现如今的数据中心管理人员们正面临着一个重大的挑战:他们需要在不影响新的数据中心环境所带来的性能和功能的前提下,确保数据中心的安全运营。许多企业组织都在使用为互联网边缘设计的解决方案来加强数据中心的安全,但这些解决方案是不够的。本文中,我们将为广大读者朋友们介绍关于您企业组织可以借鉴,用以确保您的数据中心在今天安全运营所需要采取的5大步骤。
鉴于每家企业组织的数据中心都围绕着其独特的业务需求有着特殊具体的配置、性能、虚拟化、应用程序和流量要求,而网络边缘的安全设备根本不是旨在解决上述这些具体特殊要求的。
确保一家数据中心的安全运营所需要的一套解决方案必须具备如下条件:
● 提供对于自定义的数据中心应用程序的可视化和控制
● 处理设备和数据中心之间的非对称流量和应用程序交易
● 适应数据中心的不断发展的需求,如:虚拟化、软件定义的网络(SDN)、网络功能虚拟化(NFV)、思科的以应用程序为中心的基础设施(ACIS)等等
● 解决整个连续攻击:包括在攻击发生之前、期间和之后
● 跨整个网络整合安全部署
支持地理上的分散DC流量和部署,包括私有、公共和云环境
安全威胁攻击的首要目标:数据中心
许多现代的网络犯罪活动是专门旨在以数据中心为攻击目标而设计的,因为这些数据中心都托管和处理着海量高价值的数据信息,包括个人客户数据资料、财务信息和企业知识产权等(1)。故而确保数据中心的安全运营是一项挑战。非对称的业务流量、定制化的应用程序、需要被路由到计算层之外并达到数据中心周边以便进行检查的高流量数据、跨多个hypervisor的虚拟化、以及地理上分散的数据中心,所有这一切,都使得利用那些不是设计用于该目的,但却又被用来确保数据中心安全运营的解决方案实施起来异常困难。其结果是:在安全方案覆盖范围方面存在空白、对数据中心性能造成严重的影响、乃至牺牲数据中心的功能以适应安全的限制、并通过提供复杂的安全解决方案,削弱并破坏了数据中心根据实际业务需求而动态地配置资源的能力。
而与此同时,数据中心又是在不断发展演变的,其正在从物理环境迁移到虚拟环境,再到下一代的诸如SDN和ACI的环境中。数据中心的流量已经呈现出了几何级的成倍增长,而这在很大程度上是由云服务利用率的增加和物联网(IoT)环境的兴起所推动的,其中互联网和网络已经扩展到了诸如制造车间、能源网格、医疗设施和运输等领域。
而根据思科的预测,到2017年,全球76%的数据中心流量将保留在数据中心内,并将很大程度上是在虚拟环境中由存储、生产和开发数据所生成的(2)。而早在2015年3月底,市场调研机构Gartner公司就曾经预测,数据中心连接每秒增加3000%.
现代数据中心已经为企业提供了大量的应用程序、服务和解决方案。许多企业组织都需要依赖于分散在各个不同地理位置的数据中心所部署的服务,以支持他们不断增长的云计算和流量需求。他们还需要解决战略方面的举措,如大数据分析和业务连续性管理,使数据中心成为其企业骨干的一个更为关键的部分。但这也进一步使得数据中心的资源成为了恶意攻击者们设计越来越复杂的安全威胁以逃避检测,进而对数据中心进行攻击的主要目标。所有这一切,都意味着数据中心的安全团队实施数据中心的监控和保护将变得更加困难。
数据中心管理人员及他们的团队所面临的另一个复杂的问题是:配置和性能严重影响和限制了安全解决方案如何充分发挥作用,如下一代防火墙的部署,及其所能够检查的流量。安全解决方案不能破坏数据中心的性能。在今天的数据中心,安全配置必须在几小时或几分钟内完成,而不是花费几天或几周的时间。而性能则必须是动态扩展的,以处理大量突发的高流量。
加强数据中心安全的5大步骤:
综合的加强数据中心的安全需要一套深度的防御方法,企业组织可以从五个关键领域着手实现。其安全防御解决方案必须:
1、提供对于自定义数据中心应用程序的可视化和控制。
