現如今的數據中心管理人員們正面臨著一個重大的挑戰:他們需要在不影響新的數據中心環境所帶來的性能和功能的前提下,確保數據中心的安全運營。許多企業組織都在使用為互聯網邊緣設計的解決方案來加強數據中心的安全,但這些解決方案是不夠的。本文中,我們將為廣大讀者朋友們介紹關于您企業組織可以借鑒,用以確保您的數據中心在今天安全運營所需要采取的5大步驟。
鑒于每家企業組織的數據中心都圍繞著其獨特的業務需求有著特殊具體的配置、性能、虛擬化、應用程序和流量要求,而網絡邊緣的安全設備根本不是旨在解決上述這些具體特殊要求的。
確保一家數據中心的安全運營所需要的一套解決方案必須具備如下條件:
●提供對于自定義的數據中心應用程序的可視化和控制
●處理設備和數據中心之間的非對稱流量和應用程序交易
●適應數據中心的不斷發展的需求,如:虛擬化、軟件定義的網絡(SDN)、網絡功能虛擬化(NFV)、思科的以應用程序為中心的基礎設施(ACIS)等等
●解決整個連續攻擊:包括在攻擊發生之前、期間和之后
●跨整個網絡整合安全部署
支持地理上的分散DC流量和部署,包括私有、公共和云環境
安全威脅攻擊的首要目標:數據中心
許多現代的網絡犯罪活動是專門旨在以數據中心為攻擊目標而設計的,因為這些數據中心都托管和處理著海量高價值的數據信息,包括個人客戶數據資料、財務信息和企業知識產權等(1)。故而確保數據中心的安全運營是一項挑戰。非對稱的業務流量、定制化的應用程序、需要被路由到計算層之外并達到數據中心周邊以便進行檢查的高流量數據、跨多個hypervisor的虛擬化、以及地理上分散的數據中心,所有這一切,都使得利用那些不是設計用于該目的,但卻又被用來確保數據中心安全運營的解決方案實施起來異常困難。其結果是:在安全方案覆蓋范圍方面存在空白、對數據中心性能造成嚴重的影響、乃至犧牲數據中心的功能以適應安全的限制、并通過提供復雜的安全解決方案,削弱并破壞了數據中心根據實際業務需求而動態地配置資源的能力。
而與此同時,數據中心又是在不斷發展演變的,其正在從物理環境遷移到虛擬環境,再到下一代的諸如SDN和ACI的環境中。數據中心的流量已經呈現出了幾何級的成倍增長,而這在很大程度上是由云服務利用率的增加和物聯網(IoT)環境的興起所推動的,其中互聯網和網絡已經擴展到了諸如制造車間、能源網格、醫療設施和運輸等領域。
而根據思科的預測,到2017年,全球76%的數據中心流量將保留在數據中心內,并將很大程度上是在虛擬環境中由存儲、生產和開發數據所生成的(2)。而早在2015年3月底,市場調研機構Gartner公司就曾經預測,數據中心連接每秒增加3000%.
現代數據中心已經為企業提供了大量的應用程序、服務和解決方案。許多企業組織都需要依賴于分散在各個不同地理位置的數據中心所部署的服務,以支持他們不斷增長的云計算和流量需求。他們還需要解決戰略方面的舉措,如大數據分析和業務連續性管理,使數據中心成為其企業骨干的一個更為關鍵的部分。但這也進一步使得數據中心的資源成為了惡意攻擊者們設計越來越復雜的安全威脅以逃避檢測,進而對數據中心進行攻擊的主要目標。所有這一切,都意味著數據中心的安全團隊實施數據中心的監控和保護將變得更加困難。
數據中心管理人員及他們的團隊所面臨的另一個復雜的問題是:配置和性能嚴重影響和限制了安全解決方案如何充分發揮作用,如下一代防火墻的部署,及其所能夠檢查的流量。安全解決方案不能破壞數據中心的性能。在今天的數據中心,安全配置必須在幾小時或幾分鐘內完成,而不是花費幾天或幾周的時間。而性能則必須是動態擴展的,以處理大量突發的高流量。
加強數據中心安全的5大步驟:
綜合的加強數據中心的安全需要一套深度的防御方法,企業組織可以從五個關鍵領域著手實現。其安全防御解決方案必須:
1、提供對于自定義數據中心應用程序的可視化和控制。
數據中心管理人員們所需要的對于自定義數據中心的應用程序的可視化和控制,不僅僅只是包括了傳統的基于網絡的應用程序(例如,Facebook和Twitter),還涉及到微應用(micrOApplication)的傳統網絡邊緣安全設備檢測。大多數下一代防火墻都是設計用于檢查流經互聯網邊緣的流量類型,但并不確保這些自定義的數據中心應用程序的安全。
