現(xiàn)如今的數(shù)據(jù)中心管理人員們正面臨著一個(gè)重大的挑戰(zhàn):他們需要在不影響新的數(shù)據(jù)中心環(huán)境所帶來的性能和功能的前提下,確保數(shù)據(jù)中心的安全運(yùn)營。許多企業(yè)組織都在使用為互聯(lián)網(wǎng)邊緣設(shè)計(jì)的解決方案來加強(qiáng)數(shù)據(jù)中心的安全,但這些解決方案是不夠的。本文中,我們將為廣大讀者朋友們介紹關(guān)于您企業(yè)組織可以借鑒,用以確保您的數(shù)據(jù)中心在今天安全運(yùn)營所需要采取的5大步驟。
鑒于每家企業(yè)組織的數(shù)據(jù)中心都圍繞著其獨(dú)特的業(yè)務(wù)需求有著特殊具體的配置、性能、虛擬化、應(yīng)用程序和流量要求,而網(wǎng)絡(luò)邊緣的安全設(shè)備根本不是旨在解決上述這些具體特殊要求的。
確保一家數(shù)據(jù)中心的安全運(yùn)營所需要的一套解決方案必須具備如下條件:
●提供對(duì)于自定義的數(shù)據(jù)中心應(yīng)用程序的可視化和控制
●處理設(shè)備和數(shù)據(jù)中心之間的非對(duì)稱流量和應(yīng)用程序交易
●適應(yīng)數(shù)據(jù)中心的不斷發(fā)展的需求,如:虛擬化、軟件定義的網(wǎng)絡(luò)(SDN)、網(wǎng)絡(luò)功能虛擬化(NFV)、思科的以應(yīng)用程序?yàn)橹行牡幕A(chǔ)設(shè)施(ACIS)等等
●解決整個(gè)連續(xù)攻擊:包括在攻擊發(fā)生之前、期間和之后
●跨整個(gè)網(wǎng)絡(luò)整合安全部署
支持地理上的分散DC流量和部署,包括私有、公共和云環(huán)境
安全威脅攻擊的首要目標(biāo):數(shù)據(jù)中心
許多現(xiàn)代的網(wǎng)絡(luò)犯罪活動(dòng)是專門旨在以數(shù)據(jù)中心為攻擊目標(biāo)而設(shè)計(jì)的,因?yàn)檫@些數(shù)據(jù)中心都托管和處理著海量高價(jià)值的數(shù)據(jù)信息,包括個(gè)人客戶數(shù)據(jù)資料、財(cái)務(wù)信息和企業(yè)知識(shí)產(chǎn)權(quán)等(1)。故而確保數(shù)據(jù)中心的安全運(yùn)營是一項(xiàng)挑戰(zhàn)。非對(duì)稱的業(yè)務(wù)流量、定制化的應(yīng)用程序、需要被路由到計(jì)算層之外并達(dá)到數(shù)據(jù)中心周邊以便進(jìn)行檢查的高流量數(shù)據(jù)、跨多個(gè)hypervisor的虛擬化、以及地理上分散的數(shù)據(jù)中心,所有這一切,都使得利用那些不是設(shè)計(jì)用于該目的,但卻又被用來確保數(shù)據(jù)中心安全運(yùn)營的解決方案實(shí)施起來異常困難。其結(jié)果是:在安全方案覆蓋范圍方面存在空白、對(duì)數(shù)據(jù)中心性能造成嚴(yán)重的影響、乃至犧牲數(shù)據(jù)中心的功能以適應(yīng)安全的限制、并通過提供復(fù)雜的安全解決方案,削弱并破壞了數(shù)據(jù)中心根據(jù)實(shí)際業(yè)務(wù)需求而動(dòng)態(tài)地配置資源的能力。
而與此同時(shí),數(shù)據(jù)中心又是在不斷發(fā)展演變的,其正在從物理環(huán)境遷移到虛擬環(huán)境,再到下一代的諸如SDN和ACI的環(huán)境中。數(shù)據(jù)中心的流量已經(jīng)呈現(xiàn)出了幾何級(jí)的成倍增長,而這在很大程度上是由云服務(wù)利用率的增加和
物聯(lián)網(wǎng)(IoT)環(huán)境的興起所推動(dòng)的,其中互聯(lián)網(wǎng)和網(wǎng)絡(luò)已經(jīng)擴(kuò)展到了諸如制造車間、能源網(wǎng)格、醫(yī)療設(shè)施和運(yùn)輸?shù)阮I(lǐng)域。
而根據(jù)思科的預(yù)測,到2017年,全球76%的數(shù)據(jù)中心流量將保留在數(shù)據(jù)中心內(nèi),并將很大程度上是在虛擬環(huán)境中由存儲(chǔ)、生產(chǎn)和開發(fā)數(shù)據(jù)所生成的(2)。而早在2015年3月底,市場調(diào)研機(jī)構(gòu)Gartner公司就曾經(jīng)預(yù)測,數(shù)據(jù)中心連接每秒增加3000%.
