Web安全网关可以显著提高企业的整体安全状态,但它不是一个“部署随即忘记”的产品,Web安全网关的部署、配置和维护方式都会影响它提供的安全水平。在这篇技术文章中,我们将讨论如何通过优化部署、配置和维护来最大限度地发挥对Web安全网关的投资。
选择一个Web安全网关部署策略
为了最大限度地发挥Web安全网关的优势,企业必须确立明确的安全目标,并了解各种部署策略的优点和缺点。虽然传统的物理的设备仍然很受欢迎,但大家对虚拟设备越来越感兴趣。由于部署相对简单,基于云计算的Web安全网关服务越来越普及。事实上,现在很多这种产品利用云服务来提供实时URL查找和信誉服务,结合企业内部、托管和基于云计算的混合元素部署已经非常普遍。
成功的关键在于选择能够整合到现有IT基础设施(特别是安全基础设施)的产品或服务,并且这种产品或服务还要能够处理当前和未来的网络流量负载。针对中小企业的产品提供了抵御基本威胁的保护,且更易于管理,而企业级的产品和服务则提供抵御高级和有针对性威胁的更强的保护,但需要更多的技能和资源来管理。
对于内部资源或专业人才有限的企业而言,基于云计算的产品和托管产品往往是更好的选择。然而,这些选择意味着企业需要将数据交给第三方系统和个人,所以企业不要忘记考虑相关合规性要求。此外,与企业内部Web安全网关相比,这些产品的小缺点在于不能使用带宽和应用控制来阻止互联网中的不必要的流量,因为这些流量需要传输到云服务来进行分析。
对于企业内部部署的Web安全网关,代理架构是最有效的。通过强制所有Web流量终止于web安全网关,它可以在流量进入或者离开网络前允许或阻止任何流量。同时,通过内嵌被动监控式部署(也被称为TAP部署),流量被复制和转发到web安全网关进行分析。如果没有及时检查到威胁,那么将无法完全阻止威胁,因为在内嵌代理配置中,流量不会被拦截。TAP部署更容易部署和更改,也利于执行企业政策,但它绝对不是抵御网络威胁的可靠保障。
很多防火墙供应商已经开始整合Web安全网关功能到他们的产品中,但现代威胁的复杂性使统一威胁管理(UTM)等设备失去效用。对于高容量网络,在流量被传输到Web安全网关之前,最好先使用防火墙来过滤和阻止低级别网络流量,例如禁止的协议或者端口请求。这样一来,就可以实现性能和深入分析之间的适当平衡。
整合Web安全网关与其他端点安全产品
在部署Web安全网关之前,必须确保现有安全控制的正常运作,否则,面对糟糕的安全控制,Web安全网关只能提供有限的保护,并不能提供额外的保护。例如,由于Web安全网关给网络添加了一个新设备,企业必须检查企业的网络拓扑结构,并确保网络为不同类别数据和流程进行了正确的分区。
此外,调查网络上的其他安全设备,确认这些安全设备用于阻止的威胁类型,并记录它们用于执行安全政策的规则和过滤器。还要确定谁来整理这些信息以及如何对信息进行审查。企业必须避免这样的情况,即Web安全网关和端点设备都没有抵御某种特定威胁。
由于员工是所有企业安全状况的关键部分,请确保让他们了解最新社会工程学攻击。教他们如何识别潜在攻击或者认识恶意链接,这样你就不需要完全依赖于web安全网关来避免网络攻击。
将可接受用法和合规政策反映到规则集
控制员工使用社交网站是很重要的,因为,虽然很多这样的网站是有价值的业务工具,但它们同时也带来安全风险,并降低生产力。Web安全网关可以帮助企业更简单地部署复杂的规则,以执行安全策略,因为它们能够提供对网络流量的可视性。观察实时带宽利用率或者网站访问情况等信息,让管理员可以调整可接受的用法和安全规则,从而优化生产效率和安全性。
Web安全网关提供的细粒度控制的精细度意味着这些规则可以具体到特定的应用,而不是完全允许或否定控制端口和协议的规则。此外,对关键应用分配带宽优先级,意味着企业不需要阻止所有员工使用某个Web应用或者错过云计算和移动应用的优势,同时能够有效地执行安全政策。
开发流程用于审查和调查警报 改善规则集
当规则被违反或者达到预定阈值时,Web安全网关将会生成警报,企业需要部署程序来处理这些警报,以确保快速的、有效的、一致的、有组织的响应。事件的优先排序是很重要的,特别是当需要处理多个事件时。涉及高价值或者关键业务系统或数据的事件,或者可能导致进一步破坏的事件,应该首先处理。
最后,为了量化和评估web安全网关的效率,企业需要记录事件的类型、数量和成本,以及警报信息。对Web安全网关仪表盘和流量类型可视化反应的持续监控,使管理员可以减少误报的数量,提高改善带宽的规则。企业还需要建立一个审计程序,来检查规则集按预期执行,以及正确地执行了安全政策。