數(shù)據(jù)中心的四道安全防火墻

數(shù)據(jù)中心的四道安全防火墻

數(shù)據(jù)中心的四道安全防火墻

安全性對于數(shù)據(jù)中心的重要性不言而喻，尤其是人們對信息安全愈加重視的今天，安全事件無小事，一旦數(shù)據(jù)中心出現(xiàn)了嚴(yán)重的安全問題，對于數(shù)據(jù)中心造成的損失是無法估量的。數(shù)據(jù)中心的安全是圍繞數(shù)據(jù)為核心，從數(shù)據(jù)的訪問、使用、破壞、修改、丟失、泄漏等多方面維度展開，因此也衍生出很多技術(shù)方法。從軟件到硬件，從網(wǎng)絡(luò)邊緣到核心，從數(shù)據(jù)中心入口到出口，只要有數(shù)據(jù)的地方都可以部署安全設(shè)備。不少的數(shù)據(jù)中心安全設(shè)備部署了很多，但是依然會不斷受到攻擊，原因為何?其實數(shù)據(jù)中心安全是一個系統(tǒng)工程，不是部署幾臺防火墻就可以應(yīng)付了，需要進(jìn)行詳細(xì)的安全方案設(shè)計，讓安全的方案滲透到數(shù)據(jù)中心的每個環(huán)節(jié)，才能確保數(shù)據(jù)中心的數(shù)據(jù)安全。那么應(yīng)該如何進(jìn)行數(shù)據(jù)中心安全設(shè)計，本文將揭曉詳細(xì)答案。

數(shù)據(jù)中心安全需要從全局和架構(gòu)的高度進(jìn)行統(tǒng)一設(shè)計，目前國際上最新的，也是獲得普遍認(rèn)可的是由美國國家安全局制定的“信息保障技術(shù)框架IATF”，IATF是由美國國家安全局組織專家編寫的一個全面描述信息安全保障體系的框架，提出了信息保障時代信息基礎(chǔ)設(shè)施的全套安全需求，它提出了一個通用的框架，為信息數(shù)據(jù)設(shè)計了四道安全防火墻：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，對網(wǎng)絡(luò)和基礎(chǔ)設(shè)計進(jìn)行防護(hù);飛地邊界，解決邊界保護(hù)問題;局域計算環(huán)境，實現(xiàn)主機(jī)的計算環(huán)境保護(hù);支撐性基礎(chǔ)設(shè)施，安全的信息環(huán)境所需要的支撐平臺。IATF對于數(shù)據(jù)中心當(dāng)然同樣適用，不過四道防火墻這樣描述看起來非常抽象，不好理解，也不知道該具體如何入手，下面將進(jìn)行詳細(xì)講解。

首先來說說對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的防護(hù)，這個指的是數(shù)據(jù)中心的網(wǎng)絡(luò)部分。數(shù)據(jù)中心里有大量的網(wǎng)絡(luò)設(shè)備，這些網(wǎng)絡(luò)設(shè)備實現(xiàn)了所有設(shè)備的互聯(lián)互通，在數(shù)據(jù)中心里起非常大的作用，所有的數(shù)據(jù)都需要經(jīng)過這些設(shè)備進(jìn)行傳輸，一旦有設(shè)備發(fā)生了數(shù)據(jù)泄露，后果很壞，所以要從數(shù)據(jù)中心網(wǎng)絡(luò)入手，加強(qiáng)對網(wǎng)絡(luò)中的交換機(jī)、路由器、無線WiFi等網(wǎng)絡(luò)設(shè)備的防護(hù)。具體的要及時升級這些設(shè)備的軟件版本，要和設(shè)備商確認(rèn)設(shè)備軟件系統(tǒng)是否存在安全漏洞，尤其是有些設(shè)備默認(rèn)留一些后門，隱藏執(zhí)行命令，還有一些服務(wù)端口被默認(rèn)打開，這些往往是最容易被入侵的地方，所以一定要了解清楚設(shè)備是否存在這些漏洞，如果存在及時進(jìn)行軟件更新;周期性地更換這些設(shè)備的訪問密碼，避免被盜;定期對設(shè)備進(jìn)行巡檢，發(fā)現(xiàn)隱患及時消除，尤其是各種網(wǎng)絡(luò)協(xié)議攻擊，可能會造成網(wǎng)絡(luò)癱瘓，從而入侵應(yīng)用系統(tǒng)，竊取數(shù)據(jù)。

