優(yōu)惠活動 - 12周年慶本月新客福利
優(yōu)惠活動 - 12周年慶本月新客福利
優(yōu)惠活動 - 12周年慶本月新客福利

防火墻,到處都是防火墻

只有當防火墻能夠顯著減少風險,并且你能認識到它們會引發(fā)擴展性和可用性問題時,才使用防火墻。適用情形:無論何時都適用。只對遵從PI和PCI等法規(guī)的重要數(shù)據(jù)采用防火墻。對價值低的靜態(tài)數(shù)據(jù),不要采用防火墻。防火墻會降低可用性,造成不必要的護展瓶頸。雖然防火墻很有用,但它們通常會被濫用,如果設(shè)計或?qū)嵤┎划敚捎眯院蛿U展性都會受影響。

決定采用哪種安全措施最終應(yīng)該從利潤最大化的方面考慮。通常安全措施只是減少風險的一種方法。而風險則是發(fā)生某個動作且該動作會造成影響或損害的可能性。防火墻通過減小事件發(fā)生的可能性來降低風險。采用防火墻會有些額外的開支,對可用性也會有一定的影響(從而也會影響到收益和客戶滿意度),通常還會影響擴展性,在網(wǎng)絡(luò)流量或事務(wù)數(shù)量方面造成擴展瓶頸。遺憾的是,許多公司都把防火墻看作唯一的安全手段。他們?yōu)E用防火墻,卻沒有充分利用其他更安全的措施。


 
關(guān)于防火墻對可用性的影響,我們不能輕描淡寫一筆帶過。根據(jù)我們的經(jīng)驗,造成站點故障停工的首要原因是數(shù)據(jù)庫故障,其次就是防火墻故障。同同樣地,這個原則就是要減少防火墻的數(shù)量。但是要記住,在你減少不必要的或多余的防火墻的同時,還有很多其他關(guān)系到安全性的事情要做。根據(jù)我們的經(jīng)驗,應(yīng)把防火墻看做一種周邊安全設(shè)備。也就是說,它會增加產(chǎn)品的感知成本和實際成本。就這一點而言,防火墻的功能與房間的門鎖相似。事實上,我們]認為房子這個比喻很適合說明如何看待防火墻,所以下面就以這個比喻為基礎(chǔ)進行說明

在你的房子中,有幾塊區(qū)域很可能沒有上鎖。例如,你可能不會給前院上鎖,還可能會把一些相對較廉價的東西放在前院里,如澆水的軟管和園藝工具。你還可能會把自行車放在前院中,雖然你知道把它放在車庫中,賊更不容易偷走它。更有可能,你給后門也上了鎖,甚至還有門栓,浴室和臥室可能也有小型的隱私鎖。而房子的其他房間,包括衣櫥等,可能都沒有鎖。為什么要區(qū)別對待不同的區(qū)域呢?

房子室外的區(qū)域,雖然對你來說很有價值,但對別人來說,卻沒有值得偷竊的價值。即使你很重視自己的前院,但是也不會認為有人愿意拿著鐵锨來把它挖走,移到別處去。你可能會擔心有人騎車壓過它,破壞了草坪或花酒頭,但這種擔心還不足以讓你花錢用柵欄(并非裝飾性的那種)把它圍起來,破壞了自己和鄰居的良好視野。

室內(nèi)安裝鎖的目的只是為了保護隱私。大多數(shù)室內(nèi)的門并沒有為了防止好奇者的窺視而裝鎖。我們并沒有給大多數(shù)的室內(nèi)門上鎖或門栓,因為它們只會給我們帶來麻煩,這些鎖帶來的安全感還抵消不了它們造成的麻煩。

