淺談數(shù)據(jù)中心的安全部署

周曉艷

數(shù)據(jù)中心是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境,它是各種IT應(yīng)用服務(wù)的提供中心,是數(shù)據(jù)計算、網(wǎng)絡(luò)、存儲的中心。數(shù)據(jù)中心中提供了業(yè)務(wù)連續(xù)性保障,實現(xiàn)了安全策略的統(tǒng)一部署,為IT基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用和數(shù)據(jù)構(gòu)建統(tǒng)一運維管理平臺。

1 數(shù)據(jù)中心的安全威脅

數(shù)據(jù)中心作為整個信息架構(gòu)的核心部分,有著非常重要的地位。在信息傳遞更加自由、網(wǎng)絡(luò)應(yīng)用更加豐富的情況下,管理者必須了解他們的網(wǎng)絡(luò)所面臨的潛在威脅。這些威脅將導(dǎo)致一定程度上的泄密以及對信息或資源的破壞,從而造成巨大的經(jīng)濟損失。了解常見的攻擊和威脅類型,以及在策略上為了確保一定程度的網(wǎng)絡(luò)安全所能采取的行動對數(shù)據(jù)中心的管理者和決策者來說是十分重要的。

通常我們面臨的安全威脅可能是不同類型的。當(dāng)一個未經(jīng)授權(quán)的實體通過Inter net接入、線路竊聽、遠(yuǎn)程撥號等方式獲得了對資源的訪問權(quán)限,那么安全威脅來自未經(jīng)授權(quán)的訪問。未經(jīng)授權(quán)的訪問可能是非惡意的行為,但如果攻擊者通過偷竊密鑰、記錄授權(quán)序列并重放等方式偽造憑證來冒充合法用戶,從而獲得對系統(tǒng)或服務(wù)的訪問權(quán),并破壞系統(tǒng)架構(gòu)或篡改信息資源,那么這樣的未授權(quán)訪問就是惡意仿冒。惡意的仿冒可能是破壞性的,因為它繞過了為層次化授權(quán)訪問而創(chuàng)建的信任關(guān)系。

威脅還可能來自DoS(拒絕服務(wù))和DDOS(分布式拒絕服務(wù))等網(wǎng)絡(luò)攻擊。但是,攻擊不僅僅面向應(yīng)用層進(jìn)行,還可能針對傳統(tǒng)的網(wǎng)絡(luò)層和物理層。在數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境中,服務(wù)的中斷和信息資產(chǎn)的丟失可能對網(wǎng)絡(luò)正常運行造成巨大影響。

2 數(shù)據(jù)中心的安全策略

安全策略是賦予了組織機構(gòu)技術(shù)和信息資產(chǎn)使用權(quán)的人員必須遵守的準(zhǔn)則和正規(guī)陳述。安全策略不一定就能使網(wǎng)絡(luò)更安全,但我們可以根據(jù)對于策略的一致性的衡量來判斷網(wǎng)絡(luò)的安全程度。安全策略的開發(fā)主要由業(yè)務(wù)需求分析和風(fēng)險分析來驅(qū)動。通過了解組織機構(gòu)的業(yè)務(wù)目標(biāo),安全策略的設(shè)計者才能了解信息資產(chǎn)及其可能受到的威脅對組織的重要性。進(jìn)一步的風(fēng)險分析,可以讓設(shè)計者從全局的高度了解并衡量安全事件產(chǎn)生的成本和減輕這些安全威脅的成本。

在開發(fā)安全策略的過程中,總體策略、標(biāo)準(zhǔn)和最佳實踐是常見的策略文檔?？傮w策略一般具有廣泛的實現(xiàn)性,是實現(xiàn)安全策略的最低要求。標(biāo)準(zhǔn)通常情況下是策略和操作指導(dǎo)的參考,它是一套最基本的操作準(zhǔn)則。最佳實踐是經(jīng)過長期經(jīng)驗積累總結(jié)出的一套更適合企業(yè)自身業(yè)務(wù)特點的指導(dǎo)方針。安全策略的開發(fā)應(yīng)該由一個團隊來完成,包括數(shù)據(jù)中心系統(tǒng)管理員,高層決策人員,用戶代表和其他該組織機構(gòu)的代表。

3 網(wǎng)絡(luò)安全技術(shù)與設(shè)備

在數(shù)據(jù)中心內(nèi)部,無論是網(wǎng)絡(luò)基礎(chǔ)設(shè)施,業(yè)務(wù)系統(tǒng)還是其他輔助設(shè)備,規(guī)模都非常龐大且復(fù)雜。安全的管理是非常困難的,但只要你的安全策略匹配了最佳實踐,同時構(gòu)建了合理的安全技術(shù),通過安全策略與安全技術(shù)的有效結(jié)合,你將在數(shù)據(jù)中心內(nèi)部建立一套相對安全的系統(tǒng)。