数据中心管理人员们所需要的对于自定义数据中心的应用程序的可视化和控制,不仅仅只是包括了传统的基于网络的应用程序(例如,Facebook和Twitter),还涉及到微应用(microapplication)的传统网络边缘安全设备检测。大多数下一代防火墙都是设计用于检查流经互联网边缘的流量类型,但并不确保这些自定义的数据中心应用程序的安全。
2、管理设备或数据中心之间的非对称的业务流量和应用程序交易。
安全解决方案必须能够与数据中心的架构充分整合,而不是简单地处在边缘。边缘的解决方案不能检查南北走向的(入站出站)流量和东西走向(跨应用程序)的流量,而后者则代表了今天的数据中心流量的绝大部分。如果应用程序的流量必须被发送到数据中心外围边界的下一代防火墙,以便在检查之后再发送回计算机层,那么,解决方案将逐渐削弱现代数据中心所要求的动态流量。
许多下一代防火墙都无法保护非对称流量。在非对称路由中,典型的到达数据中心的一个数据包在返回到其数据源时,将选择不同的路径。这成为了许多下一代防火墙的一个问题,因为他们是专为沿一个单一的、可预测的路径而对流量进行跟踪,检查和管理设计的。
数据中心的安全性解决方案还必须能够处理在数据中心或设备之间的应用程序交易,包括在虚拟设备之间。虚拟设备与物理设备是一样脆弱的,但数据中心的安全解决方案也必须能够处理虚拟环境的独特安全挑战,包括创造、拆卸、和迁移恒定的工作负载。
3、适应数据中心的不断发展的需求。
随着数据中心环境从物理环境迁移到虚拟环境再到下一代的SDN和ACI模式,其安全解决方案也必须能够动态地扩展,并提供持续一致的安全保护,以便能够跨不同的演变阶段和各种混合的数据中心环境而无缝工作。在这些新的数据中心模式下,虚拟和物理设备正在被快速的配置,安全规则的失控可能会迅速扩大。访问控制列表(ACL)管理对于很多IT团队而言都已经是一大挑战了。
新设备的配置需要自动执行,这样可以使得其部署时间可以从几天减少到几分钟,同时还无需担心产生不安全的后果。同样,还需要有能够跨多处混合的数据中心部署一款单一的安全解决方案的能力,许多多虚拟机管理程序(虚拟机监视器)允许企业组织数据中心的IT团队能够专注于数据中心的功能,而无需承担安全方面的行政开销。
4、解决整个连续攻击:包括在攻击发生之前、期间和之后。
传统的安全方法仅仅只为数据中心的环境提供了有限的威胁意识和可视化,并主要集中在数据中心外围实施攻击阻挡方面。而覆盖整个连续攻击过程的则需要借助一套安全保护解决方案跨一个广泛的攻击向量针对无处不在的安全威胁实施监控,包括:在网络上,在端点上,在移动设备上,以及在虚拟环境中。一套全面的,以积极应对安全威胁为中心的方法,确保数据中心的安全,包括在安全攻击发生之前,期间和之后的防御保护都是必要的,进而才能保护现代数据中心及其专门的流量。
传统的下一代防火墙针对识别和减轻那些设计用于绕过防御措施的隐蔽攻击几乎没有提供任何解决方案,其在这些隐蔽攻击停止后也不能提供补救和分析,无法跟踪和确保数据中心非对称流量的安全。他们几乎完全是防御性的工具,但却不能抵御新兴的,针对有漏洞的服务器,独特的应用程序和有价值的数据所进行的未知的安全威胁。
5、保护整个网络。
任何数据中心安全解决方案都必须认识到远程用户有直接连接到某个关键的数据中心资源的需要。故而该安全解决方案需要在远程用户和数据中心资源之间提供透明度,但其仍然是一个复杂的网络环境的一部分,只是通过分支办事处,跨核心扩展进入到了数据中心,并向外延伸到了云计算。安全解决方案必须是数据中心架构的一部分,以及一套更广泛的、可以同时看到基于网络的安全威胁和以数据中心为攻击目标、还能够跨整个数据路径提供无缝的保护的解决方案一部分。
数据中心的安全是不同的。为了切实保护现代数据中心,新的数据中心模型正在出现,企业组织不能仅仅单只靠一个下一代的防火墙。他们需要一套全面的、综合性的安全战略和架构,以便可以提供跨整个分布式网络、一致的、智能型的安全保护,从边缘到数据中心再到云环境,而且不会破坏数据中心的性能。
热门专题
