数据中心的四道安全防火墙

安全性对于数据中心的重要性不言而喻,尤其是人们对信息安全愈加重视的今天,安全事件无小事,一旦数据中心出现了严重的安全问题,对于数据中心造成的损失是无法估量的。数据中心的安全是围绕数据为核心,从数据的访问、使用、破坏、修改、丢失、泄漏等多方面维度展开,因此也衍生出很多技术方法。从软件到硬件,从网络边缘到核心,从数据中心入口到出口,只要有数据的地方都可以部署安全设备。不少的数据中心安全设备部署了很多,但是依然会不断受到攻击,原因为何?其实数据中心安全是一个系统工程,不是部署几台防火墙就可以应付了,需要进行详细的安全方案设计,让安全的方案渗透到数据中心的每个环节,才能确保数据中心的数据安全。那么应该如何进行数据中心安全设计,本文将揭晓详细答案。

数据中心安全需要从全局和架构的高度进行统一设计,目前国际上最新的,也是获得普遍认可的是由美国国家安全局制定的“信息保障技术框架IATF”,IATF是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架,提出了信息保障时代信息基础设施的全套安全需求,它提出了一个通用的框架,为信息数据设计了四道安全防火墙:网络和基础设施,对网络和基础设计进行防护;飞地边界,解决边界保护问题;局域计算环境,实现主机的计算环境保护;支撑性基础设施,安全的信息环境所需要的支撑平台。IATF对于数据中心当然同样适用,不过四道防火墙这样描述看起来非常抽象,不好理解,也不知道该具体如何入手,下面将进行详细讲解。

首先来说说对网络和基础设施的防护,这个指的是数据中心的网络部分。数据中心里有大量的网络设备,这些网络设备实现了所有设备的互联互通,在数据中心里起非常大的作用,所有的数据都需要经过这些设备进行传输,一旦有设备发生了数据泄露,后果很坏,所以要从数据中心网络入手,加强对网络中的交换机、路由器、无线WiFi等网络设备的防护。具体的要及时升级这些设备的软件版本,要和设备商确认设备软件系统是否存在安全漏洞,尤其是有些设备默认留一些后门,隐藏执行命令,还有一些服务端口被默认打开,这些往往是最容易被入侵的地方,所以一定要了解清楚设备是否存在这些漏洞,如果存在及时进行软件更新;周期性地更换这些设备的访问密码,避免被盗;定期对设备进行巡检,发现隐患及时消除,尤其是各种网络协议攻击,可能会造成网络瘫痪,从而入侵应用系统,窃取数据。

其次是边界保护,这是指在数据中心的出入口。数据中心的数据有输入和输出两大出口,一定要做好数据过滤与检查。具体的技术实现有很多,比如防火墙、VPN、边界共享交换、远程访问、多域方案、移动代码、安全隔离等等,这些安全技术主要是通过硬件设备实现,实现数据流量的粗过滤,主要设备包括有防火墙、负载均衡设备、入侵检测设备、NAT设备、统一网关等设备,这些设备都需要部署在数据中心的数据出入口,做好数据出入检查。当然有这个还远远不够。我们在生活中也看到,很多小区出入的地方都有保安,可还是不断发生各种入室盗窃甚至更为严重的刑事案件,所以数据中心也不能完全靠边界保护,还需要从内容上进行保护,就是主机的保护。

第三是主机保护,这是指从数据中心服务器入手。数据中心里所有的应用业务都是部署在服务器上的,数据中心里的服务器设备数量最多,也是存在系统漏洞最多的地方,很多攻击都是针对服务器发起的,一旦越过了边界和网络保护,那服务器就危险了,所以这时服务器一定不能裸奔,不然一定会走光的。服务器上能做的保护主要侧重于软件,比如操作系统的防护,做生物认证,安全Web,令牌,病毒软件等等,这些技术都是对服务器里的数据进行保护的,广为人知的有360、趋势科技、瑞星、诺顿等软件,这些软件会不断更新病毒库,针对新的病毒类型进行防护,服务器上安装了这些防护软件,就可以实时更新软件包,及时对系统进行保护,防止被攻破系统。绝大多数的攻击都是针对系统漏洞实施的,对系统漏洞进行及时修复,并不断更新安全软件,就可以有效避免受攻击。

