隨著越來越多的公司將他們的數(shù)字資產(chǎn)和軟件平臺(tái)遷移在云計(jì)算和數(shù)據(jù)中心中,云計(jì)算和數(shù)據(jù)中心就成為那些居心叵測(cè)的人越來越感興趣的目標(biāo)。然而利益對(duì)于壞人來說,沒有什么不一樣的。與攫取互聯(lián)網(wǎng)上的點(diǎn)點(diǎn)滴滴利益相比,數(shù)字盜賊更喜歡一站式服務(wù)。
還有一些其他的東西,讓壞人更加感興趣。數(shù)據(jù)中心流量正在增加?xùn)|西流向(也就是數(shù)據(jù)從一個(gè)服務(wù)器傳輸?shù)搅硪粋(gè)服務(wù)器)。思科公司產(chǎn)品管理安全主任穆納瓦爾·侯賽因?qū)懙溃?ldquo;思科全球云指數(shù)告訴我們,與數(shù)據(jù)中心園區(qū)網(wǎng)絡(luò)不同,數(shù)據(jù)中心流量主要是東西方向(76%),其次是南北流量(17%),而7%是數(shù)據(jù)中心之間的流量。”
打開大門?
數(shù)據(jù)中心內(nèi)部服務(wù)器之間的開放通道,直到現(xiàn)在一直是孤立的,這對(duì)于攻擊者來說是一個(gè)千載難逢的機(jī)會(huì)。“現(xiàn)代攻擊通常采用用戶授權(quán)方法突破外圍的防御,而對(duì)于數(shù)據(jù)中心邊界內(nèi)的工作負(fù)載橫向遷移,卻很少或根本沒有管制,以阻止它們的傳播。”根據(jù)VMware數(shù)據(jù)中心微分割白皮書的描述,“許多近期公共違反例證了這一點(diǎn),通過網(wǎng)絡(luò)釣魚等方式。導(dǎo)致惡意軟件入侵,找到漏洞實(shí)施攻擊、指揮和控制,并使數(shù)據(jù)中心流量的橫向移動(dòng)不受約束,直到攻擊者找到他們要找的數(shù)據(jù)。”
不用說,數(shù)據(jù)中心運(yùn)營(yíng)商正在尋找新的方式來加強(qiáng)安全性。侯賽因表示,這樣的方法是“hair-pinning”,其中由數(shù)據(jù)中心外圍安全設(shè)備路由出的內(nèi)部流量進(jìn)行檢驗(yàn),然后轉(zhuǎn)發(fā)到數(shù)據(jù)中心內(nèi)的原始目的地。
這聽起來復(fù)雜且充滿問題,網(wǎng)絡(luò)專家同意這個(gè)觀點(diǎn),VMware和其他公司提出一個(gè)更好的解決方案是微分割。簡(jiǎn)而言之,微分割將數(shù)據(jù)中心的網(wǎng)絡(luò)劃分成較小的保護(hù)區(qū)。“而不是一個(gè)單一的整個(gè)網(wǎng)絡(luò),通過強(qiáng)化外圍,加強(qiáng)流量的防御,微數(shù)據(jù)中心可以在應(yīng)用層之間和設(shè)備之間提供安全服務(wù)。”思科的報(bào)告認(rèn)為,數(shù)據(jù)中心的微型分割可以增強(qiáng)數(shù)據(jù)中心流量的安全性。其理論是,即使一臺(tái)機(jī)器被攻破,其危害將會(huì)限制在一個(gè)較小的故障域。
微分割將數(shù)據(jù)中心的網(wǎng)絡(luò)劃分為較小的保護(hù)區(qū)
除了隔離和違反遏制以外,也有其他的好處。行業(yè)專家論證了一些微分割的實(shí)踐優(yōu)勢(shì):
·管理白名單:
拒絕所有通信,除非明確允許不是新的流量。微分割的方法是通過整合應(yīng)用程序和網(wǎng)絡(luò)服務(wù)進(jìn)行管理。
·應(yīng)用感知的安全性:
在微分割,安全策略組不是基于IP地址或域名子網(wǎng)的。“策略是在虛擬機(jī)或容器托管應(yīng)用層執(zhí)行,”專家表示,“工作負(fù)載和數(shù)據(jù)訪問將以應(yīng)用程序?yàn)橹行牡陌踩P蛠肀Wo(hù)。”
·集中配置:
微分割如果處理得當(dāng),可以鞏固安全組成員管理。集中配置的安全策略,如防火墻規(guī)則,使他們能夠從主機(jī)到主機(jī)遵循虛擬機(jī),而新的實(shí)例自動(dòng)繼承適當(dāng)?shù)陌踩M成員和安全策略。“如果一個(gè)特定的虛擬機(jī)被刪除,與虛擬機(jī)以及相關(guān)的防火墻規(guī)則也被刪除。”專家表示,“這反過來,可以確保防火墻規(guī)則庫(kù)的不斷更新,并刪除了閑置無用的規(guī)則。”這使得數(shù)據(jù)中心運(yùn)營(yíng)商通過消除漏洞和制定預(yù)防措施實(shí)施安全防范。
·訪問控制:
顧名思義,微分割可以分隔應(yīng)用程序。隔離單獨(dú)的應(yīng)用程序,或?qū)?a href="http://www.ezxoed.cn/" title="" target="_blank" >數(shù)據(jù)倉(cāng)庫(kù)啟用嚴(yán)格的訪問控制,這將降低內(nèi)部攻擊概率。
·攻擊恢復(fù):
微分割與DCIM平臺(tái)聯(lián)合使用,如果發(fā)生數(shù)據(jù)泄露會(huì)減少消極影響。“微分割使數(shù)據(jù)中心是更為靈活,具有幾乎立即查明問題的能力,并在問題包含在狹窄的故障域之內(nèi)。”專家表示,“與此同時(shí),多重的安全保障,可以減緩攻擊的蔓延,使運(yùn)營(yíng)商能夠鎖定黑客,并保護(hù)卓越的數(shù)據(jù)。”
企業(yè)對(duì)于如何實(shí)現(xiàn)微分割有不同的理念。然而,VMware公司產(chǎn)品管理總監(jiān)杰夫表示任何一種微分割必須具備以下屬性:
·持久性:
盡管環(huán)境在不斷變化,安全必須是一致的。這對(duì)于進(jìn)入軟件定義網(wǎng)絡(luò)特別重要。“微分割為管理員提供了更多有用的方法來描述的工作量,”杰夫?qū)τ谡嬲奈⒎指畹娜N需求指出,“管理員可以描述工作量的固有特性,并將此信息回饋給安全策略。”
·無處不在:
通常,由于成本的考慮,安全發(fā)放根據(jù)靜態(tài)優(yōu)先級(jí)列表進(jìn)行的。杰夫指出,這是攻擊者喜歡看的東西。幸運(yùn)的是,微分割可以嵌入到安全的數(shù)據(jù)中心基礎(chǔ)設(shè)施,這意味著安全功能可以應(yīng)用于所有的工作負(fù)載,從而無需設(shè)置優(yōu)先級(jí)。
·可擴(kuò)展性:
黑客善于改變他們的攻擊計(jì)劃,如有需要,也就是說,為了工作,安全必須是靈活的,如果不是更多的話。“舉個(gè)例子,檢測(cè)惡意軟件,防病毒系統(tǒng),防病毒系統(tǒng)配合網(wǎng)絡(luò)鏡像流量到IPS,依次掃描異常流量。”杰夫解釋說。“微分割的可擴(kuò)展性有這種動(dòng)態(tài)能力。沒有它,安全管理員必須預(yù)先配置一個(gè)不同的靜態(tài)鏈的服務(wù),每一個(gè)對(duì)應(yīng)于一個(gè)不同的可能的安全方案。”
由于軟件定義的技術(shù)允許最終的網(wǎng)絡(luò)靈活性,微分段的概念是唯一可能的。這二者相結(jié)合,為數(shù)據(jù)中心的東西流量提供集中控制,使用多層次的隔離,提高安全性,并且從長(zhǎng)遠(yuǎn)來看,更加節(jié)省成本。這樣很多人會(huì)問:“為什么不采用呢?”
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:阻止對(duì)服務(wù)器攻擊的微分割
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121519226.html