搜索歷史

熱搜詞

原創(chuàng)

活動(dòng)

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當(dāng)前位置：首頁 >互聯(lián)網(wǎng)?IT > 大數(shù)據(jù) > 數(shù)據(jù)中心 > 正文

加強(qiáng)數(shù)據(jù)中心安全的5大步驟

來源：機(jī)房360 ：佚名 2016-07-25 11:14:31

現(xiàn)如今的數(shù)據(jù)中心管理人員們正面臨著一個(gè)重大的挑戰(zhàn)：他們需要在不影響新的數(shù)據(jù)中心環(huán)境所帶來的性能和功能的前提下，確保數(shù)據(jù)中心的安全運(yùn)營(yíng)。

現(xiàn)如今的數(shù)據(jù)中心管理人員們正面臨著一個(gè)重大的挑戰(zhàn)：他們需要在不影響新的數(shù)據(jù)中心環(huán)境所帶來的性能和功能的前提下，確保數(shù)據(jù)中心的安全運(yùn)營(yíng)。許多企業(yè)組織都在使用為互聯(lián)網(wǎng)邊緣設(shè)計(jì)的解決方案來加強(qiáng)數(shù)據(jù)中心的安全，但這些解決方案是不夠的。本文中，我們將為廣大讀者朋友們介紹關(guān)于您企業(yè)組織可以借鑒，用以確保您的數(shù)據(jù)中心在今天安全運(yùn)營(yíng)所需要采取的5大步驟。

鑒于每家企業(yè)組織的數(shù)據(jù)中心都圍繞著其獨(dú)特的業(yè)務(wù)需求有著特殊具體的配置、性能、虛擬化、應(yīng)用程序和流量要求，而網(wǎng)絡(luò)邊緣的安全設(shè)備根本不是旨在解決上述這些具體特殊要求的。

確保一家數(shù)據(jù)中心的安全運(yùn)營(yíng)所需要的一套解決方案必須具備如下條件：

● 提供對(duì)于自定義的數(shù)據(jù)中心應(yīng)用程序的可視化和控制

● 處理設(shè)備和數(shù)據(jù)中心之間的非對(duì)稱流量和應(yīng)用程序交易

● 適應(yīng)數(shù)據(jù)中心的不斷發(fā)展的需求，如：虛擬化、軟件定義的網(wǎng)絡(luò)(SDN)、網(wǎng)絡(luò)功能虛擬化(NFV)、思科的以應(yīng)用程序?yàn)橹行牡幕A(chǔ)設(shè)施(ACIS)等等

● 解決整個(gè)連續(xù)攻擊：包括在攻擊發(fā)生之前、期間和之后

● 跨整個(gè)網(wǎng)絡(luò)整合安全部署

支持地理上的分散DC流量和部署，包括私有、公共和云環(huán)境

安全威脅攻擊的首要目標(biāo)：數(shù)據(jù)中心

許多現(xiàn)代的網(wǎng)絡(luò)犯罪活動(dòng)是專門旨在以數(shù)據(jù)中心為攻擊目標(biāo)而設(shè)計(jì)的，因?yàn)檫@些數(shù)據(jù)中心都托管和處理著海量高價(jià)值的數(shù)據(jù)信息，包括個(gè)人客戶數(shù)據(jù)資料、財(cái) 務(wù)信息和企業(yè)知識(shí)產(chǎn)權(quán)等(1)。故而確保數(shù)據(jù)中心的安全運(yùn)營(yíng)是一項(xiàng)挑戰(zhàn)。非對(duì)稱的業(yè)務(wù)流量、定制化的應(yīng)用程序、需要被路由到計(jì)算層之外并達(dá)到數(shù)據(jù)中心周邊以便進(jìn)行檢查的高流量數(shù)據(jù)、跨多個(gè)hypervisor的虛擬化、以及地理上分散的數(shù)據(jù)中心，所有這一切，都使得利用那些不是設(shè)計(jì)用于該目的，但卻又被用來確保數(shù)據(jù)中心安全運(yùn)營(yíng)的解決方案實(shí)施起來異常困難。其結(jié)果是：在安全方案覆蓋范圍方面存在空白、對(duì)數(shù)據(jù)中心性能造成嚴(yán)重的影響、乃至犧牲數(shù)據(jù)中心的功能以適應(yīng)安全的限制、并通過提供復(fù)雜的安全解決方案，削弱并破壞了數(shù)據(jù)中心根據(jù)實(shí)際業(yè)務(wù)需求而動(dòng)態(tài)地配置資源的能力。

而與此同時(shí)，數(shù)據(jù)中心又是在不斷發(fā)展演變的，其正在從物理環(huán)境遷移到虛擬環(huán)境，再到下一代的諸如SDN和ACI的環(huán)境中。數(shù)據(jù)中心的流量已經(jīng)呈現(xiàn)出了幾何級(jí)的成倍增長(zhǎng)，而這在很大程度上是由云服務(wù)利用率的增加和物聯(lián)網(wǎng)(IoT)環(huán)境的興起所推動(dòng)的，其中互聯(lián)網(wǎng)和網(wǎng)絡(luò)已經(jīng)擴(kuò)展到了諸如制造車間、能源網(wǎng) 格、醫(yī)療設(shè)施和運(yùn)輸?shù)阮I(lǐng)域。

而根據(jù)思科的預(yù)測(cè)，到2017年，全球76%的數(shù)據(jù)中心流量將保留在數(shù)據(jù)中心內(nèi)，并將很大程度上是在虛擬環(huán)境中由存儲(chǔ)、生產(chǎn)和開發(fā)數(shù)據(jù)所生成的(2)。而早在2015年3月底，市場(chǎng)調(diào)研機(jī)構(gòu)Gartner公司就曾經(jīng)預(yù)測(cè)，數(shù)據(jù)中心連接每秒增加3000%。

現(xiàn)代數(shù)據(jù)中心已經(jīng)為企業(yè)提供了大量的應(yīng)用程序、服務(wù)和解決方案。許多企業(yè)組織都需要依賴于分散在各個(gè)不同地理位置的數(shù)據(jù)中心所部署的服務(wù)，以支持他們不斷增長(zhǎng)的云計(jì)算和流量需求。他們還需要解決戰(zhàn)略方面的舉措，如大數(shù)據(jù)分析和業(yè)務(wù)連續(xù)性管理，使數(shù)據(jù)中心成為其企業(yè)骨干的一個(gè)更為關(guān)鍵的部分。但這也進(jìn) 一步使得數(shù)據(jù)中心的資源成為了惡意攻擊者們?cè)O(shè)計(jì)越來越復(fù)雜的安全威脅以逃避檢測(cè)，進(jìn)而對(duì)數(shù)據(jù)中心進(jìn)行攻擊的主要目標(biāo)。所有這一切，都意味著數(shù)據(jù)中心的安全團(tuán)隊(duì)實(shí)施數(shù)據(jù)中心的監(jiān)控和保護(hù)將變得更加困難。

數(shù)據(jù)中心管理人員及他們的團(tuán)隊(duì)所面臨的另一個(gè)復(fù)雜的問題是：配置和性能嚴(yán)重影響和限制了安全解決方案如何充分發(fā)揮作用，如下一代防火墻的部署，及其所能夠檢查的流量。安全解決方案不能破壞數(shù)據(jù)中心的性能。在今天的數(shù)據(jù)中心，安全配置必須在幾小時(shí)或幾分鐘內(nèi)完成，而不是花費(fèi)幾天或幾周的時(shí)間。而性能則必須是動(dòng)態(tài)擴(kuò)展的，以處理大量突發(fā)的高流量。

加強(qiáng)數(shù)據(jù)中心安全的5大步驟：

綜合的加強(qiáng)數(shù)據(jù)中心的安全需要一套深度的防御方法，企業(yè)組織可以從五個(gè)關(guān)鍵領(lǐng)域著手實(shí)現(xiàn)。其安全防御解決方案必須：

1、提供對(duì)于自定義數(shù)據(jù)中心應(yīng)用程序的可視化和控制。數(shù)據(jù)中心管理人員們所需要的對(duì)于自定義數(shù)據(jù)中心的應(yīng)用程序的可視化和控制，不僅僅只是包括了傳統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用程序(例如，F(xiàn)acebook和Twitter)，還涉及到微應(yīng)用(microapplication)的傳統(tǒng)網(wǎng)絡(luò)邊緣安全設(shè)備檢測(cè)。大多數(shù)下一代防火墻都是設(shè)計(jì)用于檢查流經(jīng)互聯(lián)網(wǎng)邊緣的流量類型，但并不確保這些自定義的數(shù)據(jù)中心應(yīng)用程序的安全。

2、管理設(shè)備或數(shù)據(jù)中心之間的非對(duì)稱的業(yè)務(wù)流量和應(yīng)用程序交易。安全解決方案必須能夠與數(shù)據(jù)中心的架構(gòu)充分整合，而不是簡(jiǎn)單地處在邊緣。邊緣的解決方案不能檢查南北走向的(入站出站)流量和東西走向(跨應(yīng)用程序)的流量，而后者則代表了今天的數(shù)據(jù)中心流量的絕大部分。如果應(yīng)用程序的流量必須被發(fā)送到數(shù)據(jù)中心外圍邊界的下一代防火墻，以便在檢查之后再發(fā)送回計(jì)算機(jī)層，那么，解決方案將逐漸削弱現(xiàn)代數(shù)據(jù)中心所要求的動(dòng)態(tài)流量。

許多下一代防火墻都無法保護(hù)非對(duì)稱流量。在非對(duì)稱路由中，典型的到達(dá)數(shù)據(jù)中心的一個(gè)數(shù)據(jù)包在返回到其數(shù)據(jù)源時(shí)，將選擇不同的路徑。這成為了許多下一代防火墻的一個(gè)問題，因?yàn)樗麄兪菍檠匾粋€(gè)單一的、可預(yù)測(cè)的路徑而對(duì)流量進(jìn)行跟蹤，檢查和管理設(shè)計(jì)的。

數(shù)據(jù)中心的安全性解決方案還必須能夠處理在數(shù)據(jù)中心或設(shè)備之間的應(yīng)用程序交易，包括在虛擬設(shè)備之間。虛擬設(shè)備與物理設(shè)備是一樣脆弱的，但數(shù)據(jù)中心的安全解決方案也必須能夠處理虛擬環(huán)境的獨(dú)特安全挑戰(zhàn)，包括創(chuàng)造、拆卸、和遷移恒定的工作負(fù)載。

3、適應(yīng)數(shù)據(jù)中心的不斷發(fā)展的需求。隨著數(shù)據(jù)中心環(huán)境從物理環(huán)境遷移到虛擬環(huán)境再到下一代的SDN和ACI模式，其安全解決方案也必須能夠動(dòng)態(tài)地?cái)U(kuò) 展，并提供持續(xù)一致的安全保護(hù)，以便能夠跨不同的演變階段和各種混合的數(shù)據(jù)中心環(huán)境而無縫工作。在這些新的數(shù)據(jù)中心模式下，虛擬和物理設(shè)備正在被快速的配置，安全規(guī)則的失控可能會(huì)迅速擴(kuò)大。訪問控制列表(ACL)管理對(duì)于很多IT團(tuán)隊(duì)而言都已經(jīng)是一大挑戰(zhàn)了。

新設(shè)備的配置需要自動(dòng)執(zhí)行，這樣可以使得其部署時(shí)間可以從幾天減少到幾分鐘，同時(shí)還無需擔(dān)心產(chǎn)生不安全的后果。同樣，還需要有能夠跨多處混合的數(shù)據(jù) 中心部署一款單一的安全解決方案的能力，許多多虛擬機(jī)管理程序(虛擬機(jī)監(jiān)視器)允許企業(yè)組織數(shù)據(jù)中心的IT團(tuán)隊(duì)能夠?qū)Ｗ⒂跀?shù)據(jù)中心的功能，而無需承擔(dān)安全方面的行政開銷。

4、解決整個(gè)連續(xù)攻擊：包括在攻擊發(fā)生之前、期間和之后。傳統(tǒng)的安全方法僅僅只為數(shù)據(jù)中心的環(huán)境提供了有限的威脅意識(shí)和可視化，并主要集中在數(shù)據(jù)中心外圍實(shí)施攻擊阻擋方面。而覆蓋整個(gè)連續(xù)攻擊過程的則需要借助一套安全保護(hù)解決方案跨一個(gè)廣泛的攻擊向量針對(duì)無處不在的安全威脅實(shí)施監(jiān)控，包括：在網(wǎng)絡(luò) 上，在端點(diǎn)上，在移動(dòng)設(shè)備上，以及在虛擬環(huán)境中。一套全面的，以積極應(yīng)對(duì)安全威脅為中心的方法，確保數(shù)據(jù)中心的安全，包括在安全攻擊發(fā)生之前，期間和之后的防御保護(hù)都是必要的，進(jìn)而才能保護(hù)現(xiàn)代數(shù)據(jù)中心及其專門的流量。

傳統(tǒng)的下一代防火墻針對(duì)識(shí)別和減輕那些設(shè)計(jì)用于繞過防御措施的隱蔽攻擊幾乎沒有提供任何解決方案，其在這些隱蔽攻擊停止后也不能提供補(bǔ)救和分析，無法跟蹤和確保數(shù)據(jù)中心非對(duì)稱流量的安全。他們幾乎完全是防御性的工具，但卻不能抵御新興的，針對(duì)有漏洞的服務(wù)器，獨(dú)特的應(yīng)用程序和有價(jià)值的數(shù)據(jù)所進(jìn)行的未知的安全威脅。

