带外和内联网络安全

设计一个现代网络安全策略并不容易,因为它必须保护复杂网络的所有组件,同时对性能的影响不大。很多关于内联和带外安全部署之间的区别以及是否需要网络TAP或Bypass TAP的问题。

今天的安全策略包含这两种情况,有一套主动拦截和被动监测工具。首先让我们理清带外和带内的概念和术语。这些概念是由你在监控和保护的特定网段上部署的工具和策略决定的。

内联和带外通常指的是解决方案位于网络流量中的位置,或者直接位于数据流中,实时处理数据(与关键链路一起使用);或者流外,处理整个网络中使用的数据副本。

用带外安全策略检测威胁

带外工具是指分析数据包以优化网络性能的监控工具。带外工具位于直接流量之外,被动地处理数据包,分析实时数据流的特定方面。在安全应用中,这种分析被用来改善取证检测,并通过保证数据质量和完整性来减少MTTR(解决问题的平均时间),从而加快分析和解决。

带外安全工具的一个例子是入侵检测系统(IDS)。IDS监控流量数据,寻找恶意活动或违反政策的行为,并记录事件,从而触发报告,让IT管理员作出反应。威胁检测对安全生态系统进行分析,以确定任何可能危及网络的因素。

另一个常见的带外安全解决方案是安全信息和事件管理(SIEM)。SIEM收集从网络工具和硬件事件日志中产生的数据,基于流经工具的流量和它的反应,提供安全警报的实时分析。对于不能生成事件日志的设备,SIEM上的数据包解码器可以评估数据包头,识别错误,并在缺少时从位置上创建日志。

数据丢失防护(DLP)是一种解决方案,旨在确保敏感文件只被授权者访问,因为人的因素通常是网络中最脆弱的点。DLP可以生成关于哪些数据正在被使用的报告,如果敏感文件被错误地共享,则放弃连接,并可以实时主动地从文件中删除敏感信息。

网络分析器或取证工具捕捉、记录和分析网络数据包,以确定网络安全攻击的来源。取证工具旨在从网络流量数据中收集证据,从不同的站点或设备,如防火墙和IDS中收集。

你可能会问,这些带外安全工具如何获得数据包?如果你想的是来自交换机的SPAN端口,你的想法是部分正确的。有两种方法可以将数据包送到这些带外安全工具。正如你现在可能已经听说的那样,SPAN端口通常用于低吞吐量的情况,而且容易丢失数据包、重复数据包、出现人为错误,在技术上也可能被黑客攻击–这不是现代安全策略的一个好办法

许多IT团队在其带外安全策略中面临的最大挑战是确保不会有可能掩盖威胁的丢包或盲点。正是由于这个原因,大多数现代网络都加入了可视性结构。在最近的一份报告中,EMA[企业管理协会]”建议企业在接入层尽可能多地使用TAP,以避免网络性能受到影响并保证数据包的保真度”。底线是,TAP是提供100%可视性的一种简单、全面的方法,以确保你的安全战略的成功。对于监控大量网段的网络来说,网络TAP可以轻松接入数据包代理,提供进一步的流量梳理、聚合和负载平衡,以简化你的连接架构。

利用内联(Inline)安全策略进行主动保护

内联指的是像路由器、交换机和防火墙这样的网络设备,它们被认为是企业网络功能的关键。这些设备的任何故障或性能下降通常会导致丢包或计算程序和进程的错误。另外,这些内联设备会造成或意外的停机,这可能导致收入损失,影响公司声誉和服务中断。

内联工具旨在保护网络内的这些关键链接和设备。要做到这一点,这些工具不是像带外设备那样被动地分析数据的副本,而是直接坐在流量中主动处理原始数据,在威胁进入设备或网络的其他部分之前就加以阻止。

一个常见的内联工具的例子是防火墙。防火墙通常位于网络的前线,作为公司与外部世界的主要网络连接,这个 “关键环节 “在网络中的设备之间起着联络作用。防火墙被设计为一个政策执行者,以防止未经授权的数据访问,确保网络的保密性。网络上只允许防火墙策略所定义的流量–任何试图访问的其他流量都会被拦截。下一代防火墙(NGFW)具有超出传统防火墙的额外功能,如IPS、反病毒和URL过滤功能。

另一个关键的内联安全工具是入侵防御系统(IPS),它是一种网络安全和威胁预防技术,对网络流量进行实时检查,以检测和预防威胁。IPS旨在阻止导致数据被盗的入侵企图,确保网络完整性。任何可疑的或恶意的数据包都会从实时网络流中删除。

在防火墙保护网络的同时,网络应用防火墙(WAF)通过对HTTP流量应用规则来保护服务器上运行的网络应用,以防止跨站脚本和SQL注入等攻击。WAF是一个旨在阻止基于网络的应用攻击的设备。

SSL解密是内联部署的,对数据包进行加密,使敏感信息在网络或互联网上传播时无法被收集,保护密码、信用卡信息、银行账户信息等信息。为了让安全工具完成其工作,它们需要访问未加密状态的流量。

DDoS(分布式拒绝服务)保护积极缓解目标服务器或网络受到的分布式拒绝服务(DDoS)攻击,确保网络可用性。DDoS保护有带外和内联两种应用。被动 DDoS 缓解有时需要几分钟才能识别攻击并执行缓解。 攻击者可以识别这个机会窗口并适应突发攻击的利用。内联DDoS缓解解决方案在几秒钟内就能检测和缓解攻击,为快速响应缓解提供更多的准确性。内联DDoS保护通常与深度数据包检查(DPI)一起使用。DPI详细检查正在发送的数据,并通常通过拦截、重新路由或记录来采取行动。

你可能认为加上一个网络分路器(汇聚分流设备)就可以,因为这些在线安全解决方案必须要求100%的数据包! 这对了一半,内联安全工具需要一套特定的可见性解决方案–内联旁路(bypass)TAP。

所有这些主动拦截设备都部署在直接的流量流中。如果设备出现问题,网络会怎样?只是关闭它吗?拔掉插头?或者,我的内联设备有内置的旁路。如果只是这么简单就好了。对于 24/7 网络的唯一业务依赖于可访问性和质量或服务 – 网络停机是不可接受的。

内部旁路软件在理论上听起来不错,但如果设备坏了,你仍然要更换它,把链路断开,造成单点故障。更不用说在你的内联工具上增加内部或内置旁路选项,往往比你的外部选项成本更高。外部旁路可以防止SPOF的可能性,同时还能提供一系列的好处。没有维护窗口。操作隔离和工具沙盒意味着你可以很容易地将工具带外更新、安装补丁、维护或故障排除,在推回内联之前进行优化和验证。除了这些额外的维护优势外,外部旁路还提供了额外的网络弹性,可以灵活地绕过工具,在发生故障时保持网络正常,或者故障切换到高可用性[HA]解决方案。旁路TAP对你的内联安全战略来说是一个必要的,省心的选择。

虹科提供多种旁路分路器解决方案,可用来来简化您的安全堆栈,它允许你从一个设备上管理大量的内联和带外工具,提供旁路TAP的可靠性和数据包代理的高级功能。