0. 前言
在網絡安全中,單一防禦措施並不足以應對複雜多變的安全威脅,防禦策略的設計相對是綜合性的。我們能夠透過多個基礎防禦元素建立多層次的防禦體系,讓每一層都能有效地抵禦不同的攻擊手段,進一步提升整體安全性。
1. 重點
2. 內容
2.1. 基礎元素
層層保護是種行之有效的策略,旨在讓駭客突破各種防線。
這邊我們先介紹常見的防禦機制,稍後再探討如何相互搭配形成多層架構。
外部檢測
-防火牆 Firewall
透過將網路劃分成不同的區域,制定區域之間的 訪問 控制策略。
入境關口作為開放的連接管道,來自簽證的國家才允許通關。-入侵檢測系統 IDS (Intrusion-Detection System)
用於檢測 環境內部 異常活動。
入境之後,旅客朝向軍事基地拍攝照片,被視作間諜強制拘留。-入侵防禦系統 IPS (Intrusion-Prevention System)
針對任何該系統認為會對環境內部構成威脅的事物,採取行動 阻止進入。
中國防火長城監控所有經過國際的通訊,對認為不合規範的傳輸內容進行干擾。-防毒軟體 Anti-Virus
依靠資料庫進行比對,用於檢測已知的威脅。
入境之前,我們需要通過 X 光機以及緝毒犬的行李檢查,確保沒有違規品項。-存取控制 Access Control
類似於分流機制,只有獲得許可的人才能進入相關區域。
持有特別證件的外賓可以自由進入特定的國家機構。組織內部
-政策管理
組織內部制定一套固定的規範與流程,確保每個步驟正常。
進入軍營必須停在哨口,並等待與內部長官確認許可。-弱點掃描
透過工具檢查系統內部是否擁有漏洞。
企業執行檢查發現竟然有用戶資料庫被架到公網之上,任何人都能嘗試登入。資產保護
-檔案加密
針對資訊傳輸,透過加密方式打散內容,需要透過對應方式進行解密。
信件之中,兩人透過特殊符號進行溝通,旁人偷看也看不懂。-實體防護
針對實體設備,透過額外方法進行保護。
犯罪組織透過特殊設定,斷電後會刪除內部資料,防止偵察小組直接搬走。2.2. 洋蔥模型 Onion Model
正如在開發上的 MVC 架構,這種防禦概念也是眾說云云。
就像是防彈衣可以裝入各種插版。
這邊提供作者自認,最為符合網路架構的階層架構。
總之,洋蔥模型其名稱來自乎層層包裹。
在現實案例中,
組織內部的私有服務,大多是限制要是公司網路才能連線的。
接著在系統會有基礎的防禦,避免被惡意植入。
背後還會有 Logging 與 Trailing 監看活動紀錄。
再來才是用戶的登入介面,透過帳密登入後,取得對應職位的權限組。
而資料在傳輸與呈現的過程中,勢必要透過方法隱藏避免曝露的。
3. 後話
儘管基礎防禦元素的組合能夠組成強大的多層防護框架,但在實際操作中仍然面臨許多挑戰。因此,防禦體系的持續監控、定期評估是至關重要的。我在後續也有打算,錄製關於監控的服務軟體,未來各位拭目以待。
4. 參考
[1] 防禦模型概述 — Geeks-for-Geeks
https://www.geeksforgeeks.org/introduction-to-security-defense-models/
[2] IDS — Fortinet
https://www.fortinet.com/resources/cyberglossary/intrusion-detection-system
[3] IPS — Fortinet
https://www.fortinet.com/resources/cyberglossary/what-is-an-ips
5. 延伸
[1] 中國「防火長城」正在改變一個世代 — Human Rights Watch
https://www.hrw.org/zh-hant/news/2020/09/01/376265