网络安全产品

思科安全代理部署最佳实践指南

在测试模式下,思科CSA代理不会拒绝任何操作 -- 即使某个相关策略规定应当拒绝该行动。相反,所有操作都会被记录下来。测试模式可以帮助工程师和管理员在实际实施策略之前,了解在主机上部署策略的影响。这对于避免对受保护的应用环境造成不利影响具有重要的作用。

在进行测试部署之前,思科建议安全人员仔细审查缺省的思科CSA策略,确定哪些策略更符合该解决方案的安全要求。缺省的操作系统策略是策略开发的最佳起点。另外,思科CSA配备了专门针对特定的应用环境制定的缺省策略,例如专用的Microsoft IIS和SQL服务器。这些针对应用的策略可以被用作保护那些专门用于这些应用的服务器的模板。

在缺省策略达到要求之后,一个重要的最佳实践是将操作系统保护和更有针对性的缺省策略(例如专用IIS服务器)应用于相关的群组。思科CSA自带的缺省策略和群组不能修改。因此,必须保留缺省策略和群组的复本,并为其采用适当的名称(例如将TEST-CSALES-DESKTOP用于在测试模式下创建包含销售台式机的群组)。

要调节思科CSA缺省策略,必须开发思科CSA代理安装工具包,支持数据搜集流程。该代理工具包应当只在真正需要的系统上安装网络保护功能(例如端口扫描检测、SYN洪泛防范、伪装分组检测等)。如果受保护系统已经拥有了VPN或者防火墙保护功能,那么可能就不需要这些网络保护功能。一旦代理工具包为在测试环境中部署做好了充分的准备,就可以通过两种方式将其分发到相关的系统。一种是让相关系统通过网络联系思科CSAMC,下载工具包;另外一种则是以“推送”的方式,由系统管理软件将其提供给目标系统。

在所有代理工具包部署完毕之后,测试部署阶段的下一步措施就是在测试环境中(如果有的话)对应用或者主机功能进行一次全面的测试。这将生成所有为每个应用环境调节缺省策略所需要的、针对应用的数据。

在进行测试部署的同时,思科建议在所有处于实际环境中的试用系统上进行数据搜集。这将有助于发现那些会对实际和QA环境产生不利影响的规则。根据部署的规模,至少应当用两到四周的时间,在实际系统上搜集数据。系统管理员需要核实所有相关的脚本和软件 -- 用于支持运营 -- 在数据搜集阶段都处于运行状态。它们可能包括:

  • 系统备份
  • 网络管理软件
  • 系统调度工具

在QA服务器上执行了数据搜集流程之后,就可以通过分析数据,找出可能对应用环境造成不利影响的策略规则(如果在保护模式下实施)。

一旦确定了哪些规则会对目标系统造成不利影响,可以利用调节向导为相关操作创建“允许规则”,从而修改某一项或者多项策略。调节向导可以被用于更改规则的某个可能造成不利影响的操作。该向导还将自动生成一个“例外”允许规则。它将根据触发事件时的应用类别和资源信息创建一个允许规则,以抵消导致拒绝操作的规则。

必须正确地组织例外规则。例外规则的组织应当遵循下列原则:

  • 创建一个企业例外策略,包含所有受保护系统需要的允许规则。再向该策略添加所有覆盖整个企业的例外规则。
  • 为每个群组创建一个例外策略。群组例外策略将包含所有针对特定群组的允许规则。

在确定了所有例外策略之后,就可以将这些策略应用到相应的群组,进行下一轮数据搜集和调节。

在进行第二轮策略调节之后,您应当可以确信这些规则不会对合法行为造成不利的影响。一次一个群组地在测试系统上启用保护模式。在每个群组上执行测试计划的其他部分(安全测试、性能、运营等),确保整个解决方案可以正常工作。

总而言之,在为一个应用环境部署代理工具包时,应当为每个思科CSA群组采用下列步骤:

  1. 在测试模式下,为所有目标系统部署思科CSA代理
  2. 进行数据搜集和策略调节(根据需要)
  3. 启用保护模式
  4. 与安全、运营和工程部门合作,确保他们对思科CSA的部署感到放心

在实际环境中部署思科CSA

一旦在测试部署环境(或者实际环境中的测试部署)中确定了思科CSA软件的影响之后,下一步就是在整个实际环境中部署该软件。这可以通过两种方式实现:

  • 在实际环境中分阶段分发
  • 进行一次性的全面分发

思科建议在实际环境中采用分阶段分发的方式,因为它可以把部署分解为多个可管理的部分。在实际环境中的部署可以根据多个分类标准实施(按照优先级排序):

