現(xiàn)如今的數(shù)據(jù)中心管理人員們正面臨著一個重大的挑戰(zhàn):他們需要在不影響新的數(shù)據(jù)中心環(huán)境所帶來的性能和功能的前提下,確保數(shù)據(jù)中心的安全運營。許多企業(yè)組織都在使用為互聯(lián)網(wǎng)邊緣設計的解決方案來加強數(shù)據(jù)中心的安全,但這些解決方案是不夠的。本文中,我們將為廣大讀者朋友們介紹關于您企業(yè)組織可以借鑒,用以確保您的數(shù)據(jù)中心在今天安全運營所需要采取的5大步驟。
鑒于每家企業(yè)組織的數(shù)據(jù)中心都圍繞著其獨特的業(yè)務需求有著特殊具體的配置、性能、虛擬化、應用程序和流量要求,而網(wǎng)絡邊緣的安全設備根本不是旨在解決上述這些具體特殊要求的。
確保一家數(shù)據(jù)中心的安全運營所需要的一套解決方案必須具備如下條件:
● 提供對于自定義的數(shù)據(jù)中心應用程序的可視化和控制
● 處理設備和數(shù)據(jù)中心之間的非對稱流量和應用程序交易
● 適應數(shù)據(jù)中心的不斷發(fā)展的需求,如:虛擬化、軟件定義的網(wǎng)絡(SDN)、網(wǎng)絡功能虛擬化(NFV)、思科的以應用程序為中心的基礎設施(ACIS)等等
● 解決整個連續(xù)攻擊:包括在攻擊發(fā)生之前、期間和之后
● 跨整個網(wǎng)絡整合安全部署
支持地理上的分散DC流量和部署,包括私有、公共和云環(huán)境
安全威脅攻擊的首要目標:數(shù)據(jù)中心
許多現(xiàn)代的網(wǎng)絡犯罪活動是專門旨在以數(shù)據(jù)中心為攻擊目標而設計的,因為這些數(shù)據(jù)中心都托管和處理著海量高價值的數(shù)據(jù)信息,包括個人客戶數(shù)據(jù)資料、財務信息和企業(yè)知識產(chǎn)權等(1)。故而確保數(shù)據(jù)中心的安全運營是一項挑戰(zhàn)。非對稱的業(yè)務流量、定制化的應用程序、需要被路由到計算層之外并達到數(shù)據(jù)中心周邊以便進行檢查的高流量數(shù)據(jù)、跨多個hypervisor的虛擬化、以及地理上分散的數(shù)據(jù)中心,所有這一切,都使得利用那些不是設計用于該目的,但卻又被用來確保數(shù)據(jù)中心安全運營的解決方案實施起來異常困難。其結果是:在安全方案覆蓋范圍方面存在空白、對數(shù)據(jù)中心性能造成嚴重的影響、乃至犧牲數(shù)據(jù)中心的功能以適應安全的限制、并通過提供復雜的安全解決方案,削弱并破壞了數(shù)據(jù)中心根據(jù)實際業(yè)務需求而動態(tài)地配置資源的能力。
而與此同時,數(shù)據(jù)中心又是在不斷發(fā)展演變的,其正在從物理環(huán)境遷移到虛擬環(huán)境,再到下一代的諸如SDN和ACI的環(huán)境中。數(shù)據(jù)中心的流量已經(jīng)呈現(xiàn)出了幾何級的成倍增長,而這在很大程度上是由云服務利用率的增加和物聯(lián)網(wǎng)(IoT)環(huán)境的興起所推動的,其中互聯(lián)網(wǎng)和網(wǎng)絡已經(jīng)擴展到了諸如制造車間、能源網(wǎng)格、醫(yī)療設施和運輸?shù)阮I域。
而根據(jù)思科的預測,到2017年,全球76%的數(shù)據(jù)中心流量將保留在數(shù)據(jù)中心內(nèi),并將很大程度上是在虛擬環(huán)境中由存儲、生產(chǎn)和開發(fā)數(shù)據(jù)所生成的(2)。而早在2015年3月底,市場調(diào)研機構Gartner公司就曾經(jīng)預測,數(shù)據(jù)中心連接每秒增加3000%。
