384
安全監控、告警及自動化!
不斷地校驗與改進,不光是 OneAlert 提供安全方案的必備任務,也是持續監控與告警的必要條件。強健的係統能幫助我們主動找出問題,從而迅速解決。以下是常用的一些監控與告警技術。
端口的有效監控
通過 OneAlert 的動態防火牆,我們完全可以了解到一係列端口的狀態是開放還是閉合。由於這些信息被存儲在服務器中,我們可以在服務器上建立端口狀態的檢查機製,不斷地運行該項目,一旦發現問題,就會收到與之對應的 OneAlert 告警,大大簡化對網絡架構安全狀態的檢查。
集中的日誌與分析
現在,我們已經實現了集中日誌的功能。從安全的角度來說,之所以這麼做,是因為攻擊者往往會首先關閉日誌係統以隱藏其蹤跡。通過將這些日誌安全轉移在其他地方,並對其設置模式告警,就能夠快速響應出現的問題。此外,我們還可以分析所有係統記錄與應用日誌數據。
自動響應
最後,對於熟知的攻擊,我們可以使用自動響應工具,而無需分擔運維團隊的任何精力。隨著 OneAlert 網絡架構的不斷發展,我們會有更多的主動響應解決方案,以避免消耗過多冗餘的時間。
我們已經為網絡架構中的每台服務器都部署了監控程序。如果不存在的用戶試圖登入,或出現暴力攻擊,OneAlert 能夠自動屏蔽其 IP 地址。盡管在網絡架構上已經禁用了外部的 SSH,我們仍可以通過一組網關或跳板機來讀取服務器的內容。從年初配置好以來,我們已經阻止了 961 個獨立 IP 地址對係統的訪問。
我們使用開源的入侵探測係統用於監測服務器上的異常行為。它會持續地分析重要的日誌文件或目錄,找尋異常變化。我們還有不同的告警級別,可以自行設定告警傳達的模式,使得運維團隊能夠立即對出現的問題做出響應。
積極主動地實施監控,是我們保證服務平穩運轉的良方。文中提到的主動響應工具,將會是未來安全架構的發展方向。
最後更新:2017-04-01 13:44:32