云數(shù)據(jù)中心是利用
云計算技術,自動化地按需提供各類云計算服務的新一代數(shù)據(jù)中心。作為云業(yè)務的載體,云數(shù)據(jù)中心的業(yè)務特性與傳統(tǒng)數(shù)據(jù)中心差異巨大,主要表現(xiàn)在:其業(yè)務模式從以托管和固定計費為主轉(zhuǎn)為以租賃和按適用計費為主,其業(yè)務開通從線下轉(zhuǎn)向以線上為主,其主要資源類型從專用物理資源轉(zhuǎn)變?yōu)樵苹、可遷移、可按需調(diào)整的虛擬資源,其業(yè)務規(guī)模和用戶數(shù)提高了一個量級,其業(yè)務流量從以南北向為主轉(zhuǎn)而出現(xiàn)大量東西向流量,業(yè)務種類多樣,控制流量更為復雜。
云數(shù)據(jù)中心網(wǎng)絡面臨安全挑戰(zhàn)
鑒于云數(shù)據(jù)中心的上述業(yè)務特性,以及SDN、NFV等新技術的迅猛發(fā)展和規(guī)模應用,云數(shù)據(jù)中心網(wǎng)絡相較于傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡而言,主要面臨以下安全挑戰(zhàn)。
虛擬化技術的發(fā)展使得安全邊界難以界定,邏輯網(wǎng)絡拓撲根據(jù)業(yè)務的需求隨時可變,傳統(tǒng)的基于物理邊界防護的安全架構無法對其進行有效的安全防護。
業(yè)務場景更為復雜,對網(wǎng)絡和信息安全的個性化需求更為強烈。而傳統(tǒng)安全硬件設備將軟件與硬件綁定,對外提供固定安全功能,管理員只能通過手工操作界面對其進行簡單配置,無法根據(jù)業(yè)務應用場景進行靈活的功能調(diào)整和定制,不能滿足業(yè)務的彈性、按需的安全需求。
在虛擬化網(wǎng)絡軟件耦合的環(huán)境下,安全事件的定位與排查更為困難。
虛擬資源的彈性擴展和虛擬網(wǎng)絡安全邊界動態(tài)變化要求安全設備具備敏捷與協(xié)同防護特性,而現(xiàn)有安全設備和系統(tǒng)各自為政,缺乏有效協(xié)同及聯(lián)動的手段與機制。
SDN、NFV等引入新的安全風險。SDN控制器成為關鍵節(jié)點,一旦控制器被入侵,黑客將可能獲得控制器所覆蓋的整個網(wǎng)絡的控制權;控制器運行異常,也可能會造成下層網(wǎng)絡設備的流控制不一致,導致網(wǎng)絡故障甚至癱瘓。另外,上層應用的資源開放及SDN可編程的特點,將可能引入惡意應用及插件、資源越權訪問等安全風險,導致安全威脅倍增;不同應用間的控制策略相互影響,也可能帶來安全策略相互違背的安全隱患。NFV設備引入 MANO、虛擬化技術,并通過標準API接口開放電信網(wǎng)絡能力,不僅大大增加了安全管理的復雜度,而且增加了安全攻擊面,帶來了NFV可信性、可用性等新的安全風險。
云數(shù)據(jù)中心安全策略
為了應對這些安全挑戰(zhàn),云數(shù)據(jù)中心應采取如下安全策略:
1.重構網(wǎng)絡安全架構,實現(xiàn)按需彈性安全防護。
傳統(tǒng)盒子思想的安全產(chǎn)品架構無法滿足云數(shù)據(jù)中心的安全運營需求,必須對安全架構進行重構。軟件定義安全(Software Defined Security,SDS)是網(wǎng)絡安全架構重構的一個可行方向。其將安全設備的功能、接入模式、部署方式進行解耦,底層抽象為安全資源池中的資源,頂層統(tǒng)一通過軟件編程方式進行智能化、自動化的編排和管理,實現(xiàn)業(yè)務和應用驅(qū)動,以適應復雜網(wǎng)絡的安全防護。