現(xiàn)代數(shù)據(jù)中心已經(jīng)為企業(yè)提供了大量的應用程序、服務和解決方案。許多企業(yè)組織都需要依賴于分散在各個不同地理位置的數(shù)據(jù)中心所部署的服務,以支持他們不斷增長的云計算和流量需求。他們還需要解決戰(zhàn)略方面的舉措,如大數(shù)據(jù)分析和業(yè)務連續(xù)性管理,使數(shù)據(jù)中心成為其企業(yè)骨干的一個更為關鍵的部分。但這也進一步使得數(shù)據(jù)中心的資源成為了惡意攻擊者們設計越來越復雜的安全威脅以逃避檢測,進而對數(shù)據(jù)中心進行攻擊的主要目標。所有這一切,都意味著數(shù)據(jù)中心的安全團隊實施數(shù)據(jù)中心的監(jiān)控和保護將變得更加困難。
數(shù)據(jù)中心管理人員及他們的團隊所面臨的另一個復雜的問題是:配置和性能嚴重影響和限制了安全解決方案如何充分發(fā)揮作用,如下一代防火墻的部署,及其所能夠檢查的流量。安全解決方案不能破壞數(shù)據(jù)中心的性能。在今天的數(shù)據(jù)中心,安全配置必須在幾小時或幾分鐘內(nèi)完成,而不是花費幾天或幾周的時間。而性能則必須是動態(tài)擴展的,以處理大量突發(fā)的高流量。
加強數(shù)據(jù)中心安全的5大步驟:
綜合的加強數(shù)據(jù)中心的安全需要一套深度的防御方法,企業(yè)組織可以從五個關鍵領域著手實現(xiàn)。其安全防御解決方案必須:
1、提供對于自定義數(shù)據(jù)中心應用程序的可視化和控制。數(shù)據(jù)中心管理人員們所需要的對于自定義數(shù)據(jù)中心的應用程序的可視化和控制,不僅僅只是包括了傳統(tǒng)的基于網(wǎng)絡的應用程序(例如,F(xiàn)acebook和Twitter),還涉及到微應用(microapplication)的傳統(tǒng)網(wǎng)絡邊緣安全設備檢測。大多數(shù)下一代防火墻都是設計用于檢查流經(jīng)互聯(lián)網(wǎng)邊緣的流量類型,但并不確保這些自定義的數(shù)據(jù)中心應用程序的安全。
2、管理設備或數(shù)據(jù)中心之間的非對稱的業(yè)務流量和應用程序交易。安全解決方案必須能夠與數(shù)據(jù)中心的架構充分整合,而不是簡單地處在邊緣。邊緣的解決方案不能檢查南北走向的(入站出站)流量和東西走向(跨應用程序)的流量,而后者則代表了今天的數(shù)據(jù)中心流量的絕大部分。如果應用程序的流量必須被發(fā)送到數(shù)據(jù)中心外圍邊界的下一代防火墻,以便在檢查之后再發(fā)送回計算機層,那么,解決方案將逐漸削弱現(xiàn)代數(shù)據(jù)中心所要求的動態(tài)流量。
許多下一代防火墻都無法保護非對稱流量。在非對稱路由中,典型的到達數(shù)據(jù)中心的一個數(shù)據(jù)包在返回到其數(shù)據(jù)源時,將選擇不同的路徑。這成為了許多下一代防火墻的一個問題,因為他們是專為沿一個單一的、可預測的路徑而對流量進行跟蹤,檢查和管理設計的。
數(shù)據(jù)中心的安全性解決方案還必須能夠處理在數(shù)據(jù)中心或設備之間的應用程序交易,包括在虛擬設備之間。虛擬設備與物理設備是一樣脆弱的,但數(shù)據(jù)中心的安全解決方案也必須能夠處理虛擬環(huán)境的獨特安全挑戰(zhàn),包括創(chuàng)造、拆卸、和遷移恒定的工作負載。
3、適應數(shù)據(jù)中心的不斷發(fā)展的需求。隨著數(shù)據(jù)中心環(huán)境從物理環(huán)境遷移到虛擬環(huán)境再到下一代的SDN和ACI模式,其安全解決方案也必須能夠動態(tài)地擴展,并提供持續(xù)一致的安全保護,以便能夠跨不同的演變階段和各種混合的數(shù)據(jù)中心環(huán)境而無縫工作。在這些新的數(shù)據(jù)中心模式下,虛擬和物理設備正在被快速的配置,安全規(guī)則的失控可能會迅速擴大。訪問控制列表(ACL)管理對于很多IT團隊而言都已經(jīng)是一大挑戰(zhàn)了。
