不可忽視的數(shù)據(jù)中心安全工具管理

申請免費(fèi)試用、咨詢電話：400-8352-114

保護(hù)公司的數(shù)據(jù)中心是一項龐大的工程，即便一點(diǎn)疏忽，也可以帶來巨大的威脅。作為安全工具的主力軍，包括防火墻、防病毒軟件、垃圾郵件過濾器和間諜軟件過濾器等，共同組成的安全套件可以允許進(jìn)行各種復(fù)雜的管理，并且還有一些新興的安全工具以及其他安全工具值得我們重新考慮。

不要互吹互擂

首席安全官們面臨的最大的問題之一就是要搞清楚究竟是什么在威脅他們的數(shù)據(jù)中心。防病毒軟件、防火墻和入侵檢測系統(tǒng)可以日志形式記錄大量的數(shù)據(jù)，這些數(shù)據(jù)中包括各種試圖對數(shù)據(jù)中心做出更改的人的行為記錄。通過在不同的軟件程序和跨部門系統(tǒng)中搜索這些記錄都將是個惱人的挑戰(zhàn)，James Quin表示，他是位于加拿大安大略省倫敦信息技術(shù)研究中心的高級研究分析師。

“對于那些希望剖析所有那些數(shù)據(jù)，然后將找出相互關(guān)聯(lián)的數(shù)據(jù)并且對全部數(shù)據(jù)進(jìn)行參照對比的組織，就會發(fā)現(xiàn)這是一項非常巨大的工程，而且十分耗費(fèi)勞動力，”Quin說。他建議使用登陸分析器，也被稱為安全信息管理器(SIM)以及安全信息和事件管理器(SIEM)，因?yàn)檫@些分析器可以從各種不同的系統(tǒng)中匯總數(shù)據(jù)。這種管理器工具可以迅速找出數(shù)據(jù)相關(guān)性并且能夠幾種管理日志，而且通常會伴有報告工具和分析工具。

ArcSight就是一個這樣的工具，它可以為那些有需要對大規(guī)模日志數(shù)據(jù)進(jìn)行跟蹤或者想要具備許多功能的工具的企業(yè)提供最佳解決方案。

舊金山富國銀行的高級信息安全工程師Dennis Hein表示，ArcSight就像日志數(shù)據(jù)記錄工具中的“瑞士軍刀”，Hein利用這個產(chǎn)品來將銀行的所有日志數(shù)據(jù)匯總到一個地方，這樣做能夠?yàn)樗?jié)省很多時間來對異常數(shù)據(jù)進(jìn)行追蹤。Hein表示“那些需要花費(fèi)幾天來完成的調(diào)查工作，我們只需要幾分鐘到幾個小時內(nèi)就能完成，因?yàn)檫@個工具可以設(shè)置為制造出格式規(guī)范的報告?！?/P>

而對于較小的公司或者那些不太需要定制化服務(wù)的公司，我們推薦使用TriGeo網(wǎng)絡(luò)安全公司的TriGeo以及賽門鐵克公司的安全信息管理器，雖然它們不像ArcSight一樣強(qiáng)大，但是這兩種工具使用簡單，特別是對于那些沒有特別的安全專業(yè)知識的公司。

使用日志匯總工具的另一個實(shí)際原因就是：他們可以阻止智能化攻擊?！叭绻愕膯T工中有人熟悉匯總工具的運(yùn)作機(jī)理，那么攻擊可能會讓安全系統(tǒng)掛起黃色警告旗幟，但不會是紅色旗幟，”Mike Halperin表示，他是位于馬賽諸塞州Westborough市的Akibia的技術(shù)副總裁，這是一家專注于數(shù)據(jù)中心的顧問公司。

暴露你的缺點(diǎn)

首席安全官通常會做的反省工作會涉及到在數(shù)據(jù)中心內(nèi)搜索薄弱環(huán)節(jié)，對于這個過程而言，可以考慮使用漏洞評估工具和管理工具，例如eEye Digital Security公司的Retina漏洞掃描器，GFI LANguard公司的漏洞掃描器，其掃描器還具有補(bǔ)丁管理和安全審計功能，或者還可以選擇Qualys，這是一款相對簡單的使用網(wǎng)絡(luò)的工具，使用于那些可能沒有具備相關(guān)技能的安全工作人員的小型公司。

位于美國加州默塞德市的擁有40個分行的County銀行，運(yùn)行的是一個AS/400，并且大約擁有40臺電腦服務(wù)器，他們使用Qualys來定期對所有服務(wù)器上的日志記錄進(jìn)行掃描。

County銀行的信息安全人員Charlie McClain表示說，“擁有Qualys這樣的工具是極為重要的，因?yàn)閣indows環(huán)境中的漏洞每天都在不斷更新?！彼矚gQualys的原因在于，這個工具可以即使更新漏洞，這意味著他不必自己去修復(fù)漏洞。

銀行除了每天例行掃描Windows服務(wù)器外，每個月還會掃描一次他們的AS/400。

另外市面上還有的漏洞掃描器包括Nessus，該開源漏洞掃描器工具因?yàn)閮?nèi)核兼容性問題不再被包容在BackTrack CD中。

經(jīng)常進(jìn)行漏洞掃描是十分重要的，KRvW Associates公司的創(chuàng)始人和首席顧問Ken van Wyk表示，“每隔一天掃描一次，能夠避免因?yàn)槿祟愖陨碓蛟斐傻挠薮厘e誤?！盞en認(rèn)為應(yīng)用軟件、配置、服務(wù)器或者網(wǎng)絡(luò)中的任何更改都可能帶來漏洞問題，并且需要及早發(fā)現(xiàn)及早修復(fù)。

