隨著越來越多的公司將他們的數字資產和軟件平臺遷移在云計算和數據中心中,云計算和數據中心就成為那些居心叵測的人越來越感興趣的目標。然而利益對于壞人來說,沒有什么不一樣的。與攫取互聯網上的點點滴滴利益相比,數字盜賊更喜歡一站式服務。
還有一些其他的東西,讓壞人更加感興趣。數據中心流量正在增加東西流向(也就是數據從一個服務器傳輸到另一個服務器)。思科公司產品管理安全主任穆納瓦爾·侯賽因寫道:“思科全球云指數告訴我們,與數據中心園區網絡不同,數據中心流量主要是東西方向(76%),其次是南北流量(17%),而7%是數據中心之間的流量。”
打開大門?
數據中心內部服務器之間的開放通道,直到現在一直是孤立的,這對于攻擊者來說是一個千載難逢的機會。“現代攻擊通常采用用戶授權方法突破外圍的防 御,而對于數據中心邊界內的工作負載橫向遷移,卻很少或根本沒有管制,以阻止它們的傳播。”根據VMware數據中心微分割白皮書的描述,“許多近期公共違反例證了這一點,通過網絡釣魚等方式。導致惡意軟件入侵,找到漏洞實施攻擊、指揮和控制,并使數據中心流量的橫向移動不受約束,直到攻擊者找到他們要找 的數據。”
不用說,數據中心運營商正在尋找新的方式來加強安全性。侯賽因表示,這樣的方法是“hair-pinning”,其中由數據中心外圍安全設備路由出的內部流量進行檢驗,然后轉發到數據中心內的原始目的地。
這聽起來復雜且充滿問題,網絡專家同意這個觀點,VMware和其他公司提出一個更好的解決方案是微分割。簡而言之,微分割將數據中心的網絡劃分成 較小的保護區。“而不是一個單一的整個網絡,通過強化外圍,加強流量的防御,微數據中心可以在應用層之間和設備之間提供安全服務。”思科的報告認為,數據 中心的微型分割可以增強數據中心流量的安全性。其理論是,即使一臺機器被攻破,其危害將會限制在一個較小的故障域。
微分割將數據中心的網絡劃分為較小的保護區
除了隔離和違反遏制以外,也有其他的好處。行業專家論證了一些微分割的實踐優勢:
·管理白名單:
拒絕所有通信,除非明確允許不是新的流量。微分割的方法是通過整合應用程序和網絡服務進行管理。
·應用感知的安全性:
在微分割,安全策略組不是基于IP地址或域名子網的。“策略是在虛擬機或容器托管應用層執行,”專家表示,“工作負載和數據訪問將以應用程序為中心的安全模型來保護。”
·集中配置:
微分割如果處理得當,可以鞏固安全組成員管理。集中配置的安全策略,如防火墻規則,使他們能夠從主機到主機遵循虛擬機,而新的實例自動繼承適當的安 全組成員和安全策略。“如果一個特定的虛擬機被刪除,與虛擬機以及相關的防火墻規則也被刪除。”專家表示,“這反過來,可以確保防火墻規則庫的不斷更新, 并刪除了閑置無用的規則。”這使得數據中心運營商通過消除漏洞和制定預防措施實施安全防范。
·訪問控制:
顧名思義,微分割可以分隔應用程序。隔離單獨的應用程序,或對數據倉庫啟用嚴格的訪問控制,這將降低內部攻擊概率。
·攻擊恢復:
微分割與DCIM平臺聯合使用,如果發生數據泄露會減少消極影響。“微分割使數據中心是更為靈活,具有幾乎立即查明問題的能力,并在問題包含在狹窄的故障域之內。”專家表示,“與此同時,多重的安全保障,可以減緩攻擊的蔓延,使運營商能夠鎖定黑客,并保護卓越的數據。”
企業對于如何實現微分割有不同的理念。然而,VMware公司產品管理總監杰夫表示任何一種微分割必須具備以下屬性:
·持久性:
盡管環境在不斷變化,安全必須是一致的。這對于進入軟件定義網絡特別重要。“微分割為管理員提供了更多有用的方法來描述的工作量,”杰夫對于真正的微分割的三種需求指出,“管理員可以描述工作量的固有特性,并將此信息回饋給安全策略。”
·無處不在:
通常,由于成本的考慮,安全發放根據靜態優先級列表進行的。杰夫指出,這是攻擊者喜歡看的東西。幸運的是,微分割可以嵌入到安全的數據中心基礎設施,這意味著安全功能可以應用于所有的工作負載,從而無需設置優先級。
·可擴展性:
黑客善于改變他們的攻擊計劃,如有需要,也就是說,為了工作,安全必須是靈活的,如果不是更多的話。“舉個例子,檢測惡意軟件,防病毒系統,防病毒 系統配合網絡鏡像流量到IPS,依次掃描異常流量。”杰夫解釋說。“微分割的可擴展性有這種動態能力。沒有它,安全管理員必須預先配置一個不同的靜態鏈的 服務,每一個對應于一個不同的可能的安全方案。”
由于軟件定義的技術允許最終的網絡靈活性,微分段的概念是唯一可能的。這二者相結合,為數據中心的東西流量提供集中控制,使用多層次的隔離,提高安全性,并且從長遠來看,更加節省成本。這樣很多人會問:“為什么不采用呢?”
京公網安備 11010502049343號