浅析安全架构中遇到的问题

0x00前言

    在工作过程中，有时也会从整体上思考一个系统或者一个网络甚至一个企业的安全架构。一个企业里面有着各类应用及其环境，的信息安全问题也是不一一相同的。

0x01 威胁来源

1、云应用安全
    截止目前，越来越多的企业都开始或者有意向将将企业应用迁移到云端（一般是公有云）。而与此同时，企业用户也倾向使用更低成本的服务和资源来节省企业成本。例如公共邮箱服务、公有云盘、公共社交软件在内的公有云应用来处理工作（QQ，微信，钉钉，百度云，网易邮箱等等）。但是非常明显一点的是，企业安全防护系统一般无法保护这些云应用的服务器。并且这些服务器随时都可能因为网络攻击导致机密数据泄露。如何管理这些应用并降低风险已经成为信息安全最为关注的问题之一。当然也奥有一些简要的解决方案：公有云自己本身提供的安全服务，安全厂商的云防护如启明星辰的云子可信，绿盟云、创宇盾，BAT中阿里云、百度云、腾讯云云防护。至于价格方面，依据自己的需求来进行选择，这里提示一下：适合够用就好，没有必要购买过大的服务，对企业造成经济负担。

2、APT攻击

    高级可持：续性威胁攻击是在企业面临的所有的安全威胁之中最无奈的。一来是因为攻击者常常瞄准信用卡信息等敏感的商业信息和个人数据，二来是因为APT攻击往往针对特定的目标而定制，隐蔽性高、潜伏周期长，极难被企业的安全防护系统所及时拦截。带来的威胁是企业用户被迫勒索交费、企业系统瘫痪、企业正常业务终止等。当然也奥有一些简要的解决方案：公有云自己本身提供的安全服务，安全厂商的云防护如绿盟云、创宇盾，BAT中阿里云、百度云、腾讯云云防护。至于价格方面，依据自己的需求来进行选择，这里提示一下：适合够用就好，没有必要购买过大的服务，对企业造成经济负担。

3、项目管理

    一直以来，服务器日志审计、审计报告、安全项目管理都是我们信息安全工程师关注的工作重点，因为这些工作时代的发展增加了很多内容诸如大数据的复杂性、物联网的海量性。对于安全项目管理来说，单一的漏洞或者攻击都无法显示企业实际中存在的问题。同时，各大安全厂商推出的各种SOC确实有一定的项目管理作用如启明星辰的泰合SOC3.0，同时安全厂商为各自的用户（电信、移动、联通等运营商和部分企业）提供了众多的项目管理流程、方案、决策、实践等等。

4、合规

     安全配置核查合规性是企业保护数字资产的重要依托，但确保IT流程符合安全规范却是企业IT部门的巨大负担。安全检查过程达到自动化、标准化、持续化、可视化。它可以大大提高检查结果的准确性和合规性，用以在企业的上线安全检查、第三方入网安全检查、合规安全检查（上级检查）、日常安全检查和安全服务任务中，协助查找设备在安全配置中存在的差距，并与安全整改与安全建设相结合，提升各类业务系统的安全防护能力和达到整体合规要求.

0x02 解决思路

    经过一番研究，如果要解决这四个问题，重点在于重构信息安全结构。企业需要搭建一个可以融合安全硬件、软件且在不同网络分段能够进行沟通的架构，应对来自云到IoT的不同平面的威胁与攻击的无缝与全面的防御。

     云计算是企业网络的延伸，需要被特别关注。企业应该部署一个覆盖整个网络的安全检测和管理策略，以洞悉网络中数据的流动，而无论是私有化部署还是公共云，传统IT架构还是云架构，有线还是无线接入。
     为了有效的应对APT攻击，企业的安全部署需要超越传统的防火墙边界，甚至超越传统的多层防御措施。一个有效的APT防御框架最好在防火墙的内部进行有效的隔离，其可以限制恶意程序从网络之间流窜。当防火墙与实时、智能的威胁检测方案(如沙盒和终端安全解决方案)结合时，APT攻击就可以被及时的检测并隔离。
     检测APT攻击的另一个方法是通过优秀的全网流量捕捉日志机制——内外结合——分析日志来实现。因此，一个能够迅速对威胁进行预警，跨设备、用户、内容和数据，并且洞察网络流量的安全模式将会非常实用。
    此外，这样的安全架构可用于单一的合作政策，通过记录每一次进程而不是多次进程来优化记录过程。这样，记录进程分析就变得更加简单，可以帮助企业洞悉网络流量的规律，并发现真正的威胁。
     在合规方面，信息安全人员遵循了某一种特定的方法(例如PCI , ISO27001/2 , NIST网络安全架构)来减少网络风险。理想的安全架构应该允许所有部署中的防火墙提供更完善的合规性状态，以及安全成熟度评估，这有助于帮助 信息安全人员发现网络安全的薄弱所在，并且采取相应的措施来进行弥补。

   信息安全人员需要掌握什么用户在什么时候连接到企业网络，是理解企业安全态势的关键。一个完善的安全架构会帮助IT人员管理全部网络资产，设定安全目标，然后审核所有节点上的安全政策。

欢迎大家分享更好的思路，热切期待^^_^^ !