在虛擬化和云計(jì)算時(shí)代�����,管理員需要一個(gè)更全面的方法來(lái)確保數(shù)據(jù)中心更安全�����。
隨著云計(jì)算的出現(xiàn)、廣泛的互聯(lián)網(wǎng)應(yīng)用�����、面向服務(wù)的架構(gòu)��,以及虛擬化��,數(shù)據(jù)中心變得更有活力��。不過(guò)��,轉(zhuǎn)向一個(gè)新的計(jì)算環(huán)境增加了數(shù)據(jù)層的復(fù)雜性���,也增大了IT經(jīng)理保護(hù)數(shù)據(jù)中心的難度。
美國(guó)國(guó)防信息系統(tǒng)局(DISA)技術(shù)項(xiàng)目總監(jiān)Henry Sienkiewicz表示企業(yè)應(yīng)該在設(shè)計(jì)數(shù)據(jù)中心時(shí)就考慮到數(shù)據(jù)中心的安全性����。
“數(shù)據(jù)中心是一個(gè)完整的生態(tài)圈,必須從整體角度來(lái)看” Henry Sienkiewicz說(shuō)�。 “如果我們不這樣做,我們就會(huì)漏掉一些東西�����。”
Apptis技術(shù)公司的數(shù)據(jù)中心經(jīng)理Jim Smid表示IT經(jīng)理們?cè)絹?lái)越多地希望可以確保通信的絕對(duì)安全,這意味著從桌面安全到網(wǎng)絡(luò)應(yīng)用程序到存儲(chǔ)都必須是安全的�。過(guò)去,網(wǎng)絡(luò)支持團(tuán)隊(duì)只需要確保網(wǎng)絡(luò)的安全�����;應(yīng)用小組只需處理數(shù)據(jù)加密……但當(dāng)前的環(huán)境和新出現(xiàn)的技術(shù)都對(duì)安全策略提出了新要求����,所以需要采用新的方法來(lái)應(yīng)對(duì),Smid表示�����,企業(yè)需要監(jiān)控?cái)?shù)據(jù)中心所有的業(yè)務(wù)交互是否正確�,并確保數(shù)據(jù)中心的每個(gè)組成部分都是安全的。
除此之外�����,數(shù)據(jù)中心的安全管理人員和行業(yè)專家表示企業(yè)必須管理法規(guī)�、政策、人員和技術(shù)���,需要確保動(dòng)態(tài)安全乃至整個(gè)數(shù)據(jù)中心的安全���。每一層的安全都是很重要的���,很難說(shuō)哪一個(gè)更重要。
一些組織如云安全聯(lián)盟是一個(gè)全球安全專家協(xié)會(huì)和行業(yè)領(lǐng)導(dǎo)者聯(lián)盟�����。該聯(lián)盟公布了云計(jì)算知識(shí)和使用云計(jì)算的最佳實(shí)踐指導(dǎo)��。這個(gè)指導(dǎo)手冊(cè)覆蓋了十五個(gè)安全領(lǐng)域�����,從計(jì)算架構(gòu)到虛擬化���,都是企業(yè)應(yīng)該應(yīng)用到數(shù)據(jù)中心的安全措施。
在與一些數(shù)據(jù)中心安全管理員和行業(yè)專家對(duì)話的基礎(chǔ)上����,我們列出了確保數(shù)據(jù)中心安全的五要素。
1. 確保物理安全
對(duì)于有些公司來(lái)說(shuō)����, 首先需要考慮的是繼續(xù)自己維護(hù)自建的數(shù)據(jù)中心還是將其外包?Smid說(shuō)。 另外一些數(shù)據(jù)中心經(jīng)理可能要從更艱難的任務(wù)入手����,如控制對(duì)每個(gè)系統(tǒng)或網(wǎng)絡(luò)層的訪問(wèn)。下面讓我們看一個(gè)例子�。
NASA美國(guó)宇航局噴氣推進(jìn)實(shí)驗(yàn)室(JPL)IT集團(tuán)經(jīng)理Corbin Miller更愿意從數(shù)據(jù)中心物理安全入手。
在位于Oklahoma的美國(guó)聯(lián)邦航空局(FAA)數(shù)據(jù)中心����,分層的安全越來(lái)越受歡迎,前美國(guó)聯(lián)邦航空局企業(yè)服務(wù)中心IT主管邁克梅爾斯表示�。在該中心,物理安全包括以下要素:一個(gè)隔開的校園�����、進(jìn)入主體建筑和數(shù)據(jù)中心需要證件�����、由一名警衛(wèi)員護(hù)送每位來(lái)訪者��、進(jìn)入房間需要密碼卡��、數(shù)據(jù)中心裝有視頻監(jiān)控�����,以及根據(jù)數(shù)據(jù)的敏感性鎖定的服務(wù)器。
米勒正通過(guò)在實(shí)驗(yàn)室的數(shù)據(jù)中心建立物理安全層來(lái)劃分測(cè)試�����、開發(fā)和生產(chǎn)領(lǐng)域��。
該中心的經(jīng)理要在數(shù)據(jù)中心設(shè)立一個(gè)開發(fā)實(shí)驗(yàn)室���,但米勒希望把它和生產(chǎn)區(qū)域分開�,以保持JPL的操作正常運(yùn)行����。
“我想要把生產(chǎn)區(qū)作為最高級(jí)別的安全區(qū)”�,只允許該地區(qū)授權(quán)的系統(tǒng)管理員進(jìn)入,他說(shuō)��,“所以我設(shè)想在數(shù)據(jù)中心開設(shè)三個(gè)區(qū)�。” 一個(gè)區(qū)將用于研究人員測(cè)試的設(shè)備;一個(gè)區(qū)在系統(tǒng)和應(yīng)用開發(fā)進(jìn)入生產(chǎn)之前���,給他們提供更多的控制����;最后一個(gè)區(qū)是生產(chǎn)區(qū),只有核心系統(tǒng)管理員可以進(jìn)入��。
對(duì)于內(nèi)層��,并非一定需要證件進(jìn)入���,但有些類型的訪問(wèn)控制(如服務(wù)器機(jī)架上鎖)對(duì)于生產(chǎn)系統(tǒng)是很有必要的�,米勒說(shuō):“我只是不希望突然實(shí)驗(yàn)室的人員說(shuō)�,‘我需要電力,讓我把設(shè)備插在這兒吧’���,這種操作會(huì)給生產(chǎn)系統(tǒng)造成問(wèn)題”他說(shuō)��。
2. 建立網(wǎng)絡(luò)安全區(qū)
在確保物理安全之后�,艱難的網(wǎng)絡(luò)安全工作開始了����。
“我會(huì)把分區(qū)集中到網(wǎng)絡(luò)層,”米勒說(shuō)��, 在JPL“第一個(gè)區(qū)域是略顯寬松的環(huán)境�,因?yàn)樗且粋(gè)開發(fā)領(lǐng)域���。下一個(gè)是子網(wǎng)的測(cè)試,它和開發(fā)區(qū)是分開的�,是一個(gè)比生產(chǎn)區(qū)更寬松的環(huán)境。”
第三區(qū)是生產(chǎn)或支持子網(wǎng)的區(qū)域�����,也是系統(tǒng)管理員花費(fèi)大量的時(shí)間和精力的地方���。該區(qū)只有生產(chǎn)設(shè)備����,因此管理員必須以受控的方式給生產(chǎn)網(wǎng)絡(luò)部署新系統(tǒng)��,米勒說(shuō)����。
在JPL����,管理員可以給虛擬局域網(wǎng)的子網(wǎng)絡(luò)部署系統(tǒng),并給流量設(shè)立嚴(yán)格的規(guī)則���。例如��,管理員可以把郵件服務(wù)器部署在端口25或端口80���,原則是這個(gè)部署并不會(huì)影響那個(gè)區(qū)本來(lái)的流量�。
米勒表示數(shù)據(jù)中心管理人員需要考慮倒企業(yè)子網(wǎng)絡(luò)處理的業(yè)務(wù)類型����。如電子郵件應(yīng)用和一些數(shù)據(jù)庫(kù)監(jiān)測(cè)應(yīng)用需要連接到外網(wǎng),但這些生產(chǎn)機(jī)不應(yīng)該連到CNN.com���、ESPN.com���,或雅虎新聞之類的網(wǎng)站。在管理員設(shè)置相應(yīng)的規(guī)則后��,他們可以更好地檢測(cè)異�����;顒(dòng)���,米勒說(shuō)����。
米勒表示一臺(tái)機(jī)器轉(zhuǎn)移到生產(chǎn)網(wǎng)絡(luò)的時(shí)候,你應(yīng)該知道它正在運(yùn)行什么����、誰(shuí)可以訪問(wèn)操作系統(tǒng)層、它在通過(guò)網(wǎng)絡(luò)與哪些系統(tǒng)通信�����?