5、保護(hù)整個(gè)網(wǎng)絡(luò)。任何數(shù)據(jù)中心安全解決方案都必須認(rèn)識(shí)到遠(yuǎn)程用戶有直接連接到某個(gè)關(guān)鍵的數(shù)據(jù)中心資源的需要。故而該安全解決方案需要在遠(yuǎn)程用戶和數(shù)據(jù)中心資源之間提供透明度，但其仍然是一個(gè)復(fù)雜的網(wǎng)絡(luò)環(huán)境的一部分，只是通過分支辦事處，跨核心擴(kuò)展進(jìn)入到了數(shù)據(jù)中心，并向外延伸到了云計(jì)算。安全解決方案必須是數(shù)據(jù)中心架構(gòu)的一部分，以及一套更廣泛的、可以同時(shí)看到基于網(wǎng)絡(luò)的安全威脅和以數(shù)據(jù)中心為攻擊目標(biāo)、還能夠跨整個(gè)數(shù)據(jù)路徑提供無縫的保護(hù)的解決方案一部分。

數(shù)據(jù)中心的安全是不同的。為了切實(shí)保護(hù)現(xiàn)代數(shù)據(jù)中心，新的數(shù)據(jù)中心模型正在出現(xiàn)，企業(yè)組織不能僅僅單只靠一個(gè)下一代的防火墻。他們需要一套全面的、綜合性的安全戰(zhàn)略和架構(gòu)，以便可以提供跨整個(gè)分布式網(wǎng)絡(luò)、一致的、智能型的安全保護(hù)，從邊緣到數(shù)據(jù)中心再到云環(huán)境，而且不會(huì)破壞數(shù)據(jù)中心的性能。

保護(hù)現(xiàn)代數(shù)據(jù)中心

思科提供了強(qiáng)大的工具來捍衛(wèi)當(dāng)今不斷發(fā)展的數(shù)據(jù)中心環(huán)境，而不僅僅是在數(shù)據(jù)中心邊緣的保護(hù)。創(chuàng)新的思科自適應(yīng)安全設(shè)備( Adaptive Security Appliances ，ASA)解決方案，是專門為確保數(shù)據(jù)中心的物理和虛擬環(huán)境的安全性而設(shè)計(jì)的，并允許企業(yè)組織能夠無縫的從傳統(tǒng)數(shù)據(jù)中心遷移到下一代數(shù)據(jù)中心，進(jìn)而實(shí)現(xiàn)面向未來的部署，投資保護(hù)和綜合保護(hù)。思科ASA平臺(tái)的新增包括：

· 思科自適應(yīng)安全虛擬設(shè)備( Adaptive Security Virtual Appliance，ASAv)：思科ASAv是一款完整的思科ASA防火墻功能設(shè)置的虛擬版，結(jié)合了動(dòng)態(tài)的可擴(kuò)展性和虛擬環(huán)境的簡(jiǎn)化配置。其被設(shè)計(jì)為運(yùn) 行在各種虛擬機(jī)管理程序上，獨(dú)立于VMware vSwitch技術(shù)，使其成為與思科、混合、和非思科環(huán)境無關(guān)的數(shù)據(jù)中心解決方案。在思科ASAv靈活的架構(gòu)意味著其既可以作為一個(gè)傳統(tǒng)的安全網(wǎng)關(guān)部署，又可以作為一款針對(duì)智能SDN和ACI環(huán)境的，可以動(dòng)態(tài)地直接縫合到應(yīng)用程序服務(wù)鏈的安全資源。

· 具備FirePOWER服務(wù)的思科ASA 5585-X產(chǎn)品：這是一款專用于數(shù)據(jù)中心的安全設(shè)備，完全支持傳統(tǒng)、SDN和ACI的數(shù)據(jù)中心環(huán)境，該款思科ASA 5585-X自適應(yīng)安全設(shè)備具備FirePOWER服務(wù)功能，能夠提供先進(jìn)的防火墻和下一代的IP安全功能，包括探測(cè)功能和檢查自定義的數(shù)據(jù)中心應(yīng)用程序，以及一些增強(qiáng)的性能和配置能力。其為多達(dá)16個(gè)節(jié)點(diǎn)提供了先進(jìn)的集群功能，640 Gbps的數(shù)據(jù)中心級(jí)性能可以部署在多處數(shù)據(jù)中心。集群解決方案可以作為一款單一的設(shè)備管理，以顯著降低管理開銷。與ASAv一樣，這款5585-X產(chǎn)品也被設(shè)計(jì)可在傳統(tǒng)的和下一代數(shù)據(jù)中心環(huán)境如SDN、NFV、和ACI下工作，提供跨混合環(huán)境的一致的安全性和對(duì)于正在遷移的數(shù)據(jù)中心的無縫保護(hù)。

