數(shù)據(jù)中心安全的原始模型是基于安全威脅是來自外部的假設(shè)���。故而保護(hù)數(shù)據(jù)中心的這些基礎(chǔ)設(shè)施的安全架構(gòu)都主要是專注于在數(shù)據(jù)中心和外部世界之間建立一個(gè)網(wǎng)絡(luò)外圍邊界�。而這一外圍邊界的基礎(chǔ)便是一道防火墻��,其將負(fù)責(zé)檢查所有的南北走向的流量����,這些流量主要是在數(shù)據(jù)中心和互聯(lián)網(wǎng)之間傳輸。防火墻負(fù)責(zé)在這些數(shù)據(jù)流量中尋找違反安全管理策略和所存在的其他可疑活動(dòng)的跡象��。然后����,其便采取相應(yīng)的措施,如阻止流量傳輸��、標(biāo)記額外的附加信息�����,并通知操作管理員��。
盡管數(shù)據(jù)中心仍然需要排查南北走向的流量��,以及時(shí)發(fā)現(xiàn)外部安全威脅�����,但現(xiàn)在的安全威脅監(jiān)測(cè)工作已變得越來越復(fù)雜了����。例如,客戶端設(shè)備對(duì)于托管在數(shù)據(jù)中心服務(wù)器的數(shù)據(jù)的訪問便構(gòu)成了相當(dāng)大的威脅��。在過去�,客戶端設(shè)備都是同質(zhì)的、集中管理的臺(tái)式電腦���,均處于一家企業(yè)組織內(nèi)部���,并受到企業(yè)安全控制的保護(hù)。故而彼時(shí)由客戶端設(shè)備所造成的惡意軟件和其他漏洞能夠快速被檢測(cè)和糾正�����。
但現(xiàn)如今的大多數(shù)企業(yè)環(huán)境早已不再是如此了��。企業(yè)用戶所采用的客戶端設(shè)備不僅在其操作系統(tǒng)和應(yīng)用程序方面千差萬(wàn)別��,而且這些設(shè)備所存在的安全漏洞���、他們使用的安全控制�����、以及他們連接到企業(yè)IT資源時(shí)所處的地理位置也是廣泛變化的���。許多客戶端設(shè)備是企業(yè)用戶的私人的硬件設(shè)備���,并經(jīng)常沒有使用任何安全控制。它的這使得現(xiàn)在的企業(yè)IT管理人員們發(fā)現(xiàn)����,他們不能再假設(shè)從企業(yè)內(nèi)部進(jìn)行訪問的客戶端設(shè)備是絕對(duì)處于安全控制之下的了,一旦發(fā)現(xiàn)有用戶使用這些客戶端設(shè)備�,也將需要迅速實(shí)施檢測(cè),并根除相應(yīng)的安全威脅���。在這個(gè)新的環(huán)境中�,每款客戶端設(shè)備都潛在的構(gòu)成了一個(gè)單獨(dú)的安全威脅�。
數(shù)據(jù)中心安全威脅的另一大變化是在數(shù)據(jù)中心內(nèi)部的服務(wù)器之間的相互作用。非故意的安全威脅一直是一個(gè)普遍關(guān)注的問題�����。例如,某臺(tái)服務(wù)器感染了惡意軟件�����,會(huì)通過數(shù)據(jù)的傳輸而感染到數(shù)據(jù)中心內(nèi)部的其他服務(wù)器����。但是到了今天�����,故意的安全威脅也可能是一大問題�����。在一處擁有多家客戶的數(shù)據(jù)中心�����,如一個(gè)公共云環(huán)境���,一家客戶可能試圖侵入另一臺(tái)服務(wù)器����,以便竊取專有信息或篡改記錄。
在數(shù)據(jù)中心服務(wù)器之間傳輸?shù)木W(wǎng)絡(luò)流量稱為東西走向的流量���。對(duì)于此類流量實(shí)施監(jiān)控對(duì)于查找和阻止安全威脅是至關(guān)重要的���。許多數(shù)據(jù)中心的東西走向的流量要比南北走向的流量(客戶端到服務(wù)器的流量)更多得多。因此���,忽略對(duì)東西流量實(shí)施監(jiān)控或?qū)⒁馕吨鴶?shù)據(jù)中心內(nèi)部虛擬或物理服務(wù)器之間所存在的安全攻擊可能不被注意���。此外,隨著數(shù)據(jù)中心越來越多的托管高價(jià)值的應(yīng)用程序�,以及以前原本存儲(chǔ)在企業(yè)內(nèi)部網(wǎng)絡(luò)上更為孤立的敏感數(shù)據(jù)信息,因此使得這類流量更需要受到更好的保護(hù)��。此外���,現(xiàn)代數(shù)據(jù)中心必須為應(yīng)用程序和數(shù)據(jù)提供日志和審計(jì)服務(wù)��,以支持其操作���,例如必須符合安全合規(guī)性計(jì)劃或?qū)徲?jì)要求。
數(shù)據(jù)中心運(yùn)營(yíng)商們還必須了解來自前幾代先進(jìn)性網(wǎng)絡(luò)安全的威脅。當(dāng)前網(wǎng)絡(luò)安全威脅的典型模式是通過一家企業(yè)組織的服務(wù)器緩慢地���、隱蔽地走向最終的目標(biāo)服務(wù)器�,而避免被檢測(cè)到����。今天的大多數(shù)網(wǎng)絡(luò)安全威脅均尋求訪問和復(fù)制敏感的數(shù)據(jù)信息,然后將其轉(zhuǎn)移到一個(gè)外部位置�����,進(jìn)而獲取經(jīng)濟(jì)利益�。
網(wǎng)絡(luò)攻擊者通常通過獲得一名普通職員的訪問授權(quán)憑證來開始其攻擊�����。而實(shí)現(xiàn)這一點(diǎn)的常見方式是用惡意軟件感染客戶端設(shè)備以獲取憑證���,或者使用網(wǎng)絡(luò)釣魚或其他社交工程技術(shù)欺騙用戶向攻擊者提供憑證��。然后攻擊者可以使用這些憑證來訪問數(shù)據(jù)中心內(nèi)的特定服務(wù)器�����,以及可能支持相同憑證的其他服務(wù)器�����。攻擊者可能需要使用其他安全漏洞以提升其權(quán)限����,獲得更多用戶帳戶的訪問權(quán)或以其他方式繼續(xù)朝向目標(biāo)服務(wù)器進(jìn)展。一旦攻擊者獲得對(duì)目標(biāo)服務(wù)器的訪問���,最終將利用漏洞將企業(yè)組織的敏感數(shù)據(jù)傳輸?shù)焦粽咴跀?shù)據(jù)中心外部所選擇的系統(tǒng)����。
..
|
