現如今的數據中心管理人員們正面臨著一個重大的挑戰:他們需要在不影響新的數據中心環境所帶來的性能和功能的前提下,確保數據中心的安全運營。許多企業組織都在使用為互聯網邊緣設計的解決方案來加強數據中心的安全,但這些解決方案是不夠的。本文中,我們將為廣大讀者朋友們介紹關于您企業組織可以借鑒,用以確保您的數據中心在今天安全運營所需要采取的5大步驟。
鑒于每家企業組織的數據中心都圍繞著其獨特的業務需求有著特殊具體的配置、性能、虛擬化、應用程序和流量要求,而網絡邊緣的安全設備根本不是旨在解決上述這些具體特殊要求的。
確保一家數據中心的安全運營所需要的一套解決方案必須具備如下條件:
● 提供對于自定義的數據中心應用程序的可視化和控制
● 處理設備和數據中心之間的非對稱流量和應用程序交易
● 適應數據中心的不斷發展的需求,如:虛擬化、軟件定義的網絡(SDN)、網絡功能虛擬化(NFV)、思科的以應用程序為中心的基礎設施(ACIS)等等
● 解決整個連續攻擊:包括在攻擊發生之前、期間和之后
● 跨整個網絡整合安全部署
支持地理上的分散DC流量和部署,包括私有、公共和云環境
安全威脅攻擊的首要目標:數據中心
許多現代的網絡犯罪活動是專門旨在以數據中心為攻擊目標而設計的,因為這些數據中心都托管和處理著海量高價值的數據信息,包括個人客戶數據資料、財務信息和企業知識產權等(1)。故而確保數據中心的安全運營是一項挑戰。非對稱的業務流量、定制化的應用程序、需要被路由到計算層之外并達到數據中心周邊以便進行檢查的高流量數據、跨多個hypervisor的虛擬化、以及地理上分散的數據中心,所有這一切,都使得利用那些不是設計用于該目的,但卻又被用來確保數據中心安全運營的解決方案實施起來異常困難。其結果是:在安全方案覆蓋范圍方面存在空白、對數據中心性能造成嚴重的影響、乃至犧牲數據中心的功能以適應安全的限制、并通過提供復雜的安全解決方案,削弱并破壞了數據中心根據實際業務需求而動態地配置資源的能力。
而與此同時,數據中心又是在不斷發展演變的,其正在從物理環境遷移到虛擬環境,再到下一代的諸如SDN和ACI的環境中。數據中心的流量已經呈現出了幾何級的成倍增長,而這在很大程度上是由云服務利用率的增加和物聯網(IoT)環境的興起所推動的,其中互聯網和網絡已經擴展到了諸如制造車間、能源網格、醫療設施和運輸等領域。
而根據思科的預測,到2017年,全球76%的數據中心流量將保留在數據中心內,并將很大程度上是在虛擬環境中由存儲、生產和開發數據所生成的(2)。而早在2015年3月底,市場調研機構Gartner公司就曾經預測,數據中心連接每秒增加3000%。
現代數據中心已經為企業提供了大量的應用程序、服務和解決方案。許多企業組織都需要依賴于分散在各個不同地理位置的數據中心所部署的服務,以支持他們不斷增長的云計算和流量需求。他們還需要解決戰略方面的舉措,如大數據分析和業務連續性管理,使數據中心成為其企業骨干的一個更為關鍵的部分。但這也進一步使得數據中心的資源成為了惡意攻擊者們設計越來越復雜的安全威脅以逃避檢測,進而對數據中心進行攻擊的主要目標。所有這一切,都意味著數據中心的安全團隊實施數據中心的監控和保護將變得更加困難。
數據中心管理人員及他們的團隊所面臨的另一個復雜的問題是:配置和性能嚴重影響和限制了安全解決方案如何充分發揮作用,如下一代防火墻的部署,及其所能夠檢查的流量。安全解決方案不能破壞數據中心的性能。在今天的數據中心,安全配置必須在幾小時或幾分鐘內完成,而不是花費幾天或幾周的時間。而性能則必須是動態擴展的,以處理大量突發的高流量。
加強數據中心安全的5大步驟:
綜合的加強數據中心的安全需要一套深度的防御方法,企業組織可以從五個關鍵領域著手實現。其安全防御解決方案必須:
1、提供對于自定義數據中心應用程序的可視化和控制。數據中心管理人員們所需要的對于自定義數據中心的應用程序的可視化和控制,不僅僅只是包括了傳統的基于網絡的應用程序(例如,Facebook和Twitter),還涉及到微應用(microapplication)的傳統網絡邊緣安全設備檢測。大多數下一代防火墻都是設計用于檢查流經互聯網邊緣的流量類型,但并不確保這些自定義的數據中心應用程序的安全。
