定外部審核系統(tǒng)升級(jí)維護(hù)流程新系統(tǒng)上線日常管理監(jiān)控配置變更故障應(yīng)急處理加固10由于ESM采用了極為靈活的三層的架構(gòu)，因此，ESM的部署方式可以有多種方式。對(duì)于數(shù)據(jù)中心來說，可以選擇在所有需要實(shí)施評(píng)估的重要主機(jī)上安裝ESM Agent。然后部署一臺(tái)專有服務(wù)器作為ESM管理器和控制臺(tái)，實(shí)現(xiàn)統(tǒng)一的管理。主機(jī)安全基線檢測(cè)管理系統(tǒng)ESM部署11ESM內(nèi)建的ISO27001策略模版與外部審計(jì)檢測(cè)策略對(duì)比外部審計(jì)帳戶口令策略日志策略文件訪問權(quán)限變更-服務(wù)變更-補(bǔ)丁備份策略物理

5、安全網(wǎng)絡(luò)邊界安全ESM檢查策略Account Integrity（帳戶完整性）File Access（文件權(quán)限）Login Parameters(登陸參數(shù))OS Patches (操作系統(tǒng)補(bǔ)丁)Network Integrity (網(wǎng)絡(luò)完整性)Password Strength(密碼強(qiáng)度)Startup Files(啟動(dòng)文件)System Auditing (系統(tǒng)審計(jì))System Mail(系統(tǒng)郵件)12利用ESM，加快新系統(tǒng)上線制定上線安全評(píng)估流程和方法通過策略遵從檢查,確保上線系統(tǒng)安全輸出上線檢查報(bào)告,作為外審依據(jù)13安全風(fēng)險(xiǎn)趨近式管理模型事前預(yù)防事后審計(jì)i!事中控制全生命周期基線安全端

6、到端日志監(jiān)控分布式層次控制14Symantec分層防護(hù)解決方案IT安全治理與合規(guī)CCS信息的安全PGPDLP數(shù)據(jù)權(quán)限管理基礎(chǔ)設(shè)施管理Altiris(CMS/SMS/inventory/workflow)基礎(chǔ)設(shè)施保護(hù)終端SEPSNACSWG服務(wù)器ESMSCSPSSIM存儲(chǔ)及數(shù)據(jù)NBUStorage Foundation網(wǎng)絡(luò)應(yīng)用身份認(rèn)證OTPFDSPKIEV15Agent主機(jī)入侵檢測(cè)Agent安裝在主機(jī)上代理程序文件注冊(cè)表審計(jì)信息操作系統(tǒng)日志應(yīng)用系統(tǒng)日志ActSymantec IPS creates a “shell” around each program & service that defi

7、nes acceptable behavior主控臺(tái)報(bào)警郵件通知SNMP Trap禁用惡意帳戶保存事件信息供進(jìn)一步分析 轉(zhuǎn)發(fā)日志到管理服務(wù)器供報(bào)表和分析基于策略的自定義響應(yīng)動(dòng)作智能報(bào)警事件信息數(shù)據(jù)庫(kù)-資產(chǎn)數(shù)據(jù)-策略 -運(yùn)行狀態(tài)事件數(shù)據(jù)管理服務(wù)器16SCSP入侵檢測(cè)的工作模式SCSP一般通過監(jiān)視系統(tǒng)、事件、安全日志和端口調(diào)用來判別是否有攻擊發(fā)生SCSP一旦發(fā)現(xiàn)攻擊，會(huì)立即作出相應(yīng)的響應(yīng)動(dòng)作，基于主機(jī)入侵檢測(cè)系統(tǒng)提供的響應(yīng)方式比NIDS的要豐富SCSP還可以通過監(jiān)視可編輯的文件系統(tǒng)列表、注冊(cè)表的變化來判別是否有攻擊事件發(fā)生可以監(jiān)視、響應(yīng)針對(duì)某臺(tái)系統(tǒng)的任何存取、修改、配置等動(dòng)作17SCSP策略，默認(rèn)

8、按操作系統(tǒng)歸類系統(tǒng)帳戶變動(dòng)系統(tǒng)配置變動(dòng)未授權(quán)的系統(tǒng)配置更改未授權(quán)的管理權(quán)限更改及濫用失敗登錄重要文件未授權(quán)訪問和更改注冊(cè)表的更改（針對(duì)Windows平臺(tái))SCSP的入侵檢測(cè)功能是基于監(jiān)控策略,實(shí)時(shí)監(jiān)控18SCSP 代理支持的平臺(tái)PlatformServer EditionPreventionDetectionMicrosoft WindowsWindows 2000, 2003 and 2008, including 64-bit versionsWindows NTWindows 2000, 2003 and 2008, including 64-bit versionsWindows NT