現(xiàn)代數(shù)據(jù)中心已經(jīng)為企業(yè)提供了大量的應(yīng)用程序、服務(wù)和解決方案。許多企業(yè)組織都需要依賴于分散在各個(gè)不同地理位置的數(shù)據(jù)中心所部署的服務(wù),以支持他們不斷增長的
云計(jì)算和流量需求。他們還需要解決戰(zhàn)略方面的舉措,如大數(shù)據(jù)分析和業(yè)務(wù)連續(xù)性管理,使數(shù)據(jù)中心成為其企業(yè)骨干的一個(gè)更為關(guān)鍵的部分。但這也進(jìn)一步使得數(shù)據(jù)中心的資源成為了惡意攻擊者們設(shè)計(jì)越來越復(fù)雜的安全威脅以逃避檢測,進(jìn)而對(duì)數(shù)據(jù)中心進(jìn)行攻擊的主要目標(biāo)。所有這一切,都意味著數(shù)據(jù)中心的安全團(tuán)隊(duì)實(shí)施數(shù)據(jù)中心的監(jiān)控和保護(hù)將變得更加困難。
數(shù)據(jù)中心管理人員及他們的團(tuán)隊(duì)所面臨的另一個(gè)復(fù)雜的問題是:配置和性能嚴(yán)重影響和限制了安全解決方案如何充分發(fā)揮作用,如下一代防火墻的部署,及其所能夠檢查的流量。安全解決方案不能破壞數(shù)據(jù)中心的性能。在今天的數(shù)據(jù)中心,安全配置必須在幾小時(shí)或幾分鐘內(nèi)完成,而不是花費(fèi)幾天或幾周的時(shí)間。而性能則必須是動(dòng)態(tài)擴(kuò)展的,以處理大量突發(fā)的高流量。
加強(qiáng)數(shù)據(jù)中心安全的5大步驟:
綜合的加強(qiáng)數(shù)據(jù)中心的安全需要一套深度的防御方法,企業(yè)組織可以從五個(gè)關(guān)鍵領(lǐng)域著手實(shí)現(xiàn)。其安全防御解決方案必須:
1、提供對(duì)于自定義數(shù)據(jù)中心應(yīng)用程序的可視化和控制。
數(shù)據(jù)中心管理人員們所需要的對(duì)于自定義數(shù)據(jù)中心的應(yīng)用程序的可視化和控制,不僅僅只是包括了傳統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用程序(例如,F(xiàn)acebook和Twitter),還涉及到微應(yīng)用(micr
OApplication)的傳統(tǒng)網(wǎng)絡(luò)邊緣安全設(shè)備檢測。大多數(shù)下一代防火墻都是設(shè)計(jì)用于檢查流經(jīng)互聯(lián)網(wǎng)邊緣的流量類型,但并不確保這些自定義的數(shù)據(jù)中心應(yīng)用程序的安全。
2、管理設(shè)備或數(shù)據(jù)中心之間的非對(duì)稱的業(yè)務(wù)流量和應(yīng)用程序交易。
安全解決方案必須能夠與數(shù)據(jù)中心的架構(gòu)充分整合,而不是簡單地處在邊緣。邊緣的解決方案不能檢查南北走向的(入站出站)流量和東西走向(跨應(yīng)用程序)的流量,而后者則代表了今天的數(shù)據(jù)中心流量的絕大部分。如果應(yīng)用程序的流量必須被發(fā)送到數(shù)據(jù)中心外圍邊界的下一代防火墻,以便在檢查之后再發(fā)送回計(jì)算機(jī)層,那么,解決方案將逐漸削弱現(xiàn)代數(shù)據(jù)中心所要求的動(dòng)態(tài)流量。
許多下一代防火墻都無法保護(hù)非對(duì)稱流量。在非對(duì)稱路由中,典型的到達(dá)數(shù)據(jù)中心的一個(gè)數(shù)據(jù)包在返回到其數(shù)據(jù)源時(shí),將選擇不同的路徑。這成為了許多下一代防火墻的一個(gè)問題,因?yàn)樗麄兪菍檠匾粋(gè)單一的、可預(yù)測的路徑而對(duì)流量進(jìn)行跟蹤,檢查和管理設(shè)計(jì)的。
數(shù)據(jù)中心的安全性解決方案還必須能夠處理在數(shù)據(jù)中心或設(shè)備之間的應(yīng)用程序交易,包括在虛擬設(shè)備之間。虛擬設(shè)備與物理設(shè)備是一樣脆弱的,但數(shù)據(jù)中心的安全解決方案也必須能夠處理虛擬環(huán)境的獨(dú)特安全挑戰(zhàn),包括創(chuàng)造、拆卸、和遷移恒定的工作負(fù)載。
3、適應(yīng)數(shù)據(jù)中心的不斷發(fā)展的需求。
