为了主动应对并控制员工对公共互联网的访问,以及检测和阻止恶意软件、勒索软件以及钓鱼攻击等恶意内容,已经有越来越多的企业开始部署安全Web网关(SWG)。
最初的[SWG](http://www.akamai.com/blog/news/anyone-for-alphabet-soup-ztna-swgs-
mfa-and-more-lessons-learned
“SWG”)主要以物理或虚拟装置的形式部署在企业数据中心内,由于大部分员工都在线下(公司设施内部)工作并已经连接到企业网络,因此可以通过非常简单直观的方式将互联网流量发送给此类装置。如果需要远程办公,员工可以使用虚拟专用网络(VPN)将互联网流量回传到数据中心,以应用企业需要的安全控制。
不过,在“新常态”的当下,情况不同了……
一个全新的(安全)世界
今时不同往日。诚然,一些企业出于合规方面的考虑,依然需要将安全设备部署在本地环境中。然而至今依然在使用本地[安全Web网关](http://www.techrepublic.com/article/akamai-
adds-secure-web-gateway-capabilities-to-threat-service/
“安全Web网关”)的企业数量正在飞速减少,大部分企业已经开始转为使用基于云的安全Web网关。
此外,以前使用本地安全设备的时候,员工的工作其实是和分配给自己的公司电脑密切绑定的。但现在,很多企业选择了一种[支持采用任何设备在任何地方完成工作的完全远程或混合办公模式](https://link.zhihu.com/?target=https%3A//www.akamai.com/blog/security/securing-
the-enterprise-network-for-the-office-anywhere
“支持采用任何设备在任何地方完成工作的完全远程或混合办公模式”)。
基于云的安全Web网关
通过云平台交付的SWG解决了本地设备固有的一些问题,例如可扩展性和持续的设备管理与维护,并为全新工作模式提供了所需的灵活性。
然而无论员工身处何地或使用任何设备,都需要为他们提供一致的安全保障,这种目标也造成了新的挑战,更具体来说,这些挑战主要在于与SWG有关的上行流量。
本文(以及同一系列的下一篇文章)将探讨:在评估各类SWG解决方案时,为何需要着重考虑能否通过各种方式将上行流量传入基于云的SWG,以及这种能力的重要性。
基于DNS的保护:DNS重定向和DNS转发
为了帮助大家尽可能充分地理解,首先让我们一起看看DNS重定向和DNS转发,毕竟这是保护互联网流量最快速、简单的方法。这种方式通常更多会与DNS防火墙解决方案(而非SWG)配合使用,并且这种方法能提供很多优势。
简单来说,DNS防火墙会检查组织中员工发出的每个DNS请求,并将请求的内容与一个已知的恶意域名列表进行对比。防火墙会阻止对恶意域名的访问,并允许对安全域名的访问。此外,这种防火墙还可以识别并阻止被攻陷设备与命令和控制(C2)服务器之间的流量,甚至可以检测DNS渗透。
通过将流量重定向或转发到云端防火墙,所有这些安全收益都可以在几分钟内顺利实现。如果进行重定向,企业只需要对现有的递归DNS服务中快速修改一个设置,即可将流量发送给防火墙。
另一种方法是部署DNS代理,这种方式主要会部署一种虚拟设备,并配置该设备将DNS流量转发给云端防火墙。使用代理还能获得一个额外的好处:可以识别发出请求的设备,从而进行有针对性地补救。
选择性代理的好处
DNS重定向和转发还可以与选择性代理(Selective
proxy)一起使用,进而获得更深入的洞察力并对互联网流量进行更细化的控制。使用选择性代理的情况下,除了可以阻止或允许DNS流量,还可以在威胁列表中将特定域名标记为有风险的。当有请求希望访问有风险的域名时,防火墙会返回云代理的IP地址,随后设备可与代理建立连接。
然后,代理可以检查设备希望访问的URL,借此判断内容是安全的还是恶意的,这在某些情况下可以提供额外的保护,例如某个域名下可能同时存在安全和恶意的内容。使用选择性代理方法一个最重要的好处在于:可以阻止有风险的内容,但同时也能将代理破坏应用程序的风险降至最低。
为任何位置的客户端提供保护
众所周知,当今的员工已经不再只通过一个固定位置工作,而是可以在任何能访问网络的地方工作:例如在家里的书房通过Wi-
Fi连接网络,或在家附近的咖啡馆里,甚至会在任何地方通过蜂窝网络建立连接。
为了保护这些设备并应用必要的安全控制,企业需要在设备上部署客户端软件。软件保证了无论设备通过何种方式连接到互联网,互联网流量均可路由至云端的安全Web网关。客户端软件的另一个优势在于,可以借此识别发出请求的不同设备。
这类客户端软件通常可用于台式机和笔记本电脑的操作系统,同时也应该能支持移动设备的操作系统;应该能提供基于DNS的保护、选择性代理保护,以及完整的代理保护。
