大学研究实验室系统的安全性

Question

在大学计算机科学系负责安全一点也不有趣。我解释说：我经常收到要求安装新硬件系统或软件系统的请求，这些系统或软件系统非常具有实验性，以至于我什至不敢将它们放在 DMZ 中。如果我可以避免它并强制安装在受限制的内部 VLAN 中，那很好，但偶尔我会收到需要访问外部世界的请求。实际上，让此类系统访问世界以进行测试是有意义的。

这是最新的请求：新开发的使用 SIP 的系统正处于开发的最后阶段。该系统将能够与外部用户（即其目的和研究计划）进行交流，实际上医院患者对技术不太了解。因此，向世界其他地方开放它是有意义的。我正在寻找的是任何有处理需要广泛外部网络访问的高度实验性系统的经验的人。您如何在不妨碍研究的情况下保护网络和系统的其余部分免受这个安全噩梦的影响？放置在 DMZ 中是否足够？有什么额外的预防措施吗？还有其他选择、方法吗？

Answer 1

不知道您的政策或监管要求，我们无法告诉您什么是“足够”。一个适当的防火墙和监控子网通常就足够了，只要你

1. 知道你允许什么
2. 记录它
3. 确保这与您拥有的任何安全策略相匹配
4. 并且可以向您的老板、他的老板、政府或 PCI 审计员或任何适用于您的组织的人员证明其合理性。

Answer 2

这完全取决于所讨论的“实验系统”——安全性不是装在盒子里的东西：它需要针对每个特定的站点、场景和应用程序进行定制。

如果你在谈论学生写的东西（他们以零实际掌握 IT 安全而臭名昭著），我会说每个项目都需要被隔离到自己的领域。
这意味着：

• 放置在自己的（适当大小的）子网中，有自己的路由器
  （不用说，它也应该在自己的 vLAN 中）
• 放置在它自己的防火墙后面，它应该：
  • 尽可能限制入站访问
    （即仅应用程序需要接受连接的端口）
  • 在合理的情况下限制出站连接
  • 与大学和院系基础设施的其余部分完全分开
    （例如，您的外部应用程序不应该能够通过您的防御找到与校园 AD 服务器通信的方法）
• 内部拓扑应遵循遏制违规的最佳实践
  这很难，因为它需要很好地设计软件，但在可能的情况下，您希望进行设置，以便如果有人破坏了前端系统（如 Web 服务器），您的背部- 终端系统（如数据库）可能仍然是安全的。
  如果软件是为分段而设计的，例如具有APP一层、DBI一层和DB一层的东西， 您理论上可以将其分成三个内部网络。APP可以交谈DBI，DBI可以交谈DB，但APP不能交谈，DB除非DBI处理请求。

如果您使用良好的 Cisco 硬件，这并不难做到（FWSM“PIX Blades”用于独立防火墙、一些基本的 vLAN，并将路由器放入每个子网）。

通用最佳实践显然也适用 - 您应该记录所有内容（需要开放哪些内容以及为什么？应用了哪些特殊的网络配置（如果有）？等），如果您有 IDS/IPS，您应该查看确保覆盖这些孤立环境的方法。