資料中心安全的原始模型是基于安全威脅是來自外部的假設。故而保護資料中心的這些基礎設施的安全架構都主要是專注于在資料中心和外部世界之間建立一個網絡外圍邊界。而這一外圍邊界的基礎便是一道防火牆,其将負責檢查所有的南北走向的流量,這些流量主要是在資料中心和網際網路之間傳輸。防火牆負責在這些資料流量中尋找違反安全管理政策和所存在的其他可疑活動的迹象。然後,其便采取相應的措施,如阻止流量傳輸、标記額外的附加資訊,并通知操作管理者。
盡管資料中心仍然需要排查南北走向的流量,以及時發現外部安全威脅,但現在的安全威脅監測工作已變得越來越複雜了。例如,用戶端裝置對于托管在資料中心伺服器的資料的通路便構成了相當大的威脅。在過去,用戶端裝置都是同質的、集中管理的台式電腦,均處于一家企業組織内部,并受到企業安全控制的保護。故而彼時由用戶端裝置所造成的惡意軟體和其他漏洞能夠快速被檢測和糾正。
但現如今的大多數企業環境早已不再是如此了。企業使用者所采用的用戶端裝置不僅在其作業系統和應用程式方面千差萬别,而且這些裝置所存在的安全漏洞、他們使用的安全控制、以及他們連接配接到企業it資源時所處的地理位置也是廣泛變化的。許多用戶端裝置是企業使用者的私人的硬體裝置,并經常沒有使用任何安全控制。它的這使得現在的企業it管理人員們發現,他們不能再假設從企業内部進行通路的用戶端裝置是絕對處于安全控制之下的了,一旦發現有使用者使用這些用戶端裝置,也将需要迅速實施檢測,并根除相應的安全威脅。在這個新的環境中,每款用戶端裝置都潛在的構成了一個單獨的安全威脅。 資料中心安全威脅的另一大變化是在資料中心内部的伺服器之間的互相作用。非故意的安全威脅一直是一個普遍關注的問題。例如,某台伺服器感染了惡意軟體,會通過資料的傳輸而感染到資料中心内部的其他伺服器。但是到了今天,故意的安全威脅也可能是一大問題。在一處擁有多家客戶的資料中心,如一個公共雲環境,一家客戶可能試圖侵入另一台伺服器,以便竊取專有資訊或篡改記錄。
在資料中心伺服器之間傳輸的網絡流量稱為東西走向的流量。對于此類流量實施監控對于查找和阻止安全威脅是至關重要的。許多資料中心的東西走向的流量要比南北走向的流量(用戶端到伺服器的流量)更多得多。是以,忽略對東西流量實施監控或将意味着資料中心内部虛拟或實體伺服器之間所存在的安全攻擊可能不被注意。此外,随着資料中心越來越多的托管高價值的應用程式,以及以前原本存儲在企業内部網絡上更為孤立的敏感資料資訊,是以使得這類流量更需要受到更好的保護。此外,現代資料中心必須為應用程式和資料提供日志和審計服務,以支援其操作,例如必須符合安全合規性計劃或審計要求。
資料中心營運商們還必須了解來自前幾代先進性網絡安全的威脅。目前網絡安全威脅的典型模式是通過一家企業組織的伺服器緩慢地、隐蔽地走向最終的目标伺服器,而避免被檢測到。今天的大多數網絡安全威脅均尋求通路和複制敏感的資料資訊,然後将其轉移到一個外部位置,進而擷取經濟利益。
網絡攻擊者通常通過獲得一名普通職員的通路授權憑證來開始其攻擊。而實作這一點的常見方式是用惡意軟體感染用戶端裝置以擷取憑證,或者使用網絡釣魚或其他社交工程技術欺騙使用者向攻擊者提供憑證。然後攻擊者可以使用這些憑證來通路資料中心内的特定伺服器,以及可能支援相同憑證的其他伺服器。攻擊者可能需要使用其他安全漏洞以提升其權限,獲得更多使用者帳戶的通路權或以其他方式繼續朝向目标伺服器進展。一旦攻擊者獲得對目标伺服器的通路,最終将利用漏洞将企業組織的敏感資料傳輸到攻擊者在資料中心外部所選擇的系統。
傳統防火牆vs下一代防火牆
當評估不同的防火牆産品時,企業it上司者應該明白,他們的功能差異很大。第一項差別是防火牆是否使用傳統的分析機制,專注于标準的端口和協定;以及其是否提供強大的下一代防火牆的功能。而傳統防火牆和下一代防火牆之間的主要差別在于:
網絡監控:傳統的監控方法僅監控特定的端口,并對每個端口上使用的協定作出假設。在一款非标準端口上運作的任何服務的網絡流量是可以忽略的;故而攻擊者可以利用這一局限性避免被檢測到。而下一代的監控方法不使用關于任何端口上所使用的哪款協定的這樣的假設,是以他們可以看到并解析流量,而不管其所使用的端口。