“現(xiàn)在你可以更好的了解你的安全監(jiān)控和數(shù)據(jù)泄漏以及預(yù)防監(jiān)測(cè)程序應(yīng)該放在哪里”他強(qiáng)調(diào)����, “如果我知道只有三臺(tái)機(jī)器在網(wǎng)絡(luò)上時(shí),我可以很清楚的看清流量和其他細(xì)節(jié)�。”
米勒表示盡管無(wú)線網(wǎng)絡(luò)很受歡迎,但無(wú)線接入點(diǎn)在數(shù)據(jù)中心并沒(méi)有必要��,因?yàn)樗麄兒茈y控制��。
DISA采取三管齊下的方法保證數(shù)據(jù)中心的安全性��,Sienkiewicz說(shuō)�����。第一部分是NetOps�����,確保國(guó)防部的全球信息網(wǎng)格的業(yè)務(wù)框架是可用的����,而且它還提供安全保護(hù)和完整性。 二是技術(shù)保護(hù)��。最后一部分是應(yīng)用的許可和認(rèn)證�。
Sienkiewicz介紹,NetOps包括GIG Enterprise Management�, GIG Network Assurance,以及 GIG Content Management三個(gè)部門��。 DISA投入了特定的人員�����、政策�����、流程和業(yè)務(wù)支持功能來(lái)運(yùn)營(yíng)NetOps.
在技術(shù)方面,美國(guó)國(guó)防部非軍事區(qū)是一個(gè)焦點(diǎn)����。 所有的國(guó)防企業(yè)計(jì)算中心的流量都集中通過(guò)DOD和DISA非軍事區(qū)。
因此�����,必須檢查和管理連接國(guó)防部Web服務(wù)器的所有主機(jī)�。 此外,在網(wǎng)絡(luò)訪問(wèn)架構(gòu)和其他DECC架構(gòu)之間有一個(gè)隔離�,在用戶和服務(wù)器類型之間也有一個(gè)邏輯分離。
由于這些設(shè)置�,DISA可以限制訪問(wèn)點(diǎn)、管理指令和控制���,并跨環(huán)境提供集中安全和負(fù)載平衡���。
此外,“我們使用帶外網(wǎng)絡(luò)�����,生產(chǎn)流量并不級(jí)聯(lián)到我們管理架構(gòu)的方法中���。” Sienkiewicz說(shuō)��。 通過(guò)虛擬專用網(wǎng)絡(luò)連接����,用戶可以管理他們自己的環(huán)境�。VPN連接為生產(chǎn)主機(jī)提供路徑來(lái)發(fā)送和接收企業(yè)系統(tǒng)管理。
3. 鎖定服務(wù)器和主機(jī)
在俄克拉何馬聯(lián)邦航空局設(shè)施�����,所有服務(wù)器都在數(shù)據(jù)庫(kù)中登記��,這個(gè)數(shù)據(jù)庫(kù)包含服務(wù)器是否包含隱私信息和細(xì)節(jié)����。數(shù)據(jù)庫(kù)的大部分是手動(dòng)維護(hù)的,但這個(gè)過(guò)程可以通過(guò)自動(dòng)化提高�,邁爾斯說(shuō)。在問(wèn)題地區(qū)已變更并配置管理��,這些進(jìn)程有些是自動(dòng)化的�����,有些是手動(dòng)的。美國(guó)聯(lián)邦航空局正在提高軟件自動(dòng)化�����。
此外��,美國(guó)聯(lián)邦航空局正在執(zhí)行修補(bǔ)程序�����,至少每月跟蹤并掃描他們服務(wù)器上的漏洞���。
美國(guó)聯(lián)邦航空局分開處理數(shù)據(jù)的安全性和服務(wù)器的安全性���。美國(guó)聯(lián)邦航空局的應(yīng)用加密多于軟件加密,這樣太局限�����,而且產(chǎn)生了系統(tǒng)兼容問(wèn)題�。該機(jī)構(gòu)設(shè)立了防火墻來(lái)把政府的數(shù)據(jù)和私人數(shù)據(jù)分開。 聯(lián)邦航空局還使用掃描技術(shù)來(lái)監(jiān)測(cè)潛在的外泄活動(dòng)數(shù)據(jù)�����。 該掃描技術(shù)旨在確保數(shù)據(jù)進(jìn)入正確的收件人,并且得到適當(dāng)加密�����,邁爾斯說(shuō)��。
在DISA���,數(shù)據(jù)中心經(jīng)理正在努力解決服務(wù)器虛擬化造成的安全問(wèn)題。 “當(dāng)我們看虛擬化的時(shí)候����,即我們?nèi)绾翁岣叻⻊?wù)器虛擬化,并解決由服務(wù)器虛擬化所帶來(lái)的新的安全問(wèn)題�。” Sienkiewicz說(shuō)。