3.1 身份識別

在網(wǎng)絡(luò)上用戶的身份可以映射為一些不同的元素,如用戶名、密碼、智能卡、PKI、地址、生物特征識別等。在數(shù)據(jù)中心內(nèi)部,身份識別技術(shù)在管理架構(gòu)中運用廣泛,主要作用是確保管理員登錄的可靠性,防止非法用戶訪問數(shù)據(jù)中心內(nèi)部系統(tǒng)。如果非法用戶盜用了管理員帳號或通過其他手段獲取了數(shù)據(jù)中心的訪問權(quán)限也可能產(chǎn)生安全性問題。所以,通常情況下身份識別還需要與加密技術(shù)和安全策略配合來提供更高的安全性。

3.2 防火墻

防火墻的本質(zhì)功能就是實現(xiàn)網(wǎng)絡(luò)隔離,通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離。實現(xiàn)網(wǎng)絡(luò)防火墻的基本技術(shù)是IP包過濾。ACL是一種簡單可靠的技術(shù),應(yīng)用在路由器或交換機上可實現(xiàn)最基本的IP包過濾,但單純的ACL包過濾缺乏一定的靈活性。

狀態(tài)防火墻設(shè)備將狀態(tài)檢測技術(shù)應(yīng)用在ACL技術(shù)上,通過對連接狀態(tài)的檢測,動態(tài)的發(fā)現(xiàn)應(yīng)該打開的端口,保證在通信的過程中動態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻。狀態(tài)防火墻還采用基于流的狀態(tài)檢測技術(shù),即增強了安全性又提供了更高的轉(zhuǎn)發(fā)性能,因為基于ACL的包過濾技術(shù)是逐包檢測的,這樣當(dāng)規(guī)則非常多的時候包過濾防火墻的性能會變得比較低下,而基于流的狀態(tài)防火墻可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻,這樣就可以利用流的狀態(tài)信息決定對數(shù)據(jù)包的處理結(jié)果加快了轉(zhuǎn)發(fā)性能。

3.3 入侵檢測

傳統(tǒng)的網(wǎng)絡(luò)安全解決方案如防火墻、IDS等,已經(jīng)不能滿足網(wǎng)絡(luò)安全技術(shù)和形勢的發(fā)展需求了。各種蠕蟲、病毒、應(yīng)用層攻擊技術(shù)和EMAIL、移動代碼結(jié)合,形成復(fù)合攻擊手段,使威脅更加危險和難以抵御。這些復(fù)合威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用,給企業(yè)帶來了重大損失。

IPS(入侵防御系統(tǒng))可以針對應(yīng)用流量做深度分析與檢測能力,同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則,即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為,也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理,通過主動阻止攻擊達(dá)到對網(wǎng)絡(luò)應(yīng)用的保護(hù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)和網(wǎng)絡(luò)性能的保護(hù)。

3.4 加密技術(shù)

加密可以在網(wǎng)絡(luò)的不同層次進(jìn)行,在鏈路層加密可以通過WEP(有限對等保密)或?qū)Ｓ玫募用芷鱽韺崿F(xiàn)。不過數(shù)據(jù)中心內(nèi)部常用到的是網(wǎng)絡(luò)層加密和應(yīng)用層加密, IPSec是常見的網(wǎng)絡(luò)層加密技術(shù),可以在多種模式下運行提供全面的加密、認(rèn)證和完整性保護(hù)。IPSec實現(xiàn)了站點到站點或客戶PC到站點等靈活的部署方式,管理者關(guān)注的重點可能是IPSec網(wǎng)關(guān)的性能和數(shù)量等,因為在數(shù)據(jù)中心環(huán)境中,可靠性和擴展性是必須考慮的關(guān)鍵要素。基于應(yīng)用的需要,L4到L7的加密也是數(shù)據(jù)中心網(wǎng)絡(luò)安全部署中需要考慮的技術(shù),尤其是在基于Web通信為主的網(wǎng)站數(shù)據(jù)中心應(yīng)用場景中。SSL與IPSec一樣為用戶提供了一套完善的認(rèn)證加密機制,而且不僅僅限于HTTP層的保護(hù),現(xiàn)有的SSL技術(shù)還可以提供基于TCP層和IP層的加密保護(hù),為用戶提供更多的選擇性。

4 結(jié)語

數(shù)據(jù)集中是管理集約化、精細(xì)化的必然要求,是企業(yè)優(yōu)化業(yè)務(wù)流程、管理流程的必要手段。目前,數(shù)據(jù)集中已經(jīng)成為國內(nèi)電子政務(wù)、企業(yè)信息化建設(shè)的發(fā)展趨勢。數(shù)據(jù)中心的建設(shè)成為數(shù)據(jù)集中趨勢下的必然要求。

參考文獻(xiàn)

[1] 章潔如.數(shù)據(jù)中心的安全分析.中國數(shù)據(jù)通信,2001(10).

[2] 劉佳,杜雪濤,等.互聯(lián)網(wǎng)數(shù)據(jù)中心安全解決方案.電信工程技術(shù)與標(biāo)準(zhǔn)化,2010(2).