數(shù)據(jù)中心為很多企業(yè)提供了大量的應(yīng)用程序、服務(wù)和解決方案,數(shù)據(jù)中心的資源對(duì)于企業(yè)來說也越來越重要。隨著智能設(shè)備的大量普及,一些物聯(lián)網(wǎng)和基于云計(jì)算的應(yīng)用程序也迅速增加了數(shù)據(jù)中心的安全風(fēng)險(xiǎn)。數(shù)據(jù)中心作為一個(gè)非常關(guān)鍵的角色,在企業(yè)運(yùn)營中也扮演著越來越重要的作用,正因如此,數(shù)據(jù)中心往往更容易遭受攻擊。
安全性對(duì)于數(shù)據(jù)中心的重要性不言而喻,尤其是人們對(duì)信息安全加重視的今天,安全事件無小事,一旦數(shù)據(jù)中心出現(xiàn)了嚴(yán)重的安全問題,對(duì)于數(shù)據(jù)中心造成的損失是無法估量的。數(shù)據(jù)中心的安全是圍繞數(shù)據(jù)為核心,從數(shù)據(jù)的訪問、使用、破壞、修改、丟失,泄漏等多方面維度展開,因此也衍生出很多技術(shù)方法。從軟件到硬件,從網(wǎng)絡(luò)邊緣到核心,從數(shù)據(jù)中心入口到出口,只要有數(shù)據(jù)的地方都可以部署安全設(shè)備。不少的數(shù)據(jù)中心安全設(shè)備部署了很多,但是依然會(huì)不斷受到攻擊,原因?yàn)楹?其實(shí)數(shù)據(jù)中心安全是一個(gè)系統(tǒng)工程,不是部署幾臺(tái)防火墻就可以應(yīng)付了。數(shù)據(jù)中心在網(wǎng)絡(luò)中直接擔(dān)負(fù)著匯總數(shù)據(jù)、整合數(shù)據(jù)資源、提供數(shù)據(jù)服務(wù)和維護(hù)全網(wǎng)運(yùn)行等任務(wù),是各種網(wǎng)絡(luò)活動(dòng)得以安全運(yùn)行的基礎(chǔ),必須能夠提供較快的響應(yīng)速度,滿足全時(shí)段提供服務(wù)的要求。需要進(jìn)行詳細(xì)的安全方案設(shè)計(jì),讓安全的方案滲透到數(shù)據(jù)中心的每個(gè)環(huán)節(jié),才能確保數(shù)據(jù)中心的數(shù)據(jù)安全。
在應(yīng)用層面,病毒、蠕蟲、木馬、后門及邏輯炸彈等,在少數(shù)別有用心的人眼中,數(shù)據(jù)中心保存的各種關(guān)鍵數(shù)據(jù)是無價(jià)之寶,在經(jīng)濟(jì)利益或其他特定目的的驅(qū)使下,這些人會(huì)利用種種手段對(duì)數(shù)據(jù)中心發(fā)動(dòng)攻擊或企圖滲透進(jìn)入數(shù)據(jù)中心,對(duì)數(shù)據(jù)中心的關(guān)鍵數(shù)據(jù)進(jìn)行各種非授權(quán)訪問和非法操作。由此可能帶來數(shù)據(jù)中心的關(guān)鍵數(shù)據(jù)被監(jiān)聽、竊取、仿冒和篡改,服務(wù)器運(yùn)行緩慢、性能下降或死機(jī)而無法對(duì)外提供數(shù)據(jù)服務(wù),甚至硬件被損壞,造成重大損失。因此,數(shù)據(jù)中心的安全運(yùn)行就顯得至關(guān)重要。
數(shù)據(jù)中心安全圍繞數(shù)據(jù)為核心,從數(shù)據(jù)的訪問、使用、破壞、修改、丟失、泄漏等多方面維度展開,一般來說包括以下幾個(gè)方面:
物理安全:主要指數(shù)據(jù)中心機(jī)房的安全,包括機(jī)房的選址,機(jī)房場(chǎng)地安全,防電磁輻射泄漏,防靜電,防火等內(nèi)容;
網(wǎng)絡(luò)安全:指數(shù)據(jù)中心網(wǎng)絡(luò)自身的設(shè)計(jì)、構(gòu)建和使用以及基于網(wǎng)絡(luò)的各種安全相關(guān)的技術(shù)和手段,如防火墻,IPS,安全審計(jì)等;
系統(tǒng)安全:包括服務(wù)器操作系統(tǒng),數(shù)據(jù)庫,中間件等在內(nèi)的系統(tǒng)安全,以及為提高這些系統(tǒng)的安全性而使用安全評(píng)估管理工具所進(jìn)行的系統(tǒng)安全分析和加固;
數(shù)據(jù)安全:數(shù)據(jù)的保存以及備份和恢復(fù)設(shè)計(jì);
