數(shù)據(jù)中心安全圍繞數(shù)據(jù)為核心,從數(shù)據(jù)的訪問、使用、破壞、修改、丟失、泄漏等多方面維度展開,一般來說包括以下幾個(gè)方面:
·物理安全:主要指數(shù)據(jù)中心機(jī)房的安全,包括機(jī)房的選址,機(jī)房場地安全,防電磁輻射泄漏,防靜電,防火等內(nèi)容;
·網(wǎng)絡(luò)安全:指數(shù)據(jù)中心網(wǎng)絡(luò)自身的設(shè)計(jì)、構(gòu)建和使用以及基于網(wǎng)絡(luò)的各種安全相關(guān)的技術(shù)和手段,如防火墻,IPS,安全審計(jì)等;
·系統(tǒng)安全:包括服務(wù)器操作系統(tǒng),數(shù)據(jù)庫,中間件等在內(nèi)的系統(tǒng)安全,以及為提高這些系統(tǒng)的安全性而使用安全評估管理工具所進(jìn)行的系統(tǒng)安全分析和加固;
·數(shù)據(jù)安全:數(shù)據(jù)的保存以及備份和恢復(fù)設(shè)計(jì);
·信息安全:完整的用戶身份認(rèn)證以及安全日志審計(jì)跟蹤,以及對安全日志和事件的統(tǒng)一分析和記錄;
拋開物理安全的考慮,網(wǎng)絡(luò)是數(shù)據(jù)中心所有系統(tǒng)的基礎(chǔ)平臺,網(wǎng)絡(luò)安全從而成為數(shù)據(jù)中心安全的基礎(chǔ)支持。因此合理的網(wǎng)絡(luò)安全體系設(shè)計(jì)、構(gòu)建安全可靠的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)平臺是進(jìn)行數(shù)據(jù)中心安全建設(shè)的基本內(nèi)容。
數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)原則
網(wǎng)絡(luò)是數(shù)據(jù)傳輸?shù)妮d體,數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)一般要考慮以下三個(gè)方面:
·合理規(guī)劃網(wǎng)絡(luò)的安全區(qū)域以及不同區(qū)域之間的訪問權(quán)限,保證針對用戶或客戶機(jī)進(jìn)行通信提供正確的授權(quán)許可,防止非法的訪問以及惡性的攻擊入侵和破壞;
·建立高可靠的網(wǎng)絡(luò)平臺,為數(shù)據(jù)在網(wǎng)絡(luò)中傳輸提供高可用的傳輸通道,避免數(shù)據(jù)的丟失,并且提供相關(guān)的安全技術(shù)防止數(shù)據(jù)在傳輸過程中被讀取和改變;
·提供對網(wǎng)絡(luò)平臺支撐平臺自身的安全保護(hù),保證網(wǎng)絡(luò)平臺能夠持續(xù)的高可靠運(yùn)行;
綜合以上幾點(diǎn),數(shù)據(jù)中心的網(wǎng)絡(luò)安全建設(shè)可以參考以下原則:
整體性原則:“木桶原理”,單純一種安全手段不可能解決全部安全問題;
多重保護(hù)原則:不把整個(gè)系統(tǒng)的安全寄托在單一安全措施或安全產(chǎn)品上;
性能保障原則:安全產(chǎn)品的性能不能成為影響整個(gè)網(wǎng)絡(luò)傳輸?shù)钠款i;
平衡性原則:制定規(guī)范措施,實(shí)現(xiàn)保護(hù)成本與被保護(hù)信息的價(jià)值平衡 ;
可管理、易操作原則:盡量采用最新的安全技術(shù),實(shí)現(xiàn)安全管理的自動(dòng)化,以減輕安全管理的負(fù)擔(dān),同時(shí)減小因?yàn)楣芾砩系氖杪┒鴮ο到y(tǒng)安全造成的威脅;
適應(yīng)性、靈活性原則:充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全協(xié)調(diào)發(fā)展的需求,避免因只滿足了系統(tǒng)安全要求,而給業(yè)務(wù)發(fā)展帶來障礙的情況發(fā)生;
高可用原則:安全方案、安全產(chǎn)品也要遵循網(wǎng)絡(luò)高可用性原則;
技術(shù)與管理并重原則:“三分技術(shù),七分管理”,從技術(shù)角度出發(fā)的安全方案的設(shè)計(jì)必須有與之相適應(yīng)的管理制度同步制定,并從管理的角度評估安全設(shè)計(jì)方案的可操作性
投資保護(hù)原則:要充分發(fā)揮現(xiàn)有設(shè)備的潛能,避免投資的浪費(fèi);
數(shù)據(jù)中心網(wǎng)絡(luò)安全體系設(shè)計(jì)
模塊化功能分區(qū)
為了進(jìn)行合理的網(wǎng)絡(luò)安全設(shè)計(jì),首先要求對數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò),采用模塊化的設(shè)計(jì)方法,根據(jù)數(shù)據(jù)中心服務(wù)器上所部署的應(yīng)用的用戶訪問特性和應(yīng)用的核心功能,將數(shù)據(jù)中心劃分為不同的功能區(qū)域。
采用模塊化的架構(gòu)設(shè)計(jì)方法可以在數(shù)據(jù)中心中清晰區(qū)分不同的功能區(qū)域,并針對不同功能區(qū)域的安全防護(hù)要求來進(jìn)行相應(yīng)的網(wǎng)絡(luò)安全設(shè)計(jì)。這樣的架構(gòu)設(shè)計(jì)具有很好的伸縮性,根據(jù)未來業(yè)務(wù)發(fā)展的需要,可以非常容易的增加新的區(qū)域,而不需要對整個(gè)架構(gòu)進(jìn)行大的修改,具備更好的可擴(kuò)展性。因?yàn)槊總(gè)區(qū)域的安全功能是根據(jù)每個(gè)區(qū)域的特性進(jìn)行定義,因此可以在不影響其他應(yīng)用或者整個(gè)區(qū)域的情況下單獨(dú)進(jìn)行安全部署,對于一次性建設(shè)投資或分階段建設(shè)的情況下都可以很好進(jìn)行網(wǎng)絡(luò)安全的布局。
“核心-邊緣“安全邊界定義
采用模塊化的架構(gòu)設(shè)計(jì)方法將數(shù)據(jù)中心分為多個(gè)功能區(qū)域后,由于不同功能區(qū)域之間會有相互通訊的需求,因此整個(gè)網(wǎng)絡(luò)架構(gòu)形成“核心-邊緣”的結(jié)構(gòu)特性,如圖1所示,以數(shù)據(jù)中心核心區(qū)為中心,其他功能區(qū)域與核心區(qū)相連,成為數(shù)據(jù)中心網(wǎng)絡(luò)的邊緣區(qū)域。為了更好的保證數(shù)據(jù)中心的網(wǎng)絡(luò)性能,數(shù)據(jù)中心核心區(qū)一般只提供高速的數(shù)據(jù)轉(zhuǎn)發(fā)功能,不做安全控制的部署,在這個(gè)區(qū)域需要重點(diǎn)規(guī)劃的是核心區(qū)的高可靠和高性能保證。
圖1 “核心-邊緣”安全邊界
在這種“核心-邊緣”的結(jié)構(gòu)特性下,各功能區(qū)域同核心區(qū)域相連的接口成為該區(qū)域的網(wǎng)絡(luò)安全邊界。從業(yè)務(wù)和安全控制的角度出發(fā),在各功能區(qū)域的邊界需要采用一定的技術(shù)手段(通常部署防火墻硬件設(shè)備)定義成獨(dú)立的安全區(qū)域。不同安全區(qū)域之間的網(wǎng)絡(luò)如果需要相互訪問,應(yīng)該遵從有限互通的原則,按照不同功能區(qū)域之間安全信任級別的不同,在安全邊界上部署不同的訪問控制策略,禁止不同區(qū)域之間的網(wǎng)絡(luò)在不采取任何安全訪問控制的前提下直接互通。
“點(diǎn)、線、面”安全布局
安全邊界的定義實(shí)現(xiàn)了對不同區(qū)域之間相互訪問的控制,而各個(gè)功能區(qū)域內(nèi)根據(jù)安全保護(hù)等級的要求以及安全訪問的特性,需要分別設(shè)計(jì)各自的網(wǎng)絡(luò)安全布局。
“點(diǎn)、線、面”安全布局的核心思想是以對不同安全區(qū)域被訪問主體的訪問控制管理為安全防御主線,結(jié)合不同區(qū)域的安全級別和應(yīng)用要求,在安全訪問“線路”上部署不同的安全“點(diǎn)”設(shè)備,并且對整個(gè)數(shù)據(jù)中心區(qū)域規(guī)劃統(tǒng)一的安全事件發(fā)現(xiàn)、收集、分析、處理的機(jī)制和技術(shù)實(shí)現(xiàn),實(shí)現(xiàn)安全“面”的統(tǒng)一管理。
這里以互聯(lián)網(wǎng)模塊區(qū)對外業(yè)務(wù)服務(wù)器的安全布局為例來說明“點(diǎn)、線、面”的安全布局方法。
圖2 互聯(lián)網(wǎng)業(yè)務(wù)區(qū)
對外業(yè)務(wù)服務(wù)器區(qū)域需要同Internet互聯(lián)來提供單位的網(wǎng)上交互業(yè)務(wù)(如金融單位的網(wǎng)銀業(yè)務(wù),政府的網(wǎng)上報(bào)稅業(yè)務(wù),企業(yè)的電子商務(wù)業(yè)務(wù)等),基本的網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示,通過路由器與Internet相連(一般考慮到業(yè)務(wù)連接的可靠性,會部署多條出口線路),區(qū)域的核心交換機(jī)分別連接WEB、APP和DB服務(wù)器,并且同數(shù)據(jù)中心核心區(qū)交換機(jī)互聯(lián)。在這個(gè)區(qū)域的安全部署考慮如下:
·確認(rèn)對該安全區(qū)域內(nèi)不同服務(wù)器的訪問控制策略:Web服務(wù)器允許被互聯(lián)網(wǎng)用戶訪問,同時(shí)也允許被內(nèi)網(wǎng)用戶和內(nèi)網(wǎng)服務(wù)器訪問;Web服務(wù)器允許訪問APP服務(wù)器,但是不允許訪問DB服務(wù)器;APP服務(wù)器智能被WEB服務(wù)器訪問,并且允許訪問DB服務(wù)器;DB服務(wù)器只能被APP服務(wù)器訪問。
·分析不同訪問路線上需要關(guān)注的安全加固“點(diǎn)”和設(shè)備部署考慮,內(nèi)容如表1:
表1 互聯(lián)網(wǎng)業(yè)務(wù)區(qū)安全布局分析
基于上述的分析,整個(gè)對外業(yè)務(wù)區(qū)的安全部署結(jié)構(gòu)可如圖3所示,在區(qū)域內(nèi)不同位置部署所需要的安全設(shè)備,形成功能區(qū)域內(nèi)的網(wǎng)絡(luò)安全布局。
圖3 互聯(lián)網(wǎng)業(yè)務(wù)區(qū)安全布局
前面通過對安全“線路”進(jìn)行分析,進(jìn)行安全設(shè)備“點(diǎn)”的部署,實(shí)現(xiàn)了互聯(lián)網(wǎng)業(yè)務(wù)區(qū)的網(wǎng)絡(luò)安全布局,同時(shí),考慮到整個(gè)數(shù)據(jù)中心“面”上的安全統(tǒng)一管理,在綜合管理區(qū)部署安全管理中心設(shè)備,負(fù)責(zé)統(tǒng)計(jì)、關(guān)聯(lián)分析內(nèi)網(wǎng)各類網(wǎng)絡(luò)事件,從全局角度幫助數(shù)據(jù)中心網(wǎng)絡(luò)管理人員掌握整個(gè)網(wǎng)絡(luò)中的安全事件,從而實(shí)現(xiàn)對數(shù)據(jù)中心安全訪問“線路”上的安全加固“點(diǎn)”進(jìn)行更加合理的布局和后續(xù)升級。
網(wǎng)絡(luò)的安全虛擬化
“點(diǎn)、線、面”的安全布局方式為了實(shí)現(xiàn)安全“點(diǎn)”的全面加固,需要部署大量的安全設(shè)備,從而會大大增加網(wǎng)絡(luò)結(jié)構(gòu)上單點(diǎn)故障的機(jī)率;同時(shí)為了保證網(wǎng)絡(luò)結(jié)構(gòu)的可靠性,所部署的安全設(shè)備要都要做可靠性考慮和相關(guān)協(xié)議的設(shè)置,使網(wǎng)絡(luò)部署的復(fù)雜度大幅增加,同時(shí)增大由于錯(cuò)誤配置導(dǎo)致網(wǎng)絡(luò)可靠性降低的可能。
業(yè)界目前的數(shù)據(jù)中心交換機(jī)在設(shè)計(jì)上支持豐富類型的安全業(yè)務(wù)板卡,可以將多種安全設(shè)備以板卡的形式安裝在網(wǎng)絡(luò)中的節(jié)點(diǎn)交換機(jī)上,實(shí)現(xiàn)網(wǎng)絡(luò)的安全虛擬化部署。
N:1的虛擬化部署
圖4 N:1安全虛擬化應(yīng)用
