来自 新葡亰服务器 2019-09-22 20:46 的文章
当前位置: 澳门新葡亰app > 新葡亰服务器 > 正文

澳门新葡亰app:须求商家布局较好的军管平台和

云端自助管理让防火墙实现高效运维

近年来,随着众多厂商、媒体以及第三方专业咨询机构的大力推广以及众多企业用户购买后的亲身实践,下一代防火墙(以后简称为NGFW)已经凭借完美的入侵防御集成能力、细致的应用及用户控制能力以及更高的应用层处理性能被最终用户所逐渐认可和接受,成为他们替代当前传统防火墙和UTM产品的一个重要选择。但是这并不意味着NGFW已经成为了包治百病的“治世良药”,实际上用户在运维和使用NGFW的时候依然面临的诸多的困扰,具体体现在以下方面:

1.要使NGFW发挥最大功效,需要企业配备较好的管理平台和专业运维人员,而实际上大部分企业特别是中小型企业由于预算有限,不可能在安全上投入大量的资金和运维人力。

2.即使有比较专业的运维人员以及比较好的管理平台,但是在实际使用过程中并没有那么得心应手。当前的安全管理系统,从安全事件的检测——>分析——>处理——>汇报展示并不是一脉相承,用户的连续体验较差,并且不能很好的发现和解决安全问题。

3.有些威胁事件发生后,运维人员并不在现场,想第一时间了解威胁事件详情,处理威胁事件非常困难,尤其是连入内网的操作更加繁琐,得具备一定的工作环境才能够完成。

为了有效解决上述问题,企业可以考虑选择将NGFW接入一种叫云端自助管理的系统。所谓云端自助管理是通过一种开放式的客户自助门户系统实现管理员对NGFW的远程自助管理。管理员可以通过一键方式轻松将NGFW接入至云端自助管理平台,并实现在任何时间,任何地点,任何终端通过浏览器访问NGFW,并且对其安全事件进行监控、查询、分析、追踪并生产报告。

总得来说,这种开放性的自助管理平台可以实现以下几个关键能力:

1.设备自身管理

NGFW接入云端自助管理平台,实现对设备自身管理是第一步,如实时监测设备的CPU,内存等设备状态信息,一旦出现运行异常,第一时间通过邮件或者短信等方式对管理员进行告警。另外云端自助管理平台还可以支持基础配置文件的保存、查看、删除等工作,能够让用户轻松、高效的管理NGFW当前的配置信息。

2.安全事件管理

及时发现并阻断安全威胁是NGFW给用户提供的核心价值,云端自助管理平台除了要进行设备自身的监控和管理外,还可以实现对安全事件的监测、查询、分析、追踪、报告等操作,实现对安全事件的闭环管理。

澳门新葡亰app 1

1)事件监测与响应

NGFW接入云端自助管理平台后,云端平台可以提供一定时间段的事件走势图和事件类型分布图,让管理员充分了解哪些天发生的事件较多以及哪些事件类型占比较重,需要引起重视。同时能够为管理员提供最近的TOPN事件展示,如展示告警时间、事件类型、源地址、目的地址、事件名称、处理时间、上报设备、摘要信息、事件详情信息。同时管理员可以根据事件展示的信息进行如:已确认、忽略、误报等相关响应处理。

2)事件筛选与查询

除了对事件的实时监测与响应,管理员还可以根据告警对象、告警起止时间、告警处理时间、告警类型、告警源目的地址、告警上报设备、告警摘要等信息查询自己想要寻找的具体事件记录。

3)事件分析与追踪

通过一个阶段的事件监测和处理,云端自助管理平台能够为管理员提供虫图直接展示TOPN事件及说明。通过每种类型的威胁事件,将攻击地址及被攻击地址进行关联,可以查看被攻击IP具体是哪些,每个被攻击IP被哪些攻击IP分别进行了多少次攻击,并且对哪些攻击比较感兴趣可以一键查看攻击详情,从而实现对整个事件过程进行相当完整的连贯分析。

澳门新葡亰app 2

4)生成个性化定制报告

最后通过上述的分析,管理员可以通过自定义生成报表的时间段区间、过滤规则、含有的TOPN事件、报表标题、自定义logo等内容,为客户生成完全个性化定制数据报表。

3.远程专家协同

NGFW接入云端自助管理平台后,还可以将远端的安全专家与用户管理员有效的连接起来,当用户处出现紧急安全事件的时候,用户管理员可以通过帐号授权的方式邀请远端安全专家协助在第一时间内进行响应和处理,并且快速进行故障恢复。