隨著數(shù)據(jù)中心環(huán)境從物理環(huán)境遷移到虛擬環(huán)境再到下一代的SDN和ACI模式,其安全解決方案也必須能夠動(dòng)態(tài)地?cái)U(kuò)展,并提供持續(xù)一致的安全保護(hù),以便能夠跨不同的演變階段和各種混合的數(shù)據(jù)中心環(huán)境而無縫工作。在這些新的數(shù)據(jù)中心模式下,虛擬和物理設(shè)備正在被快速的配置,安全規(guī)則的失控可能會(huì)迅速擴(kuò)大。訪問控制列表(ACL)管理對(duì)于很多IT團(tuán)隊(duì)而言都已經(jīng)是一大挑戰(zhàn)了。
新設(shè)備的配置需要自動(dòng)執(zhí)行,這樣可以使得其部署時(shí)間可以從幾天減少到幾分鐘,同時(shí)還無需擔(dān)心產(chǎn)生不安全的后果。同樣,還需要有能夠跨多處混合的數(shù)據(jù)中心部署一款單一的安全解決方案的能力,許多多虛擬機(jī)管理程序(虛擬機(jī)監(jiān)視器)允許企業(yè)組織數(shù)據(jù)中心的IT團(tuán)隊(duì)能夠?qū)W⒂跀?shù)據(jù)中心的功能,而無需承擔(dān)安全方面的行政開銷。
4、解決整個(gè)連續(xù)攻擊:包括在攻擊發(fā)生之前、期間和之后。
傳統(tǒng)的安全方法僅僅只為數(shù)據(jù)中心的環(huán)境提供了有限的威脅意識(shí)和可視化,并主要集中在數(shù)據(jù)中心外圍實(shí)施攻擊阻擋方面。而覆蓋整個(gè)連續(xù)攻擊過程的則需要借助一套安全保護(hù)解決方案跨一個(gè)廣泛的攻擊向量針對(duì)無處不在的安全威脅實(shí)施監(jiān)控,包括:在網(wǎng)絡(luò)上,在端點(diǎn)上,在移動(dòng)設(shè)備上,以及在虛擬環(huán)境中。一套全面的,以積極應(yīng)對(duì)安全威脅為中心的方法,確保數(shù)據(jù)中心的安全,包括在安全攻擊發(fā)生之前,期間和之后的防御保護(hù)都是必要的,進(jìn)而才能保護(hù)現(xiàn)代數(shù)據(jù)中心及其專門的流量。
傳統(tǒng)的下一代防火墻針對(duì)識(shí)別和減輕那些設(shè)計(jì)用于繞過防御措施的隱蔽攻擊幾乎沒有提供任何解決方案,其在這些隱蔽攻擊停止后也不能提供補(bǔ)救和分析,無法跟蹤和確保數(shù)據(jù)中心非對(duì)稱流量的安全。他們幾乎完全是防御性的工具,但卻不能抵御新興的,針對(duì)有漏洞的服務(wù)器,獨(dú)特的應(yīng)用程序和有價(jià)值的數(shù)據(jù)所進(jìn)行的未知的安全威脅。
5、保護(hù)整個(gè)網(wǎng)絡(luò)。
任何數(shù)據(jù)中心安全解決方案都必須認(rèn)識(shí)到遠(yuǎn)程用戶有直接連接到某個(gè)關(guān)鍵的數(shù)據(jù)中心資源的需要。故而該安全解決方案需要在遠(yuǎn)程用戶和數(shù)據(jù)中心資源之間提供透明度,但其仍然是一個(gè)復(fù)雜的網(wǎng)絡(luò)環(huán)境的一部分,只是通過分支辦事處,跨核心擴(kuò)展進(jìn)入到了數(shù)據(jù)中心,并向外延伸到了云計(jì)算。安全解決方案必須是數(shù)據(jù)中心架構(gòu)的一部分,以及一套更廣泛的、可以同時(shí)看到基于網(wǎng)絡(luò)的安全威脅和以數(shù)據(jù)中心為攻擊目標(biāo)、還能夠跨整個(gè)數(shù)據(jù)路徑提供無縫的保護(hù)的解決方案一部分。
數(shù)據(jù)中心的安全是不同的。為了切實(shí)保護(hù)現(xiàn)代數(shù)據(jù)中心,新的數(shù)據(jù)中心模型正在出現(xiàn),企業(yè)組織不能僅僅單只靠一個(gè)下一代的防火墻。他們需要一套全面的、綜合性的安全戰(zhàn)略和架構(gòu),以便可以提供跨整個(gè)分布式網(wǎng)絡(luò)、一致的、智能型的安全保護(hù),從邊緣到數(shù)據(jù)中心再到云環(huán)境,而且不會(huì)破壞數(shù)據(jù)中心的性能。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:加強(qiáng)數(shù)據(jù)中心安全的5大步驟
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839519835.html