現(xiàn)在想想你的產(chǎn)品。有些方面的內(nèi)容,如靜態(tài)圖像、CSs文件、Javascript文件等,它們對你來說雖很重要,但并不需要高端的安全措施。在許多情況中,都是通過外部網(wǎng)絡(luò)的邊緣緩存(或內(nèi)容分發(fā)網(wǎng)絡(luò))來傳輸這些屬性的。同樣地,不應(yīng)該讓這些對象再經(jīng)過額外的關(guān)節(jié)(防火墻)來降低全局可用性,由于額外的網(wǎng)絡(luò)瓶頸限制了擴展性。確保通過私有IP地址和端口80與443傳遞這些對象,這不僅可以節(jié)省成本還能減少防火墻的負載。

再回頭看看防火墻的價值和成本,讓我們研究一個體系,利用該體系,可以決定何時何地應(yīng)該實施防火墻。我們已經(jīng)介紹過,防火墻會讓我們付出以下的代價,即購買防火墻的建設(shè)成本。有了防火墻,還要對它進行額外的擴展,而上且它在事務(wù)的關(guān)鍵路線上增加了設(shè)備,有可能出故障或引發(fā)問題,從而對可用性也造成了影響。我們也介紹過防火墻的價值,即它可以阻止或者妨礙那些想偷竊或者損害我們產(chǎn)品的行為。

首先是數(shù)據(jù)對攻擊者的價值與實施防火墻的成本基本上成反比。雖然兩者關(guān)系并非總是如此,但對我們許多客戶的產(chǎn)品來說確實如此。靜態(tài)對象引用是頁面上的主要對象請求,通常也是頁面上最多的元素。因此,隨著事務(wù)處理速度和吞吐量的增加,防火墻的成本會增加。在你想到它們對攻擊者來說毫無價值時,就會覺得防火墻更貴??紤]到防火墻會對可用性產(chǎn)生的影響以及購買防火墻的成本,而這種數(shù)據(jù)又不是攻擊者的主要目標所以該種數(shù)據(jù)不值得如此投咨。對干這種數(shù)口要F保它們使用的是私有IP空間(如10.X.Y.Z),并且只有通過端口80和443的請求才能訪問它們即可。

不過,另一方面,我們還有諸如信用卡號、銀行賬戶信息和社會保障編碼這樣的數(shù)據(jù)。這些數(shù)據(jù)對攻擊者具有很高的價值。保護這種數(shù)據(jù)的成本相對于保護其他對象來說較低,因為它們的請求頻率比其他對象低。這種對象,我們絕對應(yīng)該鎖定。

對于我們的平臺所服務(wù)的其他請求,沒有必要確保所有的客戶搜索都經(jīng)過防火墻。那么我們保護什么,服務(wù)器自身嗎?我們可以保護自己的資產(chǎn),通過包過濾、路由器和運營商關(guān)系等,使它們免于受到分布式拒絕服務(wù)之類的攻擊。利用限制訪問系統(tǒng)的端口的方式可能會失敗。如果攻擊者對這些服務(wù)并沒有極大興趣,那么我們也沒有必要把它當作皇冠上的珠寶,花費大量的金錢,以降低可用性為代價來保護它們。

簡而言之,不要假設(shè)所有數(shù)據(jù)都需要同等級別的保護。是否采用網(wǎng)站設(shè)計防火墻是一項商業(yè)決定,該決定要能夠在犧牲可用性增加成本的情況下降低風險。太多公司把防火墻看作一元的決定,即如果我們的站點有防火墻,那么所有請求都要經(jīng)過防火墻,但事實是,防火墻只是眾多用于降低風險的工具之一。在你的產(chǎn)品中,并非所有數(shù)據(jù)都值得通過增加成本及犧牲可用性來保護。與其他任何一項商業(yè)決定一樣,是否采用防火墻也需要權(quán)衡,而不是在實施中采用千篇一律的方法。考慮到防火墻的特性,從產(chǎn)品的擴展方面來看,它很容易成為最大的瓶頸。

本文地址:http://m.cdrpkj.cn//article/3464.html
相關(guān)文章:
最新文章: