數據中心內部網絡主要指的是數據網,也就是采用以太網技術的局域網絡。以太網協議標準將網絡層級劃分為七層,針對每一層都有一些安全防御技術。一般防御網絡的層級別越高,能防御的攻擊類型就越多,網絡的安全性也就越強。當然,投入的安全成本也會越高。很多時候要客觀、慎重地部署安全設施,過于繁瑣的安全防護不僅消耗資金量大,反而會加重數據中心網絡的負擔,未必是好的安全防御方案,要因地制宜、綜合權衡利弊來選擇最適合自己數據中心的安全防御方案。傳統數據中心的安全手段往往存在不少的問題,比如過于強調網關設備的安全,將安全和網絡分離,單純通過網關的保護來保護網絡;網絡里部署的多臺安全設備,都是單點作戰,沒有形成聯動,整體安全防御能力較差;主要對三層網絡層協議進行控制,對應用四到七層缺乏控制機制,這些都是急需要提升的地方。哪里有不令人滿意的地方,哪里就會有技術革新,有市場機會。所以,從這些地方也延伸出了未來網絡安全技術發展的五大趨勢:
趨勢一:全網絡層級安全防御
以太網協議有七層,當一份數據在網絡中傳輸時,任何一層網絡協議出現安全漏洞,都會導致數據被泄露或破壞,所以要對所有網絡層級進行綜合安全防御。比如在二層部署一些802.1X、Portal、Port等認證,增加訪問的安全性;在三層增加路由策略和ACL訪問控制列表,基于IP Sec技術對數據進行隔離和加密;在四層進行網絡流量與異常分析,對異常流量進行丟棄,基于狀態的訪問控制和隔離,基于Syn Proxy、Cookie的DDoS防護;在五到七層,進行防病毒攻擊、DDoS防護、行為與內容審計等,基于關聯分析的流量識別和行為識別的技術,基于專家系統和統計技術的威脅識別技術。如此一來,對所有的網絡協議層均有防御,不放過任何一個網絡協議的漏洞。
趨勢二:主動防御
以往出現網絡攻擊時,都是排查攻擊源在哪里,然后根據攻擊源的特征進行消除。主動防御是將可能出現的攻擊源進行猜想,然后模擬攻擊源進行攻擊,看網絡能否經受住攻擊,發現有漏洞的地方,趕緊調整。模擬過后,將這些可能出現的攻擊樣本放到云安全平臺上,由云安全平臺進行實時監控,當再出現網絡攻擊時,安全設備立即上報到云安全平臺中心,云安全平臺根據攻擊特征,將預先設計好的應對策略執行。在向數據中心管理人員發出告警的同時,下發安全防御策略,根據攻擊源的位置,精準打擊,對攻擊源所連接的端口關閉或者下線,通過一系列的安全防御措施,確保網絡轉發流量不受影響。
趨勢三:精細化應用
傳統的數據中心網絡安全防御采用粗放型管理,宏觀上看各種安全技術都有部署,微觀細節上卻漏洞百出。比如:交通系統,傳統的網絡安全有如交通系統里只關注道路,以修路為目的,不關心道路上的交通行為,這樣交通擁堵情況并無好轉。新的網絡安全就像交通系統關注用戶,策、管、監、控、營綜合運用,靈活變化,這樣才能大大緩解交通擁堵的現狀,采用這樣的安全技術必將大幅提升數據中心的安全防御水平。
趨勢四:安全設備虛擬化
虛擬化是數據中心里最為火熱的技術,在安全領域也一樣受到了極大歡迎。通過虛擬化技術可以將數據中心里的防火墻、IPS、ACG、AFC、AV等安全設備虛擬化成一臺設備,然后再進行統一管理,簡化運維管理。同時,這些虛擬化的安全資源可以分給數據中心的各個局部網絡,安全資源按需分配,確保覆蓋到整個網絡,同時又不會造成資源的浪費。虛擬化技術已經成為安全設備的一項必備技術。
趨勢五:集中式安全管理
建立安全管理平臺,從網絡、安全、業務等方面通盤考慮,將所有的安全防御設備和軟件控制權交給安全管理平臺。安全管理平臺包括有安全域、邊界防護,內網控制終端安全、用戶行為監督,遠程安全接入控制等等,安全平臺幾乎涵蓋了數據中心網絡的任意一個角落。當發現安全隱患或漏洞時,安全平臺可以調用應急響應平臺,執行策略部署中心的指令,自動消除安全隱患。
數據中心網絡安全技術正在不斷地發展,本文介紹了其未來發展的五大趨勢,每一個趨勢都直擊現有數據中心里的安全痛點。實際上,這些技術有些已經實現,并已部署到一些先進的數據中心之中,只是暫時沒有得到普及。相信在未來的網絡安全技術發展過程中,這些技術必將不斷生根發芽,來保護數據中心的網絡安全,徹底打消人們的后顧之憂,安心地將自己私密的數據放到數據中心里來,享受數據中心應用帶來工作和生活上的便捷,改變人們的生活方式。
京公網安備 11010502049343號