不可忽視的數(shù)據(jù)中心安全工具管理

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

保護(hù)公司的數(shù)據(jù)中心是一項(xiàng)龐大的工程，即便一點(diǎn)疏忽，也可以帶來(lái)巨大的威脅。作為安全工具的主力軍，包括防火墻、防病毒軟件、垃圾郵件過(guò)濾器和間諜軟件過(guò)濾器等，共同組成的安全套件可以允許進(jìn)行各種復(fù)雜的管理，并且還有一些新興的安全工具以及其他安全工具值得我們重新考慮。

不要互吹互擂

首席安全官們面臨的最大的問(wèn)題之一就是要搞清楚究竟是什么在威脅他們的數(shù)據(jù)中心。防病毒軟件、防火墻和入侵檢測(cè)系統(tǒng)可以日志形式記錄大量的數(shù)據(jù)，這些數(shù)據(jù)中包括各種試圖對(duì)數(shù)據(jù)中心做出更改的人的行為記錄。通過(guò)在不同的軟件程序和跨部門(mén)系統(tǒng)中搜索這些記錄都將是個(gè)惱人的挑戰(zhàn)，James Quin表示，他是位于加拿大安大略省倫敦信息技術(shù)研究中心的高級(jí)研究分析師。

“對(duì)于那些希望剖析所有那些數(shù)據(jù)，然后將找出相互關(guān)聯(lián)的數(shù)據(jù)并且對(duì)全部數(shù)據(jù)進(jìn)行參照對(duì)比的組織，就會(huì)發(fā)現(xiàn)這是一項(xiàng)非常巨大的工程，而且十分耗費(fèi)勞動(dòng)力，”Quin說(shuō)。他建議使用登陸分析器，也被稱(chēng)為安全信息管理器(SIM)以及安全信息和事件管理器(SIEM)，因?yàn)檫@些分析器可以從各種不同的系統(tǒng)中匯總數(shù)據(jù)。這種管理器工具可以迅速找出數(shù)據(jù)相關(guān)性并且能夠幾種管理日志，而且通常會(huì)伴有報(bào)告工具和分析工具。

ArcSight就是一個(gè)這樣的工具，它可以為那些有需要對(duì)大規(guī)模日志數(shù)據(jù)進(jìn)行跟蹤或者想要具備許多功能的工具的企業(yè)提供最佳解決方案。

舊金山富國(guó)銀行的高級(jí)信息安全工程師Dennis Hein表示，ArcSight就像日志數(shù)據(jù)記錄工具中的“瑞士軍刀”，Hein利用這個(gè)產(chǎn)品來(lái)將銀行的所有日志數(shù)據(jù)匯總到一個(gè)地方，這樣做能夠?yàn)樗?jié)省很多時(shí)間來(lái)對(duì)異常數(shù)據(jù)進(jìn)行追蹤。Hein表示“那些需要花費(fèi)幾天來(lái)完成的調(diào)查工作，我們只需要幾分鐘到幾個(gè)小時(shí)內(nèi)就能完成，因?yàn)檫@個(gè)工具可以設(shè)置為制造出格式規(guī)范的報(bào)告。”

而對(duì)于較小的公司或者那些不太需要定制化服務(wù)的公司，我們推薦使用TriGeo網(wǎng)絡(luò)安全公司的TriGeo以及賽門(mén)鐵克公司的安全信息管理器，雖然它們不像ArcSight一樣強(qiáng)大，但是這兩種工具使用簡(jiǎn)單，特別是對(duì)于那些沒(méi)有特別的安全專(zhuān)業(yè)知識(shí)的公司。

使用日志匯總工具的另一個(gè)實(shí)際原因就是：他們可以阻止智能化攻擊?！叭绻愕膯T工中有人熟悉匯總工具的運(yùn)作機(jī)理，那么攻擊可能會(huì)讓安全系統(tǒng)掛起黃色警告旗幟，但不會(huì)是紅色旗幟，”Mike Halperin表示，他是位于馬賽諸塞州Westborough市的Akibia的技術(shù)副總裁，這是一家專(zhuān)注于數(shù)據(jù)中心的顧問(wèn)公司。

