加強數(shù)據(jù)中心安全的5大步驟:
綜合的加強數(shù)據(jù)中心的安全需要一套深度的防御方法���,企業(yè)組織可以從五個關(guān)鍵領(lǐng)域著手實現(xiàn)��。其安全防御解決方案必須:
1��、提供對于自定義數(shù)據(jù)中心應(yīng)用程序的可視化和控制����。
數(shù)據(jù)中心管理人員們所需要的對于自定義數(shù)據(jù)中心的應(yīng)用程序的可視化和控制�����,不僅僅只是包括了傳統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用程序(例如�����,F(xiàn)acebook和Twitter),還涉及到微應(yīng)用(microapplication)的傳統(tǒng)網(wǎng)絡(luò)邊緣安全設(shè)備檢測����。大多數(shù)下一代防火墻都是設(shè)計用于檢查流經(jīng)互聯(lián)網(wǎng)邊緣的流量類型,但并不確保這些自定義的數(shù)據(jù)中心應(yīng)用程序的安全��。
2�、管理設(shè)備或數(shù)據(jù)中心之間的非對稱的業(yè)務(wù)流量和應(yīng)用程序交易。
安全解決方案必須能夠與數(shù)據(jù)中心的架構(gòu)充分整合����,而不是簡單地處在邊緣��。邊緣的解決方案不能檢查南北走向的(入站出站)流量和東西走向(跨應(yīng)用程序)的流量�,而后者則代表了今天的數(shù)據(jù)中心流量的絕大部分。如果應(yīng)用程序的流量必須被發(fā)送到數(shù)據(jù)中心外圍邊界的下一代防火墻���,以便在檢查之后再發(fā)送回計算機層���,那么,解決方案將逐漸削弱現(xiàn)代數(shù)據(jù)中心所要求的動態(tài)流量���。
許多下一代防火墻都無法保護非對稱流量���。在非對稱路由中�,典型的到達數(shù)據(jù)中心的一個數(shù)據(jù)包在返回到其數(shù)據(jù)源時���,將選擇不同的路徑��。這成為了許多下一代防火墻的一個問題��,因為他們是專為沿一個單一的���、可預(yù)測的路徑而對流量進行跟蹤,檢查和管理設(shè)計的���。
數(shù)據(jù)中心的安全性解決方案還必須能夠處理在數(shù)據(jù)中心或設(shè)備之間的應(yīng)用程序交易���,包括在虛擬設(shè)備之間。虛擬設(shè)備與物理設(shè)備是一樣脆弱的�,但數(shù)據(jù)中心的安全解決方案也必須能夠處理虛擬環(huán)境的獨特安全挑戰(zhàn),包括創(chuàng)造�、拆卸、和遷移恒定的工作負載���。
3����、適應(yīng)數(shù)據(jù)中心的不斷發(fā)展的需求。
隨著數(shù)據(jù)中心環(huán)境從物理環(huán)境遷移到虛擬環(huán)境再到下一代的SDN和ACI模式����,其安全解決方案也必須能夠動態(tài)地擴展,并提供持續(xù)一致的安全保護��,以便能夠跨不同的演變階段和各種混合的數(shù)據(jù)中心環(huán)境而無縫工作���。在這些新的數(shù)據(jù)中心模式下����,虛擬和物理設(shè)備正在被快速的配置���,安全規(guī)則的失控可能會迅速擴大。訪問控制列表(ACL)管理對于很多IT團隊而言都已經(jīng)是一大挑戰(zhàn)了�。
新設(shè)備的配置需要自動執(zhí)行,這樣可以使得其部署時間可以從幾天減少到幾分鐘����,同時還無需擔心產(chǎn)生不安全的后果。同樣����,還需要有能夠跨多處混合的數(shù)據(jù)中心部署一款單一的安全解決方案的能力���,許多多虛擬機管理程序(虛擬機監(jiān)視器)允許企業(yè)組織數(shù)據(jù)中心的IT團隊能夠?qū)W⒂跀?shù)據(jù)中心的功能,而無需承擔安全方面的行政開銷�����。
4����、解決整個連續(xù)攻擊:包括在攻擊發(fā)生之前、期間和之后�。
傳統(tǒng)的安全方法僅僅只為數(shù)據(jù)中心的環(huán)境提供了有限的威脅意識和可視化,并主要集中在數(shù)據(jù)中心外圍實施攻擊阻擋方面���。而覆蓋整個連續(xù)攻擊過程的則需要借助一套安全保護解決方案跨一個廣泛的攻擊向量針對無處不在的安全威脅實施監(jiān)控�,包括:在網(wǎng)絡(luò)上���,在端點上����,在移動設(shè)備上���,以及在虛擬環(huán)境中���。一套全面的���,以積極應(yīng)對安全威脅為中心的方法,確保數(shù)據(jù)中心的安全����,包括在安全攻擊發(fā)生之前,期間和之后的防御保護都是必要的��,進而才能保護現(xiàn)代數(shù)據(jù)中心及其專門的流量��。
傳統(tǒng)的下一代防火墻針對識別和減輕那些設(shè)計用于繞過防御措施的隱蔽攻擊幾乎沒有提供任何解決方案��,其在這些隱蔽攻擊停止后也不能提供補救和分析����,無法跟蹤和確保數(shù)據(jù)中心非對稱流量的安全���。他們幾乎完全是防御性的工具��,但卻不能抵御新興的�,針對有漏洞的服務(wù)器,獨特的應(yīng)用程序和有價值的數(shù)據(jù)所進行的未知的安全威脅�。
5、保護整個網(wǎng)絡(luò)��。
任何數(shù)據(jù)中心安全解決方案都必須認識到遠程用戶有直接連接到某個關(guān)鍵的數(shù)據(jù)中心資源的需要�����。故而該安全解決方案需要在遠程用戶和數(shù)據(jù)中心資源之間提供透明度����,但其仍然是一個復(fù)雜的網(wǎng)絡(luò)環(huán)境的一部分,只是通過分支辦事處�,跨核心擴展進入到了數(shù)據(jù)中心,并向外延伸到了云計算����。安全解決方案必須是數(shù)據(jù)中心架構(gòu)的一部分,以及一套更廣泛的�、可以同時看到基于網(wǎng)絡(luò)的安全威脅和以數(shù)據(jù)中心為攻擊目標、還能夠跨整個數(shù)據(jù)路徑提供無縫的保護的解決方案一部分���。
數(shù)據(jù)中心的安全是不同的����。為了切實保護現(xiàn)代數(shù)據(jù)中心,新的數(shù)據(jù)中心模型正在出現(xiàn)�,企業(yè)組織不能僅僅單只靠一個下一代的防火墻。他們需要一套全面的���、綜合性的安全戰(zhàn)略和架構(gòu)��,以便可以提供跨整個分布式網(wǎng)絡(luò)����、一致的���、智能型的安全保護����,從邊緣到數(shù)據(jù)中心再到云環(huán)境���,而且不會破壞數(shù)據(jù)中心的性能�。
..
|
