强化安全架构的五大方法

网络安全的关键问题在于：“究竟如何才能提升安全性？”其答案就在于“增强串联安全工具的部署”。在遵循PCI-DSS标准与HIPAA监管要求方面，串联安全工具部署也许并不十分重要，但它对提升安全架构的防御效果来说，却是必不可少的。

关于如何改进企业串联安全架构，可归纳为以下五项举措：

第一，在网络与安全工具之间安装旁路交换机，以提高网络可用性与可靠性。外部旁路交换机不但具有内部旁路的优势，还消除了直接部署串联工具的痛，因为它提供自动按需式故障切换功能，对网络的影响几乎难以察觉。

第二，在网络进/出口处部署威胁情报网关，以减少安全误报。威胁情报网关可自动协助过滤进入网络且需要分析的流量。通过消除已知的恶意流量，一些企业减少了30%以上的IPS误报，从而让网络安全团队集中精力应对真正的潜在威胁。

第三，将SSL解密功能从现有安全设备分离到网络数据包中转设备或专项设备，以降低延迟并提高安全工具效率。虽然许多安全工具有流量解密的能力，但这也会影响CPU性能，并大幅拖慢（高达80%）安全设备的处理能力。SSL解密有可能成為这些安全工具的巨大负担，降低安全工具效率，进而增加检查网络数据的成本。由于在数据解密时会受到性能冲击，许多安全团队会选择关闭安全工具的此项特性，而这将可能带来极大的安全风险。因此需采用网络数据包中转设备（NPB），由该设备执行数据解密，或者将此项任务交由单独的解密设备。一旦数据被解密后，网络数据包中转设备就能将这些数据转发给一台或多台安全工具进行分析。

第四，对可疑数据按顺序进行工具链式检查，以便改进数据检查流程。串行数据链通过预定数据分析序列，即以串行方式将可疑数据发送至多台安全工具进行额外安全检查与解析——增强数据检查。这确保了各种行动的正确顺序且不会遭到忽略。

第五，利用N+1或高可用性技术，插入网络数据包中转设备，提高安全设备可用性。优秀的网络数据包中转设备将拥有两个选项。第1个选项一般称作N+1，部署于负载共享配置内。在负载共享配置中，配备1台额外安全设备，以应对其中某个重要工具出现故障。如果其中1台设备有故障，总数据负载仍可由剩余设备加以处理。待发生故障的工具恢复正常后，其它工具将恢复负载共享配置。

网络数据包中转设备具有内部编程能力，可处理负载均衡及心跳信息，以检测工具何时出现故障及何时可用，从而构建起经济高效的自愈架构。而另一个更加稳健但成本更高的选项就是部署高可用性，即N+M选项，在该选项中，配备了一套完全冗余的设备。尽管成本非常高，但根据业务需求，这可能也是最佳的选择。