安全性对于数据中心的重要性不言而喻,尤其是人们对信息安全愈加重视的今天,安全事件无小事,一旦数据中心出现了严重的安全问题,对于数据中心造成的损失是无法估量的。数据中心的安全是围绕数据为核心,从数据的访问、使用、破坏、修改、丢失、泄漏等多方面维度展开,因此也衍生出很多技术方法。从软件到硬件,从网络边缘到核心,从数据中心入口到出口,只要有数据的地方都可以部署安全设备。不少的数据中心安全设备部署了很多,但是依然会不断受到攻击,原因为何?其实数据中心安全是一个系统工程,不是部署几台防火墙就可以应付了,需要进行详细的安全方案设计,让安全的方案渗透到数据中心的每个环节,才能确保数据中心的数据安全。那么应该如何进行数据中心安全设计,本文将揭晓详细答案。
数据中心安全需要从全局和架构的高度进行统一设计,目前国际上最新的,也是获得普遍认可的是由美国国家安全局制定的“信息保障技术框架IATF”,IATF是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架,提出了信息保障时代信息基础设施的全套安全需求,它提出了一个通用的框架,为信息数据设计了四道安全防火墙:网络和基础设施,对网络和基础设计进行防护;飞地边界,解决边界保护问题;局域计算环境,实现主机的计算环境保护;支撑性基础设施,安全的信息环境所需要的支撑平台。IATF对于数据中心当然同样适用,不过四道防火墙这样描述看起来非常抽象,不好理解,也不知道该具体如何入手,下面将进行详细讲解。
首先来说说对网络和基础设施的防护,这个指的是数据中心的网络部分。数据中心里有大量的网络设备,这些网络设备实现了所有设备的互联互通,在数据中心里起非常大的作用,所有的数据都需要经过这些设备进行传输,一旦有设备发生了数据泄露,后果很坏,所以要从数据中心网络入手,加强对网络中的交换机、路由器、无线WiFi等网络设备的防护。具体的要及时升级这些设备的软件版本,要和设备商确认设备软件系统是否存在安全漏洞,尤其是有些设备默认留一些后门,隐藏执行命令,还有一些服务端口被默认打开,这些往往是最容易被入侵的地方,所以一定要了解清楚设备是否存在这些漏洞,如果存在及时进行软件更新;周期性地更换这些设备的访问密码,避免被盗;定期对设备进行巡检,发现隐患及时消除,尤其是各种网络协议攻击,可能会造成网络瘫痪,从而入侵应用系统,窃取数据。
其次是边界保护,这是指在数据中心的出入口。数据中心的数据有输入和输出两大出口,一定要做好数据过滤与检查。具体的技术实现有很多,比如防火墙、VPN、边界共享交换、远程访问、多域方案、移动代码、安全隔离等等,这些安全技术主要是通过硬件设备实现,实现数据流量的粗过滤,主要设备包括有防火墙、负载均衡设备、入侵检测设备、NAT设备、统一网关等设备,这些设备都需要部署在数据中心的数据出入口,做好数据出入检查。当然有这个还远远不够。我们在生活中也看到,很多小区出入的地方都有保安,可还是不断发生各种入室盗窃甚至更为严重的刑事案件,所以数据中心也不能完全靠边界保护,还需要从内容上进行保护,就是主机的保护。
第三是主机保护,这是指从数据中心服务器入手。数据中心里所有的应用业务都是部署在服务器上的,数据中心里的服务器设备数量最多,也是存在系统漏洞最多的地方,很多攻击都是针对服务器发起的,一旦越过了边界和网络保护,那服务器就危险了,所以这时服务器一定不能裸奔,不然一定会走光的。服务器上能做的保护主要侧重于软件,比如操作系统的防护,做生物认证,安全Web,令牌,病毒软件等等,这些技术都是对服务器里的数据进行保护的,广为人知的有360、趋势科技、瑞星、诺顿等软件,这些软件会不断更新病毒库,针对新的病毒类型进行防护,服务器上安装了这些防护软件,就可以实时更新软件包,及时对系统进行保护,防止被攻破系统。绝大多数的攻击都是针对系统漏洞实施的,对系统漏洞进行及时修复,并不断更新安全软件,就可以有效避免受攻击。
最后是支撑平台,这是指要建立完善的准入系统,对各种数据中心访问进行控制和检查。比如:PKI认证、证书管理、密码管理等。比如我们在访问银行网站的时候,进行网络交易时,都需要下载证书,这个就是对网络访问进行加密,确保访问是安全的,只有网络两边的证书对上才能进行访问,证书管理都用在银行的数据中心系统中。通过这些支撑平台,对访问进行控制,访问攻击进入,破化系统或者获取机密数据。如今的各种准入认证技术已经较为成熟,安全漏洞偶有爆出,但一般影响范围不大,而且这些认证技术也在不断地完善,在数据中心里应该大力推广使用,消除应用系统受攻击的风险。
四道安全防火墙涵盖了数据中心安全的方方面面,形成一个全面的、有针对性的安全防护系统。正如IATF技术解释说明的那样,它从人、技术和操作三个方面共同实现了信息安全的防护。通过部署这四道防火墙,将大大增加数据中心的安全防护能力,目前是数据中心安全领域最为普遍的做法,将极大地增强数据中心的数据安全性。
