數據中心為很多企業提供了大量的應用程序、服務和解決方案,數據中心的資源對于企業來說也越來越重要。隨著智能設備的大量普及,一些物聯網和基于云計算的應用程序也迅速增加了數據中心的安全風險。數據中心作為一個非常關鍵的角色,在企業運營中也扮演著越來越重要的作用,正因如此,數據中心往往更容易遭受攻擊。
安全性對于數據中心的重要性不言而喻,尤其是人們對信息安全加重視的今天,安全事件無小事,一旦數據中心出現了嚴重的安全問題,對于數據中心造成的損失是無法估量的。數據中心的安全是圍繞數據為核心,從數據的訪問、使用、破壞、修改、丟失,泄漏等多方面維度展開,因此也衍生出很多技術方法。從軟件到硬件,從網絡邊緣到核心,從數據中心入口到出口,只要有數據的地方都可以部署安全設備。不少的數據中心安全設備部署了很多,但是依然會不斷受到攻擊,原因為何?其實數據中心安全是一個系統工程,不是部署幾臺防火墻就可以應付了。數據中心在網絡中直接擔負著匯總數據、整合數據資源、提供數據服務和維護全網運行等任務,是各種網絡活動得以安全運行的基礎,必須能夠提供較快的響應速度,滿足全時段提供服務的要求。需要進行詳細的安全方案設計,讓安全的方案滲透到數據中心的每個環節,才能確保數據中心的數據安全。
在應用層面,病毒、蠕蟲、木馬、后門及邏輯炸彈等,在少數別有用心的人眼中,數據中心保存的各種關鍵數據是無價之寶,在經濟利益或其他特定目的的驅使下,這些人會利用種種手段對數據中心發動攻擊或企圖滲透進入數據中心,對數據中心的關鍵數據進行各種非授權訪問和非法操作。由此可能帶來數據中心的關鍵數據被監聽、竊取、仿冒和篡改,服務器運行緩慢、性能下降或死機而無法對外提供數據服務,甚至硬件被損壞,造成重大損失。因此,數據中心的安全運行就顯得至關重要。
數據中心安全圍繞數據為核心,從數據的訪問、使用、破壞、修改、丟失、泄漏等多方面維度展開,一般來說包括以下幾個方面:
物理安全:主要指數據中心機房的安全,包括機房的選址,機房場地安全,防電磁輻射泄漏,防靜電,防火等內容;
網絡安全:指數據中心網絡自身的設計、構建和使用以及基于網絡的各種安全相關的技術和手段,如防火墻,IPS,安全審計等;
系統安全:包括服務器操作系統,數據庫,中間件等在內的系統安全,以及為提高這些系統的安全性而使用安全評估管理工具所進行的系統安全分析和加固;
數據安全:數據的保存以及備份和恢復設計;
信息安全:完整的用戶身份認證以及安全日志審計跟蹤,以及對安全日志和事件的統一分析和記錄;
拋開物理安全的考慮,網絡是數據中心所有系統的基礎平臺,所以網絡安全是數據中心安全的基礎支持。
常見數據中心安全脅威
作為網絡中數據交換最頻繁、資源最密集的地方,外網數據中心無疑是個充滿著巨大的誘惑的數字城堡,任何防護上的疏漏必將會導致不可估量的損失,因此構筑一道安全的防御體系將是這座數字城堡首先面對的問題。當前數據中心面對的主要安全威脅包括:
面向應用層的攻擊:
常見的應用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等。應用攻擊的共同特點是利用了軟件系統在設計上的缺陷,并且他們的傳播都基于現有的業務端口,因此應用攻擊可以毫不費力的躲過那些傳統的或者具有少許深度檢測功能的防火墻。
面向網絡層的攻擊:
除了由于系統漏洞造成的應用攻擊外,數據中心還要面對拒絕服務攻擊(DoS)和分布式拒絕服務攻擊(DDoS)的挑戰。DOS/DDOS是一種傳統的網絡攻擊方式,然而其破壞力卻十分強勁。常見的DDOS攻擊方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已發現的DOS攻擊程序有ICMPSmurf、UDP反彈,而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo和Stacheldraht等。DOS/DDoS攻擊大行其道的原因主要是利用了TCP/IP的開放性原則,從任意源地址向任意目標地址都可以發送數據包。DOS/DDO。S利用看似合理的海量服務請求來耗盡網絡和系統的資源,從而使合法用戶無法得到服務的響應就是利用大量的傀儡機來發起攻擊,積少成多超過網絡和系統的能力的極限,最終擊潰高性能的網絡和系統。