信息安全:完整的用戶身份認(rèn)證以及安全日志審計(jì)跟蹤,以及對(duì)安全日志和事件的統(tǒng)一分析和記錄;
拋開物理安全的考慮,網(wǎng)絡(luò)是數(shù)據(jù)中心所有系統(tǒng)的基礎(chǔ)平臺(tái),所以網(wǎng)絡(luò)安全是數(shù)據(jù)中心安全的基礎(chǔ)支持。
常見數(shù)據(jù)中心安全脅威
作為網(wǎng)絡(luò)中數(shù)據(jù)交換最頻繁、資源最密集的地方,外網(wǎng)數(shù)據(jù)中心無疑是個(gè)充滿著巨大的誘惑的數(shù)字城堡,任何防護(hù)上的疏漏必將會(huì)導(dǎo)致不可估量的損失,因此構(gòu)筑一道安全的防御體系將是這座數(shù)字城堡首先面對(duì)的問題。當(dāng)前數(shù)據(jù)中心面對(duì)的主要安全威脅包括:
面向應(yīng)用層的攻擊:
常見的應(yīng)用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等。應(yīng)用攻擊的共同特點(diǎn)是利用了軟件系統(tǒng)在設(shè)計(jì)上的缺陷,并且他們的傳播都基于現(xiàn)有的業(yè)務(wù)端口,因此應(yīng)用攻擊可以毫不費(fèi)力的躲過那些傳統(tǒng)的或者具有少許深度檢測(cè)功能的防火墻。
面向網(wǎng)絡(luò)層的攻擊:
除了由于系統(tǒng)漏洞造成的應(yīng)用攻擊外,數(shù)據(jù)中心還要面對(duì)拒絕服務(wù)攻擊(DoS)和分布式拒絕服務(wù)攻擊(DDoS)的挑戰(zhàn)。DOS/DDOS是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式,然而其破壞力卻十分強(qiáng)勁。常見的DDOS攻擊方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已發(fā)現(xiàn)的DOS攻擊程序有ICMPSmurf、UDP反彈,而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo和Stacheldraht等。DOS/DDoS攻擊大行其道的原因主要是利用了TCP/IP的開放性原則,從任意源地址向任意目標(biāo)地址都可以發(fā)送數(shù)據(jù)包。DOS/DDO。S利用看似合理的海量服務(wù)請(qǐng)求來耗盡網(wǎng)絡(luò)和系統(tǒng)的資源,從而使合法用戶無法得到服務(wù)的響應(yīng)就是利用大量的傀儡機(jī)來發(fā)起攻擊,積少成多超過網(wǎng)絡(luò)和系統(tǒng)的能力的極限,最終擊潰高性能的網(wǎng)絡(luò)和系統(tǒng)。
考慮到數(shù)據(jù)中心的架構(gòu)特點(diǎn),以及數(shù)據(jù)中心承擔(dān)業(yè)務(wù)的復(fù)雜性,數(shù)據(jù)中心的安全建設(shè)一般采取如下措施:
01、實(shí)施安全分區(qū)和訪問控制:
劃分安全區(qū)和訪問控制,可以從一定程度上防御來自內(nèi)部的非法越權(quán)訪問和攻擊行為;
防火墻:目前網(wǎng)絡(luò)中主要使用防火墻來實(shí)施安全分區(qū)和訪問控制。防火墻類似于建筑大廈中用于防止火災(zāi)蔓延的隔斷墻,是一個(gè)或一組實(shí)施訪問控制策略的系統(tǒng),它監(jiān)控可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的訪問通道,以防止一個(gè)區(qū)域中出現(xiàn)的危險(xiǎn)蔓延到另一個(gè)區(qū)域。
安全交換機(jī):目前市場(chǎng)上主流的交換機(jī)具備抵抗DOS攻擊和劃分安全域的功能,但安全功能太少,覆蓋面少;
02、實(shí)施入侵防御:
IPS(IntrusionPreventionSystem,入侵防御系統(tǒng))能夠高速、在線檢測(cè)并阻斷漏洞利用和入侵行為,這些功能可以用來保護(hù)數(shù)據(jù)中心免遭來自外部的威脅,同時(shí)也可以用來保護(hù)數(shù)據(jù)中心內(nèi)部關(guān)鍵的網(wǎng)段。
03、實(shí)施服務(wù)器集群優(yōu)化:
