2024數(shù)據(jù)安全技術(shù)體系架構(gòu)

數(shù)據(jù)安全技術(shù)體系架構(gòu)目錄TOC\o"1-2"\h\u16922第1章安全技術(shù)體系架構(gòu)簡(jiǎn)介 5247281.1安全技術(shù)體系架構(gòu)的建設(shè)性思維 5169001.2安全產(chǎn)品和技術(shù)的演化 6111311.2.1 安全產(chǎn)品的“老三樣” 6144791.2.2網(wǎng)絡(luò)層延伸 773841.2.3主機(jī)層延伸 7219191.2.4應(yīng)用層延伸 786581.2.5安全新技術(shù) 890461.3安全技術(shù)體系架構(gòu)的二維模型 8203251.4風(fēng)險(xiǎn)管理的“三道防線” 10206291.5安全技術(shù)體系強(qiáng)化產(chǎn)品安全 11141771.5.1網(wǎng)絡(luò)部署架構(gòu) 1252721.5.2主機(jī)層安全 1256501.5.3應(yīng)用層安全 1572851.5.4數(shù)據(jù)層安全 179802第2章網(wǎng)絡(luò)和通信層安全架構(gòu) 19147202.1簡(jiǎn)介 1958072.2網(wǎng)絡(luò)安全域 20327392.2.1最簡(jiǎn)單的網(wǎng)絡(luò)安全域 21129152.2.2最簡(jiǎn)單的網(wǎng)絡(luò)安全域改進(jìn) 22161102.2.3推薦的網(wǎng)絡(luò)安全域 2284232.2.4從有邊界網(wǎng)絡(luò)到無(wú)邊界網(wǎng)絡(luò) 23186662.2.5網(wǎng)絡(luò)安全域小結(jié) 28313672.3網(wǎng)絡(luò)接入身份認(rèn)證 29282722.4網(wǎng)絡(luò)接入授權(quán) 31100892.5網(wǎng)絡(luò)層訪問(wèn)控制 31290762.5.2生產(chǎn)網(wǎng)絡(luò)主動(dòng)連接外網(wǎng)的訪問(wèn)控制 33231022.5.3網(wǎng)絡(luò)防火墻的管理 3559982.5.4內(nèi)部網(wǎng)絡(luò)值得信任嗎 36215742.5.5運(yùn)維通道的訪問(wèn)控制 37293682.6網(wǎng)絡(luò)層流量審計(jì) 37168632.7網(wǎng)絡(luò)層資產(chǎn)保護(hù)：DDoS緩解 3863082.7.1DDoS簡(jiǎn)介 38155142.7.2DDoS緩解措施 39146122.7.3專業(yè)抗DDoS方案 399987第3章設(shè)備和主機(jī)層安全架構(gòu) 4276373.1簡(jiǎn)介 42305753.2身份認(rèn)證與賬號(hào)安全 43288273.2.1設(shè)備/主機(jī)身份認(rèn)證的主要風(fēng)險(xiǎn) 43293393.2.2動(dòng)態(tài)口令 43260463.2.3一次一密認(rèn)證方案 4471343.2.4私有協(xié)議后臺(tái)認(rèn)證方案 4466723.3授權(quán)與訪問(wèn)控制 4541483.3.2主機(jī)服務(wù)監(jiān)聽地址 4692903.3.3跳板機(jī)與登錄來(lái)源控制 46272553.3.4自動(dòng)化運(yùn)維 4778923.3.5云端運(yùn)維 496343.3.6數(shù)據(jù)傳輸 50217643.3.7設(shè)備的訪問(wèn)控制 5197003.4運(yùn)維審計(jì)與主機(jī)資產(chǎn)保護(hù) 51222693.4.1打補(bǔ)丁與防病毒軟件 5284433.4.2母盤鏡像與容器鏡像 5345613.4.3開源鏡像與軟件供應(yīng)鏈攻擊防范 53242643.4.4基于主機(jī)的入侵檢測(cè)系統(tǒng) 5413735第4章應(yīng)用和數(shù)據(jù)層安全架構(gòu) 59253904.1簡(jiǎn)介 59140614.2三層架構(gòu)實(shí)踐 6039834.2.1B/S架構(gòu) 61237324.2.2C/S架構(gòu) 62135294.3應(yīng)用和數(shù)據(jù)層身份認(rèn)證 64244794.3.1SSO身份認(rèn)證系統(tǒng) 64122544.3.2業(yè)務(wù)系統(tǒng)的身份認(rèn)證 64201894.3.3存儲(chǔ)系統(tǒng)的身份認(rèn)證 66323494.3.4登錄狀態(tài)管理與超時(shí)管理 66223554.4應(yīng)用和數(shù)據(jù)層的授權(quán)管理 67120984.4.1權(quán)限管理系統(tǒng) 67295504.4.2權(quán)限管理系統(tǒng)的局限性 6896474.5應(yīng)用和數(shù)據(jù)層的訪問(wèn)控制 69108934.5.2數(shù)據(jù)庫(kù)實(shí)例的安全訪問(wèn)原則 70167074.6統(tǒng)一的日志管理平臺(tái) 71257624.7應(yīng)用和數(shù)據(jù)層的資產(chǎn)保護(hù) 72321754.7.1KMS與存儲(chǔ)加密 72153604.7.2應(yīng)用網(wǎng)關(guān)與HTTPS 77276054.7.3WAF（Web應(yīng)用防火墻） 78180304.7.4CC攻擊防御 81146004.7.5RASP 81225184.7.6業(yè)務(wù)風(fēng)險(xiǎn)控制 82238494.8客戶端數(shù)據(jù)安全 8753854.8.1客戶端敏感數(shù)據(jù)保護(hù) 8737554.8.2安全傳輸與防劫持 8958744.8.3客戶端發(fā)布 9221449第5章安全架構(gòu)案例與實(shí)戰(zhàn) 94155325.1零信任與無(wú)邊界網(wǎng)絡(luò)架構(gòu) 946365.1.1無(wú)邊界網(wǎng)絡(luò)概述 95213965.1.2對(duì)人的身份認(rèn)證（SSO及U2F） 96196845.1.3對(duì)設(shè)備的身份認(rèn)證 96242155.1.4最小授權(quán)原則 96142705.1.5設(shè)備準(zhǔn)入控制 96278785.1.6應(yīng)用訪問(wèn)控制 97264525.1.7借鑒與改進(jìn) 99263735.2統(tǒng)一HTTPS接入與安全防御 9994615.2.1原理與架構(gòu) 99220925.2.2應(yīng)用網(wǎng)關(guān)與HTTPS 100231035.2.3WAF與CC防御 101148915.2.4私鑰數(shù)據(jù)保護(hù) 103317545.2.5負(fù)載均衡 103252715.2.6編碼實(shí)現(xiàn) 104302785.2.7典型特點(diǎn) 104162605.3存儲(chǔ)加密實(shí)踐 10520415.3.1數(shù)據(jù)庫(kù)字段加密 106292475.3.2數(shù)據(jù)庫(kù)透明加密 10661265.3.3網(wǎng)盤文件加密方案探討 107110235.3.4配置文件口令加密 10841135.4最佳實(shí)踐小結(jié) 109176735.4.1統(tǒng)一接入 109318945.4.2收縮防火墻的使用 11028765.4.3數(shù)據(jù)服務(wù) 112218455.4.4建立KMS 11248925.4.5全站HTTPS 112192005.4.6通用組件作為基礎(chǔ)設(shè)施 113162195.4.7自動(dòng)化運(yùn)維 113第1章安全技術(shù)體系架構(gòu)簡(jiǎn)介為了保障人們?cè)谏a(chǎn)生活中的生命安全，我們建立了很多的基礎(chǔ)設(shè)施以及相應(yīng)的法律法規(guī)。這些基礎(chǔ)設(shè)施包括：封閉的機(jī)場(chǎng)、高速鐵路（公路）、人車分離的街道、人行天橋、監(jiān)控?cái)z像等通用的基礎(chǔ)設(shè)施。紅綠燈、交通指示牌、安全檢查站、消防、救護(hù)車等跟人身安全強(qiáng)相關(guān)的基礎(chǔ)設(shè)施或產(chǎn)品。同樣，安全技術(shù)體系也需要建立基礎(chǔ)設(shè)施及配套的產(chǎn)品：基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)、DNS、資產(chǎn)及配置管理數(shù)據(jù)庫(kù)（CMDB）等，構(gòu)成了通用的基礎(chǔ)設(shè)施。SSO（SingleSignOn，單點(diǎn)登錄系統(tǒng)）、KMS（KeyManagementService，密鑰管理系統(tǒng)）、權(quán)限管理系統(tǒng)、統(tǒng)一日志平臺(tái)、數(shù)據(jù)服務(wù)等，構(gòu)成了安全組件與支持系統(tǒng)；抗DDoS、HIDS（Host-basedIntrusionDetectionSystem，基于主機(jī)的入侵檢測(cè)系統(tǒng)）、WAF及CC防御等，構(gòu)成了安全防御基礎(chǔ)設(shè)施；跳板機(jī)、自動(dòng)化運(yùn)維平臺(tái)、數(shù)據(jù)傳輸系統(tǒng)等，構(gòu)成了安全運(yùn)維基礎(chǔ)設(shè)施。如何規(guī)劃設(shè)計(jì)以及管理好這些基礎(chǔ)設(shè)施與支持系統(tǒng)，就是這一部分要討論的問(wèn)題。我們將運(yùn)用安全架構(gòu)的5A方法論，逐層抽絲剝繭，為大家揭示安全技術(shù)體系的全貌。安全技術(shù)體系架構(gòu)的建設(shè)性思維曾國(guó)藩（1811～1872）是晚清“中興第一名臣”。有關(guān)他的典故太多，這里只提他帶領(lǐng)湘軍從失敗中逆轉(zhuǎn)，最終悟出并在實(shí)戰(zhàn)中接連取得勝利的策略：“結(jié)硬寨，打呆仗”。所謂“結(jié)硬寨，打呆仗”，就是拋棄之前的陣前對(duì)壘、運(yùn)動(dòng)戰(zhàn)等傷亡極大的戰(zhàn)術(shù)，以守為攻，首先安營(yíng)扎寨，挖壕溝、筑墻，用最笨的方法構(gòu)建防御工事，確保自己立于不敗之地，然后再配合火器攻擊來(lái)犯之?dāng)?，取得了以少勝多、以弱勝?gòu)?qiáng)的戰(zhàn)績(jī)。在那個(gè)時(shí)代，既可以防止偷襲，也可以防止騎兵沖鋒，且因重在預(yù)防，從而傷亡率非常低。這種戰(zhàn)法引申到安全技術(shù)體系建設(shè)上，可以總結(jié)為：安全體系建設(shè)沒有捷徑，需要從最基礎(chǔ)的地方開始建設(shè)，做好基本功，步步為營(yíng)，層層設(shè)防。那么，怎么才能打好基本功呢，需要采用什么樣的安全戰(zhàn)略和理論？這跟企業(yè)的業(yè)務(wù)特點(diǎn)、文化風(fēng)格、安全目標(biāo)都有關(guān)系。目前，有些企業(yè)是安慰式防御體系建設(shè)（沒有專業(yè)的安全人員，花錢買各種設(shè)備，部署后基本就不管了）、以救火為主的防御性建設(shè)（缺乏安全管理和安全技術(shù)體系，也沒有體系化建設(shè)的想法，等出了問(wèn)題再去解決問(wèn)題），這些都應(yīng)拋棄。業(yè)界建設(shè)比較好的企業(yè)大致有兩種思路：以檢測(cè)為主的防御性建設(shè)：產(chǎn)品開發(fā)與發(fā)布過(guò)程基本沒有流程控制或只有很弱的流程控制，默許產(chǎn)品帶著風(fēng)險(xiǎn)發(fā)布，安全體系主要采用“檢測(cè)-響應(yīng)-恢復(fù)”模型，建設(shè)各類入侵檢測(cè)系統(tǒng)，要求出問(wèn)題時(shí)能夠及時(shí)發(fā)現(xiàn)，檢測(cè)系統(tǒng)告警時(shí)觸發(fā)應(yīng)急響應(yīng)，安全團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)一起恢復(fù)業(yè)務(wù)。以預(yù)防為主的安全生命周期建設(shè)：主要采用SDL（安全開發(fā)生命周期）方法論，將安全要素與檢查點(diǎn)嵌入產(chǎn)品的項(xiàng)目管理流程中，將風(fēng)險(xiǎn)控制在發(fā)布前，產(chǎn)品不允許帶著風(fēng)險(xiǎn)發(fā)布。本書將采用預(yù)防性建設(shè)為主、檢測(cè)響應(yīng)為輔的思路，討論如何構(gòu)建相對(duì)比較完善的安全技術(shù)體系，包括安全基礎(chǔ)設(shè)施、安全工具和技術(shù)、安全組件及支持系統(tǒng)等，打造屬于我們自己的防御工事，保障我們?cè)诎踩烙狭⒂诓粩≈?。安全產(chǎn)品和技術(shù)的演化安全產(chǎn)品是將安全架構(gòu)理念變成安全實(shí)踐的成果。在討論安全技術(shù)體系架構(gòu)之前，讓我們簡(jiǎn)單回顧一下安全產(chǎn)品的演化歷史。1.2.1 安全產(chǎn)品的“老三樣”安全發(fā)展的早期，安全產(chǎn)品或解決方案還很少，只覆蓋了少部分領(lǐng)域：防病毒：主機(jī)層的資產(chǎn)保護(hù)。