部署下一代的防火墻可以保護(hù)進(jìn)出數(shù)據(jù)中心、以及在企業(yè)內(nèi)部的服務(wù)器之間傳輸?shù)木W(wǎng)絡(luò)流量。
現(xiàn)如今的企業(yè)組織可以說是采用了各種各樣的數(shù)據(jù)中心架構(gòu)。有些企業(yè)組織選擇為每款應(yīng)用程序利用專用的物理服務(wù)器,運(yùn)行一個(gè)企業(yè)私有的、單一組織的設(shè)施。其他有的企業(yè)組織則選擇了一款為數(shù)百或數(shù)千家客戶提供虛擬服務(wù)器的公有云設(shè)施。所有這些數(shù)據(jù)中心都有一些共同點(diǎn):均需要保護(hù)他們的應(yīng)用程序和數(shù)據(jù)的安全,進(jìn)而免受越來越多的復(fù)雜的網(wǎng)絡(luò)安全的威脅。
任何數(shù)據(jù)中心安全策略的關(guān)鍵部分都是通過采用了下一代的物理和虛擬防火墻的協(xié)同工作,來監(jiān)控和分析數(shù)據(jù)中心內(nèi)的所有網(wǎng)絡(luò)流量。物理防火墻設(shè)備嘗試跨數(shù)據(jù)中心的網(wǎng)絡(luò)邊界來對流量實(shí)施監(jiān)控,而虛擬防火墻則負(fù)責(zé)檢查流入或流出數(shù)據(jù)中心虛擬服務(wù)器的流量。這種方法為云環(huán)境提供了強(qiáng)大的安全解決方案,但網(wǎng)絡(luò)安全威脅仍然潛在的可能來自其他人所使用的進(jìn)行虛擬服務(wù)的相同的物理服務(wù)器。
數(shù)據(jù)中心的IT領(lǐng)導(dǎo)人們可以在他們的數(shù)據(jù)中心通過戰(zhàn)略性的采用來自相應(yīng)的供應(yīng)廠商的物理防火墻設(shè)備和虛擬防火墻來保護(hù)其數(shù)據(jù)流量免受安全威脅。
數(shù)據(jù)中心的安全威脅
數(shù)據(jù)中心安全的原始模型是基于安全威脅是來自外部的假設(shè)。故而保護(hù)數(shù)據(jù)中心的這些基礎(chǔ)設(shè)施的安全架構(gòu)都主要是專注于在數(shù)據(jù)中心和外部世界之間建立一個(gè)網(wǎng)絡(luò)外圍邊界。而這一外圍邊界的基礎(chǔ)便是一道防火墻,其將負(fù)責(zé)檢查所有的南北走向的流量,這些流量主要是在數(shù)據(jù)中心和互聯(lián)網(wǎng)之間傳輸。防火墻負(fù)責(zé)在這些數(shù)據(jù)流量中尋找違反安全管理策略和所存在的其他可疑活動的跡象。然后,其便采取相應(yīng)的措施,如阻止流量傳輸、標(biāo)記額外的附加信息,并通知操作管理員。
盡管數(shù)據(jù)中心仍然需要排查南北走向的流量,以及時(shí)發(fā)現(xiàn)外部安全威脅,但現(xiàn)在的安全威脅監(jiān)測工作已變得越來越復(fù)雜了。例如,客戶端設(shè)備對于托管在數(shù)據(jù)中心服務(wù)器的數(shù)據(jù)的訪問便構(gòu)成了相當(dāng)大的威脅。在過去,客戶端設(shè)備都是同質(zhì)的、集中管理的臺式電腦,均處于一家企業(yè)組織內(nèi)部,并受到企業(yè)安全控制的保護(hù)。故而彼時(shí)由客戶端設(shè)備所造成的惡意軟件和其他漏洞能夠快速被檢測和糾正。
但現(xiàn)如今的大多數(shù)企業(yè)環(huán)境早已不再是如此了。企業(yè)用戶所采用的客戶端設(shè)備不僅在其操作系統(tǒng)和應(yīng)用程序方面千差萬別,而且這些設(shè)備所存在的安全漏洞、他們使用的安全控制、以及他們連接到企業(yè)IT資源時(shí)所處的地理位置也是廣泛變化的。許多客戶端設(shè)備是企業(yè)用戶的私人的硬件設(shè)備,并經(jīng)常沒有使用任何安全控制。它的這使得現(xiàn)在的企業(yè)IT管理人員們發(fā)現(xiàn),他們不能再假設(shè)從企業(yè)內(nèi)部進(jìn)行訪問的客戶端設(shè)備是絕對處于安全控制之下的了,一旦發(fā)現(xiàn)有用戶使用這些客戶端設(shè)備,也將需要迅速實(shí)施檢測,并根除相應(yīng)的安全威脅。在這個(gè)新的環(huán)境中,每款客戶端設(shè)備都潛在的構(gòu)成了一個(gè)單獨(dú)的安全威脅。
