加強數據中心安全的5大步驟:
綜合的加強數據中心的安全需要一套深度的防御方法��,企業(yè)組織可以從五個關鍵領域著手實現(xiàn)��。其安全防御解決方案必須:
1����、提供對于自定義數據中心應用程序的可視化和控制。
數據中心管理人員們所需要的對于自定義數據中心的應用程序的可視化和控制����,不僅僅只是包括了傳統(tǒng)的基于網絡的應用程序(例如,F(xiàn)acebook和Twitter)���,還涉及到微應用(microapplication)的傳統(tǒng)網絡邊緣安全設備檢測����。大多數下一代防火墻都是設計用于檢查流經互聯(lián)網邊緣的流量類型�,但并不確保這些自定義的數據中心應用程序的安全。
2��、管理設備或數據中心之間的非對稱的業(yè)務流量和應用程序交易�。
安全解決方案必須能夠與數據中心的架構充分整合,而不是簡單地處在邊緣��。邊緣的解決方案不能檢查南北走向的(入站出站)流量和東西走向(跨應用程序)的流量��,而后者則代表了今天的數據中心流量的絕大部分�。如果應用程序的流量必須被發(fā)送到數據中心外圍邊界的下一代防火墻,以便在檢查之后再發(fā)送回計算機層���,那么��,解決方案將逐漸削弱現(xiàn)代數據中心所要求的動態(tài)流量����。
許多下一代防火墻都無法保護非對稱流量����。在非對稱路由中,典型的到達數據中心的一個數據包在返回到其數據源時�,將選擇不同的路徑。這成為了許多下一代防火墻的一個問題��,因為他們是專為沿一個單一的�、可預測的路徑而對流量進行跟蹤,檢查和管理設計的���。
數據中心的安全性解決方案還必須能夠處理在數據中心或設備之間的應用程序交易���,包括在虛擬設備之間。虛擬設備與物理設備是一樣脆弱的�����,但數據中心的安全解決方案也必須能夠處理虛擬環(huán)境的獨特安全挑戰(zhàn),包括創(chuàng)造�、拆卸、和遷移恒定的工作負載���。
3���、適應數據中心的不斷發(fā)展的需求。
隨著數據中心環(huán)境從物理環(huán)境遷移到虛擬環(huán)境再到下一代的SDN和ACI模式�����,其安全解決方案也必須能夠動態(tài)地擴展�,并提供持續(xù)一致的安全保護,以便能夠跨不同的演變階段和各種混合的數據中心環(huán)境而無縫工作����。在這些新的數據中心模式下,虛擬和物理設備正在被快速的配置��,安全規(guī)則的失控可能會迅速擴大�。訪問控制列表(ACL)管理對于很多IT團隊而言都已經是一大挑戰(zhàn)了。
新設備的配置需要自動執(zhí)行,這樣可以使得其部署時間可以從幾天減少到幾分鐘�,同時還無需擔心產生不安全的后果。同樣�,還需要有能夠跨多處混合的數據中心部署一款單一的安全解決方案的能力,許多多虛擬機管理程序(虛擬機監(jiān)視器)允許企業(yè)組織數據中心的IT團隊能夠專注于數據中心的功能����,而無需承擔安全方面的行政開銷��。
4�����、解決整個連續(xù)攻擊:包括在攻擊發(fā)生之前���、期間和之后��。
傳統(tǒng)的安全方法僅僅只為數據中心的環(huán)境提供了有限的威脅意識和可視化����,并主要集中在數據中心外圍實施攻擊阻擋方面���。而覆蓋整個連續(xù)攻擊過程的則需要借助一套安全保護解決方案跨一個廣泛的攻擊向量針對無處不在的安全威脅實施監(jiān)控����,包括:在網絡上,在端點上����,在移動設備上,以及在虛擬環(huán)境中�����。一套全面的��,以積極應對安全威脅為中心的方法����,確保數據中心的安全,包括在安全攻擊發(fā)生之前���,期間和之后的防御保護都是必要的����,進而才能保護現(xiàn)代數據中心及其專門的流量�。
傳統(tǒng)的下一代防火墻針對識別和減輕那些設計用于繞過防御措施的隱蔽攻擊幾乎沒有提供任何解決方案,其在這些隱蔽攻擊停止后也不能提供補救和分析����,無法跟蹤和確保數據中心非對稱流量的安全��。他們幾乎完全是防御性的工具�����,但卻不能抵御新興的����,針對有漏洞的服務器����,獨特的應用程序和有價值的數據所進行的未知的安全威脅�����。
5�����、保護整個網絡�。
任何數據中心安全解決方案都必須認識到遠程用戶有直接連接到某個關鍵的數據中心資源的需要。故而該安全解決方案需要在遠程用戶和數據中心資源之間提供透明度���,但其仍然是一個復雜的網絡環(huán)境的一部分����,只是通過分支辦事處,跨核心擴展進入到了數據中心����,并向外延伸到了云計算。安全解決方案必須是數據中心架構的一部分��,以及一套更廣泛的���、可以同時看到基于網絡的安全威脅和以數據中心為攻擊目標��、還能夠跨整個數據路徑提供無縫的保護的解決方案一部分���。
數據中心的安全是不同的。為了切實保護現(xiàn)代數據中心����,新的數據中心模型正在出現(xiàn),企業(yè)組織不能僅僅單只靠一個下一代的防火墻��。他們需要一套全面的�、綜合性的安全戰(zhàn)略和架構����,以便可以提供跨整個分布式網絡���、一致的��、智能型的安全保護����,從邊緣到數據中心再到云環(huán)境��,而且不會破壞數據中心的性能���。
..
|
