在大学计算机科学系负责安全工作一点也不好玩。我解释说:我经常会收到安装新硬件系统或软件系统的请求,这些系统或软件系统确实太过实验性,我甚至不敢将它们放在 DMZ 中。如果我可以避免这种情况并强制在受限制的内部 VLAN 中进行安装,那就没问题,但偶尔我会收到需要访问外部世界的请求。实际上,出于测试目的让此类系统能够访问外部世界是有意义的。
这是最新的请求:一个使用 SIP 的新开发的系统正处于开发的最后阶段。该系统将允许与外部用户进行通信(这是其目的和研究提案),实际上医院患者对技术不太了解。因此,向世界开放它是有意义的。我正在寻找任何有处理这种需要广泛外部网络访问的高度实验性系统经验的人。如何在不妨碍研究的情况下保护其余网络和系统免受这种安全噩梦的影响?放置在 DMZ 中是否足够?有任何额外的预防措施吗?还有其他选择、方法吗?
答案1
这完全取决于所讨论的“实验系统”——安全性不是现成的东西:它需要针对每个特定的站点、场景和应用程序进行定制。
如果你谈论的是学生写的东西(他们因零鉴于对 IT 安全的实际掌握,我认为每个项目都需要划分成自己的领域。
这意味着:
- 放置在其自己的(适当大小的)子网中,具有自己的路由器
(不用说,它也应该在自己的 vLAN 中) - 置于其自己的防火墙后面,其应该:
- 尽可能地限制入站访问
(即仅限制应用程序需要接受连接的端口) - 在合理的情况下限制出站连接
- 与大学和部门的其他基础设施完全分开
(例如,您的外部暴露应用程序不应该能够找到突破防御的方法与校园 AD 服务器进行通信)
- 尽可能地限制入站访问
- 内部拓扑应遵循最佳实践以遏制违规行为。
这一点很难,因为它需要软件设计良好,但在可能的情况下,您需要进行设置,以便如果有人破坏了前端系统(如 Web 服务器),您的后端系统(如数据库)可能仍然是安全的。
如果软件设计为分段式,例如具有一层APP、一层DBI和一层的东西DB,理论上您可以将其分成三个内部网络。APP可以与 对话DBI,DBI可以与 对话DB,但除非处理请求, 否则APP不能与 对话。DBDBI
如果您使用的是优质的 Cisco 硬件,这并不难做到(用于独立防火墙的 FWSM“PIX Blades”、一些基本的 vLAN 以及将路由器放入每个子网)。
一般的最佳实践显然也适用——您应该记录所有内容(需要开放什么以及为什么?应用了什么特殊的网络配置(如果有)?等等),如果您已经安装了 IDS/IPS,您应该寻找方法来确保这些隔离的环境得到覆盖。
答案2
由于不了解您的政策或监管要求,我们无法告诉您什么是“足够”。只要您
- 知道你允许什么
- 记录它
- 确保这符合您拥有的任何安全策略
- 并能向你的老板、他的老板、政府、或 PCI 审计师或任何适用于你的组织的人员证明这一点。
答案3
一路划分。为其创建一个新的 DMZ,所有其他网络、DMZ 等都将其视为外部网络。
在大学环境中,许多领域的研究和测试最终可能比全面安全更重要。将这些情况视为随机互联网主机可能是隔离的最佳方法。将 IDS 放在您创建的任何这些隔离网段上也是明智之举。
答案4
我肯定会考虑投资某种入侵检测系统。唯一的问题是,这有点像雷区,许多公司都在推销自己的产品。与一家信誉良好的、与供应商无关的安全公司交谈。我与 NGS Secure(NCC 集团的一部分)的合作非常愉快。
我还考虑虚拟化您的测试实验室,让您能够创建多个虚拟网络,每个虚拟网络都与给定的 vLAN 绑定。这样做的最大好处是可以从任何潜在攻击中恢复(常规 VM 快照,提供多个时间点恢复点)。