主機(jī)入侵檢測(cè)：也對(duì)應(yīng)主機(jī)層的資產(chǎn)保護(hù)。防火墻：對(duì)應(yīng)網(wǎng)絡(luò)層的訪問(wèn)控制。大家習(xí)慣將它們稱為“老三樣”，雖然目前仍然在發(fā)揮作用，但如果只靠這三樣，難以滿足業(yè)務(wù)和數(shù)據(jù)的安全需求。隨著安全的發(fā)展，安全產(chǎn)品也不斷推陳出新，縱深覆蓋各個(gè)網(wǎng)絡(luò)層級(jí)以及各個(gè)安全細(xì)分領(lǐng)域。網(wǎng)絡(luò)層延伸端的接入，而面臨泄露的風(fēng)險(xiǎn)。鑒于此，業(yè)界發(fā)展出網(wǎng)絡(luò)接入認(rèn)證、NAC（網(wǎng)絡(luò)準(zhǔn)入控制）等產(chǎn)品或解決方案。動(dòng)發(fā)現(xiàn)風(fēng)險(xiǎn)和安全事件。商業(yè)競(jìng)爭(zhēng)與利益的沖突，讓一部分人不擇手段，通過(guò)DDoS等攻擊方式打壓競(jìng)爭(zhēng)對(duì)手，也讓網(wǎng)絡(luò)成為商業(yè)競(jìng)爭(zhēng)的戰(zhàn)場(chǎng)。DDoS與抗DDoS，此消彼長(zhǎng)。主機(jī)層延伸從跳板機(jī)開始，安全運(yùn)維逐步進(jìn)入人們的視線。隨著業(yè)務(wù)量的迅猛增長(zhǎng)，自動(dòng)化運(yùn)維、大數(shù)據(jù)傳輸，成為安全運(yùn)維新需求。黑客頻繁進(jìn)入企業(yè)內(nèi)網(wǎng)，HIDS（基于主機(jī)的入侵檢測(cè)系統(tǒng)）走上舞臺(tái)。應(yīng)用層延伸過(guò)去“以網(wǎng)絡(luò)為中心”，使用防火墻針對(duì)應(yīng)用執(zhí)行訪問(wèn)控制，讓很多業(yè)務(wù)忽視了身份認(rèn)證、授權(quán)、資產(chǎn)保護(hù)等要素。比如，有的業(yè)務(wù)對(duì)外提供的數(shù)據(jù)服務(wù)接口沒有任何身份認(rèn)證機(jī)制，導(dǎo)致任何人都可以通過(guò)該接口訪問(wèn)到敏感數(shù)據(jù)。如果要求全部在各應(yīng)用自身解決，則會(huì)出現(xiàn)重復(fù)勞動(dòng)，解決方案五花八門，不排除其中部分解決方案存在嚴(yán)重缺陷的情況。統(tǒng)一接入網(wǎng)關(guān)的引入，并與SSO、授權(quán)管理等系統(tǒng)聯(lián)動(dòng)，可以讓業(yè)務(wù)聚焦在業(yè)務(wù)本身，不用過(guò)多關(guān)注安全即可解決部分安全問(wèn)題。WAF與接入網(wǎng)關(guān)集成，可以讓保護(hù)范圍覆蓋到全部對(duì)外開放的業(yè)務(wù)，攔截SQL注入、XSS、上傳WebShell等黑客攻擊。有了統(tǒng)一的接入網(wǎng)關(guān)之后，HTTPS流量也能正常解密，可以建立基于大數(shù)據(jù)的流量分析系統(tǒng)（離線的流量分析或?qū)崟r(shí)的流量分析），用于數(shù)據(jù)建模、入侵行為告警等。KMS（密鑰管理系統(tǒng)）的引入，可以讓加密更加安全，即使黑客拿到業(yè)務(wù)的代碼和數(shù)據(jù)，都無(wú)法解密。安全新技術(shù)如人工智能、大數(shù)據(jù)、云計(jì)算等新技術(shù)，一方面它們自身也遇到了一些安全問(wèn)題，需要通過(guò)安全體系的方法論加以解決；另一方面，這些新技術(shù)，也被用來(lái)改善安全產(chǎn)品和解決方案。人工智能人工智能（AI）可以用來(lái)學(xué)習(xí)、完善安全防護(hù)規(guī)則，或執(zhí)行輔助防御。例如基于AI的WAF、基于AI的WebShell檢測(cè)等。生物識(shí)別方面的人工智能技術(shù)可用于身份認(rèn)證領(lǐng)域，如人臉識(shí)別。人工智能技術(shù)還可以用于完善風(fēng)控系統(tǒng)，例如當(dāng)檢測(cè)到某個(gè)訪問(wèn)請(qǐng)求來(lái)自黑產(chǎn)團(tuán)伙時(shí)，就可以拒絕其訪問(wèn)（應(yīng)用層訪問(wèn)控制）。大數(shù)據(jù)大數(shù)據(jù)不僅可以用于事件挖掘與審計(jì)，還可以用于為黑產(chǎn)、詐騙、僵尸網(wǎng)絡(luò)、傀儡肉雞、盜版源建立數(shù)據(jù)庫(kù)，作為風(fēng)控系統(tǒng)的決策依據(jù)，用于訪問(wèn)控制。例如建立物聯(lián)網(wǎng)終端IP庫(kù)，如果正常情況下這些IP不應(yīng)該訪問(wèn)業(yè)務(wù)，在防御系統(tǒng)中就可以直接阻斷掉，因?yàn)樵L問(wèn)過(guò)來(lái)的流量實(shí)際上是被黑產(chǎn)控制的。云計(jì)算云計(jì)算自身也面臨著一些安全問(wèn)題，如Overlay（虛擬網(wǎng)，云上虛擬機(jī)所在的網(wǎng)絡(luò)環(huán)境）和Underlay（底層承載網(wǎng)絡(luò)）的隔離、租戶隔離、安全域、云上防御，以及它們與傳統(tǒng)數(shù)據(jù)中心的路由與訪問(wèn)控制關(guān)系（如何隔離或如何訪問(wèn)）等。也有安全產(chǎn)品利用云計(jì)算技術(shù)構(gòu)建安全能力，比如主動(dòng)威脅、新病毒的發(fā)現(xiàn)，通過(guò)早期受害者的上報(bào)機(jī)制，避免后期大規(guī)模的爆發(fā)。安全技術(shù)體系架構(gòu)的二維模型安全技術(shù)體系架構(gòu)就是安全技術(shù)體系的主要組成部分及組成部分之間的關(guān)系。如同家庭是社會(huì)的細(xì)胞，各種基礎(chǔ)設(shè)施與安全產(chǎn)品，包括安全防御基礎(chǔ)設(shè)施、安全工具和技術(shù)、安全組件與支持系統(tǒng)等，共同構(gòu)建了安全技術(shù)體系。當(dāng)我們觀察安全技術(shù)體系的時(shí)候，如果只用一個(gè)維度，首選就是安全架構(gòu)的5個(gè)核心元素：身份認(rèn)證（Authentication）授權(quán)（Authorization）訪問(wèn)控制（AcccessControl）可審計(jì)（Auditable）資產(chǎn)保護(hù)（AssetProtection）但如果只用這一個(gè)維度，會(huì)與其他維度的要素混在一起，如身份認(rèn)證，就有網(wǎng)絡(luò)層身份認(rèn)證（802.1X等）、主機(jī)層身份認(rèn)證（SSH）、應(yīng)用層身份認(rèn)證（SSO）等，為了更加清晰直觀地描述這些要素，有必要再增加一個(gè)維度（網(wǎng)絡(luò)分層）：應(yīng)用和數(shù)據(jù)層設(shè)備和主機(jī)層網(wǎng)絡(luò)和通信層物理和環(huán)境層如果維度超過(guò)2個(gè)，則架構(gòu)模型看起來(lái)將異常復(fù)雜（實(shí)際上也超過(guò)2個(gè)了，還有如數(shù)據(jù)生命周期、產(chǎn)品生命周期等等），更多維度難以表達(dá)也不容易理解。因此，我們只用兩個(gè)維度來(lái)描述安全技術(shù)體系架構(gòu)。通過(guò)對(duì)過(guò)去及當(dāng)前的安全產(chǎn)品、技術(shù)進(jìn)行總結(jié)，我們將安全技術(shù)體系架構(gòu)歸納為如圖10-1所示的二維模型。圖10-1安全技術(shù)體系架構(gòu)的二維模型這個(gè)模型橫向?yàn)榘踩軜?gòu)的5個(gè)核心元素，縱向?yàn)榫W(wǎng)絡(luò)分層。其中橫向和縱向的交叉點(diǎn)，表示該層在某個(gè)安全架構(gòu)領(lǐng)域的解決方案，例如左上角第一個(gè)區(qū)域，表示應(yīng)用和數(shù)據(jù)層的身份認(rèn)證。當(dāng)我們提到安全技術(shù)體系架構(gòu)二維模型中的任何一個(gè)區(qū)域的時(shí)候，范圍都可能涉及：跟安全有關(guān)的基礎(chǔ)設(shè)施，包括IT通用基礎(chǔ)設(shè)施（如基礎(chǔ)網(wǎng)絡(luò)）、安全防御基礎(chǔ)設(shè)施（抗DDoS、HIDS、WAF等）、安全運(yùn)維基礎(chǔ)設(shè)施等。安全工具和技術(shù)，包括為發(fā)現(xiàn)風(fēng)險(xiǎn)而采用的掃描、檢測(cè)工具，或安全改進(jìn)所需要的各種技術(shù)（加密、脫敏、HTTPS等）。安全組件與支持系統(tǒng)，如SSO、KMS、運(yùn)維平臺(tái)、第三方日志系統(tǒng)等。風(fēng)險(xiǎn)管理的“三道防線”在風(fēng)險(xiǎn)管理領(lǐng)域，經(jīng)常會(huì)提到“三道防線”（如圖10-2所示），這三道防線分別是：圖10-2風(fēng)險(xiǎn)管理的三道防線第一道防線：業(yè)務(wù)部門對(duì)風(fēng)險(xiǎn)負(fù)主要責(zé)任，需要考慮從源頭控制風(fēng)險(xiǎn)。第二道防線：風(fēng)險(xiǎn)管理部門作為專業(yè)能力中心，提供整體的風(fēng)險(xiǎn)控制方案。第三道防線：獨(dú)立的審計(jì)。第一道防線，就是業(yè)務(wù)自身的風(fēng)險(xiǎn)管理。業(yè)務(wù)主管是業(yè)務(wù)風(fēng)險(xiǎn)的第一責(zé)任人，出了事件之后，首先應(yīng)該問(wèn)責(zé)的就是業(yè)務(wù)主管。以數(shù)據(jù)安全體系為例，隸屬于業(yè)務(wù)部門的安全從業(yè)人員，如從事安全設(shè)計(jì)的架構(gòu)師、安全測(cè)試人員，以及它們對(duì)產(chǎn)品安全的質(zhì)量保障（也就是產(chǎn)品安全架構(gòu)），構(gòu)成了數(shù)據(jù)安全領(lǐng)域的第一道防線。第二道防線，就是針對(duì)各領(lǐng)域風(fēng)險(xiǎn)的風(fēng)險(xiǎn)管理部門。這一領(lǐng)域，往往需要該風(fēng)險(xiǎn)領(lǐng)域內(nèi)的專業(yè)知識(shí)，以及從事該專業(yè)領(lǐng)域的人員。在具體實(shí)踐中，有的企業(yè)成立了統(tǒng)一的風(fēng)險(xiǎn)管理部門，有的企業(yè)會(huì)針對(duì)重點(diǎn)領(lǐng)域，設(shè)立獨(dú)立的僅針對(duì)該領(lǐng)域的風(fēng)險(xiǎn)管理部門，而且按照分工的不同，可劃分為多個(gè)不同的部門。以數(shù)據(jù)安全領(lǐng)域?yàn)槔话闩鋫浼瘓F(tuán)層面的管理安全風(fēng)險(xiǎn)的部門，部門名稱基于行業(yè)或業(yè)務(wù)特點(diǎn)各有不同，如數(shù)據(jù)安全管理部、數(shù)據(jù)安全與隱私保護(hù)部等。安全技術(shù)體系架構(gòu)就是構(gòu)建安全的基礎(chǔ)設(shè)施、工具和技術(shù)以及各種支持系統(tǒng)，為產(chǎn)品的安全能力提供加持，構(gòu)成安全防御的第二道防線。提示本書大部分內(nèi)容，就是站在第二道防線的視角來(lái)介紹的。安全技術(shù)體系架構(gòu)領(lǐng)域，通常包含如下工作（適用于數(shù)據(jù)安全技術(shù)團(tuán)隊(duì)）：建立和完善數(shù)據(jù)安全政策文件體系（在第四部分講述）。制定其所在領(lǐng)域內(nèi)的政策總綱、管理規(guī)定、標(biāo)準(zhǔn)、規(guī)范，供各業(yè)務(wù)遵循，提供專業(yè)性風(fēng)險(xiǎn)評(píng)估與指導(dǎo)，并對(duì)各業(yè)務(wù)的風(fēng)險(xiǎn)現(xiàn)狀進(jìn)行度量和監(jiān)督，整體把控風(fēng)險(xiǎn)。管理內(nèi)外安全合規(guī)、認(rèn)證測(cè)評(píng)、滲透測(cè)試。協(xié)助建立/完善通用的基礎(chǔ)設(shè)施，包括但不限于：較少的網(wǎng)絡(luò)安全域劃分與簡(jiǎn)潔的訪問(wèn)控制策略（借鑒無(wú)邊界網(wǎng)絡(luò)理念）、CMDB、統(tǒng)一接入網(wǎng)關(guān)等。建立并完善安全相關(guān)的安全防御基礎(chǔ)設(shè)施（抗DDoS/HIDS/WAF等）、安全運(yùn)維基礎(chǔ)設(shè)施（跳板機(jī)/運(yùn)維平臺(tái)/數(shù)據(jù)傳輸平臺(tái)等）、安全支撐系統(tǒng)（SSO/日志/應(yīng)用網(wǎng)關(guān)）、風(fēng)險(xiǎn)識(shí)別工具（如掃描器）、運(yùn)營(yíng)工具（風(fēng)險(xiǎn)度量等）。建立并完善安全組件與支持系統(tǒng)，包括但不限于：SSO、權(quán)限管理、KMS、日志系統(tǒng)等。完善各種安全工具和技術(shù)，包括但不限于：掃描、大數(shù)據(jù)分析（網(wǎng)關(guān)可作為流量輸入）等?？紤]建設(shè)數(shù)據(jù)中臺(tái)，將數(shù)據(jù)作為生產(chǎn)力，并統(tǒng)一執(zhí)行安全管理。