2、管理設備或數據中心之間的非對稱的業務流量和應用程序交易。安全解決方案必須能夠與數據中心的架構充分整合,而不是簡單地處在邊緣。邊緣的解決方案不能檢查南北走向的(入站出站)流量和東西走向(跨應用程序)的流量,而后者則代表了今天的數據中心流量的絕大部分。如果應用程序的流量必須被發送到數據中心外圍邊界的下一代防火墻,以便在檢查之后再發送回計算機層,那么,解決方案將逐漸削弱現代數據中心所要求的動態流量。
許多下一代防火墻都無法保護非對稱流量。在非對稱路由中,典型的到達數據中心的一個數據包在返回到其數據源時,將選擇不同的路徑。這成為了許多下一代防火墻的一個問題,因為他們是專為沿一個單一的、可預測的路徑而對流量進行跟蹤,檢查和管理設計的。
數據中心的安全性解決方案還必須能夠處理在數據中心或設備之間的應用程序交易,包括在虛擬設備之間。虛擬設備與物理設備是一樣脆弱的,但數據中心的安全解決方案也必須能夠處理虛擬環境的獨特安全挑戰,包括創造、拆卸、和遷移恒定的工作負載。
3、適應數據中心的不斷發展的需求。隨著數據中心環境從物理環境遷移到虛擬環境再到下一代的SDN和ACI模式,其安全解決方案也必須能夠動態地擴展,并提供持續一致的安全保護,以便能夠跨不同的演變階段和各種混合的數據中心環境而無縫工作。在這些新的數據中心模式下,虛擬和物理設備正在被快速的配置,安全規則的失控可能會迅速擴大。訪問控制列表(ACL)管理對于很多IT團隊而言都已經是一大挑戰了。
新設備的配置需要自動執行,這樣可以使得其部署時間可以從幾天減少到幾分鐘,同時還無需擔心產生不安全的后果。同樣,還需要有能夠跨多處混合的數據中心部署一款單一的安全解決方案的能力,許多多虛擬機管理程序(虛擬機監視器)允許企業組織數據中心的IT團隊能夠專注于數據中心的功能,而無需承擔安全方面的行政開銷。
4、解決整個連續攻擊:包括在攻擊發生之前、期間和之后。傳統的安全方法僅僅只為數據中心的環境提供了有限的威脅意識和可視化,并主要集中在數據中心外圍實施攻擊阻擋方面。而覆蓋整個連續攻擊過程的則需要借助一套安全保護解決方案跨一個廣泛的攻擊向量針對無處不在的安全威脅實施監控,包括:在網絡上,在端點上,在移動設備上,以及在虛擬環境中。一套全面的,以積極應對安全威脅為中心的方法,確保數據中心的安全,包括在安全攻擊發生之前,期間和之后的防御保護都是必要的,進而才能保護現代數據中心及其專門的流量。
傳統的下一代防火墻針對識別和減輕那些設計用于繞過防御措施的隱蔽攻擊幾乎沒有提供任何解決方案,其在這些隱蔽攻擊停止后也不能提供補救和分析,無法跟蹤和確保數據中心非對稱流量的安全。他們幾乎完全是防御性的工具,但卻不能抵御新興的,針對有漏洞的服務器,獨特的應用程序和有價值的數據所進行的未知的安全威脅。
5、保護整個網絡。任何數據中心安全解決方案都必須認識到遠程用戶有直接連接到某個關鍵的數據中心資源的需要。故而該安全解決方案需要在遠程用戶和數據中心資源之間提供透明度,但其仍然是一個復雜的網絡環境的一部分,只是通過分支辦事處,跨核心擴展進入到了數據中心,并向外延伸到了云計算。安全解決方案必須是數據中心架構的一部分,以及一套更廣泛的、可以同時看到基于網絡的安全威脅和以數據中心為攻擊目標、還能夠跨整個數據路徑提供無縫的保護的解決方案一部分。
數據中心的安全是不同的。為了切實保護現代數據中心,新的數據中心模型正在出現,企業組織不能僅僅單只靠一個下一代的防火墻。他們需要一套全面的、綜合性的安全戰略和架構,以便可以提供跨整個分布式網絡、一致的、智能型的安全保護,從邊緣到數據中心再到云環境,而且不會破壞數據中心的性能。
保護現代數據中心
思科提供了強大的工具來捍衛當今不斷發展的數據中心環境,而不僅僅是在數據中心邊緣的保護。創新的思科自適應安全設備( Adaptive Security Appliances ,ASA)解決方案,是專門為確保數據中心的物理和虛擬環境的安全性而設計的,并允許企業組織能夠無縫的從傳統數據中心遷移到下一代數據中心,進而實現面向未來的部署,投資保護和綜合保護。思科ASA平臺的新增包括:
· 思科自適應安全虛擬設備( Adaptive Security Virtual Appliance,ASAv):思科ASAv是一款完整的思科ASA防火墻功能設置的虛擬版,結合了動態的可擴展性和虛擬環境的簡化配置。其被設計為運行在各種虛擬機管理程序上,獨立于VMware vSwitch技術,使其成為與思科、混合、和非思科環境無關的數據中心解決方案。在思科ASAv靈活的架構意味著其既可以作為一個傳統的安全網關部署,又可以作為一款針對智能SDN和ACI環境的,可以動態地直接縫合到應用程序服務鏈的安全資源。
· 具備FirePOWER服務的思科ASA 5585-X產品:這是一款專用于數據中心的安全設備,完全支持傳統、SDN和ACI的數據中心環境,該款思科ASA 5585-X自適應安全設備具備FirePOWER服務功能,能夠提供先進的防火墻和下一代的IP安全功能,包括探測功能和檢查自定義的數據中心應用程序,以及一些增強的性能和配置能力。其為多達16個節點提供了先進的集群功能,640 Gbps的數據中心級性能可以部署在多處數據中心。集群解決方案可以作為一款單一的設備管理,以顯著降低管理開銷。與ASAv一樣,這款5585-X產品也被設計可在傳統的和下一代數據中心環境如SDN、NFV、和ACI下工作,提供跨混合環境的一致的安全性和對于正在遷移的數據中心的無縫保護。
· 思科FirePOWER下一代IPS:FirePOWER是市場領先的NGIPS,可作為一款物理或虛擬解決方案,識別和評估連接到數據中心的資源,并監控可疑的網絡活動。對于文檔活動的監測和控制是近乎實時的,而對于某些特定文件(特別是可能被惡意軟件攻擊的未知的文件)則將通過沙盒接受進一步的分析(文件隔離和行為分析),或在云中查看(在大社區進行智能檢查)。這樣的方法可以進行細粒度的分析和應對關鍵數據中心流量的響應。
思科所提供的有助于提供全面的數據中心的安全保護的其他的解決方案包括:
· 思科身份服務引擎(Identity Services Engine,ISE)和TrustSec:IT團隊可以隨著新設備或用戶通過UCS director添加到數據中心環境,而動態地創建、分享、和執行安全策略。ISE可以將包含安全政策和實施規則的安全組標簽直接附加進入個人數據包。此外,該安全標簽使得數據中心可以基于用戶和設備的角色作用對其進行細分,而沒有與VLAN和ACL相關的難題開銷。
· 思科Snort OpenAppID技術:IT團隊可以創造、分享、部署應用程序檢測,并借助思科Snort OpenAppID技術數據中心自定義的應用程序開發自定義的規則。這是一款SnortTM的開源、面向應用程序的語言檢測和進程模塊,其入侵防御系統(IPS)和入侵檢測系統(IDS)由Sourcefire公司開發,該公司現在已被思科收購。思科OpenAppID與Snort框架完全集成,為管理員們提供了對于在他們的網絡中的應用程序的更深刻的認識。Snort的用戶可以利用思科OpenAppID探測器探測和識別應用程序及應用程序的有關使用情況。思科OpenAppID提供應用層與安全相關的事件,并有助于提高分析和修復速度。使得Snort阻止或檢測某些應用程序發出警報,有助于通過管理總的威脅面,以降低風險。
· 思科FireAMPTM和FireSIGHTTM解決方案:先進的惡意軟件分析和保護都需要借助一套全面的,以安全威脅為中心的方法,以便在網絡攻擊發生之前、期間和之后確保現代數據中心的安全。思科FireAMP產品,來自Sourcefire公司,利用大數據來檢測、了解、并阻止高級惡意軟件爆發。其是為其他安全層所錯過的威脅提供阻止所需的可視性和控制的唯一解決方案。并通過將思科FireAMP產品與思科ASA相結合,用戶可以對非對稱的數據中心流量的深度檢測和保護。
· 思科的FireSIGHT,也來自于Sourcefire公司,提供了響應不斷變化的情況和新的攻擊所需的網絡可視性,環境和自動化。管理員們可以使用Cisco FireSIGHT管理中心集中管理數百款設備。
京公網安備 11010502049343號