對于云數(shù)據(jù)中心來說,可借鑒軟件定義思想,建立一個集中安全的控制管理架構,通過將安全能力等從底層異構的硬件中抽象出來,成為可由軟件定義的資源,使原來獨立、難以互通的控制組件構成統(tǒng)一的控制平面,即利用通用芯片上的虛擬化技術,實現(xiàn)標準的安全處理流程,將安全策略管理從硬件設備中解耦出來,并通過頂層統(tǒng)一軟件編程方式實現(xiàn)業(yè)務和應用驅(qū)動,實現(xiàn)基于策略的、自動化的集中管理和控制。由于安全控制面與數(shù)據(jù)面分離,可以在控制面上根據(jù)承載業(yè)務的不同安全需求按需配備安全資源,并借助全局視野靈活調(diào)整策略,實現(xiàn)安全資源的動態(tài)協(xié)同防護和智能精細控制。同時借助SDN網(wǎng)絡控制器,以業(yè)務鏈的方式調(diào)度流量,用邏輯拓撲取代物理拓撲,流量可靈活地按特定次序調(diào)配由服務功能處理,實現(xiàn)安全資源的按需訪問,從而適應云計算中心動態(tài)按需調(diào)整的網(wǎng)絡環(huán)境。
2.實施微隔離,實現(xiàn)云數(shù)據(jù)中心東西流量安全管控。
網(wǎng)絡隔離是基礎防護手段,傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡隔離主要是基于設置安全分段、創(chuàng)建子網(wǎng)和虛擬LAN,通過手動配置和維護的ACL 或防火墻規(guī)則來進行安全域的隔離。該模式需要將安全策略鎖定至工作負載所處的物理位置,一般是基于IP子網(wǎng)與應用間的映射,但是,僅僅基于子網(wǎng)的策略定義是不夠的,很多時候需要面向IP地址進行更精細的策略定義,策略條目會爆炸性增長。在云數(shù)據(jù)中心動態(tài)化的網(wǎng)絡環(huán)境下,隔離策略的配置、調(diào)整及過時策略的回收等工作量將呈指數(shù)增加,安全運維人員將不堪重負。
為了解決這個問題,云數(shù)據(jù)中心應組建分布式防火墻資源池,同時基于軟件定義安全的集中安全管理架構,集中實施靈活的基于安全組的安全策略控制。通過與SDN控制器的協(xié)同,安全運維人員可靈活實現(xiàn)虛擬機間流量的流轉(zhuǎn)控制,即使物理IP地址變化,也可以保證其安全策略自動隨工作負載移動。在這種微分段模式下,云數(shù)據(jù)中心可以真正實現(xiàn)“零信任”的網(wǎng)絡安全控制,通過借助SDN網(wǎng)絡流量的可視性,實施最小限度的訪問權限,并隨時根據(jù)安全狀況,調(diào)整訪問控制策略,從而控制安全風險在數(shù)據(jù)中心內(nèi)部的橫向擴展。
3.提升控制面安全性,應對SDN/NFV技術引入的安全風險。
通過數(shù)據(jù)平面與控制平面解耦,SDN引入了新的攻擊面及安全風險,SDN控制器面臨的安全風險將遠大于傳統(tǒng)網(wǎng)管系統(tǒng)。SDN的安全防護應在實施傳統(tǒng)安全防護手段并適當提升安全防護等級的基礎上,重點提升SDN控制器自身的安全機制,提高控制平面自身安全健壯性以及南北向的安全控制,主要包括對流規(guī)則的合法性和一致性檢測、應用程序的權限控制、抗DDoS攻擊等。NFV的安全防護策略與SDN類似,應采用嚴格認證授權、安全隔離以及策略一致性安全檢測機制,并重點保障VNF的可信性,包括VNF的生命周期安全管理、VNF安全啟動檢查等。
總體而言,云數(shù)據(jù)中心安全防護應結合SDN/NFV等新技術的發(fā)展需求,健全安全體系,加強虛擬化安全、控制面增強安全機制等關鍵技術的實用化和落地部署。同時,充分借鑒軟件定義安全理念,并結合技術成熟度,開展相關安全系統(tǒng)的云化改造,提升安全系統(tǒng)的資源利用效率及整體安全防護協(xié)同能力,并探索集中安全控制體系,與云計算管理平臺以及SDN控制器進行協(xié)同,實現(xiàn)按需安全防護以及智能精細控制。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:云數(shù)據(jù)中心安全需求及應對策略
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839320173.html