數(shù)字化的遠程監(jiān)控服務(wù)為數(shù)據(jù)中心物理基礎(chǔ)設(shè)施系統(tǒng)提供了實時監(jiān)測和數(shù)據(jù)分析的功能。這些現(xiàn)代化的基于云的平臺,能夠有助于數(shù)據(jù)中心的電力和冷卻系統(tǒng)減少停機時間,降低平均恢復(fù)時間(MTTR),降低操作開銷,并提高能源效率。然而,鑒于有預(yù)計稱,到2019年的未來幾年內(nèi)網(wǎng)絡(luò)安全犯罪的投入成本將增加四倍,達到2萬億美元。不僅引發(fā)了人們對于數(shù)據(jù)中心的這些系統(tǒng)是否能夠成功抵御網(wǎng)絡(luò)犯罪分子們的攻擊的擔憂。在本文中,我們將為廣大讀者朋友們介紹關(guān)于數(shù)字化開發(fā)和運營、基于
云計算的遠程監(jiān)控平臺使得數(shù)據(jù)的隱私和基礎(chǔ)設(shè)施系統(tǒng)的安全免于受到網(wǎng)絡(luò)攻擊的相關(guān)安全問題。當企業(yè)組織評估遠程監(jiān)控供應(yīng)商及其解決方案的優(yōu)點時,了解這些平臺應(yīng)該如何開發(fā)和部署的相關(guān)知識是非常有幫助的。
企業(yè)組織的關(guān)鍵任務(wù)的信息技術(shù)(IT)完全依賴于底層的物理基礎(chǔ)設(shè)施系統(tǒng)。這些系統(tǒng)不僅是企業(yè)
IT運維的基礎(chǔ),它們也代表了大量的資本和運營支出。這些系統(tǒng)對于企業(yè)組織的重要性及耗費在其之上的大量成本開支推動了對這些資產(chǎn)實施監(jiān)控和管理的需要。數(shù)據(jù)中心基礎(chǔ)設(shè)施管理(DCIM)軟件工具和遠程監(jiān)控服務(wù),可以通過提供對于數(shù)據(jù)中心所有資源及其狀態(tài)、和他們彼此之間的依賴關(guān)系的主動通知和集中化的視圖,來使得IT操作運營更可靠、更高效。
遠程監(jiān)控服務(wù)(即通過來自網(wǎng)絡(luò)外部的第三方實施監(jiān)測)已經(jīng)興起好幾年了。傳統(tǒng)上,這種服務(wù)已經(jīng)涉及到通過從基礎(chǔ)設(shè)施系統(tǒng)到那些正在實施監(jiān)控的系統(tǒng)的電子郵件廣播,以進行簡單的間歇狀態(tài)更新。這些服務(wù)發(fā)展演變成基于云計算的數(shù)字化(在線)服務(wù),其監(jiān)控是實時執(zhí)行的,同時使用諸如云存儲、數(shù)據(jù)分析和移動應(yīng)用程序等IT服務(wù)。而在《數(shù)字化的遠程監(jiān)控及其如何改變了數(shù)據(jù)中心的運營和維護》一文中,我們將為廣大讀者朋友們進一步解釋這種現(xiàn)代類型的遠程監(jiān)控。這些數(shù)字化的監(jiān)控平臺有助于數(shù)據(jù)中心減少電力和冷卻系統(tǒng)的停機時間、降低平均恢復(fù)時間(MTTR),降低操作開銷,并提高能源效率。借助傳統(tǒng)的離線監(jiān)測系統(tǒng),數(shù)據(jù)分析引擎是不可能產(chǎn)生洞察能力的。而這種洞察能力則可以識別重要的趨勢和條件,降低成本,防止中斷。
數(shù)字遠程監(jiān)控平臺通過讓連接的數(shù)據(jù)中心的基礎(chǔ)設(shè)施系統(tǒng)發(fā)送關(guān)于其自身的數(shù)據(jù)的連續(xù)的數(shù)據(jù)流到一個網(wǎng)關(guān),該網(wǎng)關(guān)將其轉(zhuǎn)發(fā)到網(wǎng)絡(luò)之外或到云服務(wù)來工作。然后,這些數(shù)據(jù)將由相關(guān)工作人員和數(shù)據(jù)分析引擎進行監(jiān)測和分析。最后,從監(jiān)視和系統(tǒng)團隊到數(shù)據(jù)中心的操作運營人員還會有一個反饋回路。數(shù)據(jù)中心運營人員有權(quán)限通過該網(wǎng)關(guān)從網(wǎng)絡(luò)內(nèi)部監(jiān)控儀表板;或者當在網(wǎng)絡(luò)外部時通過一款移動應(yīng)用程序或在一套遠程NOC的計算機到達平臺的云服務(wù)。下圖1顯示了現(xiàn)代數(shù)字監(jiān)控平臺的基本架構(gòu)。