9、SolarisSolaris 8, 9, 10*includes x86, x86 VM, 64-bit & ZonesSolaris 8, 9, 10* *includes x86, x86 VM, 64-bit & ZonesLinuxSuSE Linux Enterprise Server 8, 9,10RedHat Enterprise Linux 3*, 4*, 5includes 32-bit & 64-bit supportSuSE Linux Enterprise Server 8, 9,10RedHat Enterprise Linux 3*, 4*, 5includes 3

10、2-bit & 64-bit supportAIXFuture releaseAIX 5L (5.1, 5.2, 5.3 and 6.1)HP-UXFuture releaseHP-UX 11i v1 (11.11)*, v2 (11.23)* and v3 (11.31)*HP Tru64 Unix V5.1B19Symantec Critical System Protection 5.2 產(chǎn)品框架Behavior Control AgentsBehavior Control Agents服務(wù)器管理服務(wù)器管理控制端HTTPSJDBC代理注冊(cè) 策略配置事件記錄策略配置代理配置實(shí)時(shí)監(jiān)控用戶和角

11、色管理SQL DataStore配置數(shù)據(jù)日志運(yùn)行狀態(tài)事件數(shù)據(jù)HTTPS產(chǎn)品框架2020主機(jī)加固系統(tǒng)（HIPS、加固類）：進(jìn)程保護(hù)和監(jiān)控 -白名單保護(hù)用戶權(quán)限細(xì)粒度控制 -root、administrator限制文件保護(hù) -網(wǎng)頁(yè)防篡改（第三代技術(shù)：事件觸發(fā)+驅(qū)動(dòng)保護(hù)）SCSP介紹（Symantec Critical System Protection ）21SCSP主界面22SCSP監(jiān)控界面23網(wǎng)站主機(jī)需要重點(diǎn)監(jiān)控的策略針對(duì)主機(jī)帳戶的實(shí)時(shí)監(jiān)控帳戶密碼變更，帳戶創(chuàng)建，帳戶刪除，組創(chuàng)建事件，組刪除事件，組屬性變動(dòng)，組成員變動(dòng)用戶的登錄事件帳戶登錄，帳戶退出，登錄失敗，登錄成功SU相關(guān)事件用戶SU到其

12、它用戶，SU至root，SU成功，SU失敗關(guān)鍵文件內(nèi)容變動(dòng)，關(guān)鍵文件被刪除賽門鐵克對(duì)于主機(jī)的關(guān)鍵文件提供監(jiān)控模板FTP事件24SCSP程序自身的變更情況及時(shí)報(bào)告到管理服務(wù)器，比如策略變更，服務(wù)重啟，策略修改等事件。SCSP審計(jì)報(bào)告25針對(duì)文件被改動(dòng)后，可以定義報(bào)警信息，發(fā)錯(cuò)誤信息到我們郵箱通過郵件方式發(fā)送報(bào)警信息26針對(duì)文件被改動(dòng)后，可以定義接口信息，可以在文件檢測(cè)到被改后，執(zhí)行我們自定義的腳本，執(zhí)行恢復(fù)操作。執(zhí)行預(yù)定義的響應(yīng)動(dòng)作27安全風(fēng)險(xiǎn)趨近式管理模型事前預(yù)防事后審計(jì)i!事中控制全生命周期基線安全端到端日志監(jiān)控分布式層次控制28Identified .threatsKnown vulner

13、abilitiesBusiness-critical IT assets Firewalls/VPNIntrusionDetectionSystemsVulnerabilityAssessmentNetworkEquipmentServer and Desktop OSAnti-VirusApplicationsDatabasesUser Activity MonitoringCritical file modificationsPolicy ChangesMalicious IPTraffic WebTraffic Tens of Millions:Raw Events Millions:S

