在虛擬化和云計算時代��,管理員需要一個更全面的方法來確保數據中心更安全�����。
隨著云計算的出現��、廣泛的互聯網應用�����、面向服務的架構����,以及虛擬化����,數據中心變得更有活力。不過,轉向一個新的計算環(huán)境增加了數據層的復雜性��,也增大了IT經理保護數據中心的難度���。
美國國防信息系統局(DISA)技術項目總監(jiān)Henry Sienkiewicz表示企業(yè)應該在設計數據中心時就考慮到數據中心的安全性�。
“數據中心是一個完整的生態(tài)圈�����,必須從整體角度來看” Henry Sienkiewicz說�。 “如果我們不這樣做,我們就會漏掉一些東西��。”
Apptis技術公司的數據中心經理Jim Smid表示IT經理們越來越多地希望可以確保通信的絕對安全����,這意味著從桌面安全到網絡應用程序到存儲都必須是安全的。過去��,網絡支持團隊只需要確保網絡的安全����;應用小組只需處理數據加密……但當前的環(huán)境和新出現的技術都對安全策略提出了新要求,所以需要采用新的方法來應對�,Smid表示��,企業(yè)需要監(jiān)控數據中心所有的業(yè)務交互是否正確����,并確保數據中心的每個組成部分都是安全的���。
除此之外�,數據中心的安全管理人員和行業(yè)專家表示企業(yè)必須管理法規(guī)��、政策��、人員和技術�,需要確保動態(tài)安全乃至整個數據中心的安全���。每一層的安全都是很重要的�����,很難說哪一個更重要���。
一些組織如云安全聯盟是一個全球安全專家協會和行業(yè)領導者聯盟。該聯盟公布了云計算知識和使用云計算的最佳實踐指導��。這個指導手冊覆蓋了十五個安全領域,從計算架構到虛擬化���,都是企業(yè)應該應用到數據中心的安全措施��。
在與一些數據中心安全管理員和行業(yè)專家對話的基礎上����,我們列出了確保數據中心安全的五要素����。
1. 確保物理安全
對于有些公司來說, 首先需要考慮的是繼續(xù)自己維護自建的數據中心還是將其外包����?Smid說。 另外一些數據中心經理可能要從更艱難的任務入手����,如控制對每個系統或網絡層的訪問。下面讓我們看一個例子����。
NASA美國宇航局噴氣推進實驗室(JPL)IT集團經理Corbin Miller更愿意從數據中心物理安全入手。
在位于Oklahoma的美國聯邦航空局(FAA)數據中心�����,分層的安全越來越受歡迎,前美國聯邦航空局企業(yè)服務中心IT主管邁克梅爾斯表示�。在該中心,物理安全包括以下要素:一個隔開的校園����、進入主體建筑和數據中心需要證件、由一名警衛(wèi)員護送每位來訪者����、進入房間需要密碼卡、數據中心裝有視頻監(jiān)控����,以及根據數據的敏感性鎖定的服務器��。
米勒正通過在實驗室的數據中心建立物理安全層來劃分測試��、開發(fā)和生產領域��。
該中心的經理要在數據中心設立一個開發(fā)實驗室�����,但米勒希望把它和生產區(qū)域分開,以保持JPL的操作正常運行����。
“我想要把生產區(qū)作為最高級別的安全區(qū)”,只允許該地區(qū)授權的系統管理員進入����,他說,“所以我設想在數據中心開設三個區(qū)���。” 一個區(qū)將用于研究人員測試的設備����;一個區(qū)在系統和應用開發(fā)進入生產之前�����,給他們提供更多的控制�;最后一個區(qū)是生產區(qū),只有核心系統管理員可以進入�。
對于內層,并非一定需要證件進入�,但有些類型的訪問控制(如服務器機架上鎖)對于生產系統是很有必要的,米勒說:“我只是不希望突然實驗室的人員說��,‘我需要電力,讓我把設備插在這兒吧’��,這種操作會給生產系統造成問題”他說�。
2. 建立網絡安全區(qū)
在確保物理安全之后,艱難的網絡安全工作開始了���。
“我會把分區(qū)集中到網絡層���,”米勒說, 在JPL“第一個區(qū)域是略顯寬松的環(huán)境�,因為它是一個開發(fā)領域。下一個是子網的測試�,它和開發(fā)區(qū)是分開的,是一個比生產區(qū)更寬松的環(huán)境���。”
第三區(qū)是生產或支持子網的區(qū)域,也是系統管理員花費大量的時間和精力的地方�。該區(qū)只有生產設備,因此管理員必須以受控的方式給生產網絡部署新系統�,米勒說。
在JPL�,管理員可以給虛擬局域網的子網絡部署系統,并給流量設立嚴格的規(guī)則����。例如�����,管理員可以把郵件服務器部署在端口25或端口80��,原則是這個部署并不會影響那個區(qū)本來的流量�。
米勒表示數據中心管理人員需要考慮倒企業(yè)子網絡處理的業(yè)務類型��。如電子郵件應用和一些數據庫監(jiān)測應用需要連接到外網��,但這些生產機不應該連到CNN.com����、ESPN.com,或雅虎新聞之類的網站���。在管理員設置相應的規(guī)則后����,他們可以更好地檢測異����;顒���,米勒說。
米勒表示一臺機器轉移到生產網絡的時候�,你應該知道它正在運行什么、誰可以訪問操作系統層���、它在通過網絡與哪些系統通信��?
“現在你可以更好的了解你的安全監(jiān)控和數據泄漏以及預防監(jiān)測程序應該放在哪里”他強調�����, “如果我知道只有三臺機器在網絡上時�����,我可以很清楚的看清流量和其他細節(jié)�。”
米勒表示盡管無線網絡很受歡迎�,但無線接入點在數據中心并沒有必要,因為他們很難控制��。
DISA采取三管齊下的方法保證數據中心的安全性�����,Sienkiewicz說����。第一部分是NetOps,確保國防部的全球信息網格的業(yè)務框架是可用的�����,而且它還提供安全保護和完整性����。 二是技術保護。最后一部分是應用的許可和認證����。
Sienkiewicz介紹,NetOps包括GIG Enterprise Management��, GIG Network Assurance���,以及 GIG Content Management三個部門��。 DISA投入了特定的人員�����、政策���、流程和業(yè)務支持功能來運營NetOps.
在技術方面�,美國國防部非軍事區(qū)是一個焦點����。 所有的國防企業(yè)計算中心的流量都集中通過DOD和DISA非軍事區(qū)。
因此�����,必須檢查和管理連接國防部Web服務器的所有主機��。 此外���,在網絡訪問架構和其他DECC架構之間有一個隔離����,在用戶和服務器類型之間也有一個邏輯分離�����。
由于這些設置,DISA可以限制訪問點�、管理指令和控制���,并跨環(huán)境提供集中安全和負載平衡���。
此外,“我們使用帶外網絡��,生產流量并不級聯到我們管理架構的方法中��。” Sienkiewicz說�。 通過虛擬專用網絡連接,用戶可以管理他們自己的環(huán)境�����。VPN連接為生產主機提供路徑來發(fā)送和接收企業(yè)系統管理�。
3. 鎖定服務器和主機
在俄克拉何馬聯邦航空局設施,所有服務器都在數據庫中登記��,這個數據庫包含服務器是否包含隱私信息和細節(jié)�。數據庫的大部分是手動維護的,但這個過程可以通過自動化提高��,邁爾斯說。在問題地區(qū)已變更并配置管理���,這些進程有些是自動化的���,有些是手動的。美國聯邦航空局正在提高軟件自動化��。
