安全性對于數據中心的重要性不言而喻,尤其是人們對信息安全愈加重視的今天,安全事件無小事,一旦數據中心出現了嚴重的安全問題,對于數據中心造成的損失是無法估量的。數據中心的安全是圍繞數據為核心,從數據的訪問、使用、破壞、修改、丟失、泄漏等多方面維度展開,因此也衍生出很多技術方法。從軟件到硬件,從網絡邊緣到核心,從數據中心入口到出口,只要有數據的地方都可以部署安全設備。不少的數據中心安全設備部署了很多,但是依然會不斷受到攻擊,原因為何?其實數據中心安全是一個系統工程,不是部署幾臺防火墻就可以應付了,需要進行詳細的安全方案設計,讓安全的方案滲透到數據中心的每個環節,才能確保數據中心的數據安全。那么應該如何進行數據中心安全設計,本文將揭曉詳細答案。
數據中心安全需要從全局和架構的高度進行統一設計,目前國際上最新的,也是獲得普遍認可的是由美國國家安全局制定的“信息保障技術框架IATF”,IATF是由美國國家安全局組織專家編寫的一個全面描述信息安全保障體系的框架,提出了信息保障時代信息基礎設施的全套安全需求,它提出了一個通用的框架,為信息數據設計了四道安全防火墻:網絡和基礎設施,對網絡和基礎設計進行防護;飛地邊界,解決邊界保護問題;局域計算環境,實現主機的計算環境保護;支撐性基礎設施,安全的信息環境所需要的支撐平臺。IATF對于數據中心當然同樣適用,不過四道防火墻這樣描述看起來非常抽象,不好理解,也不知道該具體如何入手,下面將進行詳細講解。
首先來說說對網絡和基礎設施的防護,這個指的是數據中心的網絡部分。數據中心里有大量的網絡設備,這些網絡設備實現了所有設備的互聯互通,在數據中心里起非常大的作用,所有的數據都需要經過這些設備進行傳輸,一旦有設備發生了數據泄露,后果很壞,所以要從數據中心網絡入手,加強對網絡中的交換機、路由器、無線WiFi等網絡設備的防護。具體的要及時升級這些設備的軟件版本,要和設備商確認設備軟件系統是否存在安全漏洞,尤其是有些設備默認留一些后門,隱藏執行命令,還有一些服務端口被默認打開,這些往往是最容易被入侵的地方,所以一定要了解清楚設備是否存在這些漏洞,如果存在及時進行軟件更新;周期性地更換這些設備的訪問密碼,避免被盜;定期對設備進行巡檢,發現隱患及時消除,尤其是各種網絡協議攻擊,可能會造成網絡癱瘓,從而入侵應用系統,竊取數據。
其次是邊界保護,這是指在數據中心的出入口。數據中心的數據有輸入和輸出兩大出口,一定要做好數據過濾與檢查。具體的技術實現有很多,比如防火墻、VPN、邊界共享交換、遠程訪問、多域方案、移動代碼、安全隔離等等,這些安全技術主要是通過硬件設備實現,實現數據流量的粗過濾,主要設備包括有防火墻、負載均衡設備、入侵檢測設備、NAT設備、統一網關等設備,這些設備都需要部署在數據中心的數據出入口,做好數據出入檢查。當然有這個還遠遠不夠。我們在生活中也看到,很多小區出入的地方都有保安,可還是不斷發生各種入室盜竊甚至更為嚴重的刑事案件,所以數據中心也不能完全靠邊界保護,還需要從內容上進行保護,就是主機的保護。
第三是主機保護,這是指從數據中心服務器入手。數據中心里所有的應用業務都是部署在服務器上的,數據中心里的服務器設備數量最多,也是存在系統漏洞最多的地方,很多攻擊都是針對服務器發起的,一旦越過了邊界和網絡保護,那服務器就危險了,所以這時服務器一定不能裸奔,不然一定會走光的。服務器上能做的保護主要側重于軟件,比如操作系統的防護,做生物認證,安全Web,令牌,病毒軟件等等,這些技術都是對服務器里的數據進行保護的,廣為人知的有360、趨勢科技、瑞星、諾頓等軟件,這些軟件會不斷更新病毒庫,針對新的病毒類型進行防護,服務器上安裝了這些防護軟件,就可以實時更新軟件包,及時對系統進行保護,防止被攻破系統。絕大多數的攻擊都是針對系統漏洞實施的,對系統漏洞進行及時修復,并不斷更新安全軟件,就可以有效避免受攻擊。
最后是支撐平臺,這是指要建立完善的準入系統,對各種數據中心訪問進行控制和檢查。比如:PKI認證、證書管理、密碼管理等。比如我們在訪問銀行網站的時候,進行網絡交易時,都需要下載證書,這個就是對網絡訪問進行加密,確保訪問是安全的,只有網絡兩邊的證書對上才能進行訪問,證書管理都用在銀行的數據中心系統中。通過這些支撐平臺,對訪問進行控制,訪問攻擊進入,破化系統或者獲取機密數據。如今的各種準入認證技術已經較為成熟,安全漏洞偶有爆出,但一般影響范圍不大,而且這些認證技術也在不斷地完善,在數據中心里應該大力推廣使用,消除應用系統受攻擊的風險。
四道安全防火墻涵蓋了數據中心安全的方方面面,形成一個全面的、有針對性的安全防護系統。正如IATF技術解釋說明的那樣,它從人、技術和操作三個方面共同實現了信息安全的防護。通過部署這四道防火墻,將大大增加數據中心的安全防護能力,目前是數據中心安全領域最為普遍的做法,將極大地增強數據中心的數據安全性。
京公網安備 11010502049343號