新設備的配置需要自動執(zhí)行,這樣可以使得其部署時間可以從幾天減少到幾分鐘,同時還無需擔心產(chǎn)生不安全的后果。同樣,還需要有能夠跨多處混合的數(shù)據(jù)中心部署一款單一的安全解決方案的能力,許多多虛擬機管理程序(虛擬機監(jiān)視器)允許企業(yè)組織數(shù)據(jù)中心的IT團隊能夠?qū)W⒂跀?shù)據(jù)中心的功能,而無需承擔安全方面的行政開銷。
4、解決整個連續(xù)攻擊:包括在攻擊發(fā)生之前、期間和之后。傳統(tǒng)的安全方法僅僅只為數(shù)據(jù)中心的環(huán)境提供了有限的威脅意識和可視化,并主要集中在數(shù)據(jù)中心外圍實施攻擊阻擋方面。而覆蓋整個連續(xù)攻擊過程的則需要借助一套安全保護解決方案跨一個廣泛的攻擊向量針對無處不在的安全威脅實施監(jiān)控,包括:在網(wǎng)絡上,在端點上,在移動設備上,以及在虛擬環(huán)境中。一套全面的,以積極應對安全威脅為中心的方法,確保數(shù)據(jù)中心的安全,包括在安全攻擊發(fā)生之前,期間和之后的防御保護都是必要的,進而才能保護現(xiàn)代數(shù)據(jù)中心及其專門的流量。
傳統(tǒng)的下一代防火墻針對識別和減輕那些設計用于繞過防御措施的隱蔽攻擊幾乎沒有提供任何解決方案,其在這些隱蔽攻擊停止后也不能提供補救和分析,無法跟蹤和確保數(shù)據(jù)中心非對稱流量的安全。他們幾乎完全是防御性的工具,但卻不能抵御新興的,針對有漏洞的服務器,獨特的應用程序和有價值的數(shù)據(jù)所進行的未知的安全威脅。
5、保護整個網(wǎng)絡。任何數(shù)據(jù)中心安全解決方案都必須認識到遠程用戶有直接連接到某個關鍵的數(shù)據(jù)中心資源的需要。故而該安全解決方案需要在遠程用戶和數(shù)據(jù)中心資源之間提供透明度,但其仍然是一個復雜的網(wǎng)絡環(huán)境的一部分,只是通過分支辦事處,跨核心擴展進入到了數(shù)據(jù)中心,并向外延伸到了云計算。安全解決方案必須是數(shù)據(jù)中心架構的一部分,以及一套更廣泛的、可以同時看到基于網(wǎng)絡的安全威脅和以數(shù)據(jù)中心為攻擊目標、還能夠跨整個數(shù)據(jù)路徑提供無縫的保護的解決方案一部分。
數(shù)據(jù)中心的安全是不同的。為了切實保護現(xiàn)代數(shù)據(jù)中心,新的數(shù)據(jù)中心模型正在出現(xiàn),企業(yè)組織不能僅僅單只靠一個下一代的防火墻。他們需要一套全面的、綜合性的安全戰(zhàn)略和架構,以便可以提供跨整個分布式網(wǎng)絡、一致的、智能型的安全保護,從邊緣到數(shù)據(jù)中心再到云環(huán)境,而且不會破壞數(shù)據(jù)中心的性能。
保護現(xiàn)代數(shù)據(jù)中心
思科提供了強大的工具來捍衛(wèi)當今不斷發(fā)展的數(shù)據(jù)中心環(huán)境,而不僅僅是在數(shù)據(jù)中心邊緣的保護。創(chuàng)新的思科自適應安全設備( Adaptive Security Appliances ,ASA)解決方案,是專門為確保數(shù)據(jù)中心的物理和虛擬環(huán)境的安全性而設計的,并允許企業(yè)組織能夠無縫的從傳統(tǒng)數(shù)據(jù)中心遷移到下一代數(shù)據(jù)中心,進而實現(xiàn)面向未來的部署,投資保護和綜合保護。思科ASA平臺的新增包括:
思科自適應安全虛擬設備( Adaptive Security Virtual Appliance,ASAv):思科ASAv是一款完整的思科ASA防火墻功能設置的虛擬版,結合了動態(tài)的可擴展性和虛擬環(huán)境的簡化配置。其被設計為運行在各種虛擬機管理程序上,獨立于VMware vSwitch技術,使其成為與思科、混合、和非思科環(huán)境無關的數(shù)據(jù)中心解決方案。在思科ASAv靈活的架構意味著其既可以作為一個傳統(tǒng)的安全網(wǎng)關部署,又可以作為一款針對智能SDN和ACI環(huán)境的,可以動態(tài)地直接縫合到應用程序服務鏈的安全資源。