2、管理設備或數據中心之間的非對稱的業務流量和應用程序交易。
安全解決方案必須能夠與數據中心的架構充分整合,而不是簡單地處在邊緣。邊緣的解決方案不能檢查南北走向的(入站出站)流量和東西走向(跨應用程序)的流量,而后者則代表了今天的數據中心流量的絕大部分。如果應用程序的流量必須被發送到數據中心外圍邊界的下一代防火墻,以便在檢查之后再發送回計算機層,那么,解決方案將逐漸削弱現代數據中心所要求的動態流量。
許多下一代防火墻都無法保護非對稱流量。在非對稱路由中,典型的到達數據中心的一個數據包在返回到其數據源時,將選擇不同的路徑。這成為了許多下一代防火墻的一個問題,因為他們是專為沿一個單一的、可預測的路徑而對流量進行跟蹤,檢查和管理設計的。
數據中心的安全性解決方案還必須能夠處理在數據中心或設備之間的應用程序交易,包括在虛擬設備之間。虛擬設備與物理設備是一樣脆弱的,但數據中心的安全解決方案也必須能夠處理虛擬環境的獨特安全挑戰,包括創造、拆卸、和遷移恒定的工作負載。
3、適應數據中心的不斷發展的需求。
隨著數據中心環境從物理環境遷移到虛擬環境再到下一代的SDN和ACI模式,其安全解決方案也必須能夠動態地擴展,并提供持續一致的安全保護,以便能夠跨不同的演變階段和各種混合的數據中心環境而無縫工作。在這些新的數據中心模式下,虛擬和物理設備正在被快速的配置,安全規則的失控可能會迅速擴大。訪問控制列表(ACL)管理對于很多IT團隊而言都已經是一大挑戰了。
新設備的配置需要自動執行,這樣可以使得其部署時間可以從幾天減少到幾分鐘,同時還無需擔心產生不安全的后果。同樣,還需要有能夠跨多處混合的數據中心部署一款單一的安全解決方案的能力,許多多虛擬機管理程序(虛擬機監視器)允許企業組織數據中心的IT團隊能夠專注于數據中心的功能,而無需承擔安全方面的行政開銷。
4、解決整個連續攻擊:包括在攻擊發生之前、期間和之后。
傳統的安全方法僅僅只為數據中心的環境提供了有限的威脅意識和可視化,并主要集中在數據中心外圍實施攻擊阻擋方面。而覆蓋整個連續攻擊過程的則需要借助一套安全保護解決方案跨一個廣泛的攻擊向量針對無處不在的安全威脅實施監控,包括:在網絡上,在端點上,在移動設備上,以及在虛擬環境中。一套全面的,以積極應對安全威脅為中心的方法,確保數據中心的安全,包括在安全攻擊發生之前,期間和之后的防御保護都是必要的,進而才能保護現代數據中心及其專門的流量。
傳統的下一代防火墻針對識別和減輕那些設計用于繞過防御措施的隱蔽攻擊幾乎沒有提供任何解決方案,其在這些隱蔽攻擊停止后也不能提供補救和分析,無法跟蹤和確保數據中心非對稱流量的安全。他們幾乎完全是防御性的工具,但卻不能抵御新興的,針對有漏洞的服務器,獨特的應用程序和有價值的數據所進行的未知的安全威脅。
5、保護整個網絡。
任何數據中心安全解決方案都必須認識到遠程用戶有直接連接到某個關鍵的數據中心資源的需要。故而該安全解決方案需要在遠程用戶和數據中心資源之間提供透明度,但其仍然是一個復雜的網絡環境的一部分,只是通過分支辦事處,跨核心擴展進入到了數據中心,并向外延伸到了云計算。安全解決方案必須是數據中心架構的一部分,以及一套更廣泛的、可以同時看到基于網絡的安全威脅和以數據中心為攻擊目標、還能夠跨整個數據路徑提供無縫的保護的解決方案一部分。
數據中心的安全是不同的。為了切實保護現代數據中心,新的數據中心模型正在出現,企業組織不能僅僅單只靠一個下一代的防火墻。他們需要一套全面的、綜合性的安全戰略和架構,以便可以提供跨整個分布式網絡、一致的、智能型的安全保護,從邊緣到數據中心再到云環境,而且不會破壞數據中心的性能。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.guhuozai8.cn/
本文標題:加強數據中心安全的5大步驟
本文網址:http://m.guhuozai8.cn/html/consultation/10839519835.html
相關文章