此外�����,美國聯邦航空局正在執(zhí)行修補程序��,至少每月跟蹤并掃描他們服務器上的漏洞�����。
美國聯邦航空局分開處理數據的安全性和服務器的安全性����。美國聯邦航空局的應用加密多于軟件加密,這樣太局限�����,而且產生了系統兼容問題。該機構設立了防火墻來把政府的數據和私人數據分開���。 聯邦航空局還使用掃描技術來監(jiān)測潛在的外泄活動數據�����。 該掃描技術旨在確保數據進入正確的收件人,并且得到適當加密��,邁爾斯說��。
在DISA����,數據中心經理正在努力解決服務器虛擬化造成的安全問題。 “當我們看虛擬化的時候���,即我們如何提高服務器虛擬化�����,并解決由服務器虛擬化所帶來的新的安全問題��。” Sienkiewicz說�。
DISA的安全管理人員必須回答的一些問題是“我們如何確保管理程序被鎖定?我們如何確保添加�,刪除和遷移得到適當的保護? ”他說���。
“我們使用虛擬化的最大問題是分開和孤立�,” Sienkiewicz說��。“我們努力把應用程序�,Web服務,應用服務和數據庫服務和物理單獨的機架分開�����,因此在這個環(huán)境中數據不會發(fā)生鏈接或遺漏����,同時我們也強化了環(huán)境的其他部分。”
和美國聯邦航空局一樣�,DISA也在一張名單上登記了主機,該機構還安裝了基于主機的安全系統��,監(jiān)測和檢測惡意活動���。他還是用公鑰為DOD管理物理安全��,用戶必須使用通用訪問卡登錄到系統��,這樣就提供了雙重認證����。
4. 應用程序漏洞掃描
應用掃描和代碼掃描工具是非常重要的,美國宇航局的米勒說�。
在JPL,如果有人想部署一個應用程序����,在進入生產環(huán)境之前��,它必須經過管理員的掃描����。 米勒使用的IBM Rational AppScan等掃描Web應用程序。 AppScan測試了黑客可以輕易地利用的安全漏洞��,并提供修復能力���、安全性指標以及關鍵的報告����。
另一方面,寫代碼的開發(fā)人員必須通過代碼掃描器運行它���,這個代碼掃描可能是一個Perl腳本��,可以掃除緩沖區(qū)或其他漏洞的代碼�,米勒表示��。
5. 協調溝通可視數據流設備的安全性
使用云計算�����,機構需要改變他們的整體方法�����,以確保數據中心的安全���,Juniper網絡公司系統工程總監(jiān)Tim LeMaster表示��。
“在云計算�,主要是保護數據中心����、用戶系統之間以及數據中心內虛擬機的安全���。”LeMaster說。 因此��,應用程序的可視性變得非常重要����。
“你必須可以觀察到這些通道,而不是惡意軟件�,因為很多惡意通道試圖掩蓋他們。” 很多通道使用88端口或通道來加密��。 網絡管理員必須具備識別這些流量的知識和應用����,他解釋說���。
Juniper網絡公司開發(fā)的應用程序識別技術����,除了端口協議外連接到數據的內容�,并努力申請簽名,這樣幫助決定這個應用是否是一個真正的共享程序或對等網絡程序��。
Juniper公司的技術還側重于應用的拒絕服務攻擊。拒絕服務攻擊并不新鮮��,但傳統的方法來對付攻擊是“黑洞”的通道��。 這種做法幫助拒絕服務攻擊完成它所原本要做的��,然后再拒絕服務����。因為網絡管理員必須刪除所有服務器受攻擊的流量和通道。
應用的拒絕服務防范軟件為管理員提供了分析能力�,以確定通道是否合法。有了這些工具����,管理員可以觀察其他數據流客戶端,并把它們和現有的其他數據中心的對比���。協調網絡設備�、防火墻�、SSL的設備和入侵防護解決方案在云計算基礎設施中都很有用。
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