对于用户普遍关注的云端管理平台自身安全性的问题,笔者认为可以通过数据保护、加密和密钥管理、身份识别和访问管理以及业务连续性等几个方面进行综合解决。数据保护可以使数据在创建、存储、使用、共享、归档、销毁等阶段采用不同的保护措施实现完整的数据生命周期防护,从而保障云中数据的保密性、完整性、以及可用性;加密和密钥管理可以通过链路加密和密钥管理机制保障数据在上传过程中的机密性和完整性;身份识别和访问管理可以保证云平台在运行过程不会被非授权用户进行恶意破坏;而业务连续性管理可以使云平台遇到严重问题时(如:火灾、长时间停电及网络故障等),通过相应的技术措施(如备份数据中心、网络冗余架构、抗拒绝服务攻击等)快速的恢复业务,从而为用户提供不间断的服务。

说了这么多,云端自助管理平台对企业用户来说到底有哪些优势和价值呢,总结来看,有以下三点:

1.成本低廉

NGFW接入云端自助管理平台后,客户不需要再购买单独的日志服务器,免除了本地日志服务器安装,部署、运维等大量工作,同时也免除了日志存储能力需要定期扩充的烦恼。对于资金预算紧张的中小型企业用户来说是一个不错的选择。

2.管理方便

NGFW接入云端自助管理平台后,用户管理员可以不再受场地和时间的束缚,可以在任何时间、任何地点、任何终端上实现对设备的日常运维管理。当再次出现安全事件或者设备运行故障的时候,管理员再也不需要跑去机房了,坐在家里敲敲键盘可以轻松搞定。

3.运维高效

澳门新葡亰官网APP,NGFW接入云端自助管理平台后,可以实现对设备产生的安全事件信息进行监测、分析、跟踪处理、可视化呈现等全过程无缝衔接,并且能够高效连贯的完成全过程。管理员不再发愁面对大量的安全事件信息素手无策,大大减轻了管理员的运维压力。

随着企业业务的不断扩展及IT的深化融合,安全已经成为企业IT建设的必备因素,而安全运维在企业日常IT管理中的地位已经显得越发重要。企业管理者在选择安全方案的时候不仅仅需要考虑方案本身能否满足企业的安全防护需求,同时也需要重点考虑该方案是否能够有效的降低企业运维的成本、提升安全管理效率。避免安全运维成为繁琐、辛苦的工作和出现“吃力不讨好!”的现象。因此相信本文提到的基于云端的NGFW管理方案对于企业来说会成为一个非常不错的选择。

近年来,随着众多厂商、媒体以及第三方专业咨询机构的大力推广以及众多企业用户购买后的亲身实践...

哪种监控工具才是运维人的最爱?

 

那些指标需要监控?我能监控到什么?能监控到何种程度?或许这些问题连你自己都难说清楚。先看看运维兄弟们的现状。

 

1.运维现状

传统企业的计算机运维是在用户使用计算机过程中发现故障之后,通知运维人员,再由运维人员采取相应的补救措施。运维人员日常大部分时间和精力都花在处理简单且重复的问题上,而且由于故障预警机制不完善,往往是故障发生后才会进行处理,这种情况使运维人员的工作经常处于被动“救火”状态,这种被动的运维模式让IT部门疲惫不堪。运维质量如何提高?生产部门能对运维部有满意的评价吗?

目前我们在运维管理过程中缺少明确的角色定义和责任划分,以及自动化的集成运维管理平台,以至于问题出现后很难快速、准确地找到原因,而且在处理故障之后也缺乏必要的跟踪与记录。

2.隐藏在流量背后的秘密

网络接口的通端,流量的大小,已满足不了目前运维故障排除的需要。我们需要将流量分析的更深入,更细致。

澳门新葡亰app 3

图1 传统流量监控工具看表象

很多漏洞利用攻击、ShellCode攻击都混杂着正常流量进入企业网层层防护关卡。要想知道每个数据包中携带了什么内容,普通的摄像头已经失效,需要更强大的X透视相机-进行协议分析,只有准确理解事物的本质,才能对症下药,Shellcode攻击(下图是shellcode和botnet的实例)和各种蠕虫也是如此。

澳门新葡亰app 4

澳门新葡亰app 5

 

 

3.大数据时代下安全运维的新挑战

 

运维工程师们在大数据时代,下面对大量网络安全事件,若没有有效工具是无法完成分析工作,他们往往面对如下挑战:

澳门新葡亰app,1)  每天出现巨大数量的安全报警,管理员很难对这些报警做出响应。

2)  误报严重,管理员无法准确判断故障。

3)  大量重复、零散而没有规律的报警,黑客的一次攻击行动,会在不同阶段触发不同安全设备的告警,这样导致报警数据之间在时间和空间上存在大量重复数据,如果不实现安全事件的关联处理,就无法有效的提高告警质量。