采用在數(shù)據(jù)中心網(wǎng)絡(luò)節(jié)點(diǎn)的交換機(jī)上部署安全業(yè)務(wù)板卡的方式,改變了過去在一條線路上部署多個(gè)安全設(shè)備(就像糖葫蘆串一樣)的物理結(jié)構(gòu),將多個(gè)安全設(shè)備(N)集成在一臺數(shù)據(jù)中心交換機(jī)上,使得整個(gè)網(wǎng)絡(luò)線路得到大大的簡化,這種部署方式具有以下技術(shù)優(yōu)勢:
·大大簡化了網(wǎng)絡(luò)安全區(qū)域的拓?fù)浣Y(jié)構(gòu);
·降低了由于安全設(shè)備單點(diǎn)故障對數(shù)據(jù)中心網(wǎng)絡(luò)可用性的影響,如果某塊安全業(yè)務(wù)板卡出現(xiàn)故障問題,交換機(jī)會進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)層面的二層回退,即數(shù)據(jù)流不再必經(jīng)通過出現(xiàn)故障的安全板卡進(jìn)行處理,而是直接由交換機(jī)進(jìn)行正常的數(shù)據(jù)轉(zhuǎn)發(fā),保證整個(gè)業(yè)務(wù)的不中斷;
·一般獨(dú)立的安全設(shè)備無法提供設(shè)備本身的高可靠保證,而這種部署方式,借助網(wǎng)絡(luò)交換機(jī)本身的設(shè)備可靠性保障(引擎冗余,電源冗余,風(fēng)扇冗余等),大大提高了安全設(shè)備的可靠性運(yùn)行保證;
·由于獨(dú)立的安全設(shè)備無法進(jìn)行性能升級,隨著數(shù)據(jù)中心網(wǎng)絡(luò)性能的提升,安全設(shè)備往往會成為整個(gè)網(wǎng)絡(luò)性能的瓶頸,采用業(yè)務(wù)板卡的部署方式,可以在一臺交換機(jī)上疊加多塊安全板卡,通過增加板卡的數(shù)量提升安全防護(hù)的性能,有效的保護(hù)已有投資,并且適應(yīng)網(wǎng)絡(luò)的性能發(fā)展。
基于N:1安全虛擬化的方式,前面舉例的對外業(yè)務(wù)區(qū)的網(wǎng)絡(luò)安全布局可以簡化為圖5所示,安全加固“點(diǎn)”的設(shè)備都集成在網(wǎng)絡(luò)節(jié)點(diǎn)交換機(jī)上,整個(gè)對外業(yè)務(wù)區(qū)的網(wǎng)絡(luò)安全拓?fù)浣Y(jié)構(gòu)得到大大的簡化。
圖5 N:1虛擬化對網(wǎng)絡(luò)安全布局的優(yōu)化
1:N的虛擬化應(yīng)用
圖6 1:N安全虛擬化應(yīng)用
如圖6所示,利用安全板卡的虛擬化特性,可以在一塊物理板卡上邏輯虛擬出來多個(gè)安全板卡的實(shí)例,并可以將不同的實(shí)例分配給不同的服務(wù)器連接線路,并單獨(dú)設(shè)定每個(gè)實(shí)例的安全配置屬性。在配置了安全板卡后,交換機(jī)的每一個(gè)業(yè)務(wù)接口都可以看成為安全板卡的業(yè)務(wù)接口,因此基于這種1:N的虛擬化特性和實(shí)現(xiàn)機(jī)制可以擴(kuò)大交換機(jī)的安全防范范圍,便于更細(xì)致的安全分區(qū)劃分,從而提高網(wǎng)絡(luò)安全部署的精細(xì)度。
結(jié)束語
數(shù)據(jù)中心的網(wǎng)絡(luò)安全是數(shù)據(jù)中心安全體系的最基本環(huán)節(jié),通過合理的網(wǎng)絡(luò)安全設(shè)計(jì)方法可以保證基礎(chǔ)網(wǎng)絡(luò)平臺的安全可靠,并提供持續(xù)安全加固的擴(kuò)展性設(shè)計(jì)。但是要想構(gòu)建全面安全的數(shù)據(jù)中心,還需要數(shù)據(jù)安全、系統(tǒng)安全、信息安全等方面從其他的安全角度出發(fā)進(jìn)行相應(yīng)的安全規(guī)劃,不斷完善數(shù)據(jù)中心的安全防范等級。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:談數(shù)據(jù)中心的網(wǎng)絡(luò)安全建設(shè)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083956711.html