主页 > 网赚优化 > 互联网企业安全运维实践(4)

互联网企业安全运维实践(4)

维护和管理几百条VPN隧道是非常麻烦的事情,我们开发了VPN管理工具,可以批量生成中心端VPN的配置信息,远端的VPN小盒子也通过脚本实现即插即用。大大降低了维护的复杂度。上图界面是VPN隧道存活情况的监控。互联网企业安全运维实践

随着互联网技术的不断发展,在线网站的规模越来越大,防火墙作为网络的安全屏障在广泛使用,其数量也在相应的增加。这张拓扑图展示的一些较大规模互联网公司或企业典型的防火墙部署示意图,体现了边界防护、重要业务系统隔离保护、办公与生产隔离的一些保护需求。

据我了解使用几台到几十台的企业有很多,也有一些大型集团公司或跨国公司使用数百台防火墙。面对这么多防火墙,要把它管理好,难度是很大的。有些厂商就说了,你可以使用我们的防火墙集中管理系统帮助降低运维复杂度。但当告诉他,我们有好几个品牌的墙,他们往往会说对不起,他的系统管不了,只能管自家的墙。有商用产品可以实现不同品牌防火墙策略集中管理,但是按License算钱,价格昂贵,而且不灵活,不能实现个性化的需求。在这种多品牌,多数量的情况下,防火墙系统的运维难度和挑战将变得非常的大。

互联网企业安全运维实践

我们自主开发了防火墙运维管理系统,这张图是核心功能模块的索引和实现功能简介。拓扑计算,通过计算路由,生成防火墙拓扑,判断出一个策略需求,经过哪几台防火墙。策略查询2个功能,一是用户自助查询2点间的防火墙策略;二是申请策略时后台会自动判断是否已有策略支持,如果有的话,会返回消息告诉用户说已经有策略了,无须申请。

策略生成模块,抽象策略对象,判断策略申请是增删改哪种场景生成相应的工艺。工单对接是指如何与企业中的变更管理工单管理系统对接。自动化不能逾越流程,反而要严格遵循流程。在工单对接环节会重点强调。其它工具,VPN管理、改密码、审批关系维护、墙元素查询,都非常有价值,极大提升运维工作效率。

总结

互联网企业安全运维实践

最后简单谈一些感想。第一做安全运维也要理解业务,理解业务才能针对不同业务实施不一样的保护级别,如果全部采用相同保护级别的话,你的安全成本会非常高。

第二个要有充分的预案,因为我们不知道接下来会发生什么,我们通常认为防火墙HA部署的可靠性已经很高了,但是极端情况下会出现两台防火墙同时坏掉的悲剧,就需要有应急预案处理这样的极端情况。

第三个是定期演练。即使有了预案,还需要定期演练,不然真出现问题,对方案不熟悉或是预案针对的环境已经发生变化,预案早已不再有效却没有及时发现。

第四是善用乙方的资源,在系统的专业性方面,已方的工程师可能比较强,但对于业务本身,当然是甲方工程师更清楚,要利用相应的优势,为业务提供保护。

第五是创新思维,就是用创新的想法去解决实际问题,并且成为一种能力。

第六是全面安全视角,安全运维不仅是对各种安全设备和软件进行运维保障系统安全,还要兼顾运维安全,解决研发、运维同事产生的各种危险坑点,基本上是涵盖了整个系统安全的方方面面。所以需要有全面的安全视角,才能应对不断产生的安全风险和挑战。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!