什麼是安全性？

安全包括網絡層面、傳輸層面、系統層面、應用層面、數據層面的安全，要考慮安全性架構需要從這5方面入手，當然最不能忽視的還是業務本身。

如何構建網絡層面的安全？

其實在上一篇的架構體系中已經涉及了一部分了，就是代理服務器，用於隱藏真實應用服務器地址，當然這只是很小的一部分，網絡層面發生的入侵事件一般以DoS攻擊爲主，而DoS指向是通過DNS解析或者真實IP而判定的，那麼隱藏真實IP有助於迷惑DoS攻擊目標。而通過DNS解析到的一般採用CDN或者SLB負載均衡來達到抗DoS的效果，如果涉及雲架構，基礎雲防護就有抗DDoS黑洞，會把超過閥值的ip拉到運營商黑洞，從而解決DoS攻擊產生的威脅。

如何構建傳輸層面的安全？

在數據傳輸層面，通常發生的是監聽行爲，或者中間人攻擊，這裏其實涉及到保密性架構的東西，我們假如業務是使用的HTTP協議，那麼明文的HTTP流量顯然是不安全的，通過wireshark、burp等工具都可以輕鬆抓到，這時個人信息就一覽無餘。那麼使用了HTTPS就能解決這個問題嗎？這種說法並不絕對，早在多年以前SSL加密算法就爆出安全漏洞，隨後推出TLS，目前TLS1.0也已經被廣大解密極客突破，信息赤裸裸的被泄露，2018年PCI DSS推出3.2.1版本，已經明令TLS1.1爲過檢的必要項，而且是最低要求，也從側面證實瞭解密極客團隊的實力。僅採用HTTPS的方式是遠遠不夠的，重要信息的加密應該通過更復雜的加密手段來進行，這塊留在保密性架構中敘述。

如何構建系統層面的安全？

近日Linux出現0day漏洞，TCP-sack存在重大漏洞，可利用此漏洞造成DoS攻擊，使服務器癱瘓，具體信息詳見： https://access.redhat.com/security/vulnerabilities/tcpsack

操作系統一直不太平，包括Windows、Linux、MAC OS其實都是在不斷的修復與曝光中，像這次的TCP-sack內核漏洞等等，我們沒有辦法提前發現操作系統底層的爲止漏洞，但是我們可以很大程度上預防這樣的漏洞，那麼歸根結底還是隱藏目標，在隱藏目標的同時要發現系統上存在的異常，並且進行日常監控。

應用安全很簡單也很好理解，像Windows的SMB漏洞，RDP漏洞，Linux的SSH漏洞等等，這些應用要在業務允許的情況下保持最新保本以保證應用的安全性，並且要實時檢測監控。

數據安全同樣是老生常談的話題了，其實並不像多說什麼，數據存放不管是在大數據集羣，還是在什麼地方，底層都是數據庫，在傳輸層做好加密後，數據庫安全就是重中之重，包括數據脫敏、數據加密等等。

直接見架構設計吧。

詳細理解這個架構，那麼從監控的角度來說，5大層面都需要監控到位，每層的日誌、行爲分析都要掌控到，並且聯動告警，這裏可以是MQ，可以是短信可以是郵件等等。

從5大層面的角度來說，最重要的意義是防禦攻擊防禦入侵防禦數據泄露，那麼嚴格的登錄流程，複雜的登錄手續，加密算法的複雜程度等等都直接影響架構的安全性。

根據每個功能模塊的特點，制定如下的設計圖

辦公區需要連接VPN登錄堡壘機去訪問可用性架構中的服務器，可用性架構中的每臺服務器都安裝HIDS和防病毒軟件，旁路的漏掃集羣隨時對服務器進行漏洞掃描，數據庫審計來審計數據庫操作日誌，同時所有服務器日誌與應用日誌均反饋給日誌分析集羣，公網訪問通過抗DDoS設備和加密機訪問到服務器，圖中沒有體現告警系統與監控系統。

監控系統一般由兩部分組成，應用監控與主機監控

主機監控主要監控CPU、內存、文件是否變更、網絡流量等等

而應用監控則需要監控應用狀態、接口是否異常、訪問請求是否有效等等

針對監控系統，目前我採用的是zabbix+grafana聯合監控，業務監控則需要自己根據業務選擇對應語言進行腳本監控，與告警系統聯動

以上是我想分享的大致安全性架構，後期會有詳細的架構拆分，包括各種集羣具體採用什麼、怎麼搭建等等。下一期主要講述加密架構的實現與綜合架構整體設計。

*本文作者：煜陽yuyang，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載。

相關文章