考慮到數據中心的架構特點,以及數據中心承擔業務的復雜性,數據中心的安全建設一般采取如下措施:
01、實施安全分區和訪問控制:
劃分安全區和訪問控制,可以從一定程度上防御來自內部的非法越權訪問和攻擊行為;
防火墻:目前網絡中主要使用防火墻來實施安全分區和訪問控制。防火墻類似于建筑大廈中用于防止火災蔓延的隔斷墻,是一個或一組實施訪問控制策略的系統,它監控可信任網絡和不可信任網絡之間的訪問通道,以防止一個區域中出現的危險蔓延到另一個區域。
安全交換機:目前市場上主流的交換機具備抵抗DOS攻擊和劃分安全域的功能,但安全功能太少,覆蓋面少;
02、實施入侵防御:
IPS(IntrusionPreventionSystem,入侵防御系統)能夠高速、在線檢測并阻斷漏洞利用和入侵行為,這些功能可以用來保護數據中心免遭來自外部的威脅,同時也可以用來保護數據中心內部關鍵的網段。
03、實施服務器集群優化:
數據中心環境中常常有眾多的服務器,而承擔類似工作的服務器會組成一個服務器集群。在數據中心建成之后,隨著數據量的迅速提升和服務器集群需要提供的應用復雜性增加,服務器集群面臨越來越大的負荷,常常出現網絡堵塞、訪問延遲等等問題。服務器集群優化,保障業務的穩定可靠、持續可用是此類問題的解決之道。此外,系統還必須要對于服務器的運行狀況做出準確判斷,確保提供服務的正確。
實施服務器集群常用的技術是負載均衡,利用負載均衡設備可以搭建高效的服務器集群,合理的分配訪問請求,充分發揮每臺服務器的性能優勢,保障服務運行的穩定;
04、實施應用層的防護
防火墻、安全交換機無法針對應用層的安全威脅進行防護,而目前針對應用層特別是WEB服務器的攻擊和威脅手段越來越多,比如網站掛馬,網頁篡改,信息泄密等等。
目前針對應用層防護的主要使用WAF做應用服務做安全加固,保護服務器免受基于Web應用的攻擊,如SQL注入防護、XSS攻擊防護、CSRF攻擊防護、支持根據網站登錄路徑保護口令暴力破解;
05、記錄訪問日志
開啟日志服務雖然對阻止黑客的入侵并沒有直接的作用,但是它可以記錄黑客的行蹤,維護員可以分析入侵者在系統上做過什么手腳,在系統上留了哪些后門,給系統造成了哪些破壞及隱患,服務器到底還存在哪些安全漏洞等,以便有針對性地實施維護。
數據中心為應對種種安全威脅,采取了許多安全機制和防范措施,綜合而言,主要采取的應對策略有防病毒技術、防火墻技術、入侵檢測技術和數據庫安全審計,有效確保了數據中心的可靠運行。這些技術通過不同機制來應付種種安全威脅,各有所長,取得了極大成效。然而從實踐結果來看,仍然存在不小的缺陷,如下所述:
①盡管數據中心安裝了不同類型的防病毒硬件或殺毒軟件,但是,數據中心安全不僅僅包括防病毒的問題,還包括外來非法侵人檢測與安全策略執行等方面,防病毒技術難以完全解決這些方面的威脅。
②數據中心安裝軟硬件防火墻后,可以通過設定規則來阻止非授權訪問,但是仍無法避免垃圾郵件及拒絕服務的侵擾。
③入侵檢測技術是被動檢測,在提前預警和主動預測方面存在先天不足,且難以精確定位入侵來自何處。
④數據庫安全審計能夠對數據中心的工作過程進行實時跟蹤和審計,有效監控網內和網外用戶對數據庫的操作,但是目前的這種安全審計仍然存在系統智能化程度低、無法進行實時監測和及時報警、審計日志可以被攻擊者惡意刪除,以及篩選有用信息極其困難等缺點。
因此,針對當前數據中心安全機制存在的不足,這里提出了數據中心的4層安全體系架構,通過搭建應用層的4層防護體系,實現數據中心的全面防護,保障數據中心的可靠運行。
