數據中心通過圍墻將設備與外界隔絕,從而確保墻內的珍貴數據是被安全保護的。
為此,數據中心的建筑采取防爆設計的情況并不少見,同時它還配備有防彈玻璃和巨大的圍墻。
如果有人設法繞過這些防御,他將被數據大廳的生物識別安全系統、人工裝置和其他安全協議所阻止,這意味著通過物理方式訪問服務器是絕不可能的。
物理安全顯然是數據中心運營商最關心的問題,但業界觀察家擔憂:數據中心站點的網絡安全是否也受到了應有的同等級別的重視和關注。
網絡安全性是特別值得注意的。因為數據中心是黑客眼中具有巨大價值的目標,他們最想要獲取這些數字資產的控制權。
根據Cyren 2015網絡威脅年度報告,以商業為對象的網絡攻擊——包括攻擊數據中心——在過去4年里增長了144%。同時,美國國家安全局(NSA)聲稱網絡攻擊可以造成每小時40000美元的損失,因此,顯然有必要部署適當的安全機制。
2016年5月,主機托管服務商Aegis Data的首席執行官(CEO)Greg McCulloch就為什么運維人員在其站點的物理安全上總是顯得很被動這一問題,發表了一些看法。
他說:“雖然對數據中心來說,網絡安全是至關重要的,但防護的主體并不是顯而易見的,它隱藏在每行代碼和防火墻里。它可以為用戶提供多種層次的安全保障,但所有這一切都是無形的。”
“然而,物理安全特性更容易打動和安撫潛在的和已有的客戶,讓他們相信數據是安全的。”
McCulloch還補充:“一個數據中心在其應用對象和數據入口間部署越多的安全防護層,物理破壞的風險概率就降得越低。”
他聲稱,理想情況下部署8層的物理安全防護能夠確保運維人員盡其所能地阻止壞人的進入。
“通常,八層及更多層的物理防護才是完美的,這些層次包括人力屏障(如警衛),物理屏障(如生物認證的門禁系統)和安全屏障(如對入侵者的陷阱),”McCulloch繼續說道。
“這些都應該被部署在數據入口周圍。對于主機托管服務商存儲的多個用戶數據,每個服務器都應該被鎖定,只供認證用戶訪問使用。”
平衡的投入
然而,隨著企業向云方向迅速發展和連接互聯網的設備數量顯著攀升,數據中心的網絡安全威脅級別也隨之上升,網絡和國家安全行會TechUK的負責人Talal Rajab如此說道。
“數據中心存有至關重要的數據、重要的數字資產和信息,包括用戶數據和知識產權,”他說。
隨著新興的大數據趨勢和物聯網革命,針對數據中心的各種各樣的威脅只會增加,意味著安全將是客戶們越來越優先考慮的問題。
出于這個原因,Rajab表示數據中心運維應給予網絡和物理安全同等級別的關注。他說:“數據中心中的網絡安全機制必須給予與物理安全機制相同的優先級,一個站點的物理訪問應被局限于擁有特定權限的用戶,網絡訪問也應有同樣的限制。”
“一個數據中心有永久的安保人員進行二十四小時的監控,一個真正安全的數據中心必須也部署相似的策略來抵御網絡威脅。”
“有實效性的舉措包括:為特定用戶配置特定的網絡接入權限,持續不斷的網絡監控等,”Rajab補充道。
安全和服務的不間斷性
網絡中心供應商Pulsant的首席技術官(CTO)Matt Lovell表示,容量耗盡攻擊——包括域名系統(DNS)和分布式拒絕服務(DDos)攻擊——對數據中心是非常大的網絡安全威脅,會造成巨大的破壞,使得運營商沒有能力再履行其服務協議中的條款。
“維持服務的不間斷性是對所有用戶最至關重要的,任何可能影響這一條的事都需要仔細慎重的考慮,”他說。
“這不單單是為了保持開機而維護能源和冷卻系統正常,還包括抵御網絡攻擊直接或間接導致的任何破壞。”
“這些網絡攻擊可以為容量耗盡攻擊(如DNS或DDoS攻擊),網絡釣魚,客戶數據竊取或應用程序相關的攻擊”Lovell補充道。
隨著物聯網和云的發展,數據中心安全面臨新的威脅,黑客的攻擊服務行為在其他方面也在增長。
Lovell聲稱:“越來越多的客戶系統正在實現互聯互通,不管是分析、決策引擎、安全支付流程,還是共享市場數據。因此,現在的安全防護聚焦到了核心節點和網絡安全上。”
信任是最重要的
云托管公司Iomart經營8家英國的數據中心,其首席技術官(CTO)Bill Strain表示,他們公司使用威脅檢測技術抵御DDoS攻擊,該技術已經通過了ISO認證,符合支付卡行業數據安全標準(PCI DSS),這向用戶證明了該公司對網絡安全問題的重視程度。
然而,Strain補充道,另一個重要的因素是,運營商不應忽視工作人員在維持網絡防護系統的完整性中承擔的重要角色。
“成功管理你的工作人員,安全管理業務運行所在的物理基礎設施,即是確保一切都在你的掌控之中,因此你的客戶才能信任你。”他說道。
數據中心網絡安全中人的因素,在先前Aegis Data的媒體報道中也被提及,McCulloch談到了一個隨時待命的安全隊伍的存在對有安全憂患意識的客戶是多么的讓人安心。
“閉路電視監控、安全屏障、生物掃描,對一個安全的數據中心而言都顯然是重要的要素,但是沒有任何東西可以替代24*7*365每時每刻都在大樓內的監控保障人員。”
“擁有一個隊伍能夠被信任從事站點安全和其存儲數據保護工作,通常可為客戶和數據中心供應商帶來更高層次的對信息安全的信任。”
京公網安備 11010502049343號