将所有Web流量发送给SWG
如果需要进一步提高安全性,还可将所有HTTP与HTTPS流量发送给云端SWG。此时一种常见做法是使用Internet Protocol
Security(IPsec)隧道将Web流量引导至SWG以供扫描。
但这需要配置本地基础设施(例如防火墙或SD-
WAN控制器),这样才能以最优化且安全的方式将流量从分支位置传输至总部的SWG。IPSec的另一个好处在于,所有Web流量都会被加密,这也进一步保护了内部IP地址等私密信息。
HTTP/S流量转发
除了配置IPsec隧道,我们还可以在本地部署HTTP/S代理,通常这种代理是以虚拟机的形式部署的。这样的代理可以将所有HTTP和HTTPS流量通过TLS加密隧道转发至云端SWG,优势之一在于可以部署多个转发器,借此对大规模流量实现负载均衡,从而改善可扩展性。此外这种方式还有助于提高服务的可靠性。
HTTP/S流量转发还能简化从本地SWG的过渡,因为这种转发器可以看作本地安全设备的替代品。一旦过渡到基于云的SWG并确认一切都能正常工作,即可剔除转发器,直接通过IPSec处理所有流量。
代理链
如上文所述,基于云的SWG是最主要的部署方法,然而对于依然在本地使用安全设备,但希望迁移到云端安全设备的企业来说,切换过程本身就是一个巨大的挑战。
为简化迁移过程,企业可以通过代理链(Proxy
chaining)配置现有安全设备,使其将HTTP和HTTPS流量转发至云服务。借此企业可以充分测试新服务,当确保一切都能如期工作时,即可移除本地设备,并激活IPsec或HTTP/S流量转发。
选择适合的形式和方法
在了解了将流量陆续转移至云端SWG的不同方法后,大家很可能会问:企业是否需要[选择](http://www.akamai.com/resources/white-
paper/how-to-select-a-cloud-based-secure-web-gateway
“选择”)一种特定的方法?根据具体用例和所需的保护程度来[选择适合的方法](https://link.zhihu.com/?target=https%3A//www.akamai.com/site/en/documents/white-
paper/how-to-select-a-cloud-based-secure-web-gateway.pdf “选择适合的方法”)是否能获得更多收益?
一个用例
让我们以Acme
Manufacturing为例来回答这些问题。Acme在全球范围内有上万名员工,在芝加哥和伦敦设立了大型总部,此外还有数十个分支办公室以及四个大型制造厂。只要工作角色允许,Acme的员工现在都会远程办公。此外,虽然Acme已经开始转向云计算,但他们的总部依然运行了自己的数据中心。
对于这家制造业公司来说,某一种具体的方法是无法满足所有需求的。下表根据不同用例列出了Acme选择的不同方法,并介绍了每种方法所能提供的保护程度。
| 用例 | 流量转发方法 | 提供的安全保护 |
|---|---|---|
| 总部和工厂 | HTTP转发器 | 完整检查并控制员工的所有HTTP和HTTPS流量 |
| 分支位置 | IPsec隧道(通常通过SD-WAN的集成) | 完整检查并控制员工的所有HTTP和HTTPS流量 |
| 来宾Wi-Fi | DNS重定向 | 为访客提供基于DNS的简单保护 |
| 数据中心 | DNS转发 | 为服务器流量提供基于DNS的“城墙” |
| 远程员工 | 客户端软件 | 选择性或完整的代理保护 |
根据用例选择适合的方法,每种方法提供了不同的流量转发方式和保护程度
总结
鉴于工作方式不断变化,每个企业需要支持的用例多种多样,因此通过多种方法将流量转向云端安全Web网关是一种非常重要的能力。为实现所需安全程度,很多企业会同时使用多种方法。
[Akamai Secure Internet Access](http://www.akamai.com/products/secure-
internet-access-enterprise “Akamai Secure Internet Access”)
Enterprise是一种基于云的SWG,可支持多种流量传输方式,从而最大限度实现部署灵活性。在这一系列的下篇文章中,我们将探讨SD-
WAN如何通过集成能力,利用Akamai的映射,将流量自动路由至距离用户最近的Secure Internet Access
Enterprise接入点,从而实现最优化的性能。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
4358
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