CSI數(shù)據(jù)中心

漏洞掃描器也許算是最知名的計算機(jī)取證工具了，我們所謂的取證工具，包括最基本的日志掃描器以及那些可以從較深層次檢查系統(tǒng)內(nèi)部情況的應(yīng)用程序等，運(yùn)行這些功能各異的工具所需要具備的技能和技術(shù)知識要求大不相同。嚴(yán)肅的取證分析是屬于專家級的工作，但是對于其他比較簡單的分析工具，則是任何人都可以使用的，雖然解譯可能需要專門的知識。首席安全官們至少應(yīng)該在數(shù)據(jù)中心內(nèi)配置一些基本的取證工具來檢查系統(tǒng)。

也許BackTrack 3 CD算是最好的例子了，BackTrack 3 CD(www.remote-exploit.org/backtrack.html)是一個載有開源取證工具集合包的CD。Forrester研究中心的高級分析師John Kindervag說道，“那些正在處理數(shù)據(jù)中心安全問題的人應(yīng)該做的事情就是下載BackTrack 3 CD，學(xué)習(xí)如何使用其中的取證工具，并了解如何向其網(wǎng)絡(luò)環(huán)境中創(chuàng)建透明度?！?/P>

修復(fù)漏洞

那些能夠檢測數(shù)據(jù)中心的數(shù)據(jù)并能夠避免敏感數(shù)據(jù)泄漏等狀況的發(fā)生的軟件被稱為數(shù)據(jù)泄漏防護(hù)軟件，對于這個新領(lǐng)域的其他名稱還包括數(shù)據(jù)丟失防護(hù)(DLP)、信息泄漏檢測和預(yù)防(ILDP)，信息泄漏防護(hù)(ILP)，內(nèi)容檢測和過慮(CMF)以及入侵防護(hù)系統(tǒng)等等。

數(shù)據(jù)泄漏防護(hù)工作使用的軟件可以監(jiān)控任何從數(shù)據(jù)中心調(diào)出去的數(shù)據(jù)，并且能夠防止敏感數(shù)據(jù)泄漏事故的發(fā)生。這方面的軟件吸引了眾多公司關(guān)注的目光，因?yàn)楝F(xiàn)在大多數(shù)公司開始將工作重心從內(nèi)部威脅轉(zhuǎn)移到對調(diào)出公司外部的資源的監(jiān)控?！氨Ｗo(hù)數(shù)據(jù)地關(guān)鍵問題在于要確保沒有不合時宜地將數(shù)據(jù)從公司內(nèi)部調(diào)出去，”Quin表示，他還補(bǔ)充說道數(shù)據(jù)泄漏防護(hù)是規(guī)范以外的防護(hù)，當(dāng)然每個公司肯定有各自不同的理解。

DLP市場中的大多數(shù)公司都是剛剛成立的新公司，但是在過去的6到9個月中，較大的安全供應(yīng)商已經(jīng)開始收購那些市場中獨(dú)立的小公司，例如賽門鐵克公司收購了Vontu，RSA收購了Tablus(現(xiàn)在是RSA數(shù)據(jù)丟失防護(hù)套件中的一部分)，而McAfee收購了Reconnex，Quin指出，“由更強(qiáng)大、資源更豐富和有能力的公司來支持這些獨(dú)立公司生產(chǎn)的各種產(chǎn)品，能夠結(jié)合這些產(chǎn)品的所有優(yōu)點(diǎn)，讓這些產(chǎn)品和這些公司成為該領(lǐng)域的領(lǐng)導(dǎo)力量?！?/P>

其他需要考慮的因素是公司的規(guī)模和你需要為保障數(shù)據(jù)安全問題投入的資源多少，Quin表示，在某些領(lǐng)域中，功能最強(qiáng)大的產(chǎn)品并不一定也是最適合中小型企業(yè)的產(chǎn)品;但是，在任何一種情況下，公司的首席安全官都應(yīng)該評估功能與制約因素(如價格和人力需求等)之間的關(guān)系。

必須遵守

訪問控制是數(shù)據(jù)中心安全管理的核心問題，身份管理系統(tǒng)可以設(shè)置為限制訪問權(quán)，這些身份管理系統(tǒng)目前已經(jīng)非常完善了，包括IBM公司的Tivoli ID 管理器和訪問管理器以及來自甲骨文公司、BMC、CA和Novell公司的競爭性產(chǎn)品。

訪問管理中的一個新興管理組件是政策合規(guī)管理，該管理工具可以使用安全政策來限制對資源的訪問權(quán)，而不是查看個人身份證件。這些產(chǎn)品包括賽門鐵克公司的BindView以及Elemental Security公司的Elemental Security Platform安全平臺。

需要記住的是，數(shù)據(jù)中心安全問題中有這樣一個問題，就是很多安全工具都擁有重復(fù)的功能和功能集合，舉例來說，一名分析師的日志分析工具可能是另一名安全信息管理員使用的工具，這個問題的解決可能需要供應(yīng)商們加強(qiáng)對他們產(chǎn)品的開發(fā)。（IT專家網(wǎng)）