處理異常協定:傳統的方法假定所有流量僅使用最常見的應用程式協定。傳統的防火牆會受到未知協定的阻礙。在預設情況下,其要麼允許流量通過,而不對其進行分析,這是危險的,要麼直接阻止流量的傳輸,這又可能中斷授權的操作。下一代的防火牆對應用程式協定有了更廣泛的了解,允許做出更好,更精确的決策。
建立流量管理規則:對于傳統的防火牆而言,管理防火牆政策以反映現實世界的流量通常更為複雜。一款傳統的防火牆使用基于源位址和目的地的ip位址和端口号,以及協定類型和其他資料包特性的規則集。更複雜的是,防火牆通常依賴于反病毒伺服器,入侵防禦伺服器和其他技術來作為其能力的補充。使用這些技術可能需要為每種類型的流量添加額外的規則,并確定所有規則保持适當的順序。這些規則集的防火牆政策維護相當耗時且容易出錯,進而導緻了操作中斷和建立漏洞,進而可能允許攻擊者通過防火牆而未被檢測到。
i有效的資料中心防禦
資料中心的安全防禦必須得到擴大和加強,以便包括對于其東西走向流量的安全監測和分析。實作這一目标的一個早期的方法是将所有東西走向的流量集中到一個防火牆實施檢查,然後才允許這些流量繼續傳輸到其相應的目的地。但這樣的架構是非常低效的,增加了所有網絡通信的開銷。而在今天的雲環境中,這樣的方法也會錯過在一台單一的實體伺服器内的虛拟機之間的流量。
一處資料中心的南北走向的流量最好由一款或多款企業級的防火牆裝置來實施監控,但東西走向的流量則最好由安裝在每台實體伺服器上的虛拟防火牆來負責處理。這些防火牆由每台伺服器的虛拟機管理程式來使用,不僅負責監控進入和離開伺服器的所有網絡流量,還監控在伺服器的管理程式内的虛拟機之間傳遞的所有網絡流量。
資料中心内的防火牆必須具有強大的功能,以便檢查和分析應用程式的流量。這不僅意味着了解經常用于應用程式元件之間通信的web、資料庫和其他協定類别,而且還意味着能夠檢查加密網絡流量的内容。保護敏感資訊的相同加密技術也隐藏了網絡攻擊。有幾種選項可用于通路這些加密分組的内容,例如傳輸中的非加密流量,或者采用防火牆檢查其内容,然後在将流量發送到其最終目的地之前對流量進行重新加密,由此給予了企業組織在确定如何確定防火牆審查所有流量内容方面的靈活性。
另一個重要的考慮因素是通過伺服器虛拟化所帶來的資料中心雲環境的高度動态性。在這樣的環境中,虛拟伺服器自動從一台實體伺服器遷移到另一台實體伺服器,并且根據需要産生虛拟伺服器的副本,以處理不斷變化的需求,并補償涉及實體伺服器和網絡的操作問題。對于虛拟伺服器的保護需要使用可将安全政策與每台虛拟伺服器相關聯的防火牆技術,并當虛拟伺服器在資料中心内遷移時自動重新定位和啟用該政策。這些防火牆技術還必須具有強大的安全分析功能。但不幸的是,雲環境的許多防火牆是基于傳統的,具有太多缺陷的端口監控方法。
保護資料中心的步驟
對于資料中心防禦措施的改進最好通過分階段的方法來實作。嘗試更換舊式的防火牆裝置,并一次性的部署所需的虛拟防火牆,尤其是在沒有嚴格規劃情況下的轉變可能會導緻操作的重大中斷,并帶來安全漏洞,這可能反而喪失了部署防火牆的價值。一個高層次的資料中心安全改進方法可以分為四個階段進行:
階段1:收集應用程式的資訊,包括其元件,每個元件所使用的資料的敏感性以及元件之間的所有流量的性質。
階段2:确定每款應用程式的安全需求,包括每款應用程式元件和每個流量的安全需求。
階段3:确定在哪裡部署防火牆以滿足這些需求,然後從部署隻有基本安全功能的防火牆,作為一個起點。
階段4:随着時間的推移,按照每款應用程式的元件和資料的安全需求啟用額外的其他安全功能,以保護應用程式和他們的資料免受先進的進階威脅的攻擊。
在這其中,階段3通常是最具挑戰性的,因為it管理人員在選擇在何處部署防火牆時,需要考慮太多的因素。例如,他們通常将高價值的應用程式和來自其他操作的資料實施分段,以便為高價值的資料資産提供更強的保護。但是,還有其他太多需要考慮的因素,例如按業務部門,使用者社群(客戶與員工),使用者位置或操作狀态(如生産、開發和測試環境)分割應用程式。
在某些情況下,一家企業組織可能需要使用網絡分割,進而将其附屬子和最近收購的、但還沒有被整合到企業it基礎設施的獨立伺服器獨立開來。在資料中心使用網絡分割的決策,以減少安全威脅風險時,一家企業組織可能需要考慮幾個潛在的互相沖突的因素。
本文轉自d1net(轉載)
![網絡流量分析之流量采集到流量還原[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)