例行開展掃描、檢測(cè)活動(dòng)，為風(fēng)險(xiǎn)數(shù)據(jù)化運(yùn)營(yíng)提供數(shù)據(jù)，執(zhí)行風(fēng)險(xiǎn)規(guī)避措施。風(fēng)險(xiǎn)管理、事件管理與應(yīng)急響應(yīng)。第三道防線，就是承擔(dān)審計(jì)職責(zé)的部門（如審計(jì)部），以及外部審計(jì)機(jī)構(gòu)、測(cè)評(píng)機(jī)構(gòu)等。審計(jì)的工作是獨(dú)立的，不受第一道防線、第二道防線所在的部門制約，會(huì)獨(dú)立履行職責(zé)，識(shí)別第一道防線、第二道防線中包括戰(zhàn)略、管理政策、流程、人員、技術(shù)等各領(lǐng)域的風(fēng)險(xiǎn)。不僅包括業(yè)務(wù)自身的風(fēng)險(xiǎn)，對(duì)管理文件、技術(shù)規(guī)范、控制措施覆蓋不到位的地方，也會(huì)提出改進(jìn)意見，促進(jìn)安全風(fēng)險(xiǎn)防控體系的不斷完善。通常來(lái)說(shuō)，識(shí)別的風(fēng)險(xiǎn)包括各領(lǐng)域的風(fēng)險(xiǎn)，安全風(fēng)險(xiǎn)、隱私合規(guī)風(fēng)險(xiǎn)只是其中的一部分。審計(jì)報(bào)告作為第一道防線、第二道防線執(zhí)行風(fēng)險(xiǎn)改進(jìn)的輸入。在完整的制度安排和治理框架下，業(yè)務(wù)部門（第一道防線）理部門（第二道防線）從外部加以指導(dǎo)，并采取流程控制、風(fēng)險(xiǎn)評(píng)估、監(jiān)督、度量等活動(dòng)，幫助業(yè)務(wù)降低風(fēng)險(xiǎn)。審計(jì)部門充分暴露問(wèn)題，向風(fēng)險(xiǎn)管理委員會(huì)（或董事會(huì)）對(duì)第一道防線、第二道防線進(jìn)行糾偏。出國(guó)在外，要保障人身安全，要么指望去的地方擁有良好的治安水平，要么依靠自身?yè)碛姓饝貕娜说哪芰?。這表明，做安全至少有兩個(gè)思路：自身安全，不懼怕環(huán)境不安全。環(huán)境安全，讓其可以信賴，自身可以適度放松。但事實(shí)是，就算自身習(xí)武練功很努力，也很難做到完全的人身安全，也還需要依賴外部的治安環(huán)境，兩個(gè)方面都很重要。保障業(yè)務(wù)應(yīng)用的安全也是這樣，適當(dāng)?shù)姆止f(xié)作，將一部分安全在產(chǎn)品自身完成，一部分安全交給基礎(chǔ)設(shè)施完成（如身份認(rèn)證），可以同時(shí)兼顧安全和效率，就像勇士也可以借助鎧甲來(lái)加強(qiáng)防護(hù)。安全技術(shù)體系強(qiáng)化產(chǎn)品安全從這里開始，我們將充分結(jié)合安全技術(shù)體系已有的基礎(chǔ)設(shè)施、工具和技術(shù)以及各種支持系統(tǒng)，看看安全技術(shù)體系是如何強(qiáng)化產(chǎn)品安全的。網(wǎng)絡(luò)部署架構(gòu)產(chǎn)品在發(fā)布或部署時(shí)，一個(gè)良好的網(wǎng)絡(luò)安全域、接入基礎(chǔ)設(shè)施及訪問(wèn)控制策略，可以為產(chǎn)品提供額外的安全防御能力，降低產(chǎn)品面臨的各種風(fēng)險(xiǎn)。如圖10-3所示，推薦采用無(wú)邊界網(wǎng)絡(luò)以及分布式的統(tǒng)一接入應(yīng)用網(wǎng)關(guān)、盡可能少的安全域劃分以及盡可能少的防火墻使用。圖10-3產(chǎn)品部署針對(duì)互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC），原則上建議大部分服務(wù)器都不配置外網(wǎng)網(wǎng)卡，而是通過(guò)統(tǒng)一接入應(yīng)用網(wǎng)關(guān)反向代理，防止誤將高危服務(wù)開放到互聯(lián)網(wǎng)。所謂反向代理，是相對(duì)于正向代理而言的。打個(gè)比方：張三想找李四借個(gè)扳手，走到李四家門口敲門并說(shuō)明來(lái)意，如果李四說(shuō)：“扳手在儲(chǔ)物柜下面第三個(gè)抽屜里，你自己進(jìn)來(lái)拿吧”，張三進(jìn)入并徑直走向儲(chǔ)物柜并從下面第三個(gè)抽屜里取出扳手然后跟李四告辭，這就是正向代理。如果李四說(shuō)：“好，請(qǐng)稍等，我去拿給你”，然后取來(lái)扳手遞給門口的張三，張三不用進(jìn)入，這就是反向代理。由此可見，通過(guò)正向代理需要知道目標(biāo)所在地址并“路由”過(guò)去，而反向代理不需要知道目標(biāo)地址，可用于隱藏目標(biāo)并提升安全性。所謂反向代理，是相對(duì)于正向代理而言的。打個(gè)比方：張三想找李四借個(gè)扳手，走到李四家門口敲門并說(shuō)明來(lái)意，如果李四說(shuō)：“扳手在儲(chǔ)物柜下面第三個(gè)抽屜里，你自己進(jìn)來(lái)拿吧”，張三進(jìn)入并徑直走向儲(chǔ)物柜并從下面第三個(gè)抽屜里取出扳手然后跟李四告辭，這就是正向代理。如果李四說(shuō)：“好，請(qǐng)稍等，我去拿給你”，然后取來(lái)扳手遞給門口的張三，張三不用進(jìn)入，這就是反向代理。由此可見，通過(guò)正向代理需要知道目標(biāo)所在地址并“路由”過(guò)去，而反向代理不需要知道目標(biāo)地址，可用于隱藏目標(biāo)并提升安全性。合適的網(wǎng)絡(luò)分區(qū)可以讓業(yè)務(wù)選擇最合適的網(wǎng)絡(luò)部署區(qū)域，比如敏感數(shù)據(jù)存放于生產(chǎn)網(wǎng)絡(luò)敏感區(qū)，業(yè)務(wù)服務(wù)器只使用內(nèi)網(wǎng)IP地址，通過(guò)接入網(wǎng)關(guān)對(duì)外服務(wù)。接入網(wǎng)關(guān)可以跟安全防御基礎(chǔ)設(shè)施（如WAF）集成，為產(chǎn)品提供安全防御能力。應(yīng)用網(wǎng)關(guān)解密的HTTPS流量也可以作為安全防御以及流量審計(jì)的輸入。業(yè)務(wù)服務(wù)器不直接對(duì)外提供服務(wù)，避免了高危服務(wù)直接對(duì)外開放的風(fēng)險(xiǎn)。主機(jī)層安全在IDC（互聯(lián)網(wǎng)數(shù)據(jù)中心）模式下，服務(wù)器通過(guò)雙網(wǎng)卡機(jī)制同時(shí)連接內(nèi)網(wǎng)和外網(wǎng)，但這種模式帶來(lái)了一個(gè)非常嚴(yán)重的問(wèn)題，那就是經(jīng)常有業(yè)務(wù)會(huì)誤將高危服務(wù)（如數(shù)據(jù)庫(kù)、緩存等）直接開放到外網(wǎng)去了，如圖10-4所示。究其原因，各種網(wǎng)絡(luò)服務(wù)的默認(rèn)配置是監(jiān)聽所有網(wǎng)卡的，并沒有按照最小化的監(jiān)聽范圍進(jìn)行配置。按照默認(rèn)設(shè)置，只要服務(wù)一啟動(dòng)，就會(huì)向互聯(lián)網(wǎng)開放。圖10-4高危服務(wù)對(duì)外網(wǎng)開放所以在這種模式下，各大互聯(lián)網(wǎng)公司的安全團(tuán)隊(duì)都會(huì)采取常態(tài)化的端口掃描方式，發(fā)現(xiàn)那些開放到外網(wǎng)的服務(wù)，并逐一通知業(yè)務(wù)關(guān)閉。同時(shí)，由于高危服務(wù)直接對(duì)外帶來(lái)的高風(fēng)險(xiǎn)性，通常還會(huì)將高危服務(wù)直接對(duì)外定性為違規(guī)行為，并對(duì)實(shí)施人員加以處罰。這種機(jī)制依賴眾多的部署人員的安全意識(shí)，特別是很多公司并未實(shí)施開發(fā)、運(yùn)維人員的職責(zé)分離，參與部署發(fā)布的人員數(shù)量眾多。從管理的角度上看，涉及這么多人，每個(gè)人都有可能犯錯(cuò)，那錯(cuò)誤就一定會(huì)發(fā)生。這種情況往往需要強(qiáng)化宣傳教育（“關(guān)閉不必要的服務(wù)/端口，盡量只對(duì)外暴露Web端口，避免高危服務(wù)對(duì)外開放”），安排專人去發(fā)現(xiàn)誤開高危服務(wù)到外網(wǎng)的情況，并推動(dòng)修復(fù)，從而導(dǎo)致投入的人力成本很高。提示開發(fā)、運(yùn)維人員的職責(zé)分離，就是開發(fā)、運(yùn)維職責(zé)由不同的人員或團(tuán)隊(duì)擔(dān)任，開發(fā)人員不管部署發(fā)布，運(yùn)維人員才能在生產(chǎn)環(huán)境部署發(fā)布。再加上很多業(yè)務(wù)習(xí)慣性地使用弱口令或通用口令（即一個(gè)口令在很多地方使用），殊不知其中很多通用口令已經(jīng)通過(guò)各種渠道泄露出去了（比如員工自行上傳代碼到Github且其中包含口令），通用口令也變成了弱口令。高危服務(wù)開放外網(wǎng)加上弱口令，成為黑客進(jìn)入企業(yè)內(nèi)網(wǎng)的重要方式。如何在基礎(chǔ)設(shè)施層面對(duì)此進(jìn)行約束呢？利用統(tǒng)一接入網(wǎng)關(guān)，就可以默認(rèn)收回業(yè)務(wù)服務(wù)器的外網(wǎng)權(quán)限，正常情況下，業(yè)務(wù)服務(wù)器不再配置外網(wǎng)網(wǎng)卡，不再分配外網(wǎng)IP地址，也就不存在誤開高危服務(wù)到外網(wǎng)的情況了，如圖10-5所示。圖10-5統(tǒng)一接入網(wǎng)關(guān)讓業(yè)務(wù)服務(wù)器不再具有外網(wǎng)地址注意會(huì)！面。統(tǒng)一接入網(wǎng)關(guān)可以添加安全特性，比如集成WAF（Web應(yīng)用防火墻），攔截入侵動(dòng)作，如圖10-6所示。圖10-6統(tǒng)一接入網(wǎng)關(guān)跟WAF集成高危服務(wù)所使用的開源組件漏洞，也是黑客進(jìn)入企業(yè)內(nèi)網(wǎng)的重要方式。為了解決這個(gè)問(wèn)題，需要使用來(lái)源可信、版本安全、經(jīng)過(guò)評(píng)估的開源組件。而要達(dá)到這個(gè)目標(biāo)，就需要建設(shè)企業(yè)內(nèi)部的組件源，且內(nèi)部源的組件經(jīng)過(guò)過(guò)濾（排除高風(fēng)險(xiǎn)組件或相應(yīng)的版本，如圖10-7所示），這樣業(yè)務(wù)在使用時(shí)，就不會(huì)下載到已知的高風(fēng)險(xiǎn)組件或惡意組件。圖10-7內(nèi)部源原理提到開源組件，推薦將通用組件云化，并構(gòu)建自動(dòng)化運(yùn)維能力，通過(guò)瀏覽器來(lái)執(zhí)行日常運(yùn)維操作，而不是直接登錄到服務(wù)器。通用組件云化，也就是常見的通用組件如Web服務(wù)器、數(shù)據(jù)服務(wù)等，采用云服務(wù)加上自動(dòng)分配的模式，讓業(yè)務(wù)不用自行安裝，動(dòng)動(dòng)鼠標(biāo)就可以申請(qǐng)使用，而不是每個(gè)業(yè)務(wù)都自行安裝配置。這樣在提高效率的同時(shí)，也可以統(tǒng)一執(zhí)行安全加固。為了最大限度地降低主機(jī)層所面臨的入侵風(fēng)險(xiǎn)，部署HIDS（基于主機(jī)的入侵檢測(cè)系統(tǒng)），檢測(cè)惡意文件、暴力破解等惡意行為，還可以基于彩虹表機(jī)制預(yù)先檢測(cè)弱口令（即預(yù)先計(jì)算常見弱口令的散列值，并與系統(tǒng)中存儲(chǔ)的散列值進(jìn)行比對(duì)，以發(fā)現(xiàn)風(fēng)險(xiǎn)）。應(yīng)用層安全第一，在身份認(rèn)證方面，所有非公開的Web應(yīng)用都應(yīng)具備身份認(rèn)證機(jī)制。首選自然是SSO單點(diǎn)登錄系統(tǒng)，這在業(yè)界已達(dá)成共識(shí)。但事實(shí)卻是，仍有很多業(yè)務(wù)，特別是面向員工的內(nèi)部業(yè)務(wù)，連最基本的認(rèn)證都沒有。也有一些JSONAPI數(shù)據(jù)接口，對(duì)外開放時(shí)沒有任何認(rèn)證機(jī)制。因此安全政策在具體執(zhí)行的時(shí)候，就會(huì)面臨業(yè)務(wù)不遵循、落地不到位的情況。在SSO的具體實(shí)現(xiàn)上，推薦不上傳用戶的原始口令，而是使用前端慢速加鹽散列，強(qiáng)化口令隱私保護(hù)與防撞庫(kù)能力。在具備應(yīng)用網(wǎng)關(guān)的條件下，可以讓應(yīng)用網(wǎng)關(guān)自身集成SSO單點(diǎn)登錄系統(tǒng)，這樣就可以不依賴于各業(yè)務(wù)自身跟SSO的集成，如圖10-8所示。在使用接入網(wǎng)關(guān)之后，將原來(lái)的“各個(gè)應(yīng)用跟SSO集成身份認(rèn)證”改由接入網(wǎng)關(guān)統(tǒng)一進(jìn)行身份認(rèn)證。并且，還可以在接入網(wǎng)關(guān)上為其中的部分業(yè)務(wù)啟用單獨(dú)的超時(shí)退出機(jī)制，防止登錄憑據(jù)被黑客竊取后用于登錄敏感業(yè)務(wù)。