數(shù)據(jù)中心環(huán)境中常常有眾多的服務(wù)器,而承擔(dān)類似工作的服務(wù)器會(huì)組成一個(gè)服務(wù)器集群。在數(shù)據(jù)中心建成之后,隨著數(shù)據(jù)量的迅速提升和服務(wù)器集群需要提供的應(yīng)用復(fù)雜性增加,服務(wù)器集群面臨越來越大的負(fù)荷,常常出現(xiàn)網(wǎng)絡(luò)堵塞、訪問延遲等等問題。服務(wù)器集群優(yōu)化,保障業(yè)務(wù)的穩(wěn)定可靠、持續(xù)可用是此類問題的解決之道。此外,系統(tǒng)還必須要對(duì)于服務(wù)器的運(yùn)行狀況做出準(zhǔn)確判斷,確保提供服務(wù)的正確。
實(shí)施服務(wù)器集群常用的技術(shù)是負(fù)載均衡,利用負(fù)載均衡設(shè)備可以搭建高效的服務(wù)器集群,合理的分配訪問請(qǐng)求,充分發(fā)揮每臺(tái)服務(wù)器的性能優(yōu)勢(shì),保障服務(wù)運(yùn)行的穩(wěn)定;
04、實(shí)施應(yīng)用層的防護(hù)
防火墻、安全交換機(jī)無法針對(duì)應(yīng)用層的安全威脅進(jìn)行防護(hù),而目前針對(duì)應(yīng)用層特別是WEB服務(wù)器的攻擊和威脅手段越來越多,比如網(wǎng)站掛馬,網(wǎng)頁篡改,信息泄密等等。
目前針對(duì)應(yīng)用層防護(hù)的主要使用WAF做應(yīng)用服務(wù)做安全加固,保護(hù)服務(wù)器免受基于Web應(yīng)用的攻擊,如SQL注入防護(hù)、XSS攻擊防護(hù)、CSRF攻擊防護(hù)、支持根據(jù)網(wǎng)站登錄路徑保護(hù)口令暴力破解;
05、記錄訪問日志
開啟日志服務(wù)雖然對(duì)阻止黑客的入侵并沒有直接的作用,但是它可以記錄黑客的行蹤,維護(hù)員可以分析入侵者在系統(tǒng)上做過什么手腳,在系統(tǒng)上留了哪些后門,給系統(tǒng)造成了哪些破壞及隱患,服務(wù)器到底還存在哪些安全漏洞等,以便有針對(duì)性地實(shí)施維護(hù)。
數(shù)據(jù)中心為應(yīng)對(duì)種種安全威脅,采取了許多安全機(jī)制和防范措施,綜合而言,主要采取的應(yīng)對(duì)策略有防病毒技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)和數(shù)據(jù)庫安全審計(jì),有效確保了數(shù)據(jù)中心的可靠運(yùn)行。這些技術(shù)通過不同機(jī)制來應(yīng)付種種安全威脅,各有所長(zhǎng),取得了極大成效。然而從實(shí)踐結(jié)果來看,仍然存在不小的缺陷,如下所述:
①盡管數(shù)據(jù)中心安裝了不同類型的防病毒硬件或殺毒軟件,但是,數(shù)據(jù)中心安全不僅僅包括防病毒的問題,還包括外來非法侵人檢測(cè)與安全策略執(zhí)行等方面,防病毒技術(shù)難以完全解決這些方面的威脅。
②數(shù)據(jù)中心安裝軟硬件防火墻后,可以通過設(shè)定規(guī)則來阻止非授權(quán)訪問,但是仍無法避免垃圾郵件及拒絕服務(wù)的侵?jǐn)_。
③入侵檢測(cè)技術(shù)是被動(dòng)檢測(cè),在提前預(yù)警和主動(dòng)預(yù)測(cè)方面存在先天不足,且難以精確定位入侵來自何處。
④數(shù)據(jù)庫安全審計(jì)能夠?qū)?shù)據(jù)中心的工作過程進(jìn)行實(shí)時(shí)跟蹤和審計(jì),有效監(jiān)控網(wǎng)內(nèi)和網(wǎng)外用戶對(duì)數(shù)據(jù)庫的操作,但是目前的這種安全審計(jì)仍然存在系統(tǒng)智能化程度低、無法進(jìn)行實(shí)時(shí)監(jiān)測(cè)和及時(shí)報(bào)警、審計(jì)日志可以被攻擊者惡意刪除,以及篩選有用信息極其困難等缺點(diǎn)。
因此,針對(duì)當(dāng)前數(shù)據(jù)中心安全機(jī)制存在的不足,這里提出了數(shù)據(jù)中心的4層安全體系架構(gòu),通過搭建應(yīng)用層的4層防護(hù)體系,實(shí)現(xiàn)數(shù)據(jù)中心的全面防護(hù),保障數(shù)據(jù)中心的可靠運(yùn)行。
