在2015年4月的复活节期间,英国伦敦高端珠宝商业区哈顿花园的一家保险箱公司发生一起惊天大劫案。犯罪分子冒充工人,通过电梯进入大楼,用工业电钻钻开了50cm厚的混凝土墙,而后关闭了金库大门上的警报装置,利用重型切割设备在18英寸厚的金属门上切开了一个洞。在成功进入金库后,他们用切割设备割开众多的保险箱,盗走箱内的贵重物品。据该公司估计损失了价值一亿美元珠宝首饰。
更重要的是,尽管窃贼最初触发了报警,而警方却回应公司的金库没有发现入室盗窃的现象。因此,犯罪分子继续实施他们的抢劫行为。换句话说,该团伙的抢劫行为并没有受到打扰,有人猜测这可能有内部人员进行配合。
而对大多数企业来说,他们最宝贵的资产不是黄金和钻石,而是数据。只是他们的数据没有存储在金库中,而在数据中心里。然而在许多情况下,金库和数据中心的安保的策略和措施有些类似,组织经常把重点放在加强外部和周边的安全上,而较少关注内部安全。
如果攻击者能够突破外部防线,在他们被发现之前的一段时间中,他们往往可以采用应用程序在窃取数据中心内部数据,并中断业务流程。就像哈顿花园抢劫金库的歹徒一样能够自由出入而并不被发现。在最近的一些数据中心的漏洞事件中,由于缺乏可见性和内部安全措施,黑客已经访问数据中心的应用程序和数据长达几个月之久。
虚拟化环境中的安全挑战
随着企业的业务从物理数据中心网络迁移到虚拟化网络,加快应用程序的配置和部署,并降低硬件成本和管理时间,这一情况变得更加普遍。在这个新的数据中心环境中,所有的基础设施元素,其中包括网络,存储,计算和安全性都是虚拟化的,并作为服务交付。这种根本的变化意味着保护网络外围安全的传统的方法和措施已经不再适用于解决动态的虚拟化环境。
目前企业面临的主要安全挑战是:流量行为的转变。从历史上看,大部分的流量是“南北”流量,主要聚焦在数据中心内外网之间边界,并由传统的边界进行安全控制管理。现在,数据中心的“东西”的流量急剧增加,随着应用程序的数量成倍增加,这些应用程序需要功能互连和共享数据。随着应用程序的数量越来越多,黑客有一个更广泛的目标选择:他们可以专注于一个单一的低优先级的应用程序,然后使用它开始启动内部的数据中心的流量横向流动,而不被发现。因此,周边安全是远远不够的。
人工配置和政策的变化。在这些新的动态数据中心中,传统的人为安全管理流程太慢,耗费了IT团队太多的时间,这意味着安全可能是一个瓶颈,并减缓新的应用交付。人为管理过程也容易出现人为错误,并有可能存在安全漏洞。因此,实施自动化的安全管理是必要的,使应用程序进行自动化的配置,并全面地支持数据中心的灵活性。
直到最近,在数据中心内提供先进的威胁防御和安全技术将涉及管理大量不同的VLAN,保持复杂网络图,并使用手工流程不断更新配置。总之,大多数组织的管理任务都是不切实际的,并且实施困难,价格昂贵。
微分段:金库内的武装警卫
但是,如果我们能为保险库中的每一个保险箱配置一名保安的话,那么,即使攻击者突破了外围安全,其内部每一个有价值的资产都会有保护的措施。随着数据中心日趋软件定义化,所有的功能管理实质上可以在软件定义的数据中心(SDDC)使用微分段完成。
微分段的工作原理是数据中心内的资源进行识别和分组,那些群体之间的通信采用特定动态安全策略。然后将数据中心内的流量引导到虚拟安全网关,采用先进的威胁防护技术含量检测流量的内容,以阻止攻击者试图使用攻击和侦察技术将一个应用程序横向移动到另一个应用程序。
当一个虚拟机或服务器被检测到使用上述技术实施攻击时,它可以被标记为感染,并立即被数据中心的“保安”安全网关自动隔离。这种方式中,即使一个系统遭遇攻击,也不会危及整个基础设施。
而一旦应用程序被添加,可能会随时间的推移得以演变,当务之急是要立即应用其安全策略,并自动适应动态变化。使用集成的云管理和流程控制工具,加强软件定义的数据中心的安全性,了解有关应用程序的作用、规模,以及其位置。其结果是执行正确的策略,使数据中心内的应用程序安全地相互通信。例如,当服务器添加或修改IP地址,则该对象已经提供和继承的相关的安全策略,消除了人工流程的需要。
正如虚拟化技术推动了可扩展的、灵活的、易于管理的数据中心的发展,它也提高了下一代数据中心的安全性。通过使用一个集成的、虚拟化的安全平台,提供SDDC微分段这个先进的安全和威胁防御服务,可动态在软件定义的数据中心环境中任何需要的地方进行部署。这使组织金库的外围有了武装警卫,保护每个保险箱和他们持有有价值的资产,这有助于阻止数据中心遭遇哈顿花园式的内部攻击行为。
本文转自d1net(转载)