安全策略對網絡化設備管理有用嗎

點評:對於大多數IT專業人士而言,融合網絡是件好事。不論是對我們正在談論的數據和語音網絡、數據和存儲網絡的融合,還是對最近談論更多的數據和設備或電力管理網絡的融合,“融合”都意味著可以通過管理更少的網絡來實現更多的靈活性和更低的成本。

對於大多數IT專業人士而言,融合網絡是件好事。不論是對我們正在談論的數據和語音網絡、數據和存儲網絡的融合,還是對最近談論更多的數據和設備或電力管理網絡的融合,“融合”都意味著可以通過管理更少的網絡來實現更多的靈活性和更低的成本。但是,設備網絡化管理系統也會給他們帶來新的安全問題。

  對於安全專業人士而言,兩個網絡意味著物理隔離或者兩個網絡之間需要網關作為明確的安全控制分界點。融合則意味著將兩個安全區域在物理上合並成一個,但在邏輯上不得不保持其相互隔離。

  不管融合何時實施,安全專業人員都必須瞭解:一旦物理隔離失去作用,應當如何繼續維持邏輯隔離。例如,安全團隊通常推薦在語音網絡中給語音分配專用VLAN,這樣可以通過語音VLAN和數據VLAN之間的特定交叉點來進行安全控制。

  當安全團隊在網絡化設備管理中被遺忘時

  當公司將其樓宇管理、環境控制、監控和連接到以太網的物理訪問網絡融合在一起時,之前彼此分離的功能開始相互聯系起來。安全團隊必須馬上采取控制措施來保護新融合的網絡,使其免受滋生木馬和DoS(拒絕服務)攻擊的因特網感染破壞。

  問題是,安全人員通常不會被邀請參與到網絡融合中來,並且他們往往是最後一個知道網絡融合的。最好的原因是,安全性並不是一個早期考慮因素所以才很晚通知他們。最壞的原因是,認為他們會拒絕而沒有邀請他們——這種情況經常發生。

  另外,一些安全和網絡團隊仍然拒絕接受現實,他們認為他們的公司永遠不會將設備管理遷移到以太網上——即便這種遷移現在已經開始進行。實際情況是能源和樓宇管理網絡已經融合到以太網上,但是這種融合程度太不明顯,以至於沒有人考慮其安全問題。例如,即便你沒有wiz-bang樓宇管理系統來控制單位的燈光和空調,你也可能有連接到以太網的數據中心機械裝置系統。沒有人想到要告訴你,但是網絡融合就在那裡。

  未經核實的網絡設備管理系統可能隱含著病毒和蠕蟲

  如果你的數據中心擁有具備報告和監控能力的冷卻系統或UPS,那麼多數情況下它們會被連接到一個以太網交換機上。那些控制系統采用一些標準協議,可以通過運行在Windows系統上的軟件或是一個Web接口來管理它們。它們可能支持諸如HTTP、HTTPS、SMNP、SMTP、SSH和FTP等協議,同時它們也具有系統日志記錄功能。為瞭方便和降低成本,那些控制系統也可能采用一些現成軟件,諸如MySQL或MS-SQL數據庫,Apache或IIS Web服務器,以及現成的SNMP庫。所有這些都存在著漏洞。

  令人驚訝的是,貴公司可能已經花費瞭數百萬美元來確保數據中心擁有多條冗餘路徑用於電力、制冷和網絡連接,包括相互獨立的主備線路,備用UPS系統和發電機。對於所有的冗餘而言,除瞭你精心設計的獨立和備用系統兩者同時失效的情況外,SQL或HTTP蠕蟲病毒都可以構成威脅。相對於完全獨立的電力供應,那些控制系統或許連接到一個單獨的以太網,從而彼此連接並存在相同的漏洞。所有那些冗餘已經融合成一個單一故障點,並且沒有引起任何註意。

  這種經歷對於電力管理當然也不例外。我們本應該從語音融合(VoIP)中吸取教訓。不管采用多少對呼叫控制器的冗餘設計,當Slammer蠕蟲病毒清除呼叫管理服務器中的SQL數據庫時,許多公司明白融合存在著缺陷,所以關閉瞭語音網絡。

  如今,大多數公司更加重視語音/數據的分離和安全,將網絡從邏輯上分開,並且保護它們免受感染數據網絡的威脅。但是,他們對於電力系統、樓宇管理系統、環境控制和物理安全系統卻明顯沒有吸取教訓。但是現實不再會給僥幸心理留有機會瞭。

  通過設備管理系統增強融合網絡安全性的最佳實踐

  為瞭保護一個現在正在不斷增加的、包括瞭各種設備相關構件的融合網絡,諸如樓宇管理系統、數據中心控制系統和智能電網,你並不需要為新設備添置托盤載荷。現如今,通過實施現存的安全性最佳實踐與工具,大多數公司能夠改進他們的安全性。為瞭將網絡安全性拓展到樓宇和電力管理系統,請參考下面的路線圖:

  1.找出它們:如果你不知道你是否擁有連接到局域網的電力管理系統,看一看數據中心、單位環境控制和智能電網計劃。

  2.訪問風險:特別註意那些地方:將以前的冗餘和獨立系統,現在無意中連接到一個普通TCP/IP網絡。標識那些系統需要彼此分開的地方,以及同更泛局域網訪問分開的地方。

  3.制定政策:為樓宇與電力管理系統中的采購、連接和管理制定政策。建立權利界限、整合IT政策和培訓那些可能沒有安全經驗的設備相關人員。

  4.實施控制:從邏輯上劃分網絡,通過網絡層控制,將它們同泛局域網流量以及它們彼此之間相互隔離。分離系統應該是獨立和冗餘的。加強樓宇和電力管理的驗證和授權機制。

  5.監控:將這些系統中的事件日志和安全日志提取到你的泛監控基礎設施中去。

  6.審計:在你的常規內部和外部審計內容中包括最近融合的網絡,以確保措施的執行和控制的有效性。

  如果你對數據安全負責的話,你的工作現在應該已經擴展到包括樓宇、電力和物理安全系統在內的許多領域。你或許還不知道它,但是這種系統已經出現在你的數據中心裡,並且逐步擴展到你的單位和分支辦公室。這一次,你或許可以在下個蠕蟲破壞你的數據中心或你的單位前,通過關閉電源來戰勝威脅。

Leave a Reply

Your email address will not be published. Required fields are marked *