圖1 一款推薦的數(shù)字監(jiān)控??架構(gòu)
鑒于有預(yù)計稱,到2019年的未來幾年內(nèi)網(wǎng)絡(luò)安全犯罪的投入成本將增加四倍,達到2萬億美元。人們對于這些外部連接的監(jiān)控平臺是否是能夠成功應(yīng)對當前網(wǎng)絡(luò)犯罪分子的攻擊的擔憂和關(guān)注也是可以理解的。今天,網(wǎng)絡(luò)安全威脅始終存在,而網(wǎng)絡(luò)犯罪分子攻擊的性質(zhì)也在不斷發(fā)展。為了防止這些網(wǎng)絡(luò)攻擊造成數(shù)據(jù)失竊、數(shù)據(jù)丟失和系統(tǒng)停機,企業(yè)組織機構(gòu)需要一款安全監(jiān)控平臺,并同時需要一支專業(yè)的DevOps團隊以時刻保持警惕。在選擇和部署實施一款數(shù)字化的監(jiān)控平臺之前,企業(yè)客戶不僅僅需要從其特性和功能的基礎(chǔ)上對供應(yīng)廠商的解決方案進行評估,還需要對其所具備的保護數(shù)據(jù)和系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力進行評估。而了解一款平臺的安全性則需要了解其是如何開發(fā)、部署和運營的。這方面的知識將有助于企業(yè)客戶評估遠程監(jiān)控供應(yīng)商的優(yōu)劣,進而更好地確保系統(tǒng)和數(shù)據(jù)的安全。本文提供了一個關(guān)于安全開發(fā)生命周期(SDL)流程的基本概況,以描述一款產(chǎn)品應(yīng)當如何設(shè)計和開發(fā)。此外,其還描述了具體到數(shù)字化遠程監(jiān)控平臺如何有助于降低網(wǎng)絡(luò)攻擊的風險的功能的一些關(guān)鍵特性和功能。請務(wù)必要注意的是,此論述只是集中于供應(yīng)商的平臺方面。同樣需要注意的方面還包括最終用戶的數(shù)據(jù)中心及其IT網(wǎng)絡(luò)的安全性。
安全開發(fā)生命周期(SDL)
安全開發(fā)生命周期(Secure Development Life Cycle,SDL)是一個對產(chǎn)品和解決方案在其開發(fā)的整個生命周期進行安全性評估的過程。其最初是由微軟公司所開發(fā)和建議的。使用一個SDL流程以管理一款監(jiān)控平臺的開發(fā)、部署和運營是表明該供應(yīng)商正在采用適當?shù)拇胧┮源_保安全性和法規(guī)遵從性的最為充分的證據(jù)。該供應(yīng)商應(yīng)該使用一套與ISO 270343相一致的過程。
圖2 一個覆蓋了軟件開發(fā)過程的一個安全開發(fā)生命周期(SDL)流程的主要實踐做法
如圖2所示,介紹了8項關(guān)鍵實踐。其中每一項在下文中都有具體的詳細介紹。本文的后續(xù)部分突出了關(guān)于這些實踐做法的具體和關(guān)鍵方面,因為其涉及到一個數(shù)字化的、基于云的數(shù)據(jù)中心遠程監(jiān)控平臺的開發(fā)和運行。
培訓
對員工在更為安全的解決方案的設(shè)計、開發(fā)、測試和部署方面應(yīng)該有持續(xù)的培訓計劃。
需求
應(yīng)該要將網(wǎng)絡(luò)安全功能特性和客戶的安全需求進行清楚詳細的列舉,并將其囊括在產(chǎn)品開發(fā)中。
設(shè)計
安全體系架構(gòu)文檔的生成應(yīng)當符合業(yè)界公認的設(shè)計實踐方案,以便開發(fā)出客戶所需的安全特性和功能。對這些文檔要進行審查,并創(chuàng)建網(wǎng)絡(luò)安全威脅模型以識別、量化、并解決潛在的安全風險。
開發(fā)
執(zhí)行安全架構(gòu)到產(chǎn)品的設(shè)計遵循詳細設(shè)計階段,并通過由文檔規(guī)定的最佳實踐和編碼標準進行指導。各種安全工具作為開發(fā)過程的一部分,應(yīng)該使用包括靜態(tài)的、二進制的和動態(tài)的代碼分析。
測試驗證
從網(wǎng)絡(luò)安全威脅模型和保證穩(wěn)健性的角度出發(fā),對產(chǎn)品的部署實施安全性測試。對于監(jiān)管的要求以及部署策略的遵守應(yīng)該被納入到作為測試的一部分。