圖10-8接入網(wǎng)關(guān)跟SSO集成取代各個(gè)產(chǎn)品自行集成第二，在授權(quán)方面，首選在業(yè)務(wù)自身做好權(quán)限最小化控制，以及合理的職責(zé)分離，防止出現(xiàn)越權(quán)操作風(fēng)險(xiǎn)。如果能夠基于屬性授權(quán)就可以不必建立單獨(dú)的授權(quán)表，例如用戶訪問(wèn)自己的網(wǎng)絡(luò)相冊(cè)（即通過(guò)相冊(cè)的所有者屬性）。如果無(wú)法用屬性來(lái)識(shí)別，比如員工A訪問(wèn)某應(yīng)用的普通權(quán)限，可以基于角色進(jìn)行授權(quán)，需要將員工A納入普通用戶角色，或者在授權(quán)表中添加一項(xiàng)授權(quán)記錄。又如客服人員權(quán)與訪問(wèn)控制（客服需要先建立工單，再基于工單去獲取臨時(shí)授權(quán)）。對(duì)于不直接面向用戶的內(nèi)部業(yè)務(wù)，也可以構(gòu)建獨(dú)立于業(yè)務(wù)之外的權(quán)限管理系統(tǒng)，簡(jiǎn)化業(yè)務(wù)的權(quán)限管理。例如內(nèi)部員工訪問(wèn)的應(yīng)用，可考慮接入權(quán)限管理系統(tǒng)，如圖10-9所示。圖10-9權(quán)限管理系統(tǒng)訪問(wèn)控制方面，通常需要應(yīng)用接口具備防止批量拉取的監(jiān)控、告警或阻斷能力，但在各應(yīng)用本身實(shí)現(xiàn)卻不太現(xiàn)實(shí)，這一需求可以跟防止CC攻擊結(jié)合起來(lái)，在接入網(wǎng)關(guān)集成的WAF上統(tǒng)一配置，或者在API網(wǎng)關(guān)上統(tǒng)一配置。針對(duì)上傳WebShell的控制，除了在應(yīng)用本身限定上傳文件類型之外，還可以借助WAF等防御基礎(chǔ)設(shè)施，檢測(cè)上傳的內(nèi)容。在服務(wù)器的安全配置上，應(yīng)配置用戶上傳目錄僅限靜態(tài)解析（如Nginx）而不是傳遞給應(yīng)用服務(wù)器（PHP/Java等），如圖10-10所示。圖10-10訪問(wèn)上傳資源只能通過(guò)靜態(tài)服務(wù)器訪問(wèn)審計(jì)方面，可通過(guò)應(yīng)用層接口，將敏感業(yè)務(wù)的操作日志實(shí)時(shí)上傳到業(yè)務(wù)外的日志系統(tǒng)，且無(wú)法從業(yè)務(wù)自身刪除，如圖10-11所示。也就是說(shuō)，業(yè)務(wù)本身并不持有或使用日志系統(tǒng)的數(shù)據(jù)庫(kù)賬號(hào)。圖10-11統(tǒng)一的日志系統(tǒng)或日志管理平臺(tái)數(shù)據(jù)層安全數(shù)據(jù)層，建議將數(shù)據(jù)庫(kù)視為“應(yīng)當(dāng)統(tǒng)一管理的基礎(chǔ)設(shè)施”，盡量封裝為數(shù)據(jù)服務(wù)，構(gòu)建數(shù)據(jù)中臺(tái)（例如基于HTTPS443端口的JSONAPI接口，或自定義端口的二進(jìn)制RPC）而不是直接提供原始的數(shù)據(jù)庫(kù)（如MySQL3306端口）給業(yè)務(wù)使用。在業(yè)務(wù)團(tuán)隊(duì)中，逐步消除數(shù)據(jù)庫(kù)賬號(hào)的使用，讓數(shù)據(jù)庫(kù)賬號(hào)只保留在基礎(chǔ)設(shè)施團(tuán)隊(duì)內(nèi)部，業(yè)務(wù)通過(guò)數(shù)據(jù)服務(wù)的應(yīng)用層賬號(hào)（如全程使用用戶認(rèn)證通過(guò)的憑據(jù)）進(jìn)行訪問(wèn)。在對(duì)數(shù)據(jù)進(jìn)行保護(hù)時(shí)，經(jīng)常使用到加密存儲(chǔ)、加密傳輸、脫敏等概念。先看加密存儲(chǔ)，如果加密只在應(yīng)用自身來(lái)完成，那么黑客入侵后有可能獲取到解密的密鑰，從而導(dǎo)致數(shù)據(jù)泄露并可被解密。為了強(qiáng)化密鑰安全，我們可以借助KMS（密鑰管理系統(tǒng)）來(lái)實(shí)現(xiàn)加密解密操作。在加密傳輸方面，首選使用全站HTTPS（就是所有的業(yè)務(wù)全部啟用HTTPS傳輸）。在證書保護(hù)方面，由于各業(yè)務(wù)自行采購(gòu)、配置數(shù)字證書，首先就會(huì)遇到重復(fù)采購(gòu)的問(wèn)題。例如甲團(tuán)隊(duì)為自己的一組業(yè)務(wù)已經(jīng)采購(gòu)了可用于*.的數(shù)字證書且自行保管私鑰文件，乙團(tuán)隊(duì)如果知道甲團(tuán)隊(duì)已經(jīng)采購(gòu)，可能會(huì)去找甲團(tuán)隊(duì)索取私鑰文件，甲團(tuán)隊(duì)為了安全考慮，決定不提供，這樣乙團(tuán)隊(duì)就需要另行采購(gòu)，造成了重復(fù)采購(gòu)。除非是具備統(tǒng)一的運(yùn)維團(tuán)隊(duì)，統(tǒng)一管理運(yùn)維操作以及證書采購(gòu)，否則就會(huì)遇到重復(fù)采購(gòu)數(shù)字證書的問(wèn)題。如果甲團(tuán)隊(duì)提供了私鑰文件給乙團(tuán)隊(duì)，則私鑰文件由多個(gè)團(tuán)隊(duì)掌握，造成私鑰文件擴(kuò)散，有可能會(huì)因?yàn)槭韬鰧?dǎo)致私鑰泄露。而且，各Web服務(wù)器在配置私鑰文件時(shí)，往往只能配置成私鑰文件路徑，私鑰文件本身沒有受到任何特別的保護(hù)，再加上如果服務(wù)器數(shù)量眾多的話，私鑰文件實(shí)際上非常分散，只要其中任何一臺(tái)服務(wù)器出了問(wèn)題（被入侵或感染木馬自動(dòng)翻找文件等），就可能導(dǎo)致私鑰文件泄露。此外，證書在默認(rèn)配置上也存在諸多問(wèn)題，特別是不安全的協(xié)議，如SSL1.0～SSL3.0、TLS1.0等均已存在漏洞不能再用。綜合上述多種原因，我們認(rèn)為數(shù)字證書應(yīng)該在統(tǒng)一的接入網(wǎng)關(guān)這里集中管理，并可將網(wǎng)關(guān)作為TLSEnd（即HTTPS的終止點(diǎn)），以便針對(duì)私鑰執(zhí)行特別的加密保護(hù)。在統(tǒng)一啟用全站HTTPS的同時(shí)，防止私鑰泄露。在接入網(wǎng)關(guān)上，可以啟用安全傳輸質(zhì)量保障，默認(rèn)就使用滿足合規(guī)要求的TLS傳輸協(xié)議，禁用SSL1.0～SSL3.0和TLS1.0～TLS1.1，而直接使用TLS1.2及以上版本，以及啟用加密算法限制，默認(rèn)只允許使用安全的加密算法。業(yè)務(wù)上線的時(shí)候，如果當(dāng)前網(wǎng)關(guān)已經(jīng)具備了適用于其域名的證書（典型的場(chǎng)景是已經(jīng)采購(gòu)了通配型證書），就可以不用采購(gòu)新證書，直接選擇已有的數(shù)字證書即可。脫敏方面，一方面可以在應(yīng)用自身完成脫敏，另一方面，也可以借助外部基礎(chǔ)設(shè)施的能力執(zhí)行脫敏，這就需要使用到API網(wǎng)關(guān)了。每一個(gè)數(shù)據(jù)服務(wù)在接入API網(wǎng)關(guān)的時(shí)候，采用定制化脫敏策略，并按照脫敏標(biāo)準(zhǔn)進(jìn)行脫敏。此外，在涉及個(gè)人數(shù)據(jù)（或稱之為隱私）的時(shí)候，還需要遵從隱私保護(hù)領(lǐng)域所有適用的外部法律合規(guī)要求，除了法律合規(guī)本身要求的內(nèi)容，如以下要求：不能直接對(duì)第三方提供包含用戶個(gè)人隱私的數(shù)據(jù)集，如業(yè)務(wù)必需，應(yīng)確保用戶知情，盡到告知義務(wù)（個(gè)人信息被收集和處理的目的、使用的業(yè)務(wù)及產(chǎn)品范圍、存儲(chǔ)期限、用戶權(quán)利等）并獲取用戶有效同意。不采用一攬子式同意及隱私政策，即不能采用這種模式：只要用戶勾選一個(gè)同意選項(xiàng)，就視為用戶同意該公司的任意產(chǎn)品/服務(wù)均可以收集和處理個(gè)人數(shù)據(jù)。不要替用戶默認(rèn)勾選同意選項(xiàng)。還可以構(gòu)建增強(qiáng)隱私保護(hù)的基礎(chǔ)設(shè)施，如K-匿名、差分隱私等基礎(chǔ)設(shè)施服務(wù)，這部分可稱之為隱私增強(qiáng)技術(shù)。當(dāng)業(yè)務(wù)不得不需要以數(shù)據(jù)集的方式對(duì)外提供時(shí)，先經(jīng)過(guò)K-匿名處理后，再提供。當(dāng)涉及個(gè)人隱私的數(shù)據(jù)統(tǒng)計(jì)接口需要對(duì)其他業(yè)務(wù)或外部開放，對(duì)統(tǒng)計(jì)結(jié)果執(zhí)行差分隱私保護(hù)，添加噪聲后再對(duì)外提供。接下來(lái)，我們以網(wǎng)絡(luò)分層為維度，跳過(guò)物理和環(huán)境層，從網(wǎng)絡(luò)和通信層開始，分別介紹各層的安全架構(gòu)。物理和環(huán)境層的安全基礎(chǔ)設(shè)施包括：監(jiān)控?cái)z像。紅外告警。這些設(shè)施通常不由安全團(tuán)隊(duì)負(fù)責(zé)，而往往是由行政、物業(yè)等部門負(fù)責(zé)。第2章網(wǎng)絡(luò)和通信層安全架構(gòu)這一章，我們開始分層剖析安全架構(gòu)，首先是網(wǎng)絡(luò)和通信層的安全技術(shù)體系架構(gòu)，如圖11-1所示，主要包括：圖11-1安全架構(gòu)5A在網(wǎng)絡(luò)與通信層的關(guān)注點(diǎn)網(wǎng)絡(luò)安全域。網(wǎng)絡(luò)接入身份認(rèn)證。網(wǎng)絡(luò)接入授權(quán)。網(wǎng)絡(luò)層訪問(wèn)控制。網(wǎng)絡(luò)層流量審計(jì)。網(wǎng)絡(luò)層資產(chǎn)保護(hù)：DDoS緩解。簡(jiǎn)介安全技術(shù)體系架構(gòu)包括通用基礎(chǔ)設(shè)施、安全防御基礎(chǔ)設(shè)施、安全運(yùn)維基礎(chǔ)設(shè)施、安全工具和技術(shù)、安全組件與支持系統(tǒng)等。聚焦到網(wǎng)絡(luò)和通信層，通用基礎(chǔ)設(shè)施包括：網(wǎng)絡(luò)安全域（或網(wǎng)絡(luò)分區(qū)）。防火墻及配套的防火墻策略管理系統(tǒng)。四層網(wǎng)關(guān)（可選），用于受控的任意協(xié)議的NAT轉(zhuǎn)發(fā)等用途。防御基礎(chǔ)設(shè)施主要包括：抗DDoS系統(tǒng)，用于緩解DDoS攻擊。網(wǎng)絡(luò)準(zhǔn)入控制（NAC），下才能接入網(wǎng)絡(luò)。其他方面還包括：運(yùn)維通道。網(wǎng)絡(luò)流量審計(jì)。提示這里沒有提網(wǎng)絡(luò)層IPS（入侵檢測(cè)系統(tǒng)），主要是由于HTTPS或加密傳輸?shù)钠占埃切┗诿魑膮f(xié)議工作的產(chǎn)品，使用范圍已大大受限，因此就不再介紹了。網(wǎng)絡(luò)安全域企業(yè)的網(wǎng)絡(luò)架構(gòu)涉及各個(gè)安全域以及安全域之間的訪問(wèn)控制。安全域是具有相同安全邊界的網(wǎng)絡(luò)分區(qū)，是由路由、交換機(jī)ACL（訪問(wèn)控制列表）、防火墻等封閉起來(lái)的一個(gè)邏輯上的區(qū)域，可以跨地域存在，這個(gè)區(qū)域內(nèi)所有主機(jī)具有相同的安全等級(jí)，內(nèi)部網(wǎng)絡(luò)自由可達(dá)。各安全域之間的訪問(wèn)控制，即網(wǎng)絡(luò)訪問(wèn)控制策略，由于路由、交換機(jī)ACL不會(huì)經(jīng)常變更，所以網(wǎng)絡(luò)訪問(wèn)控制策略管理的日常工作重點(diǎn)是防火墻策略管理。讓我們先來(lái)看看安全域的數(shù)量與防火墻的關(guān)系。假設(shè)只有兩個(gè)安全域（A和B），訪問(wèn)規(guī)則就比較簡(jiǎn)單，只需要2套規(guī)則集即可：從A到B，以及從B到A，如圖11-2所示。圖11-2兩個(gè)安全域的規(guī)則集如果有三個(gè)安全域（A/B/C），訪問(wèn)規(guī)則就變得復(fù)雜一些了，有A到B、A到C、B到A、B到C、C到A、C到B，需要6套規(guī)則集（3×（3-1）），如圖11-3所示。圖11-3三個(gè)安全域的規(guī)則集以此類推，如果有n個(gè)安全域，則需要n×（n-1）套規(guī)則集；如果有15個(gè)安全域（實(shí)際上很多大型公司的安全域已經(jīng)超過(guò)這個(gè)數(shù)了），則需要210套規(guī)則集，且每套規(guī)則集中包含大量的訪問(wèn)關(guān)系，這對(duì)防火墻的運(yùn)維管理來(lái)說(shuō)，太復(fù)雜了，也需要消耗極大的人力成本來(lái)維護(hù)和管理這些規(guī)則。顯然安全域不是越多越好，我們建議在滿足合規(guī)的要求下，安全域的數(shù)量越少越好。