  • 系统在网络中扮演的角色(数据库服务器,应用服务器,Web服务器等)
  • 网络IP地址段
  • 系统物理位置

首选的方式是根据系统在网络中扮演的角色部署思科CSA。这可以在类似系统上部署代理工具包,进而一次性地解决类似的意外问题。在思科CSA软件部署的每个阶段,都应当将相关策略设为测试模式 -- 就像此前在测试或者试用部署中所做的那样。尽管这看起来似乎有些不必要地重复,但是它有助于发现任何可能因为在实际环境中部署思科CSA软件而导致的问题。一旦每个系统群组都在较短的时间内安装了思科CSA代理,就可以启用策略中的拒绝操作。

大型企业部署的注意事项

根据企业IT支持人员的能力和经验,大规模的企业部署可能需要扩展本文所介绍的方法。在某些情况下,实际网络中的代理部署工作可能会进行更加细致的划分。例如,不能在整个部门 -- 例如人力资源或者财务 -- 中部署思科安全代理,而是必须将部署范围缩小到某个下属部门。如果部署跨越了多个地区和影响到远程用户,则更需要细化部署范围。这样做的目的是确保IT支持人员能够有效地完成代理的部署工作。尽管这可能会延长部署时间,但是它有助于确保部署的成功完成。

终端调查 -- 利用思科CSA剖析器

思科CSA剖析器是一个可以为某个应用环境开发一项严格的安全策略的工具。剖析器的主要目的是让思科CSA软件通过分析终端,确定正在使用的应用和行为的状态。剖析器还可以被用于在分析终端之后自动生成策略。剖析器主要具有两个作用:

  • 防止应用受到系统影响
  • 防止系统受到应用影响

剖析器是一个功能强大的工具,可以根据当前的应用和行为了解终端环境。利用这些信息,可以创建满足某个应用环境的严格要求的策略。定制策略的部署流程包括在缺省策略部署中执行的所有任务,以及下面列出的额外任务:

在符合下列所有条件时,可以利用思科CSA剖析器创建定制策略:

  • 应用环境的安全要求非常严格
  • 主机专门用于应用环境(它们不与其他任何应用共享)
  • 已有针对实际应用服务器的严格变更控制步骤。所有变更都需要得到批准、测试、部署,以及与信息安全和IT管理人员的密切协调。
  • 愿意将足够的应用专家和测试资源用于支持思科CSA的部署。这些应用专家和测试资源必须是整个分析和策略调节流程的重要组成部分。
  • 愿意为策略定制投入足够的预算(定制策略的开发需要足够的咨询资源和至少三个月的时间)

使用思科CSA剖析器的第一部是为应用环境的所有重要组件(例如Web服务器、Web应用服务器、应用源代码、数据库、调度系统、操作系统等)找出相关的专家和质量保障资源。必须由相关专家(SME)在策略分析、开发和调节任务中提供协助。他们必须成为思科CSA部署计划的重要成员。因为定制策略分析需要深入了解应用环境,思科CSA部署团队必须拥有足够的SME。

利用思科CSA剖析器部署定制策略的其他部署任务

需要分析的应用是通过思科CSAMC指定的。MC还将选择负责进行分析的代理主机。下面列出了利用思科CSA剖析器创建定制策略的流程:

  • 选择负责进行分析的代理主机,以及完成分析的时间
  • 创建应用类别,支持所有相关应用的分析
  • 为每个需要评估的应用创建一个分析任务
  • 选择需要监控的操作系统和应用类别
  • 选择将被用作日志代理的主机(即运行应用的主机)

请注意,必须一次分析一个应用。在主机选择方面,思科建议选择一个与相应的实际系统具有类似配置的QA系统。确保所分配的时间足以执行应用的所有功能,例如对应用的全面测试。

在分析完成之后,可以选择自动创建一个定制策略。所制定的策略可以被导入到思科CSAMC中。一旦被导入,该剖析器策略将会被添加到策略列表中,并将“Job”一词附加到原始分析任务名称。相关专家随后应当分析定制策略,并对规则进行调整。他们必须具备对应用环境的广泛了解,以确保定制规则具有“足够的通用性”,以支持应用此前的执行和在不同情况下的后续执行。在剖析器完成了应用分析任务之后,这些规则将会被生成和分发到指定的主机。根据所选择的参数,这些指定主机将在连接到思科CSAMC和收到新规则之后,开始执行分析任务。

前面所介绍的缺省策略部署方法可以被用于调节和执行相关的缺省策略,以及将思科CSA剖析器生成的策略应用到相关的思科CSA群组。

总结

思科CSA套装软件是一种功能强大的工具,可以防止各类主机遭受攻击。但是,必须谨慎地进行部署方案的设计以及软件在网络中的测试和分发,以便最大限度地减小思科CSA软件对基于网络的应用的影响。在网络上部署思科CSA的第一步是定义在部署中使用的模式。对思科CSA软件进行充分的测试 -- 无论是通过一个测试环境还是基于代表性实际系统的试用计划 -- 可以最大限度地减小潜在影响,缩短网络人员学习部署方法的时间。

联系我们