14、ecurity Relevant Events Hundreds:Correlated Events 網(wǎng)絡(luò), 主機(jī), 和 安全產(chǎn)品日志數(shù)據(jù) 事 件事故10,000,000s100,000s100s安全管理面臨的挑戰(zhàn):海量日志=海量垃圾?29數(shù)據(jù)中心面臨的四類影響業(yè)務(wù)安全的重大安全事故關(guān)注外部攻擊事故：采集外網(wǎng)邊界防火墻、邊界IPS、內(nèi)網(wǎng)防火墻、內(nèi)網(wǎng)應(yīng)用等設(shè)備日志，通過關(guān)聯(lián)分析，實(shí)時(shí)監(jiān)控外部安全攻擊行為關(guān)注內(nèi)部爆發(fā)事故：采集內(nèi)網(wǎng)防病毒、內(nèi)網(wǎng)邊界防火墻等日志，發(fā)現(xiàn)內(nèi)部病毒爆發(fā)、木馬感染等事故關(guān)注內(nèi)部合規(guī)類事故：采集內(nèi)網(wǎng)防火墻、操作系統(tǒng)、Cisco ACS、堡壘機(jī)系統(tǒng)等設(shè)備日志，通過關(guān)聯(lián)分析，發(fā)現(xiàn)內(nèi)

15、部用戶的違規(guī)操作和訪問行為。關(guān)注業(yè)務(wù)異常訪問類事故：采集網(wǎng)營(yíng)應(yīng)用日志、邊界防火墻、IPS日志，關(guān)聯(lián)分析發(fā)現(xiàn)業(yè)務(wù)用于異常行為。外部攻擊類內(nèi)部爆發(fā)類業(yè)務(wù)異常類內(nèi)部合規(guī)類30賽門鐵克集中安全監(jiān)控審計(jì)平臺(tái)SSIM功能概述SnortDragonNetscreenCisco IDSTripwireetc.Symantec SOCTivoli & OpenView防病毒事件收集器防火墻事件收集器IDS事件收集器安全策略管理Symantec ESM SymantecTrendMcAfeeSymc. HIDSSymc. NIDSISSDragonSnortSymantecCheckPoint Cisco PIX

16、 Cisco RouterCisco Switch漏洞及風(fēng)險(xiǎn)管理Symantec3rd Party圖例:網(wǎng)絡(luò)設(shè)備事件收集器事件中繼自動(dòng)內(nèi)容升級(jí)Symantec “Bridges”and 3rd Party “Collectors”SNS Smart Agents主動(dòng)安全預(yù)警及知識(shí)管理DeepSightThreat & Vuln.UpdatesOS/數(shù)據(jù)庫(kù)事件收集器SolarisHostNetworkSNMPSyslog Linux 事件搜集/關(guān)聯(lián)/分析 SSIM 9650 資產(chǎn)CIA風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)WindowsMS SQL ServerCisco IDSJuniper Netscreen31業(yè)務(wù)安

17、全1內(nèi)部爆發(fā)類對(duì)象內(nèi)部網(wǎng)絡(luò)設(shè)備、防火墻、 病毒系統(tǒng)等規(guī)則一定時(shí)間內(nèi)同一病毒多臺(tái)機(jī)器同時(shí)感染大量相同來源防火墻丟包Trojan端口連接行為內(nèi)部服務(wù)器對(duì)外異常連接請(qǐng)求內(nèi)部爆發(fā)類32效果展示蠕蟲查看重大影響性病毒事件-病毒爆發(fā)事件（在5分鐘內(nèi)至少發(fā)現(xiàn)有5個(gè)以上的系統(tǒng)感染相同類型病毒)33效果展示，大量連接阻斷34對(duì)象互聯(lián)網(wǎng)應(yīng)用、門戶等規(guī)則外部掃描探測(cè)攻擊業(yè)務(wù)端口之外的試圖請(qǐng)求連接行為DDOS拒絕服務(wù)攻擊SQL注入類攻擊Smurf Attack攻擊Trojan端口連接行為針對(duì)DNS服務(wù)器的攻擊內(nèi)部服務(wù)器對(duì)外異常連接請(qǐng)求業(yè)務(wù)安全2-外部入侵攻擊類外部入侵攻擊類35效果展示，外網(wǎng)對(duì)網(wǎng)站掃描探測(cè)36業(yè)務(wù)安全

