纵深防御：分层的工具与程序为了更好的安全 - 网安 - 专业的网络安全产业、社区、知识平台

什么是纵深防御？

纵深防御是指多种安全工具、机制以及政策进行串联部署的一种安全策略。这样，即使其中的某道防线失陷了，也仍会有其他防线来继续抵御攻击。不光依靠防火墙来阻止黑客进入公司的内部网络，组织还会部署终端安全软件和入侵检测系统（IDS），以检测任何设法绕过防火墙的攻击者。纵深防御的目的并不是部署不同的工具来抵御不同的特定威胁；相反，其策略是假设攻击者会成功破坏或绕过其中某些安全工具，而其他工具则会负责收拾残局，以不同的方式进行反击。

纵深防御有时也被称为堡垒策略：面对拥有许多护城河和围墙的中世纪城堡，攻击者不得不进行层层突破。纵深防御的概念起源于军事领域，描述的是处于劣势的防御军队战略性地撤退到国土内部，利用空间优势来争取时间。然而，这并不是网络纵深防御的运作方式，因为防御者不会故意将任何系统的控制权移交给攻击者（就像使用蜜罐一样）。相反，纵深防御更像是这样一种情况：攻击者遇到一系列牢固的防线，每当旧的防线被攻破，便会有新的防线被建立起来。并且这里所有的安全工具都是被当作最后一道防线来设置的。正如Michael Howard 和 David LeBlanc 在《 Writing Secure Code》一书中提到的那样：“如果你希望防火墙可以保护自己的安全，那么就请以防火墙被破坏为前提来构建系统。”

为什么说纵深防御十分重要

纵深防御之所以那么重要，是因为传统的边界防御模式本身是无法维持的。边界防御的理念是提供尽可能多的资源，利用防火墙以及个体机器上的防御来加固自己的外部边界，从而阻止攻击者在网络中获得任何的立足点。而这种网络防御理念已经与我们的现实生活逐渐脱节。线上办公，以及公有云和私有云的广泛应用使得我们需要保护的边界越来越难以定义。

然而，这并不是说实施纵深防御战略的组织就应该放弃防火墙和其他周边防御。而是指，他们必须要认识到：防火墙与其他安全工具一样，对于经验丰富的黑客或者坚持不懈的攻击者而言，都是可以攻破的。并且，由于网络资产的价值不菲，所以攻击发起时，企业不会是毫无防备的。在现实环境中，防火墙随时可能会被攻破，甚至用来进行防御的安全工具也需要其他的防御工具来保护自己。

其实，纵深防御在很多方面，都与另一个日益流行的网络安全理念相吻合，那就是零信任。零信任的体系架构是建立在这样一种理念之上的：网络上的任何用户或设备都应受到持续的质疑和监控，以确保他们没有对身份进行伪造，并且不会做出一些被禁止的行为。这种理念需要一些安全工具和安全政策的深层防御基础设施，并且这些工具和政策要能够监视与网络交互的所有内容。

纵深防御与分层安全防御

实际上，你可能会经常遇到将“纵深防御”和“分层安全防御”这两个概念等同起来的情况。对于大部分使用过它们的人来说，其使用目的都或多或少地相似。正如我们所意识到的那样，深层防御基础设施包括多个层次的安全工具，并且每一层级都非常重要。

然而，这些层级并不是纵深防御的全部内容。不仅仅限于技术范畴，一个纵深防御架构还需要提前确认：如何应对正在进行的攻击，以及如何报告和应对那些在事后才发现的内部损坏。换句话来讲，工具层次仅是纵深防御的一部分，其余的部分则在于纵深防御策略所需要的组织思维。

纵深防御的要素组成

首先，我们来考虑一下该如何将纵深防御策略中的所有要素结合在一起，以保护组织的网络基础设施。一种视纵深防御为整体的思维将防御元素分为了三个大类：管理控制、物理控制以及技术控制。每一类都具有其独特的重要性。

