安全性對于數(shù)據(jù)中心的重要性不言而喻,尤其是人們對信息安全愈加重視的今天,安全事件無小事,一旦數(shù)據(jù)中心出現(xiàn)了嚴(yán)重的安全問題,對于數(shù)據(jù)中心造成的損失是無法估量的。數(shù)據(jù)中心的安全是圍繞數(shù)據(jù)為核心,從數(shù)據(jù)的訪問、使用、破壞、修改、丟失、泄漏等多方面維度展開,因此也衍生出很多技術(shù)方法。從軟件到硬件,從網(wǎng)絡(luò)邊緣到核心,從數(shù)據(jù)中心入口到出口,只要有數(shù)據(jù)的地方都可以部署安全設(shè)備。不少的數(shù)據(jù)中心安全設(shè)備部署了很多,但是依然會(huì)不斷受到攻擊,原因?yàn)楹??其?shí)數(shù)據(jù)中心安全是一個(gè)系統(tǒng)工程,不是部署幾臺防火墻就可以應(yīng)付了,需要進(jìn)行詳細(xì)的安全方案設(shè)計(jì),讓安全的方案滲透到數(shù)據(jù)中心的每個(gè)環(huán)節(jié),才能確保數(shù)據(jù)中心的數(shù)據(jù)安全。那么應(yīng)該如何進(jìn)行數(shù)據(jù)中心安全設(shè)計(jì),本文將揭曉詳細(xì)答案。
數(shù)據(jù)中心安全需要從全局和架構(gòu)的高度進(jìn)行統(tǒng)一設(shè)計(jì),目前國際上最新的,也是獲得普遍認(rèn)可的是由美國國家安全局制定的“信息保障技術(shù)框架IATF”,IATF是由美國國家安全局組織專家編寫的一個(gè)全面描述信息安全保障體系的框架,提出了信息保障時(shí)代信息基礎(chǔ)設(shè)施的全套安全需求,它提出了一個(gè)通用的框架,為信息數(shù)據(jù)設(shè)計(jì)了四道安全防火墻:網(wǎng)絡(luò)和基礎(chǔ)設(shè)施,對網(wǎng)絡(luò)和基礎(chǔ)設(shè)計(jì)進(jìn)行防護(hù);飛地邊界,解決邊界保護(hù)問題;局域計(jì)算環(huán)境,實(shí)現(xiàn)主機(jī)的計(jì)算環(huán)境保護(hù);支撐性基礎(chǔ)設(shè)施,安全的信息環(huán)境所需要的支撐平臺。IATF對于數(shù)據(jù)中心當(dāng)然同樣適用,不過四道防火墻這樣描述看起來非常抽象,不好理解,也不知道該具體如何入手,下面將進(jìn)行詳細(xì)講解。
首先來說說對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的防護(hù),這個(gè)指的是數(shù)據(jù)中心的網(wǎng)絡(luò)部分。數(shù)據(jù)中心里有大量的網(wǎng)絡(luò)設(shè)備,這些網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)了所有設(shè)備的互聯(lián)互通,在數(shù)據(jù)中心里起非常大的作用,所有的數(shù)據(jù)都需要經(jīng)過這些設(shè)備進(jìn)行傳輸,一旦有設(shè)備發(fā)生了數(shù)據(jù)泄露,后果很壞,所以要從數(shù)據(jù)中心網(wǎng)絡(luò)入手,加強(qiáng)對網(wǎng)絡(luò)中的交換機(jī)、路由器、無線WiFi等網(wǎng)絡(luò)設(shè)備的防護(hù)。具體的要及時(shí)升級這些設(shè)備的軟件版本,要和設(shè)備商確認(rèn)設(shè)備軟件系統(tǒng)是否存在安全漏洞,尤其是有些設(shè)備默認(rèn)留一些后門,隱藏執(zhí)行命令,還有一些服務(wù)端口被默認(rèn)打開,這些往往是最容易被入侵的地方,所以一定要了解清楚設(shè)備是否存在這些漏洞,如果存在及時(shí)進(jìn)行軟件更新;周期性地更換這些設(shè)備的訪問密碼,避免被盜;定期對設(shè)備進(jìn)行巡檢,發(fā)現(xiàn)隱患及時(shí)消除,尤其是各種網(wǎng)絡(luò)協(xié)議攻擊,可能會(huì)造成網(wǎng)絡(luò)癱瘓,從而入侵應(yīng)用系統(tǒng),竊取數(shù)據(jù)。
