企业安全体系架构分析:开发安全架构之可用性

前几期大概讲述了安全体系架构的概述以及管理层面的安全体系架构,这一期来讲讲业务在设计时制定安全架构的落地实施。

一、 确定业务接口

因为业务的特殊性,业务接口可能不止是web层面的,有些业务为了保证传输速率甚至有可能是udp协议传输,也有些业务走的是socket协议,首先就是要确定你的业务接口走的是什么协议,以下以TCP-HTTP协议为主,其他协议的架构安全会在后期叙述。

二、 业务逻辑设计

通过上面步骤确定好了业务接口后,需要按照业务的逻辑去设计架构(以下均为http接口设计架构),举例,某业务分为以下几点,API接口与客户对接,静态资源展示企业信息,管理接口对应企业内部人员审核等工作,客户接口对应客户的管理工作。在资金并不充足的情况下(不投入厂商安全设备),那么对应的架构应该如何设计呢?

逻辑架构图(可用性部分):

首先要有代理服务器,保证应用服务器不会直接暴露在公网上。其次要有日志服务器,汇总应用日志与攻击日志,防御服务器可以自己组建,各种脚本的匹配来确定请求是否合法。

由互联网访问的请求首先经过代理服务器,这么做的好处在于会保护应用服务器的真实IP与端口,举个例子,应用服务器对外接口是443,那么在代理服务器仅需要代理443端口对应应用服务器的443端口,其他端口全部封闭,那么应用服务器上多余的端口是在互联网无法扫描到的,另外代理服务器上仅做转发,性能上消耗会很小,一台应用服务器上跑一个应用,然后通过代理服务器汇总,会很大程度上方便人员进行统一管理,不会造成应用堆砌的现象。

通过代理服务器转发进来的请求,首先进行行为异常分析,此处可以是使用厂商设备,也可以自研脚本,根据经费情况自行选择合适的方案。

关于防御服务器,有几点想跟大家分享,第一是WAF,第二是防CC攻击。

首先WAF我们都知道是通过正则表达式做内容匹配,如果内容匹配上则判定为攻击,那么就会产生三个问题:

第一是正则的绕过

第二是正则的业务阻断

第三是正则书写本身的bug

第一点举个例子好了,目前开源的WAF中规则写的不错的就是modsecurity了,以它举例,规则基本上每周都会有更新,但是绕过方法还是屡见不鲜,没有哪种防御是能完全阻断攻击的,总会有各种各样没有被发现或已经被发现的漏洞,时常关注信息,及时查漏补缺方能在一定程度上体现安全性。

第二点是所有WAF的一个硬伤,因为业务是不固定的,随时可能有业务信息触发了WAF的规则而导致业务阻断,这也是为什么知名厂商WAF要先观察一段时间调优后才能开启阻断的原因。

第三点还是以modsecurity举例,毕竟是开源代码都能看到,正则表达式本身因为书写的问题,会有很多模糊匹配或者联合匹配,当这些匹配内容过大的时候就会因为变相DoS攻击,这在modsecurity3中也是被证实的,同样的问题在日志写入的时候也会发生,导致i/o读写通道堵塞引起的DoS攻击同样在modsecurity2中被证实。

安全无止境,并不是设备的堆砌,脚本的堆砌就能保证业务的安全可用,这点是我通过以上3个问题重点想要说的。

关于防CC攻击,一般的防CC设置是判定为是CC攻击,阻断,而非丢弃,这块我有不同的看法,假如说一个正常访问请求我响应需要100k的相应包,一个阻断包(返回403或自定义页面)假设需要5k,但是流量还是通过入口进来了,尤其是云服务器有的可能是按量付费,那我们是不是应该思考一下如何让非法流量不能通过入口进来?传统的抗DDoS设备做的流量清洗或者黑洞阀值不会设置的很低,那么这块要如何做?后期我会分享出来我的解决办法。

三、 业务架构图设计

根据逻辑架构图来制定业务的整体现实架构(可用性部分)

通过负载均衡实现代理服务器的双活,大程度保证访问不会中断,同时应用服务器使用主备双服务器,数据库也是主备双活,很大程度上保证了业务的可用性,防御服务器集群用来分析入侵行为,日志服务器用来汇总业务相关的所有日志。

当然防御服务器集群是至少3台以上,并且每台都会向下兼容应用服务器,这么做的目的在于,行为分析是十分耗资源的一件事,搭建集群会降低单一服务器的运算压力,并且不用担心出现单点故障。

同时保证每个业务接口的入口均为独立入口,这样可以将业务分离出来,也方便防御服务器做单一业务的规则,保证规则的准确性。

下一期会根据可用性架构图来设计安全性部分的架构图和保密性部分的架构图,完整的一套安全架构设计逻辑才算是完整的,本期就先介绍可用性这一部分。

*本文作者:煜阳yuyang,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

【小编推荐】
         易控王文件加密软件--轻松实现单位内部文件自动加密保护,加密后的文件在单位内部正常流转使用。未经许可,任何私自拷贝加密文件外发出去,都将打开为乱码,无法使用!对于发送给客户等第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!
相关页面:加密软件文件加密文档加密图纸加密软件,防泄密软件,CAD加密软件,文件外发加密
【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:[email protected],我们将及时予以处理。

软件相关证书
  • 5

    热情服务
  • 7
    *24
    小时售后支持
  • 7

    免费试用
  • 0

    免费体验
  • 平台支持

    平台支持

    windows系统: windowsXP,windows7,windows2003,windows2008,windows8
    linux系统: redhat,redflag,ubuntu,昆仑
    苹果系统: mac os
    语言支持

    语言支持

    简体中文,繁体中文,英文,韩文,日文 ( 可定制加入其它语言 )


    售前咨询
      咨询热线  
      在线咨询    
    全方位的购买咨询 | 精准的配置推荐 | 灵活的价格方案 | 1对1贴心服务
    如果您有任何电脑监控软件、文件加密软件的疑问,请联系我们,竭诚为您服务

      友情链接:文件加密软件 局域网监控软件 免费监控软件 远程监控软件下载 电脑加密软件 免费加密软件 文档加密软件 QQ聊天监控软件 上网行为监控软件

    【易控王官网:www.ekongsoft.com】易控王是一款集局域网电脑监控软件图纸文件加密软件文档备份软件等多功能于一体的超强电脑监控防泄密系统。功能强大,安全稳定!

    © 2003-2017 Shanghai Junchong Agel Ecommerce Ltd. All rights reserved.
    上海均崇电子商务有限公司 | 沪ICP备09024707号