不可忽視的數(shù)據中心安全工具管理

申請免費試用、咨詢電話：400-8352-114

保護公司的數(shù)據中心是一項龐大的工程，即便一點疏忽，也可以帶來巨大的威脅。作為安全工具的主力軍，包括防火墻、防病毒軟件、垃圾郵件過濾器和間諜軟件過濾器等，共同組成的安全套件可以允許進行各種復雜的管理，并且還有一些新興的安全工具以及其他安全工具值得我們重新考慮。

不要互吹互擂

首席安全官們面臨的最大的問題之一就是要搞清楚究竟是什么在威脅他們的數(shù)據中心。防病毒軟件、防火墻和入侵檢測系統(tǒng)可以日志形式記錄大量的數(shù)據，這些數(shù)據中包括各種試圖對數(shù)據中心做出更改的人的行為記錄。通過在不同的軟件程序和跨部門系統(tǒng)中搜索這些記錄都將是個惱人的挑戰(zhàn)，James Quin表示，他是位于加拿大安大略省倫敦信息技術研究中心的高級研究分析師。

“對于那些希望剖析所有那些數(shù)據，然后將找出相互關聯(lián)的數(shù)據并且對全部數(shù)據進行參照對比的組織，就會發(fā)現(xiàn)這是一項非常巨大的工程，而且十分耗費勞動力，”Quin說。他建議使用登陸分析器，也被稱為安全信息管理器(SIM)以及安全信息和事件管理器(SIEM)，因為這些分析器可以從各種不同的系統(tǒng)中匯總數(shù)據。這種管理器工具可以迅速找出數(shù)據相關性并且能夠幾種管理日志，而且通常會伴有報告工具和分析工具。

ArcSight就是一個這樣的工具，它可以為那些有需要對大規(guī)模日志數(shù)據進行跟蹤或者想要具備許多功能的工具的企業(yè)提供最佳解決方案。

舊金山富國銀行的高級信息安全工程師Dennis Hein表示，ArcSight就像日志數(shù)據記錄工具中的“瑞士軍刀”，Hein利用這個產品來將銀行的所有日志數(shù)據匯總到一個地方，這樣做能夠為他節(jié)省很多時間來對異常數(shù)據進行追蹤。Hein表示“那些需要花費幾天來完成的調查工作，我們只需要幾分鐘到幾個小時內就能完成，因為這個工具可以設置為制造出格式規(guī)范的報告。”

而對于較小的公司或者那些不太需要定制化服務的公司，我們推薦使用TriGeo網絡安全公司的TriGeo以及賽門鐵克公司的安全信息管理器，雖然它們不像ArcSight一樣強大，但是這兩種工具使用簡單，特別是對于那些沒有特別的安全專業(yè)知識的公司。

使用日志匯總工具的另一個實際原因就是：他們可以阻止智能化攻擊?！叭绻愕膯T工中有人熟悉匯總工具的運作機理，那么攻擊可能會讓安全系統(tǒng)掛起黃色警告旗幟，但不會是紅色旗幟，”Mike Halperin表示，他是位于馬賽諸塞州Westborough市的Akibia的技術副總裁，這是一家專注于數(shù)據中心的顧問公司。

暴露你的缺點

首席安全官通常會做的反省工作會涉及到在數(shù)據中心內搜索薄弱環(huán)節(jié)，對于這個過程而言，可以考慮使用漏洞評估工具和管理工具，例如eEye Digital Security公司的Retina漏洞掃描器，GFI LANguard公司的漏洞掃描器，其掃描器還具有補丁管理和安全審計功能，或者還可以選擇Qualys，這是一款相對簡單的使用網絡的工具，使用于那些可能沒有具備相關技能的安全工作人員的小型公司。

位于美國加州默塞德市的擁有40個分行的County銀行，運行的是一個AS/400，并且大約擁有40臺電腦服務器，他們使用Qualys來定期對所有服務器上的日志記錄進行掃描。

County銀行的信息安全人員Charlie McClain表示說，“擁有Qualys這樣的工具是極為重要的，因為windows環(huán)境中的漏洞每天都在不斷更新?！彼矚gQualys的原因在于，這個工具可以即使更新漏洞，這意味著他不必自己去修復漏洞。