關(guān)于安全域的劃分，實(shí)際上每家公司都是不同的，下面列出典型的幾種供參考。最簡(jiǎn)單的網(wǎng)絡(luò)安全域一種最簡(jiǎn)單的網(wǎng)絡(luò)分區(qū)如圖11-4所示。圖11-4最簡(jiǎn)單的網(wǎng)絡(luò)安全域這種簡(jiǎn)單的安全域只包含兩個(gè)分區(qū)且無(wú)防火墻設(shè)備：本地的辦公網(wǎng)絡(luò)，用于辦公電腦、打印機(jī)等。遠(yuǎn)程的業(yè)務(wù)網(wǎng)絡(luò)，使用外網(wǎng)IP地址同時(shí)向辦公網(wǎng)絡(luò)和外部網(wǎng)絡(luò)提供服務(wù)。這種方式僅適用于小型創(chuàng)業(yè)企業(yè)起步使用，業(yè)務(wù)網(wǎng)絡(luò)可以通過(guò)購(gòu)買公有云虛擬服務(wù)器（一般提供內(nèi)網(wǎng)IP地址和外網(wǎng)IP地址各一個(gè)）來(lái)快速解決。但這種方式存在明顯的安全風(fēng)險(xiǎn)，非常容易將數(shù)據(jù)庫(kù)等高危服務(wù)直接開放到互聯(lián)網(wǎng)，如果采用這種方案，注意一定要將數(shù)據(jù)庫(kù)等高危服務(wù)配置成只監(jiān)聽內(nèi)網(wǎng)IP地址（不需要開放給外網(wǎng)），并設(shè)置高強(qiáng)度口令；當(dāng)高危服務(wù)只被位于同一臺(tái)主機(jī)的應(yīng)用訪問(wèn)時(shí)，建議配置成監(jiān)聽。以MySQL為例，在配置文件/etc/mysql/f里將bind-address參數(shù)調(diào)整為內(nèi)部IP地址，如：bind-address=最簡(jiǎn)單的網(wǎng)絡(luò)安全域改進(jìn)如圖11-5所示，主要改進(jìn)點(diǎn)如下：圖11-5最簡(jiǎn)單的網(wǎng)絡(luò)安全域改進(jìn)使用統(tǒng)一的接入網(wǎng)關(guān)，工作于反向代理模式，使用內(nèi)網(wǎng)IP地址訪問(wèn)各業(yè)務(wù)，各業(yè)務(wù)不再直接對(duì)外提供服務(wù)（接入網(wǎng)關(guān)在后面講述）。業(yè)務(wù)網(wǎng)絡(luò)可以僅保留內(nèi)網(wǎng)IP地址，不再使用外網(wǎng)IP地址（少量特殊情況除外）。推薦的網(wǎng)絡(luò)安全域圖11-6的接入方案是一種安全性較高的方案，可供有評(píng)估認(rèn)證需求的互聯(lián)網(wǎng)企業(yè)參考。圖11-6推薦的網(wǎng)絡(luò)安全域其中，接入網(wǎng)關(guān)用于統(tǒng)一接入，反向代理到后端真實(shí)的Web業(yè)務(wù)，避免直接路由到生產(chǎn)環(huán)境。反向代理即轉(zhuǎn)發(fā)用戶請(qǐng)求到內(nèi)部真實(shí)服務(wù)器（使用內(nèi)部地址）并將結(jié)果返回給用戶，對(duì)用戶隱藏內(nèi)部地址。在網(wǎng)關(guān)上配置內(nèi)部業(yè)務(wù)地址之后，只需要將業(yè)務(wù)域名指向網(wǎng)關(guān)即可訪問(wèn)內(nèi)部業(yè)務(wù)。在安全成熟度比較高的情況下，還可以將外部接入網(wǎng)關(guān)和內(nèi)部接入網(wǎng)關(guān)合二為一，構(gòu)建基于身份信任的網(wǎng)絡(luò)架構(gòu)，如圖11-7所示。圖11-7統(tǒng)一接入網(wǎng)關(guān)在業(yè)務(wù)部署時(shí)，如果基線策略（即默認(rèn)已經(jīng)開通的常用策略）要在符合安全政策的前提下，申請(qǐng)相應(yīng)的訪問(wèn)策略。從有邊界網(wǎng)絡(luò)到無(wú)邊界網(wǎng)絡(luò)過(guò)去安全體系以網(wǎng)絡(luò)為中心，是有邊界的網(wǎng)絡(luò)，人們認(rèn)為外網(wǎng)是不可信的，而內(nèi)網(wǎng)是可以信任的，DMZ也是這種理念下的產(chǎn)物。DMZ（DemilitarizedZone，非軍事區(qū)），是傳統(tǒng)IT網(wǎng)絡(luò)（如圖11-8所示）中安全等級(jí)介于內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的一個(gè)安全域，用于部署直接對(duì)外提供服務(wù)的服務(wù)器，如網(wǎng)站的前端、反向代理、郵件服務(wù)器等。圖11-8傳統(tǒng)的IT網(wǎng)絡(luò)在互聯(lián)網(wǎng)行業(yè)興起后，DMZ這種模式逐漸被無(wú)防火墻的IDC（InternetDataCenter，互聯(lián)網(wǎng)數(shù)據(jù)中心，如圖11-9和圖11-10所示）模式所虛擬化，IDC模式的外網(wǎng)網(wǎng)卡模式，可視為虛擬化的DMZ。圖11-9無(wú)外網(wǎng)防火墻有內(nèi)網(wǎng)防火墻的IDC網(wǎng)絡(luò)圖11-10無(wú)外網(wǎng)防火墻無(wú)內(nèi)網(wǎng)防火墻的IDC網(wǎng)絡(luò)IDC中的服務(wù)器，如果只有一張內(nèi)網(wǎng)網(wǎng)卡，則可視為內(nèi)部網(wǎng)絡(luò)；如果除了內(nèi)網(wǎng)網(wǎng)卡之外，還有一張外網(wǎng)網(wǎng)卡，這張外網(wǎng)網(wǎng)卡就可以視為位于虛擬化的傳統(tǒng)IT網(wǎng)絡(luò)的DMZ。不過(guò)這種方式在實(shí)踐中，也發(fā)現(xiàn)了許多問(wèn)題，最常見的就是本應(yīng)只監(jiān)聽內(nèi)網(wǎng)網(wǎng)卡的高危服務(wù)，經(jīng)常會(huì)因服務(wù)默認(rèn)配置而監(jiān)聽全部網(wǎng)卡，導(dǎo)致高危服務(wù)對(duì)外網(wǎng)開放，再加上通用口令、弱口令的使用，成為入侵內(nèi)網(wǎng)的通道。綜合DMZ模式和IDC模式的優(yōu)點(diǎn)，可在IDC模式的基礎(chǔ)上，增設(shè)統(tǒng)一的應(yīng)用接入網(wǎng)關(guān)，其他內(nèi)部業(yè)務(wù)服務(wù)器僅分配內(nèi)網(wǎng)網(wǎng)卡，可有效降低高危服務(wù)對(duì)外開放的風(fēng)險(xiǎn)，如圖11-11所示。圖11-11采用接入網(wǎng)關(guān)的無(wú)防火墻IDC網(wǎng)絡(luò)過(guò)去，大家經(jīng)常會(huì)假設(shè)內(nèi)網(wǎng)是安全的，但是隨著各種內(nèi)網(wǎng)滲透事件的發(fā)生，這種假設(shè)“內(nèi)網(wǎng)是安全的”理念已經(jīng)逐漸站不住腳了。本書基于“內(nèi)網(wǎng)也不可信任”的理念，剖析和探討無(wú)邊界網(wǎng)絡(luò)條件下，該如何保障業(yè)務(wù)系統(tǒng)的安全。只有當(dāng)業(yè)務(wù)和基礎(chǔ)設(shè)施都按照最佳實(shí)踐進(jìn)行開發(fā)和設(shè)計(jì)的理想的情況下，邊界才變得無(wú)關(guān)緊要。當(dāng)存在大量不符合最佳安全要求的存量業(yè)務(wù)的情況下，多個(gè)安全域的分層網(wǎng)絡(luò)還是有必要繼續(xù)存在的，只是我們?cè)谧霭踩庸痰臅r(shí)候，不能假設(shè)“內(nèi)網(wǎng)是安全的”，而要假設(shè)“黑客已經(jīng)進(jìn)入了內(nèi)網(wǎng)”。為了保護(hù)最為敏感的數(shù)據(jù)，我們可以將最敏感數(shù)據(jù)部分單獨(dú)隔離起來(lái)（“生產(chǎn)網(wǎng)絡(luò)敏感區(qū)”），當(dāng)業(yè)務(wù)服務(wù)器訪問(wèn)敏感數(shù)據(jù)的時(shí)候，需要經(jīng)過(guò)內(nèi)網(wǎng)防火墻，這種設(shè)計(jì)是PCI-DSS認(rèn)可的設(shè)計(jì)模式，如圖11-12所示。圖11-12內(nèi)部多安全域的網(wǎng)絡(luò)設(shè)計(jì)有讀者可能會(huì)問(wèn)，為什么敏感網(wǎng)絡(luò)這里不采用統(tǒng)一接入網(wǎng)關(guān)呢？其實(shí)也是可以的，但如果涉及PCI-DSS認(rèn)證，需要具備防火墻機(jī)制以保護(hù)敏感的數(shù)據(jù)。我們可以在生產(chǎn)網(wǎng)絡(luò)（敏感區(qū)）入網(wǎng)關(guān)對(duì)生產(chǎn)網(wǎng)絡(luò)（普通區(qū)）發(fā)布，相對(duì)于生產(chǎn)網(wǎng)絡(luò)的接入網(wǎng)關(guān)，只是多一道防火墻而已，如圖11-13所示。圖11-13全部采用網(wǎng)關(guān)接入隨著云計(jì)算的大量普及，也有企業(yè)將自己的業(yè)務(wù)大量上云，這就帶來(lái)了一個(gè)問(wèn)題，跟原有傳統(tǒng)生產(chǎn)網(wǎng)絡(luò)如何互通的問(wèn)題。直接打通路由可能面臨各種挑戰(zhàn)，而使用外部接入網(wǎng)關(guān)，則能夠較好地解決互聯(lián)互通問(wèn)題，在接入網(wǎng)關(guān)的配置上，可以做到點(diǎn)對(duì)點(diǎn)開放，如圖11-14所示。圖11-14接入網(wǎng)關(guān)作為跨網(wǎng)互通的橋梁網(wǎng)絡(luò)安全域小結(jié)一個(gè)簡(jiǎn)單、邏輯清晰的網(wǎng)絡(luò)架構(gòu)，對(duì)于公司的安全治理至關(guān)重要，它們是網(wǎng)絡(luò)訪問(wèn)控制策略（防火墻策略等）賴以落地的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)架構(gòu)的復(fù)雜度，在很大程度上決定了網(wǎng)絡(luò)管理團(tuán)隊(duì)能不能快速適應(yīng)業(yè)務(wù)的變化，新業(yè)務(wù)能否快速上線，開發(fā)、發(fā)布、運(yùn)維、數(shù)據(jù)傳輸?shù)热粘９ぷ骷傲鞒棠芊窀咝ч_展。一個(gè)典型的誤區(qū)就是，為了安全，我們需要設(shè)置更多的安全域，結(jié)果搞得網(wǎng)絡(luò)異常復(fù)雜，規(guī)則集和防火墻策略也非常多，甚至撐爆了防火墻的容量上限。一個(gè)典型的場(chǎng)景是員工先登錄跳板機(jī)，再跳到目標(biāo)服務(wù)器執(zhí)行運(yùn)維操作，共需要多少個(gè)安全域呢？第一個(gè)選擇如圖11-15所示，單獨(dú)為跳板機(jī)建立一個(gè)安全域。圖11-15單獨(dú)為跳板機(jī)建立一個(gè)安全域第二個(gè)選擇如圖11-16所示，不為跳板機(jī)建立單獨(dú)的安全域。圖11-16跳板機(jī)沒有單獨(dú)的安全域（放在生產(chǎn)網(wǎng)絡(luò)邊界）第一種方案在跳板機(jī)到業(yè)務(wù)服務(wù)器之間有防火墻，可以執(zhí)行IP和端口級(jí)的訪問(wèn)控制，安全性更高，但也帶來(lái)了額外的運(yùn)維和管理成本。在我們看來(lái)，這兩種方案的安全性其實(shí)是相差不大的，而且作為跳板機(jī)都能夠登錄到目標(biāo)服務(wù)器，限制其他非登錄類的端口訪問(wèn)，其意義也不是很大。因此，在這兩個(gè)方案中，筆者推薦使用第二個(gè)方案，它不僅僅是減少一個(gè)安全域，減少了防火墻策略的數(shù)量，而且擴(kuò)展性也更好。提示第二個(gè)方案中的跳板機(jī)有點(diǎn)類似于無(wú)邊界網(wǎng)絡(luò)中的網(wǎng)關(guān)。這種模式大大降低了網(wǎng)絡(luò)復(fù)雜度以及防火墻策略的數(shù)量。網(wǎng)絡(luò)接入身份認(rèn)證提到身份認(rèn)證的時(shí)候，大家往往首先想到的是應(yīng)用層，比如登錄一個(gè)網(wǎng)站會(huì)提示輸入用戶名和口令進(jìn)行身份認(rèn)證。難道網(wǎng)絡(luò)層也需要身份認(rèn)證嗎？是的，網(wǎng)絡(luò)層也會(huì)涉及各種各樣的身份認(rèn)證，如：家里或餐館的WiFi，手機(jī)或筆記本首次接入時(shí)，需要選擇接入點(diǎn)，輸入對(duì)應(yīng)的訪問(wèn)口令，然后才能接入網(wǎng)絡(luò)。家里的路由器，在使用PPPoE撥號(hào)接入運(yùn)營(yíng)商的網(wǎng)絡(luò)時(shí)，需要輸入運(yùn)營(yíng)商分配的賬號(hào)和口令進(jìn)行認(rèn)證。出差住酒店的時(shí)候，有的酒店提供的WiFi接入點(diǎn)，在接入后會(huì)彈出一個(gè)網(wǎng)頁(yè)，使用房間號(hào)及住客姓名（或手機(jī)號(hào)）進(jìn)行基于Web的身份認(rèn)證（WebAuth），如圖11-17所示。圖11-17訪客通過(guò)WebAuth認(rèn)證后接入網(wǎng)絡(luò)企業(yè)的網(wǎng)絡(luò)，也會(huì)涉及身份認(rèn)證，而且更進(jìn)一步，包括對(duì)人和設(shè)備的認(rèn)證：針對(duì)員工、訪客、合作伙伴的身份認(rèn)證，這是針對(duì)人的身份認(rèn)證。