深度防御 (DiD) 是一种涉及部署多层防御措施的网络安全策略。DiD 会采用物理、技术和管理控制措施来构建抵御网络威胁的坚固屏障。DiD 融合了最小访问权限和行为监控等原则,旨在通过增加攻击者必须突破的屏障数量来对其进行有效遏制。
深度防御 (DiD) 是一种涉及部署多种类型防御层级的网络安全策略。该理论的核心逻辑是,如果恶意攻击者必须突破多重屏障才能成功实施攻击,那么数字资产将得到更有效的保护。本页面将探讨 DiD 的运作方式。
什么是深度防御?
网络安全领域借鉴了军事领域的深度防御 (DiD) 概念。在军事史上,DiD 通常指在防御目标周围建立多重物理防线。以中世纪的城堡为例,它拥有护城河、高耸的石墙、专用于射箭的箭窗,以及墙顶的防御通道(守卫者可从这里向攀爬城墙的敌人倾倒沸水)。护城河、城墙和箭矢——每一环都是深度防御策略的组成部分。单一防线未必万无一失,但它们聚沙成塔,形成了一道极为强悍的安全防线。
在网络安全领域中也是如此。数据库等攻击目标采用了一定深度的防御体系,涵盖防范硬件篡改的物理屏障、网络访问控制、密码以及威胁检测系统。这些措施相当于军事上层层环绕的防线。相比于单独部署,这些应对措施协同发力能够显著提高安全防护能力。这就是 DiD。
深度防御是如何运作的?
实施 DiD 并没有单一的标准化方式。这是一个动态的过程,会随着新方法的出现以及工作负载需求的变化而不断演进。不同的工作负载和企业安全优先级将决定安全团队如何构建其 DiD 架构。不过,总体而言,DiD 通常是通过协同运用以下几类控制措施来运作的:
- 物理控制措施:在当今的云计算时代,人们很容易忘记硬件(如服务器、存储阵列、网络交换机等)仍然易受物理干扰的影响。例如,一旦攻击者获得了对服务器的物理访问权限,他们便可以当场植入 rootkit,从而劫持该机器。为了避免发生此类情况,数据中心会采用生物识别扫描仪、警报、视频监控等物理控制措施。
- 技术控制措施:这些包括基于软件和硬件的控制措施,它们能够抵御分布式拒绝服务 (DDoS) 攻击、恶意软件、网络钓鱼及勒索软件等源自网络的威胁。防火墙、安全 Web 网关 (SWG) 等技术以及扩展检测和响应 (XDR) 解决方案能够提供必要的技术控制措施,以抵御来自网络的威胁。
- 管理控制措施:这属于安全策略与用户访问控制的范畴。管理控制措施包括身份和访问管理 (IAM)、用户角色及密码策略。如果您要在 Akamai Cloud 上部署工作负载,那么您有责任根据自己的安全策略来实施和管理这些控制措施。
深度防御包含哪些要素?
随着安全管理人员依据网络安全领域的主流原则应用上述控制措施,DiD 便已初具规模。以下是 DiD 的核心要素:
- 最小访问权限:制定用户仅拥有“最小必要权限”的策略,是实施深度防御战略的有效方式。通过采用这种方式,即使恶意攻击者获得了对网络的访问权限,他们泄露敏感数据或中断运营的能力也将受到限制。
- 安全的开发和供应链:在软件由开发经过测试并发布至生产环境的整个过程中,必须实施安全控制措施。这种做法可确保新的软件不会引入漏洞。同样,软件供应链也必须受到保护。通过软件手段阻断攻击者的路径能够为 DiD 架构增加一道防线。
- 网络分段:将敏感的应用程序和数据划分到不同的网络分段中可以有效地阻止恶意攻击者在网络中进行“横向移动”。这种做法的作用类似于城堡的城墙。即使攻击者越过了护城河,他们也需要攀爬城墙。
- 行为监控和分析:即使部署了多重的应对措施,攻击者仍然有可能突破防线。内部人员同样会构成威胁。为了抵御此风险,必须对用户及系统行为实施持续监控与分析。此过程可以识别出可能表明正在遭受攻击的异常事件。
- Zero Trust:凭借其“永不信任,始终验证”的核心原则,Zero Trust 网络能够阻止大量未经授权的访问。它可以提高 DiD 架构的有效性。
- 恢复能力:恢复 IT 运营的能力构成了 DiD 的另一道防线。凭借部署到位的强大备份和恢复功能,企业甚至能够从勒索软件攻击等严重的网络事件中恢复。
什么是分层安全防护?
有些人将 DiD 称为“分层安全防护”,但虽然每个 DiD 防护领域可以被称为一个层级,术语“分层安全防护”在网络安全界中有着截然不同的含义。分层安全防护指的是针对单一安全领域部署多种安全工具。例如,防火墙和入侵防御系统 (IPS) 都能够阻止不必要的访问,但它们实现此目标的方式有所不同。每种工具都是一道抵御网络渗透的安全防线。
分层安全防护与集成安全防护有何不同?