· 思科FirePOWER下一代IPS：FirePOWER是市場(chǎng)領(lǐng)先的NGIPS，可作為一款物理或虛擬解決方案，識(shí)別和評(píng)估連接到數(shù)據(jù)中心的資源，并監(jiān) 控可疑的網(wǎng)絡(luò)活動(dòng)。對(duì)于文檔活動(dòng)的監(jiān)測(cè)和控制是近乎實(shí)時(shí)的，而對(duì)于某些特定文件(特別是可能被惡意軟件攻擊的未知的文件)則將通過沙盒接受進(jìn)一步的分析 (文件隔離和行為分析)，或在云中查看(在大社區(qū)進(jìn)行智能檢查)。這樣的方法可以進(jìn)行細(xì)粒度的分析和應(yīng)對(duì)關(guān)鍵數(shù)據(jù)中心流量的響應(yīng)。

思科所提供的有助于提供全面的數(shù)據(jù)中心的安全保護(hù)的其他的解決方案包括：

· 思科身份服務(wù)引擎(Identity Services Engine，ISE)和TrustSec：IT團(tuán)隊(duì)可以隨著新設(shè)備或用戶通過UCS director添加到數(shù)據(jù)中心環(huán)境，而動(dòng)態(tài)地創(chuàng)建、分享、和執(zhí)行安全策略。ISE可以將包含安全政策和實(shí)施規(guī)則的安全組標(biāo)簽直接附加進(jìn)入個(gè)人數(shù)據(jù)包。此外，該安全標(biāo)簽使得數(shù)據(jù)中心可以基于用戶和設(shè)備的角色作用對(duì)其進(jìn)行細(xì)分，而沒有與VLAN和ACL相關(guān)的難題開銷。

· 思科Snort OpenAppID技術(shù)：IT團(tuán)隊(duì)可以創(chuàng)造、分享、部署應(yīng)用程序檢測(cè)，并借助思科Snort OpenAppID技術(shù)數(shù)據(jù)中心自定義的應(yīng)用程序開發(fā)自定義的規(guī)則。這是一款SnortTM的開源、面向應(yīng)用程序的語言檢測(cè)和進(jìn)程模塊，其入侵防御系統(tǒng) (IPS)和入侵檢測(cè)系統(tǒng)(IDS)由Sourcefire公司開發(fā)，該公司現(xiàn)在已被思科收購。思科OpenAppID與Snort框架完全集成，為管理員們提供了對(duì)于在他們的網(wǎng)絡(luò)中的應(yīng)用程序的更深刻的認(rèn)識(shí)。Snort的用戶可以利用思科OpenAppID探測(cè)器探測(cè)和識(shí)別應(yīng)用程序及應(yīng)用程序的有關(guān)使用情況。思科OpenAppID提供應(yīng)用層與安全相關(guān)的事件，并有助于提高分析和修復(fù)速度。使得Snort阻止或檢測(cè)某些應(yīng)用程序發(fā)出警報(bào)，有助于通過管理總的威脅面，以降低風(fēng)險(xiǎn)。

· 思科FireAMPTM和FireSIGHTTM解決方案：先進(jìn)的惡意軟件分析和保護(hù)都需要借助一套全面的，以安全威脅為中心的方法，以便在網(wǎng)絡(luò)攻擊發(fā)生之前、期間和之后確保現(xiàn)代數(shù)據(jù)中心的安全。思科FireAMP產(chǎn)品，來自Sourcefire公司，利用大數(shù)據(jù)來檢測(cè)、了解、并阻止高級(jí)惡意軟件爆發(fā)。其是為其他安全層所錯(cuò)過的威脅提供阻止所需的可視性和控制的唯一解決方案。并通過將思科FireAMP產(chǎn)品與思科ASA相結(jié)合，用戶可以對(duì)非對(duì)稱的數(shù)據(jù)中心流量的深度檢測(cè)和保護(hù)。

· 思科的FireSIGHT，也來自于Sourcefire公司，提供了響應(yīng)不斷變化的情況和新的攻擊所需的網(wǎng)絡(luò)可視性，環(huán)境和自動(dòng)化。管理員們可以使用Cisco FireSIGHT管理中心集中管理數(shù)百款設(shè)備。

編輯：張路麒

關(guān)鍵字：數(shù)據(jù)中心數(shù)據(jù)安全