其次是邊界保護(hù)，這是指在數(shù)據(jù)中心的出入口。數(shù)據(jù)中心的數(shù)據(jù)有輸入和輸出兩大出口，一定要做好數(shù)據(jù)過濾與檢查。具體的技術(shù)實現(xiàn)有很多，比如防火墻、VPN、邊界共享交換、遠(yuǎn)程訪問、多域方案、移動代碼、安全隔離等等，這些安全技術(shù)主要是通過硬件設(shè)備實現(xiàn)，實現(xiàn)數(shù)據(jù)流量的粗過濾，主要設(shè)備包括有防火墻、負(fù)載均衡設(shè)備、入侵檢測設(shè)備、NAT設(shè)備、統(tǒng)一網(wǎng)關(guān)等設(shè)備，這些設(shè)備都需要部署在數(shù)據(jù)中心的數(shù)據(jù)出入口，做好數(shù)據(jù)出入檢查。當(dāng)然有這個還遠(yuǎn)遠(yuǎn)不夠。我們在生活中也看到，很多小區(qū)出入的地方都有保安，可還是不斷發(fā)生各種入室盜竊甚至更為嚴(yán)重的刑事案件，所以數(shù)據(jù)中心也不能完全靠邊界保護(hù)，還需要從內(nèi)容上進(jìn)行保護(hù)，就是主機(jī)的保護(hù)。

第三是主機(jī)保護(hù)，這是指從數(shù)據(jù)中心服務(wù)器入手。數(shù)據(jù)中心里所有的應(yīng)用業(yè)務(wù)都是部署在服務(wù)器上的，數(shù)據(jù)中心里的服務(wù)器設(shè)備數(shù)量最多，也是存在系統(tǒng)漏洞最多的地方，很多攻擊都是針對服務(wù)器發(fā)起的，一旦越過了邊界和網(wǎng)絡(luò)保護(hù)，那服務(wù)器就危險了，所以這時服務(wù)器一定不能裸奔，不然一定會走光的。服務(wù)器上能做的.保護(hù)主要側(cè)重于軟件，比如操作系統(tǒng)的防護(hù)，做生物認(rèn)證，安全Web，令牌，病毒軟件等等，這些技術(shù)都是對服務(wù)器里的數(shù)據(jù)進(jìn)行保護(hù)的，廣為人知的有360、趨勢科技、瑞星、諾頓等軟件，這些軟件會不斷更新病毒庫，針對新的病毒類型進(jìn)行防護(hù)，服務(wù)器上安裝了這些防護(hù)軟件，就可以實時更新軟件包，及時對系統(tǒng)進(jìn)行保護(hù)，防止被攻破系統(tǒng)。絕大多數(shù)的攻擊都是針對系統(tǒng)漏洞實施的，對系統(tǒng)漏洞進(jìn)行及時修復(fù)，并不斷更新安全軟件，就可以有效避免受攻擊。

最后是支撐平臺，這是指要建立完善的準(zhǔn)入系統(tǒng)，對各種數(shù)據(jù)中心訪問進(jìn)行控制和檢查。比如：PKI認(rèn)證、證書管理、密碼管理等。比如我們在訪問銀行網(wǎng)站的時候，進(jìn)行網(wǎng)絡(luò)交易時，都需要下載證書，這個就是對網(wǎng)絡(luò)訪問進(jìn)行加密，確保訪問是安全的，只有網(wǎng)絡(luò)兩邊的證書對上才能進(jìn)行訪問，證書管理都用在銀行的數(shù)據(jù)中心系統(tǒng)中。通過這些支撐平臺，對訪問進(jìn)行控制，訪問攻擊進(jìn)入，破化系統(tǒng)或者獲取機(jī)密數(shù)據(jù)。如今的各種準(zhǔn)入認(rèn)證技術(shù)已經(jīng)較為成熟，安全漏洞偶有爆出，但一般影響范圍不大，而且這些認(rèn)證技術(shù)也在不斷地完善，在數(shù)據(jù)中心里應(yīng)該大力推廣使用，消除應(yīng)用系統(tǒng)受攻擊的風(fēng)險。

四道安全防火墻涵蓋了數(shù)據(jù)中心安全的方方面面，形成一個全面的、有針對性的安全防護(hù)系統(tǒng)。正如IA