發(fā)行
安全文檔定義了如何更安全地安裝、調(diào)試、維護、管理和淘汰產(chǎn)品或解決方案。安全流程是基于最初的要求和有目標針對性的或指定的安全級別進行審查的。
部署
該項目開發(fā)團隊或者其部署的領(lǐng)導者應(yīng)當就如何最好地安裝和優(yōu)化安全功能提供相關(guān)的培訓,推薦服務(wù)技術(shù)人員。服務(wù)團隊應(yīng)該就如何產(chǎn)品和解決方案的在其整個生命周期的安裝、管理和升級為客戶提供幫助。
響應(yīng)
應(yīng)該有一個產(chǎn)品,以便讓“網(wǎng)絡(luò)應(yīng)急響應(yīng)小組”能夠管理漏洞,并發(fā)生網(wǎng)絡(luò)安全事件的情況下支持客戶。理想情況下,這個團隊的人員應(yīng)該與應(yīng)用程序的開發(fā)是同一組人。這意味著每個人都知道詳細的了解產(chǎn)品。
安全平臺開發(fā)與部署的關(guān)鍵問題
如下,我們將為大家更詳細的介紹關(guān)于SDL實踐的關(guān)鍵環(huán)節(jié),以確保企業(yè)客戶通過數(shù)字化遠程監(jiān)控平臺實施良好的網(wǎng)絡(luò)安全實踐。以及企業(yè)客戶是否需要了解一款平臺,而為了更好的了解一款平臺企業(yè)客戶又應(yīng)當與供應(yīng)商在哪些方面進行討論。
人員
造成企業(yè)網(wǎng)絡(luò)被攻擊的一個常見的??來源或渠道是來自企業(yè)組織及其網(wǎng)絡(luò)內(nèi)部的人員。而該人員有時并不一定必須是一個“壞員工”。即使是一名對企業(yè)忠誠和有職業(yè)道德的員工也可能在不知不覺中成為網(wǎng)絡(luò)攻擊的渠道。由于企業(yè)組織機構(gòu)的基礎(chǔ)設(shè)施數(shù)據(jù)將被發(fā)送到一個數(shù)字化的遠程監(jiān)控平臺,故而了解供應(yīng)廠商是如何處理其工作人員這一 點是非常重要的,包括那些該平臺的開發(fā)人員,以及相關(guān)的部署和操作人員。下表1列出了企業(yè)客戶需要考察其供應(yīng)商如何管理其員工的主要條款事項:
表1 企業(yè)客戶在評估供應(yīng)商如何管理員工時所需要考察的要點因素
設(shè)計一款安全體系架構(gòu)
在設(shè)計數(shù)字化的遠程監(jiān)控平臺時,應(yīng)該將網(wǎng)絡(luò)安全作為最高指導原則。以下幾點數(shù)字化監(jiān)控平臺的推薦屬性和最佳實踐做法:
安全性測試
安全測試是開發(fā)一款數(shù)字化監(jiān)控平臺的一個關(guān)鍵方面。其是在部署之前正確評估架構(gòu)的安全性及其設(shè)計的唯一的方法。測試從開發(fā)階段開始。下表2總結(jié)了推薦的測試方法。
表2 平臺開發(fā)安全性測試
“DevOps”團隊的作用
在部署后保持警惕性是非常重要的,也許甚至比開始開發(fā)一款安全產(chǎn)品更重要。網(wǎng)絡(luò)安全攻擊是一個移動的目標,其在在數(shù)量上和類型上都在不斷發(fā)展。除了平臺是如何設(shè)計和開發(fā)的,一款平臺的安全性也非常依賴于供應(yīng)商檢測、作出響應(yīng),并及時糾正安全問題的能力。
一只專門的DevOps7團隊應(yīng)該由供應(yīng)商負責維護平臺的安全性,并在解決方案部署之后,一旦發(fā)生任何網(wǎng)絡(luò)安全威脅及時做出響應(yīng)。這個團隊應(yīng)該有三大基本功能:
•檢測——該團隊應(yīng)使用最新的、來自信譽良好的供應(yīng)商的檢測工具執(zhí)行連續(xù)的安全掃描(如上所述)。除此之外,所有系統(tǒng)組件的所有日志都應(yīng)該被捕獲,并對任何異常情況持續(xù)地審查和監(jiān)控。
•響應(yīng)——DevOps團隊應(yīng)提供“24x7全天候”的覆蓋面,并能夠?qū)ζ脚_或網(wǎng)關(guān)的關(guān)鍵問題進行自動通知。
•修復(fù)——通過持續(xù)的培訓、監(jiān)控和測試,包括功能性和安全性的自動化測試,DevOps團隊應(yīng)該能夠在所有環(huán)境輕松而自信地推出修補程序。