數(shù)據(jù)中心安全威脅的另一大變化是在數(shù)據(jù)中心內(nèi)部的服務(wù)器之間的相互作用。非故意的安全威脅一直是一個(gè)普遍關(guān)注的問題。例如,某臺服務(wù)器感染了惡意軟件,會通過數(shù)據(jù)的傳輸而感染到數(shù)據(jù)中心內(nèi)部的其他服務(wù)器。但是到了今天,故意的安全威脅也可能是一大問題。在一處擁有多家客戶的數(shù)據(jù)中心,如一個(gè)公共云環(huán)境,一家客戶可能試圖侵入另一臺服務(wù)器,以便竊取專有信息或篡改記錄。
在數(shù)據(jù)中心服務(wù)器之間傳輸?shù)木W(wǎng)絡(luò)流量稱為東西走向的流量。對于此類流量實(shí)施監(jiān)控對于查找和阻止安全威脅是至關(guān)重要的。許多數(shù)據(jù)中心的東西走向的流量要比南北走向的流量(客戶端到服務(wù)器的流量)更多得多。因此,忽略對東西流量實(shí)施監(jiān)控或?qū)⒁馕吨鴶?shù)據(jù)中心內(nèi)部虛擬或物理服務(wù)器之間所存在的安全攻擊可能不被注意。此外,隨著數(shù)據(jù)中心越來越多的托管高價(jià)值的應(yīng)用程序,以及以前原本存儲在企業(yè)內(nèi)部網(wǎng)絡(luò)上更為孤立的敏感數(shù)據(jù)信息,因此使得這類流量更需要受到更好的保護(hù)。此外,現(xiàn)代數(shù)據(jù)中心必須為應(yīng)用程序和數(shù)據(jù)提供日志和審計(jì)服務(wù),以支持其操作,例如必須符合安全合規(guī)性計(jì)劃或?qū)徲?jì)要求。
數(shù)據(jù)中心運(yùn)營商們還必須了解來自前幾代先進(jìn)性網(wǎng)絡(luò)安全的威脅。當(dāng)前網(wǎng)絡(luò)安全威脅的典型模式是通過一家企業(yè)組織的服務(wù)器緩慢地、隱蔽地走向最終的目標(biāo)服務(wù)器,而避免被檢測到。今天的大多數(shù)網(wǎng)絡(luò)安全威脅均尋求訪問和復(fù)制敏感的數(shù)據(jù)信息,然后將其轉(zhuǎn)移到一個(gè)外部位置,進(jìn)而獲取經(jīng)濟(jì)利益。
網(wǎng)絡(luò)攻擊者通常通過獲得一名普通職員的訪問授權(quán)憑證來開始其攻擊。而實(shí)現(xiàn)這一點(diǎn)的常見方式是用惡意軟件感染客戶端設(shè)備以獲取憑證,或者使用網(wǎng)絡(luò)釣魚或其他社交工程技術(shù)欺騙用戶向攻擊者提供憑證。然后攻擊者可以使用這些憑證來訪問數(shù)據(jù)中心內(nèi)的特定服務(wù)器,以及可能支持相同憑證的其他服務(wù)器。攻擊者可能需要使用其他安全漏洞以提升其權(quán)限,獲得更多用戶帳戶的訪問權(quán)或以其他方式繼續(xù)朝向目標(biāo)服務(wù)器進(jìn)展。一旦攻擊者獲得對目標(biāo)服務(wù)器的訪問,最終將利用漏洞將企業(yè)組織的敏感數(shù)據(jù)傳輸?shù)焦粽咴跀?shù)據(jù)中心外部所選擇的系統(tǒng)。
傳統(tǒng)防火墻vs.下一代的防火墻
當(dāng)評估不同的防火墻產(chǎn)品時(shí),企業(yè)IT領(lǐng)導(dǎo)者應(yīng)該明白,他們的功能差異很大。第一項(xiàng)區(qū)別是防火墻是否使用傳統(tǒng)的分析機(jī)制,專注于標(biāo)準(zhǔn)的端口和協(xié)議;以及其是否提供強(qiáng)大的下一代防火墻的功能。而傳統(tǒng)防火墻和下一代防火墻之間的主要區(qū)別在于:
網(wǎng)絡(luò)監(jiān)控:傳統(tǒng)的監(jiān)控方法僅監(jiān)控特定的端口,并對每個(gè)端口上使用的協(xié)議作出假設(shè)。在一款非標(biāo)準(zhǔn)端口上運(yùn)行的任何服務(wù)的網(wǎng)絡(luò)流量是可以忽略的;故而攻擊者可以利用這一局限性避免被檢測到。而下一代的監(jiān)控方法不使用關(guān)于任何端口上所使用的哪款協(xié)議的這樣的假設(shè),所以他們可以看到并解析流量,而不管其所使用的端口。
處理異常協(xié)議:傳統(tǒng)的方法假定所有流量僅使用最常見的應(yīng)用程序協(xié)議。傳統(tǒng)的防火墻會受到未知協(xié)議的阻礙。在默認(rèn)情況下,其要么允許流量通過,而不對其進(jìn)行分析,這是危險(xiǎn)的,要么直接阻止流量的傳輸,這又可能中斷授權(quán)的操作。下一代的防火墻對應(yīng)用程序協(xié)議有了更廣泛的理解,允許做出更好,更精確的決策。
建立流量管理規(guī)則:對于傳統(tǒng)的防火墻而言,管理防火墻策略以反映現(xiàn)實(shí)世界的流量通常更為復(fù)雜。一款傳統(tǒng)的防火墻使用基于源地址和目的地的IP地址和端口號,以及協(xié)議類型和其他數(shù)據(jù)包特性的規(guī)則集。更復(fù)雜的是,防火墻通常依賴于反病毒服務(wù)器,入侵防御服務(wù)器和其他技術(shù)來作為其能力的補(bǔ)充。使用這些技術(shù)可能需要為每種類型的流量添加額外的規(guī)則,并確保所有規(guī)則保持適當(dāng)?shù)捻樞?。這些規(guī)則集的防火墻策略維護(hù)相當(dāng)耗時(shí)且容易出錯,從而導(dǎo)致了操作中斷和創(chuàng)建漏洞,從而可能允許攻擊者通過防火墻而未被檢測到。
有效的數(shù)據(jù)中心防御
數(shù)據(jù)中心的安全防御必須得到擴(kuò)大和加強(qiáng),以便包括對于其東西走向流量的安全監(jiān)測和分析。實(shí)現(xiàn)這一目標(biāo)的一個(gè)早期的方法是將所有東西走向的流量集中到一個(gè)防火墻實(shí)施檢查,然后才允許這些流量繼續(xù)傳輸?shù)狡湎鄳?yīng)的目的地。但這樣的架構(gòu)是非常低效的,增加了所有網(wǎng)絡(luò)通信的開銷。而在今天的云環(huán)境中,這樣的方法也會錯過在一臺單一的物理服務(wù)器內(nèi)的虛擬機(jī)之間的流量。
一處數(shù)據(jù)中心的南北走向的流量最好由一款或多款企業(yè)級的防火墻設(shè)備來實(shí)施監(jiān)控,但東西走向的流量則最好由安裝在每臺物理服務(wù)器上的虛擬防火墻來負(fù)責(zé)處理。這些防火墻由每臺服務(wù)器的虛擬機(jī)管理程序來使用,不僅負(fù)責(zé)監(jiān)控進(jìn)入和離開服務(wù)器的所有網(wǎng)絡(luò)流量,還監(jiān)控在服務(wù)器的管理程序內(nèi)的虛擬機(jī)之間傳遞的所有網(wǎng)絡(luò)流量。
數(shù)據(jù)中心內(nèi)的防火墻必須具有強(qiáng)大的功能,以便檢查和分析應(yīng)用程序的流量。這不僅意味著理解經(jīng)常用于應(yīng)用程序組件之間通信的Web、數(shù)據(jù)庫和其他協(xié)議類別,而且還意味著能夠檢查加密網(wǎng)絡(luò)流量的內(nèi)容。保護(hù)敏感信息的相同加密技術(shù)也隱藏了網(wǎng)絡(luò)攻擊。有幾種選項(xiàng)可用于訪問這些加密分組的內(nèi)容,例如傳輸中的非加密流量,或者采用防火墻檢查其內(nèi)容,然后在將流量發(fā)送到其最終目的地之前對流量進(jìn)行重新加密,由此給予了企業(yè)組織在確定如何確保防火墻審查所有流量內(nèi)容方面的靈活性。