銀行除了每天例行掃描Windows服務器外，每個月還會掃描一次他們的AS/400。

另外市面上還有的漏洞掃描器包括Nessus，該開源漏洞掃描器工具因為內核兼容性問題不再被包容在BackTrack CD中。

經常進行漏洞掃描是十分重要的，KRvW Associates公司的創(chuàng)始人和首席顧問Ken van Wyk表示，“每隔一天掃描一次，能夠避免因為人類自身原因造成的愚蠢錯誤?！盞en認為應用軟件、配置、服務器或者網絡中的任何更改都可能帶來漏洞問題，并且需要及早發(fā)現(xiàn)及早修復。

CSI數(shù)據中心

漏洞掃描器也許算是最知名的計算機取證工具了，我們所謂的取證工具，包括最基本的日志掃描器以及那些可以從較深層次檢查系統(tǒng)內部情況的應用程序等，運行這些功能各異的工具所需要具備的技能和技術知識要求大不相同。嚴肅的取證分析是屬于專家級的工作，但是對于其他比較簡單的分析工具，則是任何人都可以使用的，雖然解譯可能需要專門的知識。首席安全官們至少應該在數(shù)據中心內配置一些基本的取證工具來檢查系統(tǒng)。

也許BackTrack 3 CD算是最好的例子了，BackTrack 3 CD(www.remote-exploit.org/backtrack.html)是一個載有開源取證工具集合包的CD。Forrester研究中心的高級分析師John Kindervag說道，“那些正在處理數(shù)據中心安全問題的人應該做的事情就是下載BackTrack 3 CD，學習如何使用其中的取證工具，并了解如何向其網絡環(huán)境中創(chuàng)建透明度?！?/P>

修復漏洞

那些能夠檢測數(shù)據中心的數(shù)據并能夠避免敏感數(shù)據泄漏等狀況的發(fā)生的軟件被稱為數(shù)據泄漏防護軟件，對于這個新領域的其他名稱還包括數(shù)據丟失防護(DLP)、信息泄漏檢測和預防(ILDP)，信息泄漏防護(ILP)，內容檢測和過慮(CMF)以及入侵防護系統(tǒng)等等。

數(shù)據泄漏防護工作使用的軟件可以監(jiān)控任何從數(shù)據中心調出去的數(shù)據，并且能夠防止敏感數(shù)據泄漏事故的發(fā)生。這方面的軟件吸引了眾多公司關注的目光，因為現(xiàn)在大多數(shù)公司開始將工作重心從內部威脅轉移到對調出公司外部的資源的監(jiān)控。“保護數(shù)據地關鍵問題在于要確保沒有不合時宜地將數(shù)據從公司內部調出去，”Quin表示，他還補充說道數(shù)據泄漏防護是規(guī)范以外的防護，當然每個公司肯定有各自不同的理解。

DLP市場中的大多數(shù)公司都是剛剛成立的新公司，但是在過去的6到9個月中，較大的安全供應商已經開始收購那些市場中獨立的小公司，例如賽門鐵克公司收購了Vontu，RSA收購了Tablus(現(xiàn)在是RSA數(shù)據丟失防護套件中的一部分)，而McAfee收購了Reconnex，Quin指出，“由更強大、資源更豐富和有能力的公司來支持這些獨立公司生產的各種產品，能夠結合這些產品的所有優(yōu)點，讓這些產品和這些公司成為該領域的領導力量?！?/P>

其他需要考慮的因素是公司的規(guī)模和你需要為保障數(shù)據安全問題投入的資源多少，Quin表示，在某些領域中，功能最強大的產品并不一定也是最適合中小型企業(yè)的產品;但是，在任何一種情況下，公司的首席安全官都應該評估功能與制約因素(如價格和人力需求等)之間的關系。

必須遵守

訪問控制是數(shù)據中心安全管理的核心問題，身份管理系統(tǒng)可以設置為限制訪問權，這些身份管理系統(tǒng)目前已經非常完善了，包括IBM公司的Tivoli ID 管理器和訪問管理器以及來自甲骨文公司、BMC、CA和Novell公司的競爭性產品。

訪問管理中的一個新興管理組件是政策合規(guī)管理，該管理工具可以使用安全政策來限制對資源的訪問權，而不是查看個人身份證件。這些產品包括賽門鐵克公司的BindView以及Elemental Security公司的Elemental Security Platform安全平臺。

需要記住的是，數(shù)據中心安全問題中有這樣一個問題，就是很多安全工具都擁有重復的功能和功能集合，舉例來說，一名分析師的日志分析工具可能是另一名安全信息管理員使用的工具，這個問題的解決可能需要供應商們加強對他們產品的開發(fā)。（IT專家網）