暴露你的缺點(diǎn)

首席安全官通常會(huì)做的反省工作會(huì)涉及到在數(shù)據(jù)中心內(nèi)搜索薄弱環(huán)節(jié)，對(duì)于這個(gè)過(guò)程而言，可以考慮使用漏洞評(píng)估工具和管理工具，例如eEye Digital Security公司的Retina漏洞掃描器，GFI LANguard公司的漏洞掃描器，其掃描器還具有補(bǔ)丁管理和安全審計(jì)功能，或者還可以選擇Qualys，這是一款相對(duì)簡(jiǎn)單的使用網(wǎng)絡(luò)的工具，使用于那些可能沒(méi)有具備相關(guān)技能的安全工作人員的小型公司。

位于美國(guó)加州默塞德市的擁有40個(gè)分行的County銀行，運(yùn)行的是一個(gè)AS/400，并且大約擁有40臺(tái)電腦服務(wù)器，他們使用Qualys來(lái)定期對(duì)所有服務(wù)器上的日志記錄進(jìn)行掃描。

County銀行的信息安全人員Charlie McClain表示說(shuō)，“擁有Qualys這樣的工具是極為重要的，因?yàn)閣indows環(huán)境中的漏洞每天都在不斷更新。”他喜歡Qualys的原因在于，這個(gè)工具可以即使更新漏洞，這意味著他不必自己去修復(fù)漏洞。

銀行除了每天例行掃描Windows服務(wù)器外，每個(gè)月還會(huì)掃描一次他們的AS/400。

另外市面上還有的漏洞掃描器包括Nessus，該開(kāi)源漏洞掃描器工具因?yàn)閮?nèi)核兼容性問(wèn)題不再被包容在BackTrack CD中。

經(jīng)常進(jìn)行漏洞掃描是十分重要的，KRvW Associates公司的創(chuàng)始人和首席顧問(wèn)Ken van Wyk表示，“每隔一天掃描一次，能夠避免因?yàn)槿祟?lèi)自身原因造成的愚蠢錯(cuò)誤?！盞en認(rèn)為應(yīng)用軟件、配置、服務(wù)器或者網(wǎng)絡(luò)中的任何更改都可能帶來(lái)漏洞問(wèn)題，并且需要及早發(fā)現(xiàn)及早修復(fù)。

CSI數(shù)據(jù)中心

漏洞掃描器也許算是最知名的計(jì)算機(jī)取證工具了，我們所謂的取證工具，包括最基本的日志掃描器以及那些可以從較深層次檢查系統(tǒng)內(nèi)部情況的應(yīng)用程序等，運(yùn)行這些功能各異的工具所需要具備的技能和技術(shù)知識(shí)要求大不相同。嚴(yán)肅的取證分析是屬于專(zhuān)家級(jí)的工作，但是對(duì)于其他比較簡(jiǎn)單的分析工具，則是任何人都可以使用的，雖然解譯可能需要專(zhuān)門(mén)的知識(shí)。首席安全官們至少應(yīng)該在數(shù)據(jù)中心內(nèi)配置一些基本的取證工具來(lái)檢查系統(tǒng)。

也許BackTrack 3 CD算是最好的例子了，BackTrack 3 CD(www.remote-exploit.org/backtrack.html)是一個(gè)載有開(kāi)源取證工具集合包的CD。Forrester研究中心的高級(jí)分析師John Kindervag說(shuō)道，“那些正在處理數(shù)據(jù)中心安全問(wèn)題的人應(yīng)該做的事情就是下載BackTrack 3 CD，學(xué)習(xí)如何使用其中的取證工具，并了解如何向其網(wǎng)絡(luò)環(huán)境中創(chuàng)建透明度。”

修復(fù)漏洞

那些能夠檢測(cè)數(shù)據(jù)中心的數(shù)據(jù)并能夠避免敏感數(shù)據(jù)泄漏等狀況的發(fā)生的軟件被稱(chēng)為數(shù)據(jù)泄漏防護(hù)軟件，對(duì)于這個(gè)新領(lǐng)域的其他名稱(chēng)還包括數(shù)據(jù)丟失防護(hù)(DLP)、信息泄漏檢測(cè)和預(yù)防(ILDP)，信息泄漏防護(hù)(ILP)，內(nèi)容檢測(cè)和過(guò)慮(CMF)以及入侵防護(hù)系統(tǒng)等等。

