服务器安全审计:权衡知识和性能

来源: TT中国
2011/8/19 9:56:46
除了最小型的企业外,所有组织都有针对服务器的某些等级的安全审计。不管它收集的信息关于失败登录次数、安全文件访问、文件删除、活动目录修改或是其它,事实是我们大部分人需要获取一定量的信息。

分享到: 新浪微博 腾讯微博
本文关键字: 服务器 知识 性能

除了最小型的企业外,所有组织都有针对服务器的某些等级的安全审计。不管它收集的信息关于失败登录次数、安全文件访问、文件删除、活动目录修改或是其它,事实是我们大部分人需要获取一定量的信息。

在TechEd 2011上,我发起了一次有关审计的小组讨论,这次讨论弄清楚了一件事:Windows的本地安全审计明确地有些安全问题。某位先生的故事可以代表每个人的经历:

管理方面要求我提供一些关于失败登录、成功登录等事情的细节。我告诉他们,我们目前没有收集这些信息,他们命令我们要去做这件事。我启用了必要的审计,又尽快地几乎将它们全关了。我们的域控制器根本不能处理额外的负载。

审计导致性能损失的事实最初让很多管理员感到惊讶,因为这不完全是直觉。毕竟,域控制器已经在执行工作,为什么仅仅对它做个标注会这么难呢?它确实很难:有人表示,审计在他的公司是放在容量规划里的工作。他估计他的团队拥有的域控制器是处理登录流量所需域控制器的两倍,因为它已经开启了几乎每一个可能的审计选项。

对文件服务器而言,拒绝访问文件的请求是一件事,而打开事件日志并将事实标注出来又是完全不同的操作。虽然Windows的本地事件日志架构是roburst,它并不是免费的。它需要计算力,它可以耗尽一台服务器的所有性能。这也是审计几乎总是在性能和知识间平衡的原因。发生越多的审计,这台服务器最终处理的用户工作负载就越少,因为它在审计工作负载上花的时间更多。一些组织只部署更多的计算资源来处理这些工作负载,其它企业为了保持服务器在理想的性能级别运行,不得不将审计量调整回去。

第三方审计解决方案有时候比本地事件日志架构处理更高等级的审计。它们通过结合三种基本技术来完成这一任务:

安装在服务器上的代理可以直接接入Windows的应用程序接口(API),而不是等待事件写入到事件日志中。这些代理节省了事件日志的日常开支,因为本地审计可以关闭。直接从API流量中获取数据通常花费也更少。

审计数据可以"慵懒写入",这意味着它可以在较段时间内排队等候日志。这通常不是很长的一段时间,但它确实允许审计占用次要位置来处理用户工作负载。

事件通常传输到中央数据库用于从服务器上实际地编写、移除多一点的工作负载,因为该服务器不需要维持实际的日志。

管理员可能不得不做一些基于实验室的实验来精确地查看服务器环境中创建什么级别的性能会影响所选的审计配置。选择审计方法的核心信息是:你不能拥有全部。管理需要理解,获取每一点可能的信息都会产生性能影响,公司需要愿意为这些影响付出额外的服务器、更大的服务器或降低性能的代价。

责编:陈慧
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
IT系统一体化时代来了

2009年Oracle 用Exadata服务器告诉企业,数据中心的IT服务一体化解决方案才是大势所趋,而当前企业对大数据处理的..

高性能计算——企业未来发展的必备..

“天河二号”问鼎最新全球超级计算机500强,更新的Linpack值让世界认识到了“中国速度”。但超算不能只停留于追求..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map