淺談數(shù)據中心的安全部署

周曉艷

數(shù)據中心是數(shù)據大集中而形成的集成IT應用環(huán)境,它是各種IT應用服務的提供中心,是數(shù)據計算、網絡、存儲的中心。數(shù)據中心中提供了業(yè)務連續(xù)性保障,實現(xiàn)了安全策略的統(tǒng)一部署,為IT基礎設施、業(yè)務應用和數(shù)據構建統(tǒng)一運維管理平臺。

1 數(shù)據中心的安全威脅

數(shù)據中心作為整個信息架構的核心部分,有著非常重要的地位。在信息傳遞更加自由、網絡應用更加豐富的情況下,管理者必須了解他們的網絡所面臨的潛在威脅。這些威脅將導致一定程度上的泄密以及對信息或資源的破壞,從而造成巨大的經濟損失。了解常見的攻擊和威脅類型,以及在策略上為了確保一定程度的網絡安全所能采取的行動對數(shù)據中心的管理者和決策者來說是十分重要的。

通常我們面臨的安全威脅可能是不同類型的。當一個未經授權的實體通過Inter net接入、線路竊聽、遠程撥號等方式獲得了對資源的訪問權限,那么安全威脅來自未經授權的訪問。未經授權的訪問可能是非惡意的行為,但如果攻擊者通過偷竊密鑰、記錄授權序列并重放等方式偽造憑證來冒充合法用戶,從而獲得對系統(tǒng)或服務的訪問權,并破壞系統(tǒng)架構或篡改信息資源,那么這樣的未授權訪問就是惡意仿冒。惡意的仿冒可能是破壞性的,因為它繞過了為層次化授權訪問而創(chuàng)建的信任關系。

威脅還可能來自DoS(拒絕服務)和DDOS(分布式拒絕服務)等網絡攻擊。但是,攻擊不僅僅面向應用層進行,還可能針對傳統(tǒng)的網絡層和物理層。在數(shù)據中心網絡環(huán)境中,服務的中斷和信息資產的丟失可能對網絡正常運行造成巨大影響。

2 數(shù)據中心的安全策略

安全策略是賦予了組織機構技術和信息資產使用權的人員必須遵守的準則和正規(guī)陳述。安全策略不一定就能使網絡更安全,但我們可以根據對于策略的一致性的衡量來判斷網絡的安全程度。安全策略的開發(fā)主要由業(yè)務需求分析和風險分析來驅動。通過了解組織機構的業(yè)務目標,安全策略的設計者才能了解信息資產及其可能受到的威脅對組織的重要性。進一步的風險分析,可以讓設計者從全局的高度了解并衡量安全事件產生的成本和減輕這些安全威脅的成本。

在開發(fā)安全策略的過程中,總體策略、標準和最佳實踐是常見的策略文檔?？傮w策略一般具有廣泛的實現(xiàn)性,是實現(xiàn)安全策略的最低要求。標準通常情況下是策略和操作指導的參考,它是一套最基本的操作準則。最佳實踐是經過長期經驗積累總結出的一套更適合企業(yè)自身業(yè)務特點的指導方針。安全策略的開發(fā)應該由一個團隊來完成,包括數(shù)據中心系統(tǒng)管理員,高層決策人員,用戶代表和其他該組織機構的代表。

3 網絡安全技術與設備

在數(shù)據中心內部,無論是網絡基礎設施,業(yè)務系統(tǒng)還是其他輔助設備,規(guī)模都非常龐大且復雜。安全的管理是非常困難的,但只要你的安全策略匹配了最佳實踐,同時構建了合理的安全技術,通過安全策略與安全技術的有效結合,你將在數(shù)據中心內部建立一套相對安全的系統(tǒng)。

3.1 身份識別

在網絡上用戶的身份可以映射為一些不同的元素,如用戶名、密碼、智能卡、PKI、地址、生物特征識別等。在數(shù)據中心內部,身份識別技術在管理架構中運用廣泛,主要作用是確保管理員登錄的可靠性,防止非法用戶訪問數(shù)據中心內部系統(tǒng)。如果非法用戶盜用了管理員帳號或通過其他手段獲取了數(shù)據中心的訪問權限也可能產生安全性問題。所以,通常情況下身份識別還需要與加密技術和安全策略配合來提供更高的安全性。