數(shù)據(jù)泄漏防護(hù)工作使用的軟件可以監(jiān)控任何從數(shù)據(jù)中心調(diào)出去的數(shù)據(jù)，并且能夠防止敏感數(shù)據(jù)泄漏事故的發(fā)生。這方面的軟件吸引了眾多公司關(guān)注的目光，因?yàn)楝F(xiàn)在大多數(shù)公司開(kāi)始將工作重心從內(nèi)部威脅轉(zhuǎn)移到對(duì)調(diào)出公司外部的資源的監(jiān)控?！氨Ｗo(hù)數(shù)據(jù)地關(guān)鍵問(wèn)題在于要確保沒(méi)有不合時(shí)宜地將數(shù)據(jù)從公司內(nèi)部調(diào)出去，”Quin表示，他還補(bǔ)充說(shuō)道數(shù)據(jù)泄漏防護(hù)是規(guī)范以外的防護(hù)，當(dāng)然每個(gè)公司肯定有各自不同的理解。

DLP市場(chǎng)中的大多數(shù)公司都是剛剛成立的新公司，但是在過(guò)去的6到9個(gè)月中，較大的安全供應(yīng)商已經(jīng)開(kāi)始收購(gòu)那些市場(chǎng)中獨(dú)立的小公司，例如賽門(mén)鐵克公司收購(gòu)了Vontu，RSA收購(gòu)了Tablus(現(xiàn)在是RSA數(shù)據(jù)丟失防護(hù)套件中的一部分)，而McAfee收購(gòu)了Reconnex，Quin指出，“由更強(qiáng)大、資源更豐富和有能力的公司來(lái)支持這些獨(dú)立公司生產(chǎn)的各種產(chǎn)品，能夠結(jié)合這些產(chǎn)品的所有優(yōu)點(diǎn)，讓這些產(chǎn)品和這些公司成為該領(lǐng)域的領(lǐng)導(dǎo)力量?！?/P>

其他需要考慮的因素是公司的規(guī)模和你需要為保障數(shù)據(jù)安全問(wèn)題投入的資源多少，Quin表示，在某些領(lǐng)域中，功能最強(qiáng)大的產(chǎn)品并不一定也是最適合中小型企業(yè)的產(chǎn)品;但是，在任何一種情況下，公司的首席安全官都應(yīng)該評(píng)估功能與制約因素(如價(jià)格和人力需求等)之間的關(guān)系。

必須遵守

訪(fǎng)問(wèn)控制是數(shù)據(jù)中心安全管理的核心問(wèn)題，身份管理系統(tǒng)可以設(shè)置為限制訪(fǎng)問(wèn)權(quán)，這些身份管理系統(tǒng)目前已經(jīng)非常完善了，包括IBM公司的Tivoli ID 管理器和訪(fǎng)問(wèn)管理器以及來(lái)自甲骨文公司、BMC、CA和Novell公司的競(jìng)爭(zhēng)性產(chǎn)品。

訪(fǎng)問(wèn)管理中的一個(gè)新興管理組件是政策合規(guī)管理，該管理工具可以使用安全政策來(lái)限制對(duì)資源的訪(fǎng)問(wèn)權(quán)，而不是查看個(gè)人身份證件。這些產(chǎn)品包括賽門(mén)鐵克公司的BindView以及Elemental Security公司的Elemental Security Platform安全平臺(tái)。

需要記住的是，數(shù)據(jù)中心安全問(wèn)題中有這樣一個(gè)問(wèn)題，就是很多安全工具都擁有重復(fù)的功能和功能集合，舉例來(lái)說(shuō)，一名分析師的日志分析工具可能是另一名安全信息管理員使用的工具，這個(gè)問(wèn)題的解決可能需要供應(yīng)商們加強(qiáng)對(duì)他們產(chǎn)品的開(kāi)發(fā)。（IT專(zhuān)家網(wǎng)）