当出现这些问题的部分原因是企业缺乏事件监控和诊断等运维工具,因为如果没有高效的管理工具支持,就很难让故障事件得到主动、快速处理。市面上有很多运维监控工具,例如商业版的Cisco Works 2000、Solarwinds、ManageEngine以及专注故障监控的WhatsUp,在开源领域有MRTG、Nagios、Cacti、Zabbix、Zenoss、OpenNMS、Ganglia等。由于它们彼此之间没有联系,即便是你部署了这些工具,很多运维人员并没有从中真正解脱出来,原因在于目前的技术虽然能够获取计算机设备、服务器、网络流量,甚至数据库的警告信息,但成千上万条警告信息堆积在一起,让人根本没办法判断问题的根源在哪里,缺乏对信息进行筛选、数据挖掘的能力,其实我们并不缺少工具,商业的也好,开源的也吧,一抓一大把,为什么还是用不好?真正缺少的是分析数据的智能化。

另外我们的查看各种监控系统需要多次登录,查看繁多的界面,更新管理绝大多数工作都是手工操作,即使一个简单的系统变更或更新,往往需要运维人员逐一登录系统,当设备数量达到成百上千时,其工作量之大可想而知。而这样的变更和检查操作在IT 运维中往往每天都在进行,这无疑会占用大量的运维资源。因此,运维工作人员需要统一的集成安全管理平台已迫在眉睫。

过去仅靠几个“技术大拿”来包打天下已不能满足要求,企业需要一种安全的运维平台,满足专业化、标准化和流程化的需要来实现运维工作的自动化管理。因为通过集成监控系统能及时发现故障隐患,主动的告诉用户需要关注的资源,感知网络威胁,把故障消除在萌芽状态。这极大降低了运维人员的工作负担,最大限度地减少维修时间,提高服务质量。

 

4.人工整合开源工具

 

既然找不到合适的,我们就把常用的开源工具集成到一个Linux平台,这不是就实现统一管理平台了吗?

澳门新葡亰app 6

人工整合开源监控系统的难点:

1.  软件和依赖依赖问题难以解决。

2.  各子系统界面重复验证和界面风格问题。

3.  各子系统数据无法共享。

4.  无法实现数据之间关联分析。

5.  无法生成统一格式的报表。

6.  缺乏统一的仪表板来展示重要监控信息。

7.  无法对网络风险进行检测。

8.  各子系统维护难度,增大了运维成本。

 

    实践中发现,这种方案首先遇到了性能问题,一些脚本周期性消耗了较多的CPU和I/O资源,所以无法做到实时数据分析。试想有多少且能投入大量人力、时间去开发一个未知的监控平台?

 

5.集成安全运维平台的选择

一个好的安全运维平台需要将事件与IT 流程相关联,一旦监控系统发现性能超标或出现宕机现象,就会触发相关事件以及事先定义好的流程,自动启动故障响应和恢复机制。还需要能够筛选出运维人员完成日常的重复性工作,提高运维效率。要实现这些功能都是常规监控软件Cacti、Zabbix所无法实现。

同时,还要求能够预测网络蠕虫威胁,在故障发生前能够报警,让运维人员把故障消除在萌芽状态,将所产生损失减到最低。总的来说运维人需要能够在一个平台中实现资产管理、分布式部署、漏洞扫描、风险评估、策略管理、实时流量监控、异常流量分析、攻击检测报警、关联分析、风险计算、安全事件告警、事件聚合、日志收集与分析、知识库、时间线分析、统一报表输出、多用户权限管理的功能,这种集成开源工具到底有没有?它去哪儿啦?

目前市面上有两种产品可满足这样的要求,目前市面上的SIEM产品主要有HP Arcsight(后台挂Oracle库)、IBM Security QRadar SIEM和Alienvault的OSSIM USM,现在的问题是并不缺少商业SIEM解决方案,在开源软件中OSSIM到是最佳选择。

很多人只是肤浅的认为OSSIM只是将一些开源工具集成到一个平台,在OSSIM中颠覆性创新主要在易用(容易安装、部署,容易使用,几乎不用自己写脚本)、分布式监控系统、响应威胁(OTX)、关联分析引擎、可视化攻击展示等。

Alienvault分为开源OSSIM和商业版USM两种,通过这一集成监控工具实现对用户操作规范的约束和对计算机资源进行准实时监控,包括服务器、数据库、中间件、存储备份、网络、安全、机房、业务应用等内容,通过自动监控管理平台实现故障或问题综合处理和集中管理。

澳门新葡亰app 7

 

     如果你即不想购买昂贵的商业软件,又不愿意投入大量精力进行开发,那么实现集成安全管理平台OSSIM就是唯一的选择,今天我刻苦钻研的OSSIM项目,很可能是你明天要做的事。

       好了,我们看看OSSIM能够为你带来怎样的体验? 进入

 

     看完后,有何感言?如果你想系统学习OSSIM,请关注我即将出版的第四本专著

《开源安全运维平台--OSSIM最佳实践》。

本文由澳门新葡亰app发布于新葡亰服务器,转载请注明出处:澳门新葡亰app:须求商家布局较好的军管平台和

关键词: