通過(guò)等保2.0分析我們系統的脆弱性
網(wǎng)絡(luò )在集成中一直被認為是最簡(jiǎn)單的一塊,其實(shí)是因為TCP/IP模型在幾十年的運行下逐漸穩定,并且各大網(wǎng)絡(luò )廠(chǎng)商通過(guò)各種簡(jiǎn)單的配置方式來(lái)簡(jiǎn)化配置,加上大家對“網(wǎng)管”的固有印象,導致了大家忽略了網(wǎng)絡(luò )規劃的重要性,忽略了網(wǎng)絡(luò )配置的細節,一個(gè)規劃好配置好的網(wǎng)絡(luò )確實(shí)能減少不少日常問(wèn)題,個(gè)人覺(jué)得在當今互聯(lián)網(wǎng)時(shí)代,99%的應用系統、中間件、數據庫、緩存、消息隊列等組件都是基于網(wǎng)絡(luò )模型開(kāi)發(fā)的,作為一個(gè)網(wǎng)絡(luò )工程師應該是熟悉TCP/IP四層模型,包含鏈路層、網(wǎng)絡(luò )層、傳輸層、應用層,了解這些組件的基本網(wǎng)絡(luò )運行方式和業(yè)務(wù)網(wǎng)絡(luò )模型,能以抓包的方式去分析網(wǎng)絡(luò )中各式各樣的新老問(wèn)題。
二、安全通信網(wǎng)絡(luò )
網(wǎng)絡(luò )架構 |
a) 應保證網(wǎng)絡(luò )設備的業(yè)務(wù)處理能力滿(mǎn)足業(yè)務(wù)高峰期需要; |
b) 應保證網(wǎng)絡(luò )各個(gè)部分的帶寬滿(mǎn)足業(yè)務(wù)高峰期需要; |
c) 應劃分不同的網(wǎng)絡(luò )區域,并按照方便管理和控制的原則為各網(wǎng)絡(luò )區域分配地址; |
d) 應避免將重要網(wǎng)絡(luò )區域部署在邊界處,重要網(wǎng)絡(luò )區域與其他網(wǎng)絡(luò )區域之間應采取可靠的技術(shù)隔離手段; |
e) 應提供通信線(xiàn)路、關(guān)鍵網(wǎng)絡(luò )設備和關(guān)鍵計算設備的硬件冗余,保證系統的可用性。 |
在考慮網(wǎng)絡(luò )設備處理性能和網(wǎng)絡(luò )各部分帶寬時(shí)首先要考慮該設備和該鏈路是用來(lái)跑具體哪些應用的,業(yè)務(wù)、管理、備份等,同時(shí)要考慮成本、功能,從而規劃需要的性能和帶寬,一般的普通交換機只要考慮包轉發(fā)率、端口速率、端口類(lèi)型、端口數量等性能,而框式交換機相對于普通交換機有了更高的擴展性,考慮的時(shí)候就不太一樣,CLOS架構的交換機要配備交換矩陣,交換矩陣配備的數量不同那交換機包轉發(fā)的速率也就不同,不同型號的框式交換機能配備最高型號的板卡類(lèi)型也不同,最高配備的接口數量也不同;醫療行業(yè)因為資源有限很少考慮將不同的應用流量分不同的鏈路轉發(fā),或者通過(guò)QoS的方式去限速,其實(shí)這些很有必要考慮,隨著(zhù)數據庫增量更新大、虛擬機數量增多等原因,要實(shí)現虛擬化、物理機、數據庫等定時(shí)備份或實(shí)時(shí)備份,就要利用掉鏈路很大一部分帶寬,在設計時(shí)我們可以使用LAN-Free的架構,備份通過(guò)單獨的網(wǎng)絡(luò )運行,從而不影響業(yè)務(wù)流量,如果沒(méi)有使用LAN-Free的架構,那就要考慮備份經(jīng)過(guò)的沿途鏈路和設備都要滿(mǎn)足正常應用系統運行的同時(shí)滿(mǎn)足備份;醫療行業(yè)大部分還使用了CS的系統架構,客戶(hù)端直接通過(guò)數據庫連接和數據庫交換機,并且大部分流量以查詢(xún)?yōu)橹?,不?/span>BS架構設計能通過(guò)前端優(yōu)化瀏覽器到應用服務(wù)器的速度和帶寬使用,也同時(shí)優(yōu)化了數據庫連接和執行效率,CS的架構那就要計算單臺終端上可能產(chǎn)生的流量,從而計算出核心數據庫需要的帶寬;在設計新機房網(wǎng)絡(luò )的時(shí)候我將設備的帶外管理網(wǎng)絡(luò )獨立出來(lái),之前和多設備操作系統死機只能通過(guò)現場(chǎng)重啟,而通過(guò)帶外管理可以隨時(shí)遠程重啟、查看、重裝操作系統,極大地方便了遠程值班的同事解決服務(wù)器宕機的故障;在分配不同網(wǎng)絡(luò )區域的時(shí)候我們也要考慮到邏輯的問(wèn)題,如網(wǎng)絡(luò )的STP、VLAN等規劃,避免一個(gè)網(wǎng)絡(luò )區域的故障影響了別的網(wǎng)絡(luò ),可能很多醫療機構將多個(gè)VLAN合并在一個(gè)STP生成樹(shù)下,真的出現問(wèn)題時(shí)那將是毀滅性的災難,更多的時(shí)候我們考慮時(shí)候其他二層防環(huán)檢測、三層隔離等技術(shù),從而不是大家常說(shuō)的全網(wǎng)一個(gè)VLAN的大二層架構。 醫院在重要網(wǎng)絡(luò )區域間隔離,個(gè)人認為有幾處需要關(guān)注:①內外網(wǎng)之間的隔離,這個(gè)也是最常見(jiàn)的,之前大家應該都會(huì )選擇網(wǎng)閘,但是基于外網(wǎng)應用的不斷增多,內網(wǎng)之間的交互也越來(lái)越多,單純的網(wǎng)閘無(wú)法防護應用層的攻擊,此時(shí)我們就需要考慮在內外網(wǎng)之間添加IPS、WAF、防毒、行為管理等設備,方便的可以考慮NGFW;②外網(wǎng)建立DMZ區域,做好外網(wǎng)終端和外網(wǎng)DMZ、外網(wǎng)終端和互聯(lián)網(wǎng)、外網(wǎng)DMZ和互聯(lián)網(wǎng)之間的相互訪(fǎng)問(wèn)控制和安全防護;③數據中心建議建立內網(wǎng)DMZ和專(zhuān)網(wǎng)DMZ,當數據中心和內網(wǎng)、專(zhuān)網(wǎng)交互時(shí)做好訪(fǎng)問(wèn)控制和安全防護,內網(wǎng)DMZ因為大部分應用是CS二層架構,只能直接通過(guò)數據中心防火墻對所有數據中心資產(chǎn)做好防護,而專(zhuān)網(wǎng)DMZ我基本沒(méi)有看到有醫院考慮,和專(zhuān)網(wǎng)的交互很多通過(guò)前置機訪(fǎng)問(wèn),雖然很多前置機都是反向代理,但是從規范性來(lái)考慮,專(zhuān)網(wǎng)的對面其實(shí)是別的單位,此時(shí)就應該有單獨的DMZ區域和對方交互,;④數據中心內部大部分還采用傳統的VLAN模型,沒(méi)有使用租戶(hù)的形式,我們在護網(wǎng)的過(guò)程中就能發(fā)現只要打入內網(wǎng)后,基本上就是四通八達,而需要實(shí)現類(lèi)似于租戶(hù)的形式,我們可以采用VxLAN架構+安全服務(wù)鏈,或者直接使用EDR微隔離的功能,通過(guò)VxLAN的形式可以解決x86操作系統或者其他專(zhuān)有設備的二層安全防護,并且安全服務(wù)鏈根據需要的防護類(lèi)型實(shí)現精準防護。 冗余一直是我在設計網(wǎng)絡(luò )架構時(shí)考慮的重要參數之一,設備、板卡、風(fēng)扇、電源、鏈路、CPU、內存、硬盤(pán)等都需要被考慮到,當單個(gè)硬件的故障被觸發(fā)時(shí),冗余的降級能力同時(shí)也要考慮,這保障了系統能經(jīng)得起多大的故障,真正實(shí)現高可用、高可靠,在合理的范圍內不用考慮PRO和PTO的問(wèn)題;冗余可以通過(guò)多種方式實(shí)現,雙主雙活、熱備、冷備等,在能滿(mǎn)足應用系統要求的情況下盡可能使用雙主雙活的方式,減少不必要的主備切換,如防火墻規劃的時(shí)候盡量使用雙主雙活的方案,在一臺防火墻宕機的情況下,另一臺防火墻能正常接管,并且做到會(huì )話(huà)同步,確保長(cháng)鏈接會(huì )話(huà)不受影響,如果長(cháng)鏈接會(huì )話(huà)斷了重新建立可能會(huì )產(chǎn)生很多問(wèn)題。容災環(huán)境也是冗余的一部分,在等保要求中異地容災起碼是在100㎞以上,很少有醫院能夠通過(guò)分院的形式達到這個(gè)要求,那么可以考慮異地云環(huán)境,在出現自然災害時(shí)最低要求保證數據不丟失,在使用容災環(huán)境時(shí)同樣要考慮容災的資源配置能否滿(mǎn)足全量的業(yè)務(wù)運行,容災環(huán)境的網(wǎng)絡(luò )環(huán)境能滿(mǎn)足和生產(chǎn)一樣的要求,容災的切換過(guò)程不應該是復雜的,盡量通過(guò)服務(wù)端的容災配置切換,減少終端的配置變更。 |