另一個(gè)重要的考慮因素是通過服務(wù)器虛擬化所帶來的數(shù)據(jù)中心云環(huán)境的高度動態(tài)性。在這樣的環(huán)境中,虛擬服務(wù)器自動從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器,并且根據(jù)需要產(chǎn)生虛擬服務(wù)器的副本,以處理不斷變化的需求,并補(bǔ)償涉及物理服務(wù)器和網(wǎng)絡(luò)的操作問題。對于虛擬服務(wù)器的保護(hù)需要使用可將安全策略與每臺虛擬服務(wù)器相關(guān)聯(lián)的防火墻技術(shù),并當(dāng)虛擬服務(wù)器在數(shù)據(jù)中心內(nèi)遷移時(shí)自動重新定位和啟用該策略。這些防火墻技術(shù)還必須具有強(qiáng)大的安全分析功能。但不幸的是,云環(huán)境的許多防火墻是基于傳統(tǒng)的,具有太多缺陷的端口監(jiān)控方法。
保護(hù)數(shù)據(jù)中心的步驟
對于數(shù)據(jù)中心防御措施的改進(jìn)最好通過分階段的方法來實(shí)現(xiàn)。嘗試更換舊式的防火墻設(shè)備,并一次性的部署所需的虛擬防火墻,尤其是在沒有嚴(yán)格規(guī)劃情況下的轉(zhuǎn)變可能會導(dǎo)致操作的重大中斷,并帶來安全漏洞,這可能反而喪失了部署防火墻的價(jià)值。一個(gè)高層次的數(shù)據(jù)中心安全改進(jìn)方法可以分為四個(gè)階段進(jìn)行:
階段1:收集應(yīng)用程序的信息,包括其組件,每個(gè)組件所使用的數(shù)據(jù)的敏感性以及組件之間的所有流量的性質(zhì)。
階段2:確定每款應(yīng)用程序的安全需求,包括每款應(yīng)用程序組件和每個(gè)流量的安全需求。
階段3:確定在哪里部署防火墻以滿足這些需求,然后從部署只有基本安全功能的防火墻,作為一個(gè)起點(diǎn)。
階段4:隨著時(shí)間的推移,按照每款應(yīng)用程序的組件和數(shù)據(jù)的安全需求啟用額外的其他安全功能,以保護(hù)應(yīng)用程序和他們的數(shù)據(jù)免受先進(jìn)的高級威脅的攻擊。在這其中,階段3通常是最具挑戰(zhàn)性的,因?yàn)镮T管理人員在選擇在何處部署防火墻時(shí),需要考慮太多的因素。例如,他們通常將高價(jià)值的應(yīng)用程序和來自其他操作的數(shù)據(jù)實(shí)施分段,以便為高價(jià)值的數(shù)據(jù)資產(chǎn)提供更強(qiáng)的保護(hù)。但是,還有其他太多需要考慮的因素,例如按業(yè)務(wù)部門,用戶社區(qū)(客戶與員工),用戶位置或操作狀態(tài)(如生產(chǎn)、開發(fā)和測試環(huán)境)分割應(yīng)用程序。
在某些情況下,一家企業(yè)組織可能需要使用網(wǎng)絡(luò)分割,從而將其附屬子和最近收購的、但還沒有被整合到企業(yè)IT基礎(chǔ)設(shè)施的獨(dú)立服務(wù)器獨(dú)立開來。在數(shù)據(jù)中心使用網(wǎng)絡(luò)分割的決策,以減少安全威脅風(fēng)險(xiǎn)時(shí),一家企業(yè)組織可能需要考慮幾個(gè)潛在的相互矛盾的因素。
尋找能夠提供下一代防火墻功能的技術(shù),以便在高度動態(tài)的數(shù)據(jù)中心環(huán)境中檢測當(dāng)今的高級應(yīng)用程序威脅。例如,來自Palo Alto Networks公司所提供的各種具有高級功能的防火墻技術(shù)變有助于阻止這些網(wǎng)絡(luò)安全威脅。通過監(jiān)控南北走向和東西走向的流量,Palo Alto Networks公司的防火墻可以在網(wǎng)絡(luò)安全攻擊生命周期的所有階段(從最初連接到面向Internet的服務(wù)器的攻擊者到服務(wù)器,再到以服務(wù)器為路徑,直到最終攻擊目標(biāo))檢測可疑活動。這些防火墻不僅可以分割網(wǎng)絡(luò)流量以減少攻擊面,而且還可以成功防止許多基于應(yīng)用程序的泄密。