具備FirePOWER服務的思科ASA 5585-X產(chǎn)品:這是一款專用于數(shù)據(jù)中心的安全設備,完全支持傳統(tǒng)、SDN和ACI的數(shù)據(jù)中心環(huán)境,該款思科ASA 5585-X自適應安全設備具備FirePOWER服務功能,能夠提供先進的防火墻和下一代的IP安全功能,包括探測功能和檢查自定義的數(shù)據(jù)中心應用程序,以及一些增強的性能和配置能力。其為多達16個節(jié)點提供了先進的集群功能,640 Gbps的數(shù)據(jù)中心級性能可以部署在多處數(shù)據(jù)中心。集群解決方案可以作為一款單一的設備管理,以顯著降低管理開銷。與ASAv一樣,這款5585-X產(chǎn)品也被設計可在傳統(tǒng)的和下一代數(shù)據(jù)中心環(huán)境如SDN、NFV、和ACI下工作,提供跨混合環(huán)境的一致的安全性和對于正在遷移的數(shù)據(jù)中心的無縫保護。
思科FirePOWER下一代IPS:FirePOWER是市場領先的NGIPS,可作為一款物理或虛擬解決方案,識別和評估連接到數(shù)據(jù)中心的資源,并監(jiān)控可疑的網(wǎng)絡活動。對于文檔活動的監(jiān)測和控制是近乎實時的,而對于某些特定文件(特別是可能被惡意軟件攻擊的未知的文件)則將通過沙盒接受進一步的分析(文件隔離和行為分析),或在云中查看(在大社區(qū)進行智能檢查)。這樣的方法可以進行細粒度的分析和應對關鍵數(shù)據(jù)中心流量的響應。
思科所提供的有助于提供全面的數(shù)據(jù)中心的安全保護的其他的解決方案包括:
思科身份服務引擎(Identity Services Engine,ISE)和TrustSec:IT團隊可以隨著新設備或用戶通過UCS director添加到數(shù)據(jù)中心環(huán)境,而動態(tài)地創(chuàng)建、分享、和執(zhí)行安全策略。ISE可以將包含安全政策和實施規(guī)則的安全組標簽直接附加進入個人數(shù)據(jù)包。此外,該安全標簽使得數(shù)據(jù)中心可以基于用戶和設備的角色作用對其進行細分,而沒有與VLAN和ACL相關的難題開銷。
思科Snort OpenAppID技術:IT團隊可以創(chuàng)造、分享、部署應用程序檢測,并借助思科Snort OpenAppID技術數(shù)據(jù)中心自定義的應用程序開發(fā)自定義的規(guī)則。這是一款SnortTM的開源、面向應用程序的語言檢測和進程模塊,其入侵防御系統(tǒng)(IPS)和入侵檢測系統(tǒng)(IDS)由Sourcefire公司開發(fā),該公司現(xiàn)在已被思科收購。思科OpenAppID與Snort框架完全集成,為管理員們提供了對于在他們的網(wǎng)絡中的應用程序的更深刻的認識。Snort的用戶可以利用思科OpenAppID探測器探測和識別應用程序及應用程序的有關使用情況。思科OpenAppID提供應用層與安全相關的事件,并有助于提高分析和修復速度。使得Snort阻止或檢測某些應用程序發(fā)出警報,有助于通過管理總的威脅面,以降低風險。
思科FireAMPTM和FireSIGHTTM解決方案:先進的惡意軟件分析和保護都需要借助一套全面的,以安全威脅為中心的方法,以便在網(wǎng)絡攻擊發(fā)生之前、期間和之后確保現(xiàn)代數(shù)據(jù)中心的安全。思科FireAMP產(chǎn)品,來自Sourcefire公司,利用大數(shù)據(jù)來檢測、了解、并阻止高級惡意軟件爆發(fā)。其是為其他安全層所錯過的威脅提供阻止所需的可視性和控制的唯一解決方案。并通過將思科FireAMP產(chǎn)品與思科ASA相結合,用戶可以對非對稱的數(shù)據(jù)中心流量的深度檢測和保護。
思科的FireSIGHT,也來自于Sourcefire公司,提供了響應不斷變化的情況和新的攻擊所需的網(wǎng)絡可視性,環(huán)境和自動化。管理員們可以使用Cisco FireSIGHT管理中心集中管理數(shù)百款設備。