管理控制：是创建一个安全环境的大型组织策略。这可能包括关于如何选取和剔除信息安全工具的策略、安全处理数据的程序以及对来自第三方供应商系统的风险进行管理的架构。
物理控制：在某些方面是最简单的，但也经常会被忽略掉。物理控制措施可以防止来自现实世界的攻击者访问组织的数据或者计算机系统。它包括：门禁卡、办公室和数据中心的防盗门以及保安等。甚至，有些现实世界的攻击者会冒充公司员工或外卖员来进入到公司内部，从而访问数据。
技术控制：是我们一直在讨论的，针对硬件、软件和网络的安全工具层。下面我们将会深入讨论技术控制中的详细内容

深层次的防御

这些层次可以划分为以下几个广泛的类别：

网络：纵深防御策略不能忽视边界，并且需要从防火墙或IDS开始，来设法阻止对网络边缘的攻击。入侵保护系统和其他网络监控工具会扫描网络上的流量，以发现防火墙被攻破的证据，并自动化地作出响应或呼叫人工来进行修复。像VPN这类的工具就是用来对用户的身份进行验证，并使其更加安全地连接到组织内部。

反恶意软件：类似于防火墙这种的杀毒软件，有时听起来好像是上个世纪的东西了。但是其中的一些工具仍可以帮助扫描基础设施中的恶意软件，无论是通过数据签名来将文件与数据库进行匹配，还是利用探索法来发现可疑模式。如果防火墙被攻破了，那么这些就是下一层防御的关键内容。

行为分析：现实世界中的警察倾向于关注那些行为可疑的人，网络安全领域的专业人士也应同样如此。但网络安全领域的观察对象不仅限于人，也可能是自动化程序。需要有专门的工具来判断他们的行为是否异常（前提是需要对正常行为有一个明确的定义），并将其进行标记以进行调查。例如，是否有人突然访问了他们往常不会访问的数据？是否有一些匿名的主机向其他服务器发送了大量的加密信息。如果有，那么就意味着可能存在着一些麻烦。

数据完整性：文件是否已被修改、复制或者泄露？接收的文件是否与网络上的某个内容不同的文件同名？文件是否与某个神秘或可疑的IP地址有关联？在最坏的情况下，例如文件被勒索软件破坏或加密的话，是否有备份来弥补损失？解决以上这些问题的工具则属于另一个关键的防御层级。

纵深防御的工作原理：一个例子

想象一下，一个攻击者正试图从数据中心泄露客户有价值的个人身份信息。他们试图通过在组织的系统中设置后门，以允许自己拥有访问特权。

在纵深防御中，有几点可以抵御此类攻击。其中，在政策和程序层次上，组织会定期地进行网络钓鱼模拟演练，这样组织的员工就会时刻保持警惕，不会轻易落入攻击者的圈套。同时，组织还会定期更新补丁，以确保攻击者的恶意软件所利用的漏洞不会在系统中被打开。在技术层面上，安装有后门的木马可以被电子邮件检测系统检测到，或者后门本身也可以被反恶意软件工具识别出来。假设有恶意人员设法访问了企业的网络，那么一旦分析工具检测到主机之间的横向移动，或者发现数据正在被泄露，这些工具就会向安全操作中心发出警报。又或者，应用最小特权原则的身份验证工具可以将数据库进行锁定，这样攻击者就永远无法访问到组织中最机密的数据。

理论上，这些防御措施中的任何一种都可以抵御攻击者的攻击。但是，一些有毅力的对手却仍有可能会绕过其中一道或多道防线。

如何实施纵深防御

谈论完这些，一些道理就呼之欲出了：纵深防御并不是可以直接买到的现成产品，它是构建整体安全理念的一种方式，实现它需要进行大量的思考。如果你想要弄清楚该如何完成该项重大任务的话，那么云供应商Fastly提出的以下事项会是一个很好的选择：

清点组织的攻击面，并确定目前有哪些保护措施
定义好每一层级中所需要的保护措施。
寻找对手可能会利用的系统组件中的间隙。

数世点评

同“零信任”理念相同，纵深防御策略旨在应对如今内外部网络威胁不断变化以及网络边界泛化模糊的新形势。“零信任”安全架构可以更好地对横向攻击进行防御，为系统提供更加全面的保护，以降低威胁风险。而纵深防御则从多层次上整合安全工具，构建功能互补的安全防御体系，以增加攻击的难度。然而安全程度的提高往往会伴随着业务效率的降低，分层化的防御策略势必会给不同层次间的业务协作带来一定程度的阻碍，甚至会影响系统业务正常访问的性能。