通過等保2.0分析我們系統(tǒng)的脆弱性
網(wǎng)絡(luò)在集成中一直被認(rèn)為是最簡單的一塊,其實(shí)是因?yàn)?/span>TCP/IP模型在幾十年的運(yùn)行下逐漸穩(wěn)定,并且各大網(wǎng)絡(luò)廠商通過各種簡單的配置方式來簡化配置,加上大家對“網(wǎng)管”的固有印象,導(dǎo)致了大家忽略了網(wǎng)絡(luò)規(guī)劃的重要性,忽略了網(wǎng)絡(luò)配置的細(xì)節(jié),一個(gè)規(guī)劃好配置好的網(wǎng)絡(luò)確實(shí)能減少不少日常問題,個(gè)人覺得在當(dāng)今互聯(lián)網(wǎng)時(shí)代,99%的應(yīng)用系統(tǒng)、中間件、數(shù)據(jù)庫、緩存、消息隊(duì)列等組件都是基于網(wǎng)絡(luò)模型開發(fā)的,作為一個(gè)網(wǎng)絡(luò)工程師應(yīng)該是熟悉TCP/IP四層模型,包含鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層,了解這些組件的基本網(wǎng)絡(luò)運(yùn)行方式和業(yè)務(wù)網(wǎng)絡(luò)模型,能以抓包的方式去分析網(wǎng)絡(luò)中各式各樣的新老問題。
二、安全通信網(wǎng)絡(luò)
網(wǎng)絡(luò)架構(gòu) |
a) 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要; |
b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要; |
c) 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址; |
d) 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段; |
e) 應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余,保證系統(tǒng)的可用性。 |
在考慮網(wǎng)絡(luò)設(shè)備處理性能和網(wǎng)絡(luò)各部分帶寬時(shí)首先要考慮該設(shè)備和該鏈路是用來跑具體哪些應(yīng)用的,業(yè)務(wù)、管理、備份等,同時(shí)要考慮成本、功能,從而規(guī)劃需要的性能和帶寬,一般的普通交換機(jī)只要考慮包轉(zhuǎn)發(fā)率、端口速率、端口類型、端口數(shù)量等性能,而框式交換機(jī)相對于普通交換機(jī)有了更高的擴(kuò)展性,考慮的時(shí)候就不太一樣,CLOS架構(gòu)的交換機(jī)要配備交換矩陣,交換矩陣配備的數(shù)量不同那交換機(jī)包轉(zhuǎn)發(fā)的速率也就不同,不同型號的框式交換機(jī)能配備最高型號的板卡類型也不同,最高配備的接口數(shù)量也不同;醫(yī)療行業(yè)因?yàn)橘Y源有限很少考慮將不同的應(yīng)用流量分不同的鏈路轉(zhuǎn)發(fā),或者通過QoS的方式去限速,其實(shí)這些很有必要考慮,隨著數(shù)據(jù)庫增量更新大、虛擬機(jī)數(shù)量增多等原因,要實(shí)現(xiàn)虛擬化、物理機(jī)、數(shù)據(jù)庫等定時(shí)備份或?qū)崟r(shí)備份,就要利用掉鏈路很大一部分帶寬,在設(shè)計(jì)時(shí)我們可以使用LAN-Free的架構(gòu),備份通過單獨(dú)的網(wǎng)絡(luò)運(yùn)行,從而不影響業(yè)務(wù)流量,如果沒有使用LAN-Free的架構(gòu),那就要考慮備份經(jīng)過的沿途鏈路和設(shè)備都要滿足正常應(yīng)用系統(tǒng)運(yùn)行的同時(shí)滿足備份;醫(yī)療行業(yè)大部分還使用了CS的系統(tǒng)架構(gòu),客戶端直接通過數(shù)據(jù)庫連接和數(shù)據(jù)庫交換機(jī),并且大部分流量以查詢?yōu)橹?,不?/span>BS架構(gòu)設(shè)計(jì)能通過前端優(yōu)化瀏覽器到應(yīng)用服務(wù)器的速度和帶寬使用,也同時(shí)優(yōu)化了數(shù)據(jù)庫連接和執(zhí)行效率,CS的架構(gòu)那就要計(jì)算單臺終端上可能產(chǎn)生的流量,從而計(jì)算出核心數(shù)據(jù)庫需要的帶寬;在設(shè)計(jì)新機(jī)房網(wǎng)絡(luò)的時(shí)候我將設(shè)備的帶外管理網(wǎng)絡(luò)獨(dú)立出來,之前和多設(shè)備操作系統(tǒng)死機(jī)只能通過現(xiàn)場重啟,而通過帶外管理可以隨時(shí)遠(yuǎn)程重啟、查看、重裝操作系統(tǒng),極大地方便了遠(yuǎn)程值班的同事解決服務(wù)器宕機(jī)的故障;在分配不同網(wǎng)絡(luò)區(qū)域的時(shí)候我們也要考慮到邏輯的問題,如網(wǎng)絡(luò)的STP、VLAN等規(guī)劃,避免一個(gè)網(wǎng)絡(luò)區(qū)域的故障影響了別的網(wǎng)絡(luò),可能很多醫(yī)療機(jī)構(gòu)將多個(gè)VLAN合并在一個(gè)STP生成樹下,真的出現(xiàn)問題時(shí)那將是毀滅性的災(zāi)難,更多的時(shí)候我們考慮時(shí)候其他二層防環(huán)檢測、三層隔離等技術(shù),從而不是大家常說的全網(wǎng)一個(gè)VLAN的大二層架構(gòu)。 醫(yī)院在重要網(wǎng)絡(luò)區(qū)域間隔離,個(gè)人認(rèn)為有幾處需要關(guān)注:①內(nèi)外網(wǎng)之間的隔離,這個(gè)也是最常見的,之前大家應(yīng)該都會選擇網(wǎng)閘,但是基于外網(wǎng)應(yīng)用的不斷增多,內(nèi)網(wǎng)之間的交互也越來越多,單純的網(wǎng)閘無法防護(hù)應(yīng)用層的攻擊,此時(shí)我們就需要考慮在內(nèi)外網(wǎng)之間添加IPS、WAF、防毒、行為管理等設(shè)備,方便的可以考慮NGFW;②外網(wǎng)建立DMZ區(qū)域,做好外網(wǎng)終端和外網(wǎng)DMZ、外網(wǎng)終端和互聯(lián)網(wǎng)、外網(wǎng)DMZ和互聯(lián)網(wǎng)之間的相互訪問控制和安全防護(hù);③數(shù)據(jù)中心建議建立內(nèi)網(wǎng)DMZ和專網(wǎng)DMZ,當(dāng)數(shù)據(jù)中心和內(nèi)網(wǎng)、專網(wǎng)交互時(shí)做好訪問控制和安全防護(hù),內(nèi)網(wǎng)DMZ因?yàn)榇蟛糠謶?yīng)用是CS二層架構(gòu),只能直接通過數(shù)據(jù)中心防火墻對所有數(shù)據(jù)中心資產(chǎn)做好防護(hù),而專網(wǎng)DMZ我基本沒有看到有醫(yī)院考慮,和專網(wǎng)的交互很多通過前置機(jī)訪問,雖然很多前置機(jī)都是反向代理,但是從規(guī)范性來考慮,專網(wǎng)的對面其實(shí)是別的單位,此時(shí)就應(yīng)該有單獨(dú)的DMZ區(qū)域和對方交互,;④數(shù)據(jù)中心內(nèi)部大部分還采用傳統(tǒng)的VLAN模型,沒有使用租戶的形式,我們在護(hù)網(wǎng)的過程中就能發(fā)現(xiàn)只要打入內(nèi)網(wǎng)后,基本上就是四通八達(dá),而需要實(shí)現(xiàn)類似于租戶的形式,我們可以采用VxLAN架構(gòu)+安全服務(wù)鏈,或者直接使用EDR微隔離的功能,通過VxLAN的形式可以解決x86操作系統(tǒng)或者其他專有設(shè)備的二層安全防護(hù),并且安全服務(wù)鏈根據(jù)需要的防護(hù)類型實(shí)現(xiàn)精準(zhǔn)防護(hù)。 冗余一直是我在設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)時(shí)考慮的重要參數(shù)之一,設(shè)備、板卡、風(fēng)扇、電源、鏈路、CPU、內(nèi)存、硬盤等都需要被考慮到,當(dāng)單個(gè)硬件的故障被觸發(fā)時(shí),冗余的降級能力同時(shí)也要考慮,這保障了系統(tǒng)能經(jīng)得起多大的故障,真正實(shí)現(xiàn)高可用、高可靠,在合理的范圍內(nèi)不用考慮PRO和PTO的問題;冗余可以通過多種方式實(shí)現(xiàn),雙主雙活、熱備、冷備等,在能滿足應(yīng)用系統(tǒng)要求的情況下盡可能使用雙主雙活的方式,減少不必要的主備切換,如防火墻規(guī)劃的時(shí)候盡量使用雙主雙活的方案,在一臺防火墻宕機(jī)的情況下,另一臺防火墻能正常接管,并且做到會話同步,確保長鏈接會話不受影響,如果長鏈接會話斷了重新建立可能會產(chǎn)生很多問題。容災(zāi)環(huán)境也是冗余的一部分,在等保要求中異地容災(zāi)起碼是在100㎞以上,很少有醫(yī)院能夠通過分院的形式達(dá)到這個(gè)要求,那么可以考慮異地云環(huán)境,在出現(xiàn)自然災(zāi)害時(shí)最低要求保證數(shù)據(jù)不丟失,在使用容災(zāi)環(huán)境時(shí)同樣要考慮容災(zāi)的資源配置能否滿足全量的業(yè)務(wù)運(yùn)行,容災(zāi)環(huán)境的網(wǎng)絡(luò)環(huán)境能滿足和生產(chǎn)一樣的要求,容災(zāi)的切換過程不應(yīng)該是復(fù)雜的,盡量通過服務(wù)端的容災(zāi)配置切換,減少終端的配置變更。 |