18、3-內(nèi)部操作違規(guī)口令猜測(cè)系統(tǒng)層面針對(duì)不同賬號(hào)進(jìn)行口令猜測(cè)系統(tǒng)層面針對(duì)同一個(gè)賬號(hào)進(jìn)行口令猜測(cè)時(shí)間違規(guī)用戶系統(tǒng)層面非計(jì)劃時(shí)間內(nèi)變更審計(jì)用戶網(wǎng)絡(luò)層面非計(jì)劃時(shí)間內(nèi)變更審計(jì)來源違規(guī)面地址段登錄生產(chǎn)和測(cè)試網(wǎng)段的網(wǎng)絡(luò)設(shè)備桌面地址段登錄生產(chǎn)和測(cè)試網(wǎng)段的網(wǎng)絡(luò)設(shè)備并更改配置發(fā)現(xiàn)桌面地址段到生產(chǎn)和測(cè)試網(wǎng)段的成功訪問行為訪問路徑違規(guī)繞過USP系統(tǒng)直接登錄操作系統(tǒng)用戶通過USP登錄目標(biāo)系統(tǒng)后二次跳轉(zhuǎn)行為繞過網(wǎng)絡(luò)運(yùn)維平臺(tái)登錄網(wǎng)絡(luò)設(shè)備并更改配置繞過網(wǎng)絡(luò)運(yùn)維平臺(tái)使用網(wǎng)絡(luò)運(yùn)維平臺(tái)在ACS的賬號(hào)登錄網(wǎng)絡(luò)遠(yuǎn)程VPN用戶接入后繞過USP登錄主機(jī)遠(yuǎn)程VPN用戶繞過網(wǎng)絡(luò)運(yùn)維平臺(tái)登錄網(wǎng)絡(luò)設(shè)備更改配置重大影響性操作用戶USP高危操作行為敏感

19、對(duì)象操作用戶USP敏感操作行為內(nèi)部操作違規(guī)CSPUSPAS網(wǎng)絡(luò)運(yùn)維37效果展示，用戶來源不符合規(guī)范VPN 訪問生產(chǎn)38效果展示，用戶來源不符合規(guī)范桌面訪問生產(chǎn)39效果展示，高危操作40業(yè)務(wù)安全4-業(yè)務(wù)用戶異常訪問規(guī)則一：同一帳號(hào)多次嘗試登入失敗某用戶使用某個(gè)賬號(hào)，在30秒內(nèi)連續(xù)5次登錄失敗，有可能是有人在企圖猜測(cè)用戶帳號(hào)口令，需要特別關(guān)注。規(guī)則二：同一賬號(hào)同時(shí)多點(diǎn)嘗試登入某一個(gè)用戶的賬號(hào)，在300秒內(nèi)，分別從不同的源地址進(jìn)行登錄失敗嘗試，有可能是有人在企圖猜測(cè)用戶帳號(hào)口令，需要特別關(guān)注。規(guī)則三：賬號(hào)已登入，同一賬號(hào)通過其他源地址仍然嘗試登入某一個(gè)用戶的賬號(hào)已經(jīng)登錄成功，并且一直在線，系統(tǒng)監(jiān)測(cè)到

20、該帳號(hào)又在嘗試登入，可能是有人在進(jìn)行惡意登入嘗試，需要特別關(guān)注。規(guī)則四：同一源地址多次嘗試登入失敗同一個(gè)源地址，檢測(cè)到在300秒之內(nèi)進(jìn)行了20次以上嘗試登入，可能是有人在進(jìn)行批量賬號(hào)口令猜測(cè)行為。業(yè)務(wù)用戶異常訪問41效果展示，多次登錄失敗42核心系統(tǒng)主機(jī)操作的日常監(jiān)控內(nèi)部訪問審計(jì)(通過SSIM的關(guān)聯(lián)規(guī)則實(shí)現(xiàn))從非授權(quán)網(wǎng)段直接訪問服務(wù)器針對(duì)主機(jī)的配置修改與變更工單相比對(duì)內(nèi)部主機(jī)配置合規(guī)檢查(通過主機(jī)基線評(píng)估產(chǎn)品ESM實(shí)現(xiàn))弱口令檢查帳號(hào)檢查文件權(quán)限檢查后臺(tái)服務(wù)啟停檢查操作審計(jì)登錄主機(jī)跳轉(zhuǎn)訪問其它服務(wù)器執(zhí)行高危操作或敏感指令43等級(jí)保護(hù)的安全審計(jì)關(guān)于等級(jí)保護(hù)的安全審計(jì)，第三級(jí)在等保細(xì)則中的總體要求為：針對(duì)網(wǎng)絡(luò)安全：應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并