不断地校验与改进,不光是 OneAlert 提供安全方案的必备任务,也是持续监控与告警的必要条件。强健的系统能帮助我们主动找出问题,从而迅速解决。以下是常用的一些监控与告警技术。
端口的有效监控
通过 OneAlert 的动态防火墙,我们完全可以了解到一系列端口的状态是开放还是闭合。由于这些信息被存储在服务器中,我们可以在服务器上建立端口状态的检查机制,不断地运行该项目,一旦发现问题,就会收到与之对应的 OneAlert 告警,大大简化对网络架构安全状态的检查。
集中的日志与分析
现在,我们已经实现了集中日志的功能。从安全的角度来说,之所以这么做,是因为攻击者往往会首先关闭日志系统以隐藏其踪迹。通过将这些日志安全转移在其他地方,并对其设置模式告警,就能够快速响应出现的问题。此外,我们还可以分析所有系统记录与应用日志数据。
自动响应
最后,对于熟知的攻击,我们可以使用自动响应工具,而无需分担运维团队的任何精力。随着 OneAlert 网络架构的不断发展,我们会有更多的主动响应解决方案,以避免消耗过多冗余的时间。
我们已经为网络架构中的每台服务器都部署了监控程序。如果不存在的用户试图登入,或出现暴力攻击,OneAlert 能够自动屏蔽其 IP 地址。尽管在网络架构上已经禁用了外部的 SSH,我们仍可以通过一组网关或跳板机来读取服务器的内容。从年初配置好以来,我们已经阻止了 961 个独立 IP 地址对系统的访问。
我们使用开源的入侵探测系统用于监测服务器上的异常行为。它会持续地分析重要的日志文件或目录,找寻异常变化。我们还有不同的告警级别,可以自行设定告警传达的模式,使得运维团队能够立即对出现的问题做出响应。
积极主动地实施监控,是我们保证服务平稳运转的良方。文中提到的主动响应工具,将会是未来安全架构的发展方向。