加強(qiáng)數(shù)據(jù)中心安全的5大步驟:
綜合的加強(qiáng)數(shù)據(jù)中心的安全需要一套深度的防御方法,企業(yè)組織可以從五個(gè)關(guān)鍵領(lǐng)域著手實(shí)現(xiàn)。其安全防御解決方案必須:
1、提供對于自定義數(shù)據(jù)中心應(yīng)用程序的可視化和控制。
數(shù)據(jù)中心管理人員們所需要的對于自定義數(shù)據(jù)中心的應(yīng)用程序的可視化和控制,不僅僅只是包括了傳統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用程序(例如,F(xiàn)acebook和Twitter),還涉及到微應(yīng)用(microapplication)的傳統(tǒng)網(wǎng)絡(luò)邊緣安全設(shè)備檢測。大多數(shù)下一代防火墻都是設(shè)計(jì)用于檢查流經(jīng)互聯(lián)網(wǎng)邊緣的流量類型,但并不確保這些自定義的數(shù)據(jù)中心應(yīng)用程序的安全。
2、管理設(shè)備或數(shù)據(jù)中心之間的非對稱的業(yè)務(wù)流量和應(yīng)用程序交易。
安全解決方案必須能夠與數(shù)據(jù)中心的架構(gòu)充分整合,而不是簡單地處在邊緣。邊緣的解決方案不能檢查南北走向的(入站出站)流量和東西走向(跨應(yīng)用程序)的流量,而后者則代表了今天的數(shù)據(jù)中心流量的絕大部分。如果應(yīng)用程序的流量必須被發(fā)送到數(shù)據(jù)中心外圍邊界的下一代防火墻,以便在檢查之后再發(fā)送回計(jì)算機(jī)層,那么,解決方案將逐漸削弱現(xiàn)代數(shù)據(jù)中心所要求的動(dòng)態(tài)流量。
許多下一代防火墻都無法保護(hù)非對稱流量。在非對稱路由中,典型的到達(dá)數(shù)據(jù)中心的一個(gè)數(shù)據(jù)包在返回到其數(shù)據(jù)源時(shí),將選擇不同的路徑。這成為了許多下一代防火墻的一個(gè)問題,因?yàn)樗麄兪菍檠匾粋(gè)單一的、可預(yù)測的路徑而對流量進(jìn)行跟蹤,檢查和管理設(shè)計(jì)的。
數(shù)據(jù)中心的安全性解決方案還必須能夠處理在數(shù)據(jù)中心或設(shè)備之間的應(yīng)用程序交易,包括在虛擬設(shè)備之間。虛擬設(shè)備與物理設(shè)備是一樣脆弱的,但數(shù)據(jù)中心的安全解決方案也必須能夠處理虛擬環(huán)境的獨(dú)特安全挑戰(zhàn),包括創(chuàng)造、拆卸、和遷移恒定的工作負(fù)載。
3、適應(yīng)數(shù)據(jù)中心的不斷發(fā)展的需求。
隨著數(shù)據(jù)中心環(huán)境從物理環(huán)境遷移到虛擬環(huán)境再到下一代的SDN和ACI模式,其安全解決方案也必須能夠動(dòng)態(tài)地?cái)U(kuò)展,并提供持續(xù)一致的安全保護(hù),以便能夠跨不同的演變階段和各種混合的數(shù)據(jù)中心環(huán)境而無縫工作。在這些新的數(shù)據(jù)中心模式下,虛擬和物理設(shè)備正在被快速的配置,安全規(guī)則的失控可能會(huì)迅速擴(kuò)大。訪問控制列表(ACL)管理對于很多IT團(tuán)隊(duì)而言都已經(jīng)是一大挑戰(zhàn)了。
新設(shè)備的配置需要自動(dòng)執(zhí)行,這樣可以使得其部署時(shí)間可以從幾天減少到幾分鐘,同時(shí)還無需擔(dān)心產(chǎn)生不安全的后果。同樣,還需要有能夠跨多處混合的數(shù)據(jù)中心部署一款單一的安全解決方案的能力,許多多虛擬機(jī)管理程序(虛擬機(jī)監(jiān)視器)允許企業(yè)組織數(shù)據(jù)中心的IT團(tuán)隊(duì)能夠?qū)W⒂跀?shù)據(jù)中心的功能,而無需承擔(dān)安全方面的行政開銷。
4、解決整個(gè)連續(xù)攻擊:包括在攻擊發(fā)生之前、期間和之后。
傳統(tǒng)的安全方法僅僅只為數(shù)據(jù)中心的環(huán)境提供了有限的威脅意識和可視化,并主要集中在數(shù)據(jù)中心外圍實(shí)施攻擊阻擋方面。而覆蓋整個(gè)連續(xù)攻擊過程的則需要借助一套安全保護(hù)解決方案跨一個(gè)廣泛的攻擊向量針對無處不在的安全威脅實(shí)施監(jiān)控,包括:在網(wǎng)絡(luò)上,在端點(diǎn)上,在移動(dòng)設(shè)備上,以及在虛擬環(huán)境中。一套全面的,以積極應(yīng)對安全威脅為中心的方法,確保數(shù)據(jù)中心的安全,包括在安全攻擊發(fā)生之前,期間和之后的防御保護(hù)都是必要的,進(jìn)而才能保護(hù)現(xiàn)代數(shù)據(jù)中心及其專門的流量。
傳統(tǒng)的下一代防火墻針對識別和減輕那些設(shè)計(jì)用于繞過防御措施的隱蔽攻擊幾乎沒有提供任何解決方案,其在這些隱蔽攻擊停止后也不能提供補(bǔ)救和分析,無法跟蹤和確保數(shù)據(jù)中心非對稱流量的安全。他們幾乎完全是防御性的工具,但卻不能抵御新興的,針對有漏洞的服務(wù)器,獨(dú)特的應(yīng)用程序和有價(jià)值的數(shù)據(jù)所進(jìn)行的未知的安全威脅。
5、保護(hù)整個(gè)網(wǎng)絡(luò)。
任何數(shù)據(jù)中心安全解決方案都必須認(rèn)識到遠(yuǎn)程用戶有直接連接到某個(gè)關(guān)鍵的數(shù)據(jù)中心資源的需要。故而該安全解決方案需要在遠(yuǎn)程用戶和數(shù)據(jù)中心資源之間提供透明度,但其仍然是一個(gè)復(fù)雜的網(wǎng)絡(luò)環(huán)境的一部分,只是通過分支辦事處,跨核心擴(kuò)展進(jìn)入到了數(shù)據(jù)中心,并向外延伸到了云計(jì)算。安全解決方案必須是數(shù)據(jù)中心架構(gòu)的一部分,以及一套更廣泛的、可以同時(shí)看到基于網(wǎng)絡(luò)的安全威脅和以數(shù)據(jù)中心為攻擊目標(biāo)、還能夠跨整個(gè)數(shù)據(jù)路徑提供無縫的保護(hù)的解決方案一部分。
數(shù)據(jù)中心的安全是不同的。為了切實(shí)保護(hù)現(xiàn)代數(shù)據(jù)中心,新的數(shù)據(jù)中心模型正在出現(xiàn),企業(yè)組織不能僅僅單只靠一個(gè)下一代的防火墻。他們需要一套全面的、綜合性的安全戰(zhàn)略和架構(gòu),以便可以提供跨整個(gè)分布式網(wǎng)絡(luò)、一致的、智能型的安全保護(hù),從邊緣到數(shù)據(jù)中心再到云環(huán)境,而且不會(huì)破壞數(shù)據(jù)中心的性能。
..
|