设置应用程序并开始运行
一旦规划了Scan Engine部署,就已经完成了安装计划的一半以上。下一步是决定如何安装主要组件—安全控制台和扫描引擎。
了解部署选项
暴露组件有两个版本。硬件/软件设备是即插即用的设备,它包含安全控制台和扫描引擎的组件。当您购买Appliance时,可以将其配置为作为扫描引擎或作为带有本地扫描引擎的安全控制台运行。
在某些方面,Appliance是比产品的软件版本更简单的解决方案,软件版本需要您分配自己的资源来满足系统需求。当您在给定的主机上安装暴露软件时,您的选项(与appliance一样)包括仅作为扫描引擎或作为安全控制台和扫描引擎运行应用程序。
安装场景-你是哪一个?
安装exposed的不同方法针对不同的业务场景和生产环境。你可能会发现其中一个与你的相似。
小型企业,内部网络
一个小型零售商店的所有者拥有50或60个工作站的网络,需要确保它们符合PCI标准。资产包括寄存器、进行商品查询的计算机以及文件和数据服务器。它们都在同一栋楼里。在单个服务器上使用纯软件的安全控制台/扫描引擎就足够了。
中等规模的公司,有一些偏远的地方
一个公司有一个中心办公室和两个偏远的地点。总部和其他一个地点之间只有很少的资产。另一个偏远的地方有300个资产。网络带宽一般,但足够了。将一个扫描引擎专门用于300个资产的位置是非常有意义的。环境的其余部分可以由同一主机上的安全控制台和扫描引擎支持。由于带宽限制,建议在下班时间扫描此网络。
拥有多个大型远程位置的全球企业
总部设在美国的公司在世界各地都设有办事处。每个地点都有大量的资产。每个远程位置都有一个或多个专用扫描引擎。美国办公室的一组扫描引擎涵盖本地扫描,并为远程扫描引擎提供紧急备份。在这种情况下,建议不要使用与安全控制台共享主机的扫描引擎,因为安全控制台必须管理大量扫描引擎和大量数据。
安全控制台放在哪里
与扫描引擎不同,安全控制台的性能不受其在网络上的位置的限制。可以将引擎设置为启动与控制台的出站连接,或者让控制台启动这些连接以启动扫描。当安全控制台通过防火墙的一个开口发送数据包时,数据包从防火墙的“内部”发送到扫描引擎的“外部”。您可以在任何方便的地方安装安全控制台。
假设安全控制台不与扫描引擎共享主机资源,一个安全控制台通常足以支持整个企业。如果您注意到Security Console的性能比平常要慢,并且这个变化与扫描量的急剧增加同时发生,那么您可能需要考虑添加第二个Security Console。
配置环境包括将每个已安装的扫描引擎与安全控制台配对。
部署方案,例如,Inc.。
让我们回到环境表,例如Example, Inc。
网段 |
地址空间 |
不。的资产 |
位置 |
资产函数 |
|---|---|---|---|---|
纽约的销售 |
10.1.0.0/22 |
254 |
1号楼1-3层 |
工作站 |
纽约/管理 |
10.1.10.0/23 |
50 |
2号楼:2层 |
工作站 |
纽约打印机 |
10.1.20.0/24 |
56 |
1、2号楼 |
打印机 |
纽约非军事区 |
172.16.0.0/22 |
30. |
协同定位设备 |
Web服务器 |
马德里的销售 |
10.2.0.0/22 |
65 |
3号楼:1层 |
工作站 |
马德里的发展 |
10.2.10.0/23 |
130 |
3号楼:2、3层 |
工作站 |
马德里打印机 |
10.2.20.0/24 |
35 |
3号楼1-3层 |
打印机 |
马德里非军事区 |
172.16.10.0/24 |
15 |
3号楼:暗室 |
文件服务器 |
最佳实践部署计划可能如下所示:
这八个组总共包含635个资产。例如,Inc.可以购买635个许可证的固定号码许可证,但更明智的做法是购买总地址空间的发现。根据标准(如PCI、ISO 27002或ISO 27001)扫描环境中的所有资产始终是最佳实践。这种做法反映了黑客将任何资产视为可能的攻击点的方法。
Example, Inc.应该将exposure组件分布在其四个物理位置:
- 建筑1
- 2号楼
- 建筑3
- 协同定位设备
IT或安全团队应该评估这些位置之间的每个LAN/WAN连接的质量和带宽可用性。团队还应该对这些管道进行审计,以找出可能阻止成功扫描的设备,如防火墙、acl、IPS或IDS。
最后,团队必须解决任何可能阻止访问的逻辑分离,如防火墙和acl。
安全控制台的最佳位置是在纽约,因为那里有大量的资产,更不用说IT和管理组了。
假设纽约的建筑之间的服务质量是可接受的,唯一的附加基础设施将是Co-Location设施内的扫描引擎。
例如,Inc.应该在马德里位置安装至少一个扫描引擎,因为延迟和带宽利用率是WAN链路的问题。
最后,为马德里DMZ添加一个扫描引擎以绕过任何防火墙问题,这不是一个坏主意。
下表反映了这一计划。
资产 |
位置 |
|---|---|
安全控制台 |
纽约:2号楼 |
扫描引擎# 1 |
纽约:联合选址设施 |
扫描引擎# 2 |
马德里:建筑3 |
扫描引擎# 3 |
马德里:黑暗的房间里 |
您的部署清单
当您准备安装、配置和运行exposure时,遵循一般的顺序是一个好主意。某些任务依赖于其他任务的完成。
你会发现自己在重复这些步骤:
- 安装组件
- 登录安全控制台Web界面
- 配置扫描引擎,并将它们与安全控制台配对
- 创建动态发现连接,从VMWare, AWS, DHCP等拉资产。
- 创建一个或多个站点
- 将每个站点分配给扫描引擎
- 为每个站点选择一个扫描模板
- 安排扫描
- 创建用户帐户,并为这些帐户分配站点相关的角色和权限
- 运行扫描
- 配置和运行报告
- 创建资产组,查看报表和资产数据
- 创建用户帐户,并为这些帐户分配与资产组相关的角色和权限
- 向用户分配修正票据
- 重新运行扫描以验证补救措施
- 执行维护任务