据了解,数据中心应用层的安全防御对象可大致分为三类,分别是Web应用、数据库和文件。一旦这些应用受到直接威胁,传统的数据中心安全解决方案则显得多少有些无力应对。
前述Imperva技术专家解释说,传统网络防火墙将威胁挡于自身网络外,IPS可抵御已知的漏洞威胁,但这些手段仅在网络层面,对于一些来自应用层面的攻击入侵行为,效果并不明显。“也就是说,数据中心的安全策略除了需要粗线条地在网络层、传输层部署安全解决方案,也要考虑针对一些关键性应用分别配备更为精细的应用防火墙设施。”
以Web应用为例,目前很多黑客在组织攻击某一网站时,通常是直接对其操作系统和应用程序中的漏洞进行攻击,此时处在网络底层的防火墙和IPS对于这种行为无法形成有效监控,因为这些攻击行为通常伪装成正常流量—无明显大数据包,内容和地址也相对匹配,网络层的监测防御系统往往很难发现,而Web应用防火墙的专长就在于此。
应用安全部署在于内外兼顾
“除了抵御来自外网的安全威胁,针对内网的行为监控也不能遗漏,企业需谨防通过内网窃取企业机密数据的行为发生。”前述Imperva技术专家表示。
来自国外分析机构的数据显示,84%的公司机构经历过至少一次数据丢失事件,其中74%的数据泄漏来自数据库,19%的数据泄漏来自应用层,剩下的7%则源于内部管理不善。
解决此类信息泄漏问题,上述Imperva技术专家认为,首先需要在IDC中搭建完整的数据架构,包括结构化数据(数据库中的数据)和非结构化数据(文件服务器中的商用文件、源代码、PDF以及财政报表等);然后,针对不同的数据类型采用不同的数据泄漏防护措施,如通过动态建模技术,分析内部员工合法的数据存取行为并建立相应模型,一旦有不合规的行为发生,其监控设施则能够及时提出警示并予以阻断。