集成安全防护也是一种网络安全方法,它依赖于将多种安全工具相互关联来实现更高效的整体威胁检测和响应。集成安全防护模式能够完善分层安全防护架构,将各个防御层串联成一个统一的整体。
例如,可以将防火墙和防病毒软件与安全信息与事件管理 (SIEM) 解决方案相集成。SIEM 能够从防火墙和防病毒软件中提取数据并进行分析,从而发现这两种工具都无法单独识别的威胁。SIEM 还可以与安全编排、自动化和响应 (SOAR) 等事件响应平台相集成,这使得系统能够更有效地应对攻击,而这种响应能力是零碎或过度依赖人工的过程无法实现的。
入侵检测系统及其在深度防御中的作用
网络攻击检测中的行为分析
行为分析是深度防御模型中一种更先进的网络攻击检测方法。行为分析会监控用户和系统活动是否存在偏离正常模式的行为,而不是仅依赖于预定义的威胁特征。通过了解网络或系统中构成“正常”行为的要素,安全解决方案能够标记异常模式,这些模式可能表明发生安全事件或存在入侵企图。
此方法在检测零日漏洞和内部威胁方面特别有效。在这些威胁场景中,攻击者会模仿合法用户行为,以试图规避传统的安全措施。行为分析工具通常与端点检测和响应 (EDR) 等端点安全解决方案相集成,它们能够增强对网络活动和用户行为的监测能力,从而加快检测和应对威胁的速度。
结论
DiD、分层安全防护和集成安全防护不应被视为孤立的安全策略。相反,最理想的做法是让三者协同设计、并肩作战。DiD 可以包含分层安全架构,并通过将不同层级深度集成,从而在整体上释放出更强大的安全防护效能。无论该安全架构是如何构建的,其根本原则始终保持不变:在目标与攻击者之间部署的应对措施越多,攻击者失败的可能性就越大。而这正是深度防御始终不变的目标。
常见问题
若想在企业中实施深度防御策略,您必须遵循一种涵盖多个关键步骤的结构化方法:
评估风险:首先,应进行全面的风险评估,以识别贵企业所面临的潜在安全威胁与漏洞,包括数据泄露、API 安全威胁、恶意软件感染或内部威胁。
制定安全策略:制定一项安全策略,以明确企业的安全目标、标准及操作规程。
实施安全控制措施:在企业 IT 基础架构的多个层级部署一系列安全控制措施。
定期进行更新和测试:定期对软件、固件和安全系统进行更新并安装补丁,以修复已知漏洞并防范新兴威胁。
对员工进行培训:开展关于常见安全风险、最佳实践和操作规程的全面安全意识培训。
持续监控和动态调整:实施持续监控工具和流程,对网络流量、系统日志及用户活动进行监控,以确定是否存在可疑行为或安全事件的迹象。
DiD 是一项旨在通过部署多重防御机制来抵御各种威胁和漏洞的网络安全策略。但是,深度防御通常与其他网络安全策略相辅相成。其中一项此类策略是 Zero Trust,其核心是对每个尝试访问资源的用户和设备进行验证,而不论其身处何处或是否在网络边界内。
应当定期审查并更新深度防御措施,以灵活应对不断演进的威胁和企业环境变化。随着网络安全威胁的不断演进,企业必须积极主动维护其防御体系。定期进行安全测试、评估和审计,可确保安全控制措施始终有效并符合企业的风险状况。
深度防御可以在整个 IT 基础架构中分层部署多重保护措施,从而提升网络安全。这些分层防御措施包括网络分段、防火墙、入侵检测系统以及端点检测和响应 (EDR)。多重防御措施能够协同工作,构建起稳健的安全态势,从而确保即使某道防线失守,其他防线仍然能够抵御网络攻击。
多重身份验证 (MFA) 要求用户通过多种形式的凭据(例如密码和生物识别信息)来验证其身份,从而增强了安全性。MFA 增添了一层额外的保护措施,可确保即使密码被盗,攻击者也无法在缺少第二个验证因素的情况下访问敏感系统。此方法可限制未经授权的访问,与其他防御机制形成互补。
深度防御可以通过在整个网络中部署不同类型的安全解决方案来应对多种攻击媒介。通过分层部署防火墙、防病毒软件和行为分析工具等各种防御措施,企业能够检测并阻止来自不同入口点的攻击,包括电子邮件网络钓鱼、恶意软件和暴力破解登录尝试。
由于管理多个安全层级比较复杂,因此维护深度防御策略并非易事。这需要进行持续监控、定期更新和审计,以确保所有防御措施始终有效。此外,对于规模较小的企业来说,部署多种安全工具的成本以及潜在的冗余问题可能会带来挑战。但是,这些举措对于确保全面抵御不断演进的网络威胁至关重要。
冗余对于深度防御至关重要,因为它可以确保当某项安全控制措施失效或被突破时,其他措施仍然能够持续保护系统。通过部署多重安全解决措施,企业可以降低发生单点故障的风险,并增强整体的网络攻击抵御能力。
客户为什么选择 Akamai
Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能且经济实惠的服务。众多全球企业信赖 Akamai,凭借我们卓越的可靠性、扩展性和专业技术,企业能够从容拓展业务。