對于DevOps團隊而言,需要注意是兩個關(guān)鍵指標:平均檢測時間和平均恢復(fù)時間,這意味著該團隊專注于盡快和有效的檢測任何問題和隨后的恢復(fù)工作(安全相關(guān)或只是技術(shù)問題)。請注意,專注于平均故障時間是一個更傳統(tǒng)的方法,其對于云平臺是一個不太有用的指標,因為其并沒有說明如何迅速解決問題。DevOps團隊影響這些指標的兩個重點領(lǐng)域是網(wǎng)絡(luò)安全和物理安全。如下推薦的做法進行了簡要解釋。
網(wǎng)絡(luò)安全
DevOps團隊需要隨時監(jiān)控供應(yīng)商平臺網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)的操作平臺需要盡量與外界孤立,以保證數(shù)據(jù)的安全性和私密性。這樣做的一個有效的方法是使用Jump Server(跳板機)或主機托管。一款Jump Server是一種硬化和監(jiān)控計算機,通常包括一個本地防火墻以控制不同的安全協(xié)議級別的網(wǎng)絡(luò)之間的訪問。這些主機托管都配置了SSH(Secure Shell),以保護保護網(wǎng)絡(luò)數(shù)據(jù)被攔截的加密網(wǎng)絡(luò)協(xié)議。使用SSL(安全套接字層)證書,確保平臺真正的所有者(即供應(yīng)商/所有者/供應(yīng)商)才能夠操作平臺上的網(wǎng)頁和儀表板。這些證書將使用路由器的443端口啟動的安全的HTTPS互聯(lián)網(wǎng)協(xié)議(如上所述)。這保證了平臺和用戶瀏覽器或移動應(yīng)用程序之間的安全連接。此外,應(yīng)使用訪問控制列表(ACL),并保持在Jump Server中,以確保只有那些應(yīng)該和需要訪問的,才能訪問。事實上,所有服務(wù)器都是云平臺服務(wù)的一部分,都應(yīng)該被ACL保護。這使得潛在的黑客更難使用一臺攻破的服務(wù)器作為平臺,以攻擊別人,因為服務(wù)器對于彼此是不“可見”的。
物理安全
DevOps團隊的一項重要的,但卻往往被忽視的責任是檢測任何安全威脅,即是物理安全監(jiān)控。物理安全性通常被認為是負責管理和監(jiān)控樓宇訪問的供應(yīng)廠商的設(shè)備物理安全團隊的職權(quán)范圍。但是,物理安全性的某些方面,需要通過或至少需要與IT和DevOps團隊進行合作管理。這些方面包括對于數(shù)據(jù)中心、IT機房和廁所、以及軟件開發(fā)領(lǐng)域的訪問人員的監(jiān)控管理。IT部門和DevOps團隊也應(yīng)負責確保對手無法訪問到計算機。為此,所有的開發(fā)人員和運營人員應(yīng)要求做到:
•對筆記本電腦磁盤的安全加密
•使用本地防火墻
•使用“增強”的密碼
•在短暫的停頓期間啟用屏幕鎖定
此外,供應(yīng)商的DevOps團隊應(yīng)該確保對任何正在開發(fā)和運營云平臺的站點的物理和網(wǎng)絡(luò)安全進行定期、和突擊性的滲透測試。理想情況下,這一測試應(yīng)該使用第三方公司的服務(wù),以確保結(jié)果的公正。
結(jié)論
現(xiàn)代化的數(shù)字監(jiān)控平臺對于減少停機時間、降低平均恢復(fù)時間(MTTR)、降低運營開銷,以及提高電力和冷卻系統(tǒng)的能源效率有很大的潛力。數(shù)據(jù)分析引擎可以就重要的趨勢產(chǎn)生有價值的見解。然而,在線連接的監(jiān)控系統(tǒng)或?qū)⒊蔀榫W(wǎng)絡(luò)攻擊的潛在途徑。而借助正確的開發(fā)、部署和運行實踐,這些基于云的平臺可以獲得高度的安全。企業(yè)客戶與監(jiān)控供應(yīng)商進行深入的討論,以了解供應(yīng)商們是否實施了這些實踐做法,及這些實踐做法所實施的程度是很重要的。這方面的知識將有助于企業(yè)客戶制定有效的采購決策,并在部署之后為他們提供放心的網(wǎng)絡(luò)安全管理。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:解決數(shù)據(jù)中心遠程監(jiān)控平臺的網(wǎng)絡(luò)安全問題
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839420018.html