其次是邊界保護(hù),這是指在數(shù)據(jù)中心的出入口。數(shù)據(jù)中心的數(shù)據(jù)有輸入和輸出兩大出口,一定要做好數(shù)據(jù)過濾與檢查。具體的技術(shù)實(shí)現(xiàn)有很多,比如防火墻、VPN、邊界共享交換、遠(yuǎn)程訪問、多域方案、移動(dòng)代碼、安全隔離等等,這些安全技術(shù)主要是通過硬件設(shè)備實(shí)現(xiàn),實(shí)現(xiàn)數(shù)據(jù)流量的粗過濾,主要設(shè)備包括有防火墻、負(fù)載均衡設(shè)備、入侵檢測設(shè)備、NAT設(shè)備、統(tǒng)一網(wǎng)關(guān)等設(shè)備,這些設(shè)備都需要部署在數(shù)據(jù)中心的數(shù)據(jù)出入口,做好數(shù)據(jù)出入檢查。當(dāng)然有這個(gè)還遠(yuǎn)遠(yuǎn)不夠。我們在生活中也看到,很多小區(qū)出入的地方都有保安,可還是不斷發(fā)生各種入室盜竊甚至更為嚴(yán)重的刑事案件,所以數(shù)據(jù)中心也不能完全靠邊界保護(hù),還需要從內(nèi)容上進(jìn)行保護(hù),就是主機(jī)的保護(hù)。
第三是主機(jī)保護(hù),這是指從數(shù)據(jù)中心服務(wù)器入手。數(shù)據(jù)中心里所有的應(yīng)用業(yè)務(wù)都是部署在服務(wù)器上的,數(shù)據(jù)中心里的服務(wù)器設(shè)備數(shù)量最多,也是存在系統(tǒng)漏洞最多的地方,很多攻擊都是針對服務(wù)器發(fā)起的,一旦越過了邊界和網(wǎng)絡(luò)保護(hù),那服務(wù)器就危險(xiǎn)了,所以這時(shí)服務(wù)器一定不能裸奔,不然一定會(huì)走光的。服務(wù)器上能做的保護(hù)主要側(cè)重于軟件,比如操作系統(tǒng)的防護(hù),做生物認(rèn)證,安全Web,令牌,病毒軟件等等,這些技術(shù)都是對服務(wù)器里的數(shù)據(jù)進(jìn)行保護(hù)的,廣為人知的有360、趨勢科技、瑞星、諾頓等軟件,這些軟件會(huì)不斷更新病毒庫,針對新的病毒類型進(jìn)行防護(hù),服務(wù)器上安裝了這些防護(hù)軟件,就可以實(shí)時(shí)更新軟件包,及時(shí)對系統(tǒng)進(jìn)行保護(hù),防止被攻破系統(tǒng)。絕大多數(shù)的攻擊都是針對系統(tǒng)漏洞實(shí)施的,對系統(tǒng)漏洞進(jìn)行及時(shí)修復(fù),并不斷更新安全軟件,就可以有效避免受攻擊。
最后是支撐平臺,這是指要建立完善的準(zhǔn)入系統(tǒng),對各種數(shù)據(jù)中心訪問進(jìn)行控制和檢查。比如:PKI認(rèn)證、證書管理、密碼管理等。比如我們在訪問銀行網(wǎng)站的時(shí)候,進(jìn)行網(wǎng)絡(luò)交易時(shí),都需要下載證書,這個(gè)就是對網(wǎng)絡(luò)訪問進(jìn)行加密,確保訪問是安全的,只有網(wǎng)絡(luò)兩邊的證書對上才能進(jìn)行訪問,證書管理都用在銀行的數(shù)據(jù)中心系統(tǒng)中。通過這些支撐平臺,對訪問進(jìn)行控制,訪問攻擊進(jìn)入,破化系統(tǒng)或者獲取機(jī)密數(shù)據(jù)。如今的各種準(zhǔn)入認(rèn)證技術(shù)已經(jīng)較為成熟,安全漏洞偶有爆出,但一般影響范圍不大,而且這些認(rèn)證技術(shù)也在不斷地完善,在數(shù)據(jù)中心里應(yīng)該大力推廣使用,消除應(yīng)用系統(tǒng)受攻擊的風(fēng)險(xiǎn)。
四道安全防火墻涵蓋了數(shù)據(jù)中心安全的方方面面,形成一個(gè)全面的、有針對性的安全防護(hù)系統(tǒng)。正如IATF技術(shù)解釋說明的那樣,它從人、技術(shù)和操作三個(gè)方面共同實(shí)現(xiàn)了信息安全的防護(hù)。通過部署這四道防火墻,將大大增加數(shù)據(jù)中心的安全防護(hù)能力,目前是數(shù)據(jù)中心安全領(lǐng)域最為普遍的做法,將極大地增強(qiáng)數(shù)據(jù)中心的數(shù)據(jù)安全性。