最后是支撑平台,这是指要建立完善的准入系统,对各种数据中心访问进行控制和检查。比如:PKI认证、证书管理、密码管理等。比如我们在访问银行网站的时候,进行网络交易时,都需要下载证书,这个就是对网络访问进行加密,确保访问是安全的,只有网络两边的证书对上才能进行访问,证书管理都用在银行的数据中心系统中。通过这些支撑平台,对访问进行控制,访问攻击进入,破化系统或者获取机密数据。如今的各种准入认证技术已经较为成熟,安全漏洞偶有爆出,但一般影响范围不大,而且这些认证技术也在不断地完善,在数据中心里应该大力推广使用,消除应用系统受攻击的风险。

四道安全防火墙涵盖了数据中心安全的方方面面,形成一个全面的、有针对性的安全防护系统。正如IATF技术解释说明的那样,它从人、技术和操作三个方面共同实现了信息安全的防护。通过部署这四道防火墙,将大大增加数据中心的安全防护能力,目前是数据中心安全领域最为普遍的做法,将极大地增强数据中心的数据安全性。

作者:何妍 

来源:51CTO

时间: 2024-07-28 16:07:30

数据中心的四道安全防火墙的相关文章

数据中心网络:渴望简单化

在过去,数据中心内流量转发很简单.某个IP会和另外的IP通信.IP地址属于结点主机或虚拟机,结点之间互相交换信息.IP地址间的通道就是数据中心交换机,以及路由表和桥接表中的条目. 如果工程师需要解决两个IP结点之间性能低下或奇怪的现象,好的出发点是通过检查这些表中构建的两者间路径.等开销多路径和多机链路聚合增加了过程的复杂性,但总的来说,运营商可以找出任何数据中心会话经过的确切路径. 端点之间的流量非常简单.网络地址转换.加密或隧道都很少出现.这类功能往往位于数据中心边界,与可信的边界外设备进行

汉柏推出了基于云计算的入侵防御系统,与传统防火墙组合为企业数据中心提供深度防御的最优选择

随着信息化和网络的普及,尤其是云计算.数据中心及互联网的发展,针对企业.机构数据中心的蠕虫病毒.漏洞攻击.注入攻击.跨站攻击.DDoS攻击等也有常态化的趋势,极大困扰着用户.尤其,云计算.各种新型互联网应用的普及,以及智能终端的多样性和网络通道的多元化,导致各种新型的攻击愈加繁杂,使得危害和破坏变得更加隐蔽.用户除了部署常规安全防御系统外,更需要一种在线部署的产品,来对各种单一或混合攻击实现实时地检测和阻断,同时要在保证高性能处理时避免误报和漏报发生. 针对数据中心入侵防御的安全需求,汉柏推出了

如何防御DDoS对数据中心攻击

Arbor Networks公司的Darren Anstee详细介绍了越来越严重的分布式拒绝服务(DDoS)威胁,并且建议数据中心的管理人员如何着手构建一种采用多层次防御的解决方案,以应对DDoS威胁. 防火墙在失去功效.这是独立安全测试机构NSS Labs的一项近期调查得出的结论.调查发现,六款防火墙产品在接受稳定性测试时,有三款未能发挥正常功效.测试的这些防火墙就包括业界巨头的产品. 由于防火墙一贯是确保边界安全的公认基础,这些测试结果对于数据中心的管理人员来说特别让人震惊,要考虑到这一点:

为数据中心提效 虚拟化技术VSE

目前,企业数据中心越来越普及,企业业务应用越来越复杂,对传统的资源固定分配模式的IT基础设施提出了严重挑战.人们已经越来越清楚地看到:许多按照传统模式建立起来的IT系统存在的症结,关键不是性能不够,而是适应变化的能力不够.作为业界第一套可交付(产品化)的全面实现服务器虚拟化的产品,HP VSE(Virtual Server Environment,虚拟服务器环境)在众多数据中心的实践应用表明,虚拟化技术能集中并共享资源,实现降低成本.优化利用率的目的.目前,HP VSE正在得到大规模的普及应用.

设计下一代数据中心 (3)

摘要:对于下一代数据中心而言,自动化是十分重要的,尤其是在速度以及原则方面.快速IT意味着更快的创新,更快的上市时间以及更多的企业价值. 自动化管理 按需消费作为一种服务方式,直接与企自动化设施深入程度息息相关.采用自动化来管理关键点的变化,无论是从硬件的物理限制到软件容量的无限设计的能力,都在因为自动化管理带来的改变而改变.对于下一代数据中心而言,自动化是十分重要的,尤其是在速度以及原则方面.快速IT意味着更快的创新,更快的上市时间以及更多的企业价值. 备注:快速IT(Fast IT):思科认

浅析数据中心设计的新思维

预计截至2020年,互联设备的数量将达到500亿.而如此众多的设备预计将在2017年产生高达7.7 ZB的互联网数据.随着运营商放弃了客户端-服务器以及局域网架构,并转而青睐侧重在服务器.存储与网络中采用虚拟化的设计,如此大量的数据处理需求将给数据中心生态系统带来巨大挑战.为此,有越来越多的公司开始选择基于移动计算.云服务.大数据和社交网络等领先技术的更加灵活且开放的平台. 使用开放平台的方法意味着须整体看待数据中心开发项目.虽然服务器是核心技术,但需要考虑包括服务器.存储.网络以及软件在内的整

如何建设IDC数据中心机房?看完你就明白了!

Internet Data Center互联网数据中心,简称IDC数据中心,它是传统的数据中心与Internet的结合,它除了具有传统的数据中心所具有的特点外,如数据集中.主机运行可靠等,还应具有访问方式的变化.要做到7x24服务.反应速度快等. IDC是一个提供资源外包服务的基地,它应具有非常好的机房环境.安全保证.网络带宽.主机的数量和主机的性能.大的存储数据空间.软件环境以及优秀的服务性能.设计集建筑.结构.电气.暖通空调.给排水.消防.网络.智能化等多个专业技术于一体,应具有"良好的安全

日志分析工具:数据中心管理的新装备

一种新型管理工具正在IT组织中成为主流.和繁琐的测试或评估方法不同,这些新兴工具关注的是系统和应用程序最常见的共同点:日志文件.   在复杂而严苛的数据中心环境中,通常会使用一些成熟的管理工具来查找隐患,但是这些工具无法感知细微的因果关联,数据中心的日常排错和优化目标难以实现.日志分析工具可以填补这些空缺,让IT专业人员在面对复杂的数据中心基础架构时能做出更有效和正确的决策. 几乎所有的系统和应用程序都会产生日志文件.日志是带时间标记的足迹,记录行为.条件和事件.在实际环境中,单独的日志文件价值

IT江湖论道之数据中心管理七种武器

本文讲的是IT江湖论道之数据中心管理七种武器,传说古龙先生心中有七种武器,件件精妙绝伦.天工巧夺,均属旷世神兵.得其一者便可独步天下.遂引得江湖人众纷纷擦掌相夺,即使丢了性命也在所不惜,由此可见这七种武器的绝妙非凡.它们分别是:长生剑.霸王枪.孔雀翎.多情环.离别钩.碧玉刀,至于这第七种武器究竟为何,卖个关子,稍后再提. 面对当今,企业对于数据中心的依赖性日益严重,越来越多企业的业务与后台系统密不可分.金融.证券.工业.能源.交通.医疗等行业的数据中心升级与建设也如火如荼.云计算时代的到来令数据