DISA的安全管理人員必須回答的一些問(wèn)題是“我們?nèi)绾未_保管理程序被鎖定�����?我們?nèi)绾未_保添加�����,刪除和遷移得到適當(dāng)?shù)谋Wo(hù)���? ”他說(shuō)�。
“我們使用虛擬化的最大問(wèn)題是分開和孤立,” Sienkiewicz說(shuō)���。“我們努力把應(yīng)用程序��,Web服務(wù)����,應(yīng)用服務(wù)和數(shù)據(jù)庫(kù)服務(wù)和物理單獨(dú)的機(jī)架分開��,因此在這個(gè)環(huán)境中數(shù)據(jù)不會(huì)發(fā)生鏈接或遺漏��,同時(shí)我們也強(qiáng)化了環(huán)境的其他部分����。”
和美國(guó)聯(lián)邦航空局一樣,DISA也在一張名單上登記了主機(jī)��,該機(jī)構(gòu)還安裝了基于主機(jī)的安全系統(tǒng)��,監(jiān)測(cè)和檢測(cè)惡意活動(dòng)�����。他還是用公鑰為DOD管理物理安全,用戶必須使用通用訪問(wèn)卡登錄到系統(tǒng)�����,這樣就提供了雙重認(rèn)證�。
4. 應(yīng)用程序漏洞掃描
應(yīng)用掃描和代碼掃描工具是非常重要的,美國(guó)宇航局的米勒說(shuō)���。
在JPL��,如果有人想部署一個(gè)應(yīng)用程序,在進(jìn)入生產(chǎn)環(huán)境之前�,它必須經(jīng)過(guò)管理員的掃描。 米勒使用的IBM Rational AppScan等掃描Web應(yīng)用程序���。 AppScan測(cè)試了黑客可以輕易地利用的安全漏洞��,并提供修復(fù)能力��、安全性指標(biāo)以及關(guān)鍵的報(bào)告����。
另一方面����,寫代碼的開發(fā)人員必須通過(guò)代碼掃描器運(yùn)行它�,這個(gè)代碼掃描可能是一個(gè)Perl腳本��,可以掃除緩沖區(qū)或其他漏洞的代碼����,米勒表示。
5. 協(xié)調(diào)溝通可視數(shù)據(jù)流設(shè)備的安全性
使用云計(jì)算�,機(jī)構(gòu)需要改變他們的整體方法,以確保數(shù)據(jù)中心的安全����,Juniper網(wǎng)絡(luò)公司系統(tǒng)工程總監(jiān)Tim LeMaster表示。
“在云計(jì)算���,主要是保護(hù)數(shù)據(jù)中心��、用戶系統(tǒng)之間以及數(shù)據(jù)中心內(nèi)虛擬機(jī)的安全���。”LeMaster說(shuō)。 因此�,應(yīng)用程序的可視性變得非常重要。
“你必須可以觀察到這些通道,而不是惡意軟件�,因?yàn)楹芏鄲阂馔ǖ涝噲D掩蓋他們。” 很多通道使用88端口或通道來(lái)加密���。 網(wǎng)絡(luò)管理員必須具備識(shí)別這些流量的知識(shí)和應(yīng)用����,他解釋說(shuō)��。
Juniper網(wǎng)絡(luò)公司開發(fā)的應(yīng)用程序識(shí)別技術(shù)�,除了端口協(xié)議外連接到數(shù)據(jù)的內(nèi)容,并努力申請(qǐng)簽名�,這樣幫助決定這個(gè)應(yīng)用是否是一個(gè)真正的共享程序或?qū)Φ染W(wǎng)絡(luò)程序。
Juniper公司的技術(shù)還側(cè)重于應(yīng)用的拒絕服務(wù)攻擊��。拒絕服務(wù)攻擊并不新鮮����,但傳統(tǒng)的方法來(lái)對(duì)付攻擊是“黑洞”的通道���。 這種做法幫助拒絕服務(wù)攻擊完成它所原本要做的�����,然后再拒絕服務(wù)���。因?yàn)榫W(wǎng)絡(luò)管理員必須刪除所有服務(wù)器受攻擊的流量和通道��。
應(yīng)用的拒絕服務(wù)防范軟件為管理員提供了分析能力���,以確定通道是否合法。有了這些工具�,管理員可以觀察其他數(shù)據(jù)流客戶端,并把它們和現(xiàn)有的其他數(shù)據(jù)中心的對(duì)比����。協(xié)調(diào)網(wǎng)絡(luò)設(shè)備、防火墻�、SSL的設(shè)備和入侵防護(hù)解決方案在云計(jì)算基礎(chǔ)設(shè)施中都很有用。
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
