通过网络加密保护您企业的业务
2014-06-12 机房360 编辑:litao984lt
大部分的讨论都集中在由美国国家标准技术研究所(NIST)批准的标准,尤其是备受嘲弄的双椭圆曲线确定性随机比特生成器(Dual_EC_DRBG)。安全套接字层(SSL)的保护也面临严格的审查,而OpenSSL的缺陷在安全专业人士中造成了恐慌。
然而,人们对于路由器和交换机的加密技术方面的关注一直很少。尽管在2013年底曾发现过诸如Linux.Darlloz的新蠕虫的路由器的恶意软件。
然而,企业在整个网络的不同点进行某些种类的加密,而不是仅仅只专注于应用程序,可以针对那些最高级的攻击者有明显的保护作用。但是,许多企业目前仍然没有这样做,安全顾问公司First Base Technologies的首席执行官皮特•伍德说。
“毫无疑问,以纯文本发送的信息仍然是大多数企业中的一个重大漏洞。作为正派黑客,我们与客户的合作通常从检查网络数据和从一个简单的数据包嗅探发现重要信息开始。”伍德说。
“在交换机和路由器提供2层加密将使我们的活动更加困难,也因此使得罪犯在现实生活中的攻击变得困难。每个人都已经习惯了基于SSL的网络交易的理念,但很少有人想到对内部流量或是在互联网上其他类型的流量进行加密。”
加密网络流量
很多企业,包括思科都通过网关设备进行网络流量加密,这是确保本地网络间通信保护的最佳途径。使用一个网关意味着企业通信将被加密,而与相关的协议和降低复杂性无关。
基于网络对加密和应用层的加密不是相互排斥的。他们可以一起用来为数据流量提供双层加密。
当具体谈到网络加密措施时,伍德建议启用两种类型的保护: IPsec和MACSec。
IPsec,又被称为互联网协议安全,包括一组加密服务保护通信,在网络系统之间加密每个IP数据包,无论是路由器或客户端。这些服务包括网络认证协议 Authentication Header(AH),其涵盖认证;以及封装安全负载(ESP) ,其涵盖了认证和加密。
企业IT领导人可以开启各种功能,以提高他们的IPsec部署,包括完全向前保密,这将阻止攻击者获得受保护的信息,即使他们刚刚破解了两个密钥的其中之一。
MACSec(媒体访问控制安全性),涵盖了以太网链路的所有流量通信。其监控密钥交换,并在每一个点至点的以太网连接端口之间验证。其也进行数据完整性的检查,通过检查被添加到端点之间附加8字节的头和16字节的尾的数据包。如果有不正常的情况发生,那么那些头部与尾部的流量会被丢弃。
其对于识别一系列的安全威胁是很有用的,包括拒绝服务(DOS)和中间人(MITM)攻击。MACsec特别适用于以太网网段,其数据通过一个不受信任的位置,如两座建筑物之间的公共空间。MACsec以本地以太网线路速率运行,加速100Gbps,据思科介绍,交换机通过内嵌加密硬件实现这一性能。
MacSec现在是美国电子和电气工程师协会(IEEE)发布的 802.1AE标准的一部分。同样,一套已经标准化的IPSec协议已经成为几家互联网工程任务组(IETF)发布的标准的一部分。这意味着企业的IT领导可以在他们的基础设施享受到二者结合的好处,只要供应商在他们的机器设备上已启用相关的标准(其中许多供应商已经启用)。
高性能加密
同时部署IPSec和MACSec能够带来各种好处,据网络公司Brocade的高级产品经理尼克威廉姆斯说。
“现在,网络层加密不是什么新鲜事物,由于有了加密技术和半导体技术的并行发展,以显着较低的成本实现规模化的高性能加密完全是可能的。这为管理员提供了一个强大的工具,帮助他们在数据传输过程中保护数据安全。”威廉姆斯说。
“将IPSec和MACSec结合起来往往是理想的解决方案。IPSec在网络上对容易受到窥探的加密数据提供数据隐藏,当运行不属于企业的基础设施时,确保信息的完整性。”
“同时, MACSec在网络上的加密和可视性提供了极大的灵活性,确保免受拒绝服务攻击,识别网络中的恶意用户和特定的应用需求的应用策略。 ”
但是,二者同时实施可能带来一定的延迟问题。由于封装的IPsec流量,让信息以隐藏的一种形式,可能会对网络性能路由问题有一些影响。 Gartner研究总监Jeremy D'Hoinne说 。当然大多数网络防火墙均拥有成熟的能力解决这个问题,他补充道。
“IPSec的端点就像笔记本电脑一样是比较复杂的。”D'Hoinne说。“企业需要解决了额外的挑战,如共享和更新的机密(预共享密钥或证书),端点并非所有的时间都是能达到的。同时,企业必须能够拒绝已经失密的远程端点的访问。
“加密策略需要在保密性和性能影响之间进行一种折衷的权衡。”
如果企业能够克服这样的问题,并在网络层加密,那么他们将没有借口不保证其他业务数据也采用类似工具进行保护了。
“当然,在传输过程中的数据是不是唯一的问题。企业也需要在加密那些最敏感,最有价值、但出于静止状态的数据集信息,无论是在企业内部的业务还是在云中,First Base Technologies公司的伍德补充说。 “一旦这也得到了解决,那么大多数企业所面对的攻击将显著减少。”