針對(duì)接入設(shè)備的身份認(rèn)證，識(shí)別出設(shè)備屬于哪一種，如公司設(shè)備（辦公電腦/服務(wù)器）、經(jīng)過(guò)授權(quán)的個(gè)人設(shè)備（手機(jī)/平板電腦/個(gè)人筆記本電腦）、未經(jīng)授權(quán)的設(shè)備等。是否啟用網(wǎng)絡(luò)層身份認(rèn)證，對(duì)于不同規(guī)模的企業(yè)，往往選擇是不同的：創(chuàng)業(yè)企業(yè)可以先跳過(guò)這一部分，等條件成熟時(shí)再來(lái)考慮。中等規(guī)模的企業(yè)，無(wú)線網(wǎng)絡(luò)接入部分，對(duì)人的身份認(rèn)證是必備的，需識(shí)別出員工和訪客。大型企業(yè)，無(wú)論是有線接入還是無(wú)線接入，除了具備對(duì)人的身份認(rèn)證，還具備辦公網(wǎng)的設(shè)備認(rèn)證機(jī)制，檢查接入設(shè)備是公司資產(chǎn)還是個(gè)人設(shè)備。領(lǐng)先企業(yè)，除了具備上述對(duì)人的認(rèn)證和對(duì)辦公設(shè)備的認(rèn)證機(jī)制外，對(duì)服務(wù)器也實(shí)施了設(shè)備身份認(rèn)證。在設(shè)備認(rèn)證方面，會(huì)配合NAC（NetworkAdmissionControl，網(wǎng)絡(luò)準(zhǔn)入控制）機(jī)制共同使用。對(duì)人（員工、訪客、合作伙伴）的身份認(rèn)證，如果是員工且采用有線接入，可直接借助Windows操作系統(tǒng)的域認(rèn)證，或者通過(guò)安全客戶端配合內(nèi)部統(tǒng)一的SSO系統(tǒng)進(jìn)行認(rèn)證。無(wú)線接入可采用WebAuth認(rèn)證方式（在訪問(wèn)網(wǎng)站時(shí)引導(dǎo)到認(rèn)證網(wǎng)頁(yè)），員工使用SSO進(jìn)行身份認(rèn)證，訪問(wèn)使用臨時(shí)隨機(jī)口令等方式。對(duì)設(shè)備的認(rèn)證，如果目標(biāo)是僅校驗(yàn)是否為公司已授權(quán)的設(shè)備，最簡(jiǎn)單的實(shí)現(xiàn)方式是在資產(chǎn)庫(kù)登記設(shè)備ID、MAC地址，只要是已登記的設(shè)備且MAC一致，即認(rèn)證通過(guò)。在具有更加嚴(yán)格要求的網(wǎng)絡(luò)環(huán)境，可以通過(guò)頒發(fā)設(shè)備數(shù)字證書，來(lái)執(zhí)行設(shè)備認(rèn)證。網(wǎng)絡(luò)接入授權(quán)有了對(duì)人和設(shè)備的不同區(qū)分，我們就可以制定精細(xì)化的授權(quán)策略（如表11-1所示），如只允許員工使用企業(yè)內(nèi)部的設(shè)備訪問(wèn)內(nèi)部網(wǎng)絡(luò)。表11-1目標(biāo)網(wǎng)絡(luò)區(qū)域授權(quán)有了這個(gè)規(guī)則，我們就可以在接入設(shè)備上配合NAC（將在下面介紹）執(zhí)行訪問(wèn)控制了。網(wǎng)絡(luò)層訪問(wèn)控制網(wǎng)絡(luò)準(zhǔn)入控制早期的企業(yè)辦公網(wǎng)絡(luò)，是電腦插上網(wǎng)線就能用，但是這樣存在一個(gè)問(wèn)題，任何電腦都能接入，非常容易引入病毒、木馬等不安全因素，也無(wú)法有效防止內(nèi)部數(shù)據(jù)通過(guò)私人攜帶的筆記本電腦泄露。為了解決這個(gè)問(wèn)題，業(yè)界有了網(wǎng)絡(luò)準(zhǔn)入控制（NAC）的相關(guān)思路和解決方案，可以將不受信任的終端（如訪客攜帶的電腦）排除在公司網(wǎng)絡(luò)之外。NAC原理網(wǎng)絡(luò)準(zhǔn)入控制，如圖11-18所示，是在網(wǎng)絡(luò)層控制用戶和設(shè)備接入的手段，確保只有符合企業(yè)要求的人員、設(shè)備才能訪問(wèn)對(duì)應(yīng)的網(wǎng)絡(luò)資源，防止不可信或不安全的設(shè)備特別是感染病毒木馬的計(jì)算機(jī)接入企業(yè)網(wǎng)絡(luò)后，對(duì)網(wǎng)絡(luò)產(chǎn)生風(fēng)險(xiǎn)。圖11-18網(wǎng)絡(luò)準(zhǔn)入控制原理網(wǎng)絡(luò)準(zhǔn)入策略中心提供身份認(rèn)證、安全檢查與授權(quán)、記賬等服務(wù)。如果策略檢查不通過(guò)，則將終端設(shè)備接入修復(fù)區(qū)，對(duì)不符合策略要求的風(fēng)險(xiǎn)進(jìn)行修復(fù)，如資產(chǎn)登記、病毒庫(kù)更新、打補(bǔ)丁等，直到符合要求，才能重新接入企業(yè)網(wǎng)絡(luò)。注意仔細(xì)觀察圖11-18，網(wǎng)絡(luò)接入策略中心就相當(dāng)于安全架構(gòu)5A中的授權(quán)模塊，而網(wǎng)絡(luò)接入設(shè)備就相當(dāng)于訪問(wèn)控制模塊，終端設(shè)備在申請(qǐng)接入的時(shí)候也是需要先通過(guò)身份認(rèn)證的。實(shí)施NAC的技術(shù)主要有：802.1X（需要交換機(jī)設(shè)備支持，是一種網(wǎng)絡(luò)接入控制協(xié)議，可對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制）。DHCP（先分配一個(gè)臨時(shí)的IPIP）。各個(gè)要素。辦公終端管理如圖11-19所示，辦公終端從安全上可以分為如下幾類：圖11-19設(shè)備狀態(tài)未注冊(cè)終端：沒有在系統(tǒng)中登記的終端。這是所有終端設(shè)備的初始狀態(tài)，管理政策上可規(guī)定未注冊(cè)終端不具有任何權(quán)限（也就是說(shuō)無(wú)法用于辦公使用），并體現(xiàn)在訪問(wèn)控制機(jī)制上。已注冊(cè)終端：未注冊(cè)終端按照規(guī)定的流程，使用規(guī)定的注冊(cè)工具，在資產(chǎn)庫(kù)中登記相應(yīng)的信息（如設(shè)備編號(hào)、MAC地址、使用責(zé)任人等），變?yōu)橐炎?cè)終端；管理政策上可限制僅允許公司配發(fā)的電腦才可以成功注冊(cè)；不可信終端：是那些之前已經(jīng)完成注冊(cè)登記，但目前無(wú)法通過(guò)設(shè)備認(rèn)證（如病毒庫(kù)過(guò)期、存在高危漏洞補(bǔ)丁未修復(fù)）、未通過(guò)人員認(rèn)證，或策略檢測(cè)不通過(guò)的終端；不可信終端通過(guò)接入修復(fù)區(qū)，完成修復(fù)后可轉(zhuǎn)為可信任終端。可信任終端：通過(guò)設(shè)備認(rèn)證、人員認(rèn)證及安全政策檢測(cè)的已注冊(cè)終端。設(shè)備認(rèn)證可通過(guò)設(shè)備證書，或設(shè)備ID、MAC地址等進(jìn)行資產(chǎn)庫(kù)驗(yàn)證；人員認(rèn)證通過(guò)SSO或WindowsActiveDirectory（AD域）實(shí)施；安全政策檢查包括系統(tǒng)補(bǔ)丁、病毒庫(kù)更新狀態(tài)、安裝了規(guī)定的軟件、未安裝指定的黑名單軟件等?？尚湃谓K端在發(fā)現(xiàn)新的風(fēng)險(xiǎn)后，可降級(jí)為不可信終端，并因此拒絕接入辦公網(wǎng)絡(luò)。通過(guò)對(duì)設(shè)備狀態(tài)的判定，可執(zhí)行相應(yīng)的網(wǎng)絡(luò)準(zhǔn)入控制，如：只允許公司配發(fā)的電腦（或已登記并經(jīng)過(guò)授權(quán)的個(gè)人電腦）才能注冊(cè)登記，并通過(guò)設(shè)備的身份認(rèn)證。只允許可信任終端接入辦公網(wǎng)絡(luò)，否則接入修復(fù)區(qū)。如果不滿足上述全部要求，則NAC會(huì)將電腦接入修復(fù)區(qū)，在修復(fù)區(qū)，可以執(zhí)行合法訪問(wèn)前的修復(fù)動(dòng)作，如加入企業(yè)的AD域、升級(jí)補(bǔ)丁、安裝必要的安全客戶端和防病毒軟件等。在修復(fù)之后，才能正常訪問(wèn)辦公網(wǎng)絡(luò)。服務(wù)器NAC房，插根網(wǎng)線就接入生產(chǎn)網(wǎng)絡(luò)，帶來(lái)的風(fēng)險(xiǎn)可想而知（帶入病毒、竊取數(shù)據(jù)、惡意掃描等）。基于不信任原則，我們不能信任任何內(nèi)外部人員，也可以不信任任何設(shè)備。當(dāng)然，由于實(shí)施NAC的成本比較高，目前只有個(gè)別領(lǐng)先的公司實(shí)施了NAC（基于TPM和數(shù)字證書的認(rèn)證與信任傳遞機(jī)制），大多數(shù)公司尚未實(shí)施或沒有計(jì)劃實(shí)施。很多大型企業(yè)也只是實(shí)施了辦公網(wǎng)的NAC，而生產(chǎn)環(huán)境的服務(wù)器還沒有實(shí)施NAC的計(jì)劃。是否實(shí)施服務(wù)器NAC，企業(yè)管理者可以進(jìn)行權(quán)衡。對(duì)于服務(wù)器來(lái)說(shuō)，實(shí)施服務(wù)器NAC之后的好處顯而易見，只有企業(yè)的服務(wù)器設(shè)備才能接入生產(chǎn)網(wǎng)絡(luò)，而其他未經(jīng)授權(quán)的設(shè)備將被拒絕接入。生產(chǎn)網(wǎng)絡(luò)主動(dòng)連接外網(wǎng)的訪問(wèn)控制對(duì)于生產(chǎn)環(huán)境的服務(wù)器，經(jīng)常有下載第三方軟件或跟外部第三方業(yè)務(wù)集成的需求，應(yīng)該如何控制它們?cè)L問(wèn)互聯(lián)網(wǎng)的行為呢？下載開源軟件一般可通過(guò)自建軟件源的方式解決，但跟外部第三方業(yè)務(wù)集成就不得不訪問(wèn)外網(wǎng)了。策略一般有兩種：第一種策略是允許服務(wù)器自由訪問(wèn)互聯(lián)網(wǎng)（如圖11-20所示），不加管控，效率較高，但無(wú)法防止敏感數(shù)據(jù)外傳。如果黑客已進(jìn)入內(nèi)網(wǎng)，則他可以自由外傳敏感數(shù)據(jù)；此外，員工也可能私建VPN網(wǎng)絡(luò)，將風(fēng)險(xiǎn)引入生產(chǎn)網(wǎng)絡(luò)。圖11-20服務(wù)器自由訪問(wèn)外網(wǎng)模式第二種策略是不允許服務(wù)器自由訪問(wèn)互聯(lián)網(wǎng)（如圖11-21所示），需經(jīng)過(guò)指定的代理服務(wù)器和相應(yīng)的配置，這樣對(duì)業(yè)務(wù)的效率會(huì)有少量影響，但可以很好地控制數(shù)據(jù)外傳和員工行為。圖11-21經(jīng)由統(tǒng)一代理訪問(wèn)外網(wǎng)如果選擇第二種方案，就需要配套建設(shè)相應(yīng)的基礎(chǔ)設(shè)施，包括：生產(chǎn)網(wǎng)絡(luò)出向訪問(wèn)的專用代理，需要支持多種訪問(wèn)策略，如限定一個(gè)目標(biāo)網(wǎng)站（點(diǎn)對(duì)點(diǎn)）、多個(gè)目標(biāo)網(wǎng)站、任意目標(biāo)網(wǎng)站等。內(nèi)部軟件源（路）。名單原則。網(wǎng)絡(luò)防火墻的管理在真正的無(wú)邊界網(wǎng)絡(luò)架構(gòu)里，企業(yè)的各種業(yè)務(wù)和服務(wù)，都按照安全的架構(gòu)原則，通過(guò)身份認(rèn)證、最小化授權(quán)、訪問(wèn)控制、審計(jì)，并實(shí)施了安全的資產(chǎn)保護(hù)，其實(shí)是不需要防火墻的。但由于存量系統(tǒng)中大量存在的不符合安全最佳實(shí)踐的業(yè)務(wù)，徹底放棄防火墻目前還言之過(guò)早，網(wǎng)絡(luò)防火墻仍是不同的安全域之間訪問(wèn)控制的主要執(zhí)行者，特別是內(nèi)網(wǎng)的不同安全域之間的互訪。當(dāng)前，我們可以繼續(xù)讓防火墻在切斷關(guān)鍵路徑上繼續(xù)發(fā)揮作用，并逐步吸收無(wú)邊界網(wǎng)絡(luò)架構(gòu)的理念，來(lái)改進(jìn)我們的業(yè)務(wù)。雖然已經(jīng)有了不少下一代防火墻的產(chǎn)品，但目前大型企業(yè)主要使用的，還是只有最基本的功能，即基于五元組的訪問(wèn)控制。這里簡(jiǎn)單介紹一下最基本的五元組概念（如圖11-22所示）：圖11-22防火墻五元組源IP地址，用于限制訪問(wèn)來(lái)源。源端口，一般使用any，因?yàn)橹鲃?dòng)發(fā)起方所使用的端口是隨機(jī)的；但對(duì)于那些采用無(wú)狀態(tài)防火墻管理的企業(yè)來(lái)說(shuō)，就需要單獨(dú)為服務(wù)器的響應(yīng)創(chuàng)建一條策略，比如Web服務(wù)器響應(yīng)用戶請(qǐng)求的源端口是80或443。目的IP地址，用于限定目標(biāo)范圍。