3.2 防火墻

防火墻的本質功能就是實現(xiàn)網絡隔離,通過防火墻可以把安全信任網絡和非安全網絡進行隔離。實現(xiàn)網絡防火墻的基本技術是IP包過濾。ACL是一種簡單可靠的技術,應用在路由器或交換機上可實現(xiàn)最基本的IP包過濾,但單純的ACL包過濾缺乏一定的靈活性。

狀態(tài)防火墻設備將狀態(tài)檢測技術應用在ACL技術上,通過對連接狀態(tài)的檢測,動態(tài)的發(fā)現(xiàn)應該打開的端口,保證在通信的過程中動態(tài)的決定哪些數(shù)據包可以通過防火墻。狀態(tài)防火墻還采用基于流的狀態(tài)檢測技術,即增強了安全性又提供了更高的轉發(fā)性能,因為基于ACL的包過濾技術是逐包檢測的,這樣當規(guī)則非常多的時候包過濾防火墻的性能會變得比較低下,而基于流的狀態(tài)防火墻可以根據流的信息決定數(shù)據包是否可以通過防火墻,這樣就可以利用流的狀態(tài)信息決定對數(shù)據包的處理結果加快了轉發(fā)性能。

3.3 入侵檢測

傳統(tǒng)的網絡安全解決方案如防火墻、IDS等,已經不能滿足網絡安全技術和形勢的發(fā)展需求了。各種蠕蟲、病毒、應用層攻擊技術和EMAIL、移動代碼結合,形成復合攻擊手段,使威脅更加危險和難以抵御。這些復合威脅直接攻擊企業(yè)核心服務器和應用,給企業(yè)帶來了重大損失。

IPS(入侵防御系統(tǒng))可以針對應用流量做深度分析與檢測能力,同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則,即可以有效檢測并實時阻斷隱藏在海量網絡流量中的病毒、攻擊與濫用行為,也可以對分布在網絡中的各種流量進行有效管理,通過主動阻止攻擊達到對網絡應用的保護、網絡基礎設施的保護和網絡性能的保護。

3.4 加密技術

加密可以在網絡的不同層次進行,在鏈路層加密可以通過WEP(有限對等保密)或專用的加密器來實現(xiàn)。不過數(shù)據中心內部常用到的是網絡層加密和應用層加密, IPSec是常見的網絡層加密技術,可以在多種模式下運行提供全面的加密、認證和完整性保護。IPSec實現(xiàn)了站點到站點或客戶PC到站點等靈活的部署方式,管理者關注的重點可能是IPSec網關的性能和數(shù)量等,因為在數(shù)據中心環(huán)境中,可靠性和擴展性是必須考慮的關鍵要素。基于應用的需要,L4到L7的加密也是數(shù)據中心網絡安全部署中需要考慮的技術,尤其是在基于Web通信為主的網站數(shù)據中心應用場景中。SSL與IPSec一樣為用戶提供了一套完善的認證加密機制,而且不僅僅限于HTTP層的保護,現(xiàn)有的SSL技術還可以提供基于TCP層和IP層的加密保護,為用戶提供更多的選擇性。

4 結語

數(shù)據集中是管理集約化、精細化的必然要求,是企業(yè)優(yōu)化業(yè)務流程、管理流程的必要手段。目前,數(shù)據集中已經成為國內電子政務、企業(yè)信息化建設的發(fā)展趨勢。數(shù)據中心的建設成為數(shù)據集中趨勢下的必然要求。

參考文獻

[1] 章潔如.數(shù)據中心的安全分析.中國數(shù)據通信,2001(10).

[2] 劉佳,杜雪濤,等.互聯(lián)網數(shù)據中心安全解決方案.電信工程技術與標準化,2010(2).