目的端口，用于限定目標(biāo)服務(wù)。（TCP/UDP）。一條防火墻策略，包含了五元組和訪問(wèn)控制動(dòng)作（放行、拒絕）在實(shí)際的防火墻日常運(yùn)營(yíng)中，可能會(huì)面臨諸多問(wèn)題：策略越來(lái)越臃腫，逐步逼近或已達(dá)到防火墻設(shè)備的策略上限。隨著業(yè)務(wù)的變遷，歷史策略中的一部分早已失效，成為了網(wǎng)絡(luò)訪問(wèn)控制的漏洞。隨著業(yè)務(wù)的擴(kuò)張，安全域越來(lái)越多，策略越來(lái)越復(fù)雜。為了解決這些問(wèn)題，我們也開始反思，安全域與防火墻是否用對(duì)了？我們用自己的經(jīng)驗(yàn)和教訓(xùn)，總結(jié)了幾條建議：安全域不能過(guò)多，只要滿足合規(guī)要求及敏感業(yè)務(wù)的保密需要即可。跟基礎(chǔ)設(shè)施有關(guān)的納入基線策略，建設(shè)時(shí)一次性開通，不要讓業(yè)務(wù)來(lái)申請(qǐng)，由安全團(tuán)隊(duì)和網(wǎng)絡(luò)維護(hù)團(tuán)隊(duì)定期審視。業(yè)務(wù)申請(qǐng)的防火墻，需要具備流程上的清理機(jī)制，具備責(zé)任人和有效期機(jī)制，并在流程上啟用到期前提醒功能，復(fù)核該策略的必要性；服務(wù)器之間的策略由于都是固定的IP地址，有效期可以長(zhǎng)一些，建議一年；由于辦公網(wǎng)大多采用DHCP機(jī)制，因此辦公網(wǎng)到服務(wù)器的策略，只要訪問(wèn)源屬于動(dòng)態(tài)IP，就需要壓縮有效期（一個(gè)月以內(nèi)）。臨時(shí)策略，一般用于滿足應(yīng)急、測(cè)評(píng)的需要，按需短期開放，到期撤銷。此外，有一些協(xié)議，本身安全性不夠，或者需要開很多端口才能正常使用，這一類協(xié)議需要加以限制，盡量不用；比如FTP，就算允許使用，也很少有員工能夠一次性填寫正確，或者知道FTP主動(dòng)模式和被動(dòng)模式分別需要開啟哪些防火墻策略。提示FTP主動(dòng)模式需要使用21和20端口，其中21端口用于指令通道，20端口用于數(shù)據(jù)通道（且由服務(wù)器主動(dòng)發(fā)起數(shù)據(jù)傳輸連接）；FTP被動(dòng)模式需要使用21端口和協(xié)商的隨機(jī)端口（端口范圍可配置），均由客戶端主動(dòng)發(fā)起；無(wú)論是主動(dòng)模式，還是被動(dòng)模式，均存在明顯的缺點(diǎn)，不推薦使用。內(nèi)部網(wǎng)絡(luò)值得信任嗎在過(guò)去的觀念里，一般認(rèn)為內(nèi)網(wǎng)網(wǎng)絡(luò)比較安全，而外部網(wǎng)絡(luò)風(fēng)險(xiǎn)比較大。但這個(gè)觀念也帶來(lái)了一系列的問(wèn)題，如：沒有為內(nèi)部業(yè)務(wù)建立相應(yīng)的身份認(rèn)證、授權(quán)與訪問(wèn)控制機(jī)制，一旦黑客進(jìn)入內(nèi)網(wǎng)，就可以利用內(nèi)網(wǎng)缺乏防護(hù)的弱點(diǎn)，擴(kuò)大入侵范圍。沒有及時(shí)給內(nèi)網(wǎng)服務(wù)器打上補(bǔ)丁，一旦病毒進(jìn)入內(nèi)網(wǎng)，就會(huì)肆意傳播。在一些保密性要求較高的內(nèi)部網(wǎng)絡(luò)里，往往會(huì)設(shè)置一些跟辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)隔離的孤島網(wǎng)絡(luò)，這些孤島網(wǎng)絡(luò)在補(bǔ)丁管理和病毒防護(hù)上存在明顯缺陷。2010年6月，震網(wǎng)病毒（Stuxnet）被首次發(fā)現(xiàn)，是第一個(gè)定向攻擊現(xiàn)實(shí)世界中重要工業(yè)基礎(chǔ)設(shè)施的“蠕蟲”病毒，比如核電站、電網(wǎng)、石油鉆井、供水設(shè)施等。據(jù)分析，這種病毒可利用U盤進(jìn)行傳播，并借此進(jìn)入伊朗核電站的內(nèi)部網(wǎng)絡(luò)，攻擊鈾濃縮設(shè)備，造成離心機(jī)損壞等后果?？梢?，黑客進(jìn)入內(nèi)部網(wǎng)絡(luò)并非難事，內(nèi)部網(wǎng)絡(luò)并不安全。為了進(jìn)一步說(shuō)明這個(gè)觀點(diǎn)，我們可以看一個(gè)實(shí)際的安全意識(shí)演習(xí)例子：在2016年的BlackHat大會(huì)上，谷歌反欺詐研究團(tuán)隊(duì)的負(fù)責(zé)人ElieBursztein分享了一個(gè)名為“丟U盤進(jìn)行社工攻擊真的有效嗎？”的議題，講述他嘗試在伊利諾伊大學(xué)校園里各處丟棄297個(gè)U盤（并且貼上了所有者的名字和地址標(biāo)簽），看看有沒有好奇的人會(huì)撿回并查看U盤里究竟有什么內(nèi)容。Bursztein的調(diào)查結(jié)果顯示：135個(gè)U盤被人撿走后都連接了電腦，并且還打開了其中的文件，經(jīng)其中用于測(cè)試的“惡意程序”給Bursztein回傳了數(shù)據(jù)。這個(gè)比例達(dá)到了驚人的45%！也就是說(shuō)，黑客想進(jìn)入企業(yè)的內(nèi)網(wǎng)其實(shí)非常容易，丟幾個(gè)惡意的U盤就可以了。因此，內(nèi)網(wǎng)也不值得信任，我們必須假設(shè)黑客已經(jīng)進(jìn)入內(nèi)網(wǎng)，再來(lái)談如何從根本上改進(jìn)安全。當(dāng)然，這里所說(shuō)的不信任內(nèi)網(wǎng)，并不意味著內(nèi)網(wǎng)一無(wú)是處，盡可能地降低攻擊面，減少暴露的機(jī)會(huì)，對(duì)于當(dāng)前的業(yè)務(wù)還是必要的。運(yùn)維通道的訪問(wèn)控制服務(wù)器執(zhí)行運(yùn)維，則需要通過(guò)跳板機(jī)或運(yùn)維平臺(tái)來(lái)中轉(zhuǎn)。這樣就可以在內(nèi)部防火墻設(shè)備臺(tái)的策略（如圖11-23所示）。圖11-23運(yùn)維通道訪問(wèn)控制網(wǎng)絡(luò)層流量審計(jì)網(wǎng)絡(luò)層流量審計(jì)，就是以網(wǎng)絡(luò)層的流量為分析對(duì)象，構(gòu)建基于大數(shù)據(jù)的流量分析及事件挖掘系統(tǒng)，主動(dòng)地從中發(fā)現(xiàn)DDoS攻擊、入侵、數(shù)據(jù)泄露、明文傳輸敏感信息等風(fēng)險(xiǎn)。數(shù)據(jù)源就是訪問(wèn)公司業(yè)務(wù)的流量，主要是Web流量。如何才能得到流量呢？尚未普及的年代，可以直接通過(guò)鏈路層、網(wǎng)絡(luò)層提取，如分光器、NIDS（NetworkIntrusionDetectionSystem，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)）等各種網(wǎng)絡(luò)設(shè)備等。但隨著HTTPS的普及，HTTPS的流量已無(wú)法直接從網(wǎng)絡(luò)層獲取，上述來(lái)源幾近失效，需要尋找新的流量來(lái)源?；诿魑膫鬏?shù)木W(wǎng)絡(luò)層的流量審計(jì)，其使用場(chǎng)景已非常有限，因此這里不再展開。提示這部分流量逐漸轉(zhuǎn)移到應(yīng)用層，例如通過(guò)應(yīng)用層的統(tǒng)一接入網(wǎng)關(guān)或WAF獲取流量的鏡像副本。最典型的流量來(lái)源，應(yīng)當(dāng)首選HTTPS統(tǒng)一接入應(yīng)用網(wǎng)關(guān)，接入網(wǎng)關(guān)可以作為HTTPS的中止點(diǎn)（TLSEnd），流量在這里解密，因此可作為流量分析的輸入源?？捎糜诹髁繉?shí)時(shí)分析的開源工具有Storm、SparkStreaming、Flink等，具體方法屬于大數(shù)據(jù)的研究領(lǐng)域，此處不再展開。有了流量數(shù)據(jù)，就可以對(duì)指定時(shí)間窗之內(nèi)的流量進(jìn)行聚合、統(tǒng)計(jì)、分析等操作，就如同操作普通的數(shù)據(jù)庫(kù)查詢一樣。網(wǎng)絡(luò)層資產(chǎn)保護(hù)：DDoS緩解如果有業(yè)務(wù)經(jīng)常遭受DDoS（DistributedDenialofService，分布式拒絕服務(wù)）攻擊，需要采取緩解措施，或建立應(yīng)對(duì)DDoS的防御基礎(chǔ)設(shè)施，構(gòu)成安全立體防御體系的一部分（網(wǎng)絡(luò)層防御）。DDoS簡(jiǎn)介DDoS，即分布式拒絕服務(wù)攻擊，是從多個(gè)來(lái)源針對(duì)一個(gè)目標(biāo)發(fā)起的旨在讓目標(biāo)不可用的攻擊形式。DDoS的攻擊類型實(shí)在太多，總結(jié)下來(lái)可以概況為兩類：網(wǎng)絡(luò)帶寬資源耗盡型（利用第三方服務(wù)的反射放大攻擊、利用協(xié)議缺陷的異常包等），相當(dāng)于通往目的地的通路被堵住，就算目標(biāo)服務(wù)還能正常提供服務(wù)，但正常的用戶訪問(wèn)不到。在這種情況下，正常用戶的訪問(wèn)請(qǐng)求根本就到不了服務(wù)器。主機(jī)計(jì)算資源耗盡型（典型的是CC攻擊），是指流量已到達(dá)目標(biāo)服務(wù)器，并且把目標(biāo)服務(wù)器的資源（CPU、內(nèi)存等）給占滿，使得服務(wù)器無(wú)法處理正常用戶的訪問(wèn)請(qǐng)求。這兩種類型也經(jīng)?；旌显谝黄?。以近期典型的放大倍數(shù)最高可達(dá)5萬(wàn)倍的Memcached反射放大攻擊為例（如圖11-24所示）：圖11-24反射放大攻擊正常情況下，用戶發(fā)出的請(qǐng)求數(shù)據(jù)包到達(dá)服務(wù)器之后，其對(duì)應(yīng)的響應(yīng)包會(huì)回到用戶這里；但攻擊者將UDP包中源IP偽造為目標(biāo)網(wǎng)站的IP（Memcached收到請(qǐng)求后將結(jié)果返回給目標(biāo)網(wǎng)站），即可用很小的流量獲得巨大的流量攻擊效果。DDoS緩解措施由于涉及利益關(guān)系，DDoS攻擊無(wú)法根除，只能采取措施加以緩解。如果沒有專業(yè)的抗DDoS產(chǎn)品，首先就需要從產(chǎn)品自身考慮，提升產(chǎn)品應(yīng)對(duì)DDoS的能力。一方面，可以提升產(chǎn)品自身能力，主要的方法包括：優(yōu)化代碼，降低系統(tǒng)資源占用。啟用緩存，降低對(duì)數(shù)據(jù)庫(kù)資源的頻繁讀取。另一方面，可以對(duì)服務(wù)降級(jí)，暫停高消耗型的功能，提供有損的服務(wù)。經(jīng)此優(yōu)化，可提升對(duì)小流量DDoS的防護(hù)能力，但這往往還不夠。繼續(xù)緩解的思路無(wú)非就是針對(duì)攻擊方利用的弱點(diǎn)：讓服務(wù)器前的帶寬入口大于攻擊流量帶寬，如擴(kuò)充帶寬或購(gòu)買高防IP，要想防止10Gbps的DDoS攻擊，首先你的網(wǎng)絡(luò)入口帶寬就得大于10Gbps。提升自身性能的同時(shí)，啟用負(fù)載均衡或CDN圖11-25所示；假設(shè)分流節(jié)點(diǎn)有100個(gè)，則每個(gè)節(jié)點(diǎn)承受的流量就變?yōu)樵瓉?lái)的1/100（這些流量中的絕大部分是不會(huì)發(fā)送到后端的真實(shí)業(yè)務(wù)的）。圖11-25基于CDN或其他負(fù)載均衡的DDoS緩解方案專業(yè)抗DDoS方案專業(yè)的抗DDoS解決方案，是云計(jì)算企業(yè)、CDN/安全防護(hù)廠商、運(yùn)營(yíng)商等大型企業(yè)才會(huì)考慮的事情。原本他們的業(yè)務(wù)自身就需要極大的帶寬，擁有現(xiàn)成的富裕的帶寬資源，也擁有眾多的CDN節(jié)點(diǎn)，甚至總的入口帶寬超過(guò)Tbps，因此通過(guò)CDN分流后，可防御Tbps量級(jí)的DDoS攻擊。而他們的客戶也有抗DDoS的需求，利用現(xiàn)有的資源，特別是天然的帶寬優(yōu)勢(shì)，在不怎么增加投入的情況下，即可方便地開展抗DDoS業(yè)務(wù)。一種抗DDoS方案的基本原理如圖11-26所示。圖11-26抗DDoS產(chǎn)品原理其中，鏡像流量可以來(lái)自分光器、IDS設(shè)備、應(yīng)用網(wǎng)關(guān)等設(shè)施，作為檢測(cè)集群的輸將攻擊流量清洗掉（丟棄）。騰訊的宙斯盾系統(tǒng)就是在實(shí)戰(zhàn)中逐步發(fā)展起來(lái)的抗DDoS系統(tǒng)，可抵御超過(guò)Tbps級(jí)DDoS攻擊（如圖11-27所示），詳見：軍備競(jìng)賽：DDoS攻擊防護(hù)體系構(gòu)建[1]。圖11-27騰訊宙斯盾抗DDoS架構(gòu)通過(guò)和CDN配合，降低分流到單個(gè)入口的帶寬，以及帶寬擴(kuò)容，可以極大提升抵御DDoS攻擊的能力。基于訪問(wèn)控制的思想，專業(yè)的抗DDoS方案開始利用大數(shù)據(jù)的分析方法，構(gòu)建自己的防護(hù)數(shù)據(jù)庫(kù)，例如：應(yīng)用端口登記，這樣訪問(wèn)未登記的端口可以視為消耗帶寬的無(wú)效請(qǐng)求，可以直接拋棄。物聯(lián)網(wǎng)設(shè)備IP，如智能攝像頭、家用智能路由器等，如果業(yè)務(wù)并未向這些設(shè)備提供服務(wù)，可以直接拋棄。對(duì)中小型企業(yè)來(lái)說(shuō)，由于沒有足夠的帶寬來(lái)對(duì)抗DDoS攻擊流量，往往需要采購(gòu)第三方的抗DDoS服務(wù)，服務(wù)形態(tài)主要有兩種：高防IP，這屬于單節(jié)點(diǎn)的抗DDoS方案，由于是單入口的高帶寬占用，供應(yīng)商會(huì)使用單獨(dú)的高防機(jī)房，部署高帶寬，因此成本比較高。高防CDN，通過(guò)分流，在每個(gè)CDN入口均實(shí)施抗DDoS方案。第3章設(shè)備和主機(jī)層安全架構(gòu)基于安全架構(gòu)5A方法論，安全架構(gòu)在設(shè)備和主機(jī)層主要關(guān)注（如圖12-1所示）：圖12-1安全架構(gòu)在設(shè)備和主機(jī)層關(guān)注點(diǎn)身份認(rèn)證與賬號(hào)安全：最典型的場(chǎng)景是SSH登錄安全。授權(quán)與訪問(wèn)控制：誰(shuí)有權(quán)可以登錄、登錄來(lái)源限制、端口開放限制。主機(jī)資產(chǎn)保護(hù)：防止惡意軟件破壞主機(jī)計(jì)算環(huán)境，如防病毒、主機(jī)入侵檢測(cè)等。主機(jī)運(yùn)維審計(jì)與入侵檢測(cè)。簡(jiǎn)介主機(jī)統(tǒng)一認(rèn)證管理。操作系統(tǒng)母盤鏡像。Docker容器基礎(chǔ)鏡像。補(bǔ)丁管理，保障主機(jī)操作系統(tǒng)及組件完整性。防病毒管理，防止病毒、木馬、Web-Shell等有害程序危害安全。HIDS（基于主機(jī)的入侵檢測(cè)系統(tǒng)），監(jiān)測(cè)主機(jī)入侵行為并觸發(fā)告警及應(yīng)急響應(yīng)。身份認(rèn)證與賬號(hào)安全業(yè)務(wù)初始化部署、變更、異常處置等場(chǎng)景，免不了需要登錄服務(wù)器進(jìn)行各種運(yùn)維操作。對(duì)于linux服務(wù)器來(lái)說(shuō)，一般是指SSH登錄；對(duì)Windows服務(wù)器是遠(yuǎn)程桌面；對(duì)網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，除了SSH，一些舊設(shè)備還支持傳統(tǒng)的TELNET。設(shè)備/主機(jī)身份認(rèn)證的主要風(fēng)險(xiǎn)2019年2月，國(guó)內(nèi)某人臉識(shí)別公司發(fā)生數(shù)據(jù)泄露，超過(guò)250萬(wàn)人的680萬(wàn)條記錄泄露，包括身份證、人臉識(shí)別圖像、捕捉地點(diǎn)等。據(jù)調(diào)查，該公司數(shù)據(jù)庫(kù)沒有密碼保護(hù)，自2018年7月以來(lái)，該數(shù)據(jù)庫(kù)一直對(duì)外開放，直到泄露事件發(fā)生后才切斷外部訪問(wèn)。類似案例都是源于非實(shí)名賬號(hào)問(wèn)題。操作系統(tǒng)默認(rèn)使用非實(shí)名賬號(hào)和靜態(tài)口令，風(fēng)險(xiǎn)包括：使用的非實(shí)名賬號(hào)（如root、administrator）在運(yùn)維審計(jì)時(shí)難以定位到具體的人員，且黑客也可以使用這些賬號(hào)登錄。冗余的賬號(hào)，這些多出來(lái)的賬號(hào)有可能是黑客留下的，或者雖然是員工創(chuàng)建的，但有可能被黑客利用。通用口令，即多臺(tái)服務(wù)器使用同一個(gè)口令。歷史上已經(jīng)泄露的口令，如員工通過(guò)博客、開源等泄露出去的口令，也可劃入弱口令之列。由于非實(shí)名賬號(hào)黑客也可以登錄，無(wú)法關(guān)聯(lián)到具體的使用人員，給事件定位、追溯帶來(lái)麻煩；通用口令和弱口令很容易導(dǎo)致服務(wù)器口令被黑客獲取，從而給業(yè)務(wù)帶來(lái)風(fēng)險(xiǎn)。動(dòng)態(tài)口令靜態(tài)口令容易被黑客利用，不安全，所以安全的做法就是對(duì)SSH啟用實(shí)名關(guān)聯(lián)和動(dòng)態(tài)口令。Linux下面有一個(gè)PAM模塊（PluggableAuthenticationModules，身份認(rèn)證插件），可用于替換系統(tǒng)默認(rèn)的靜態(tài)口令認(rèn)證機(jī)制，如果考慮自行開發(fā)的話，可從這里入手，跟企業(yè)的SSO關(guān)聯(lián)，讓員工可以使用統(tǒng)一的身份認(rèn)證機(jī)制進(jìn)行運(yùn)維。業(yè)界也有公開的解決方案，如GoogleAuthenticator、TOTP（Time-basedOne-TimePassword）等。一次一密認(rèn)證方案如果沒有動(dòng)態(tài)口令機(jī)制，在安全性要求不是很高的場(chǎng)景，也可以考慮一次一密機(jī)制，配合口令管理系統(tǒng)使用。一次一密，指的是每一次登錄服務(wù)器的時(shí)候，都使用不同的服務(wù)器口令。圖12-2是一個(gè)采用一次一密方案的登錄流程，可供參考。圖12-2一次一密運(yùn)維登錄方案不過(guò)，這種方案必須具備口令的修改機(jī)制，如變更時(shí)間窗（即申請(qǐng)執(zhí)行運(yùn)維操作的時(shí)間段）關(guān)閉的時(shí)候修改口令或定期修改口令（口令短期有效，超時(shí)自動(dòng)改密）。在運(yùn)維工具方面，還需要執(zhí)行相應(yīng)的權(quán)限校驗(yàn)和運(yùn)維審計(jì)。私有協(xié)議后臺(tái)認(rèn)證方案一次一密機(jī)制仍存在泄露口令的風(fēng)險(xiǎn)。如果能夠在業(yè)務(wù)服務(wù)器上部署一個(gè)Agent（代理程序），采用私有協(xié)議向其下發(fā)指令，由Agent代理執(zhí)行運(yùn)維指令，則可以規(guī)避口令泄露的風(fēng)險(xiǎn)，如圖12-3所示。圖12-3私有協(xié)議+后臺(tái)認(rèn)證方案所謂私有協(xié)議，是相對(duì)于通用協(xié)議而言的。通用協(xié)議，就是廣泛使用的格式公開的協(xié)議，如HTTP、SMTP、SFTP。私有協(xié)議是指采用自定義協(xié)議格式且不公開該格式，僅在自身業(yè)務(wù)專門使用的協(xié)議，通過(guò)后臺(tái)認(rèn)證機(jī)制，以及對(duì)協(xié)議格式的保密，提高攻擊者的研究門檻，可采用RPC（遠(yuǎn)程過(guò)程調(diào)用）機(jī)制以二進(jìn)制的方式加密通信。提示RPC可以讓程序員像訪問(wèn)本地的函數(shù)庫(kù)一樣編程，實(shí)現(xiàn)訪問(wèn)遠(yuǎn)程服務(wù)的目的，程序員不用了解底層網(wǎng)絡(luò)傳輸?shù)募?xì)節(jié)。RPC可以走二進(jìn)制協(xié)議，也可以走HTTP/HTTPS協(xié)議。即使采用了私有協(xié)議，也不代表通信過(guò)程就是安全的，仍需要身份認(rèn)證機(jī)制。后臺(tái)認(rèn)證，就是在第4章中講到的后臺(tái)間身份認(rèn)證，如基于預(yù)共享密鑰的AES-GCM機(jī)制、基于證書的認(rèn)證機(jī)制等。授權(quán)與訪問(wèn)控制主機(jī)授權(quán)與賬號(hào)的訪問(wèn)控制對(duì)主機(jī)的授權(quán)，就是決定誰(shuí)能夠登錄這臺(tái)主機(jī)。通常在企業(yè)的CMDB（ConfigurationManagementDatabase，配置管理數(shù)據(jù)庫(kù)）中，每一臺(tái)服務(wù)器主機(jī)都有一個(gè)運(yùn)維責(zé)任人字段，也許還有一個(gè)備份責(zé)任人字段。我們就可以基于ABAC（基于屬性的訪問(wèn)控制）原則，只允許主機(jī)的兩個(gè)責(zé)任人登表了。假設(shè)有一臺(tái)服務(wù)器ServerA，有兩位責(zé)任人分別是Alice和Bob，另一團(tuán)隊(duì)的Carol也需要登錄該服務(wù)器。Carol就需要事先申請(qǐng)?jiān)L問(wèn)該服務(wù)器的權(quán)限，這樣，授權(quán)表里就包含了一條記錄：允許Carol在一年內(nèi)訪問(wèn)主機(jī)ServerA。如圖12-4所示，當(dāng)Carol通過(guò)運(yùn)維平臺(tái)嘗試登錄服務(wù)器ServerA，訪問(wèn)控制模塊會(huì)先基于ABAC原則，檢查Carol是否為該服務(wù)器的責(zé)任人，結(jié)果不是；訪問(wèn)控制模塊繼續(xù)訪問(wèn)授權(quán)模塊，檢查Carol是否具備訪問(wèn)該服務(wù)器的權(quán)限，結(jié)果是有權(quán)限且權(quán)限在有效期內(nèi)，于是放行。圖12-4主機(jī)訪問(wèn)控制從安全上看，應(yīng)當(dāng)避免不同的業(yè)務(wù)復(fù)用服務(wù)器，因?yàn)檫@可能影響當(dāng)前業(yè)務(wù)的可用性；但從成本上看，這又難以避免，只能在安全和效率上加以權(quán)衡，讓高密級(jí)的業(yè)務(wù)不要跟其他業(yè)務(wù)復(fù)用服務(wù)器資源。主機(jī)服務(wù)監(jiān)聽地址運(yùn)維端口屬于內(nèi)部運(yùn)維專用，如果對(duì)外網(wǎng)開放，且使用了靜態(tài)口令機(jī)制，則很有可能被黑客從外網(wǎng)直接登錄，給業(yè)務(wù)帶來(lái)?yè)p失。如果服務(wù)器只有內(nèi)網(wǎng)IP地址還好，但同時(shí)還有外網(wǎng)IP的話，默認(rèn)配置也會(huì)開啟監(jiān)聽，將端口暴露出去。在sshd的配置文件/etc/ssh/sshd_config中，可以找到監(jiān)聽地址設(shè)置：#ListenAddress可將修改為實(shí)際的內(nèi)網(wǎng)IP地址并取消前面的注釋符：ListenAddress0安全建議：業(yè)務(wù)服務(wù)器默認(rèn)只配置內(nèi)網(wǎng)IP，Web業(yè)務(wù)可通過(guò)統(tǒng)一接入網(wǎng)關(guān)接入，反向代理到內(nèi)網(wǎng)業(yè)務(wù)，降低犯錯(cuò)的可能性。跳板機(jī)與登錄來(lái)源控制2015年5月28日，某在線旅游網(wǎng)站出現(xiàn)大面積癱瘓，歷經(jīng)8小時(shí)之后才逐步恢復(fù)。次日官方發(fā)布情況說(shuō)明稱，此次事件是由于員工錯(cuò)誤操作，刪除了生產(chǎn)服務(wù)器上的執(zhí)行代碼導(dǎo)致，現(xiàn)已恢復(fù)，未造成客戶信息泄露。這個(gè)事件就是源于登錄服務(wù)器的問(wèn)題。登錄服務(wù)器的操作屬于敏感操作，所以一般大中型企業(yè)都為運(yùn)維操作建立了專用的跳板機(jī)（或稱之為堡壘機(jī)、運(yùn)維通道等），以及自動(dòng)化運(yùn)維平臺(tái)或系統(tǒng)，如圖12-5所示。圖12-5僅允許從跳板機(jī)/運(yùn)維平臺(tái)登錄業(yè)務(wù)服務(wù)器這樣，登錄的開源IP地址，可限制在跳板機(jī)或運(yùn)維平臺(tái)，而不能是其他來(lái)源。當(dāng)HIDS檢測(cè)到其他來(lái)源時(shí)，可第一時(shí)間觸發(fā)告警，排查是否有黑客入侵行為，以便啟動(dòng)應(yīng)急響應(yīng)。其中，最簡(jiǎn)單的歷史最悠久的安全運(yùn)維基礎(chǔ)設(shè)施，就要數(shù)跳板機(jī)了。跳板機(jī)屬于主機(jī)層訪問(wèn)控制手段，對(duì)來(lái)源進(jìn)行限制，如圖12-6所示。對(duì)于Linux服務(wù)器，通常開放SSH協(xié)議登錄，對(duì)于Windows服務(wù)器，通常為RDP（遠(yuǎn)程桌面）。圖12-6跳板機(jī)授權(quán)與訪問(wèn)控制，可限制只能讓目標(biāo)服務(wù)器的負(fù)責(zé)人訪問(wèn)，這對(duì)應(yīng)訪問(wèn)控制中的ABAC機(jī)制（基于屬性的訪問(wèn)控制）：if(user==server.owner){允許訪問(wèn)}如果需要增加其他的員工訪問(wèn)，則需要額外的權(quán)限申請(qǐng)和授權(quán)，添加ACL。運(yùn)維審計(jì)方面，需要跟操作者的真實(shí)身份關(guān)聯(lián)起來(lái)，這樣才能在HIDS檢測(cè)到異常時(shí)，快速定位。經(jīng)常性地登錄業(yè)務(wù)服務(wù)器存在潛在的風(fēng)險(xiǎn)：如果登錄目標(biāo)服務(wù)器采用的是靜態(tài)口令機(jī)制，可能會(huì)因?yàn)槿藶榈脑蛐孤叮缡褂猛ㄓ每诹?、弱口令，或者不小心泄露到外部開源