加強資料中心安全的5大步驟：為什麼傳統的安全方案可能不奏效

現如今的資料中心管理人員們正面臨着一個重大的挑戰：他們需要在不影響新的資料中心環境所帶來的性能和功能的前提下，確定資料中心的安全營運。許多企業組織都在使用為網際網路邊緣設計的解決方案來加強資料中心的安全，但這些解決方案是不夠的。本文中，我們将為廣大讀者朋友們介紹關于您企業組織可以借鑒，用以確定您的資料中心在今天安全營運所需要采取的5大步驟。

鑒于每家企業組織的資料中心都圍繞着其獨特的業務需求有着特殊具體的配置、性能、虛拟化、應用程式和流量要求，而網絡邊緣的安全裝置根本不是旨在解決上述這些具體特殊要求的。

確定一家資料中心的安全營運所需要的一套解決方案必須具備如下條件：

● 提供對于自定義的資料中心應用程式的可視化和控制

● 處理裝置和資料中心之間的非對稱流量和應用程式交易

● 适應資料中心的不斷發展的需求，如：虛拟化、軟體定義的網絡(sdn)、網絡功能虛拟化(nfv)、思科的以應用程式為中心的基礎設施(acis)等等

● 解決整個連續攻擊：包括在攻擊發生之前、期間和之後

● 跨整個網絡整合安全部署

支援地理上的分散dc流量和部署，包括私有、公共和雲環境

安全威脅攻擊的首要目标：資料中心

許多現代的網絡犯罪活動是專門旨在以資料中心為攻擊目标而設計的，因為這些資料中心都托管和處理着海量高價值的資料資訊，包括個人客戶資料資料、财務資訊和企業知識産權等(1)。故而確定資料中心的安全營運是一項挑戰。非對稱的業務流量、定制化的應用程式、需要被路由到計算層之外并達到資料中心周邊以便進行檢查的高流量資料、跨多個hypervisor的虛拟化、以及地理上分散的資料中心，所有這一切，都使得利用那些不是設計用于該目的，但卻又被用來確定資料中心安全營運的解決方案實施起來異常困難。其結果是：在安全方案覆寫範圍方面存在空白、對資料中心性能造成嚴重的影響、乃至犧牲資料中心的功能以适應安全的限制、并通過提供複雜的安全解決方案，削弱并破壞了資料中心根據實際業務需求而動态地配置資源的能力。

而與此同時，資料中心又是在不斷發展演變的，其正在從實體環境遷移到虛拟環境，再到下一代的諸如sdn和aci的環境中。資料中心的流量已經呈現出了幾何級的成倍增長，而這在很大程度上是由雲服務使用率的增加和物聯網(iot)環境的興起所推動的，其中網際網路和網絡已經擴充到了諸如制造工廠中的房間、能源網格、醫療設施和運輸等領域。

而根據思科的預測，到2017年，全球76%的資料中心流量将保留在資料中心内，并将很大程度上是在虛拟環境中由存儲、生産和開發資料所生成的(2)。而早在2015年3月底，市場調研機構gartner公司就曾經預測，資料中心連接配接每秒增加3000%。

現代資料中心已經為企業提供了大量的應用程式、服務和解決方案。許多企業組織都需要依賴于分散在各個不同地理位置的資料中心所部署的服務，以支援他們不斷增長的雲計算和流量需求。他們還需要解決戰略方面的舉措，如大資料分析和業務連續性管理，使資料中心成為其企業骨幹的一個更為關鍵的部分。但這也進一步使得資料中心的資源成為了惡意攻擊者們設計越來越複雜的安全威脅以逃避檢測，進而對資料中心進行攻擊的主要目标。所有這一切，都意味着資料中心的安全團隊實施資料中心的監控和保護将變得更加困難。

資料中心管理人員及他們的團隊所面臨的另一個複雜的問題是：配置和性能嚴重影響和限制了安全解決方案如何充分發揮作用，如下一代防火牆的部署，及其所能夠檢查的流量。安全解決方案不能破壞資料中心的性能。在今天的資料中心，安全配置必須在幾小時或幾分鐘内完成，而不是花費幾天或幾周的時間。而性能則必須是動态擴充的，以處理大量突發的高流量。

加強資料中心安全的5大步驟：

綜合的加強資料中心的安全需要一套深度的防禦方法，企業組織可以從五個關鍵領域着手實作。其安全防禦解決方案必須：

1、提供對于自定義資料中心應用程式的可視化和控制。資料中心管理人員們所需要的對于自定義資料中心的應用程式的可視化和控制，不僅僅隻是包括了傳統的基于網絡的應用程式(例如，facebook和twitter)，還涉及到微應用(microapplication)的傳統網絡邊緣安全裝置檢測。大多數下一代防火牆都是設計用于檢查流經網際網路邊緣的流量類型，但并不確定這些自定義的資料中心應用程式的安全。

2、管理裝置或資料中心之間的非對稱的業務流量和應用程式交易。安全解決方案必須能夠與資料中心的架構充分整合，而不是簡單地處在邊緣。邊緣的解決方案不能檢查南北走向的(入站出站)流量和東西走向(跨應用程式)的流量，而後者則代表了今天的資料中心流量的絕大部分。如果應用程式的流量必須被發送到資料中心外圍邊界的下一代防火牆，以便在檢查之後再發送回計算機層，那麼，解決方案将逐漸削弱現代資料中心所要求的動态流量。

許多下一代防火牆都無法保護非對稱流量。在非對稱路由中，典型的到達資料中心的一個資料包在傳回到其資料源時，将選擇不同的路徑。這成為了許多下一代防火牆的一個問題，因為他們是專為沿一個單一的、可預測的路徑而對流量進行跟蹤，檢查和管理設計的。

資料中心的安全性解決方案還必須能夠處理在資料中心或裝置之間的應用程式交易，包括在虛拟裝置之間。虛拟裝置與實體裝置是一樣脆弱的，但資料中心的安全解決方案也必須能夠處理虛拟環境的獨特安全挑戰，包括創造、拆卸、和遷移恒定的工作負載。

3、适應資料中心的不斷發展的需求。随着資料中心環境從實體環境遷移到虛拟環境再到下一代的sdn和aci模式，其安全解決方案也必須能夠動态地擴充，并提供持續一緻的安全保護，以便能夠跨不同的演變階段和各種混合的資料中心環境而無縫工作。在這些新的資料中心模式下，虛拟和實體裝置正在被快速的配置，安全規則的失控可能會迅速擴大。通路控制清單(acl)管理對于很多it團隊而言都已經是一大挑戰了。

新裝置的配置需要自動執行，這樣可以使得其部署時間可以從幾天減少到幾分鐘，同時還無需擔心産生不安全的後果。同樣，還需要有能夠跨多處混合的資料中心部署一款單一的安全解決方案的能力，許多多虛拟機管理程式(虛拟機螢幕)允許企業組織資料中心的it團隊能夠專注于資料中心的功能，而無需承擔安全方面的行政開銷。

4、解決整個連續攻擊：包括在攻擊發生之前、期間和之後。傳統的安全方法僅僅隻為資料中心的環境提供了有限的威脅意識和可視化，并主要集中在資料中心外圍實施攻擊阻擋方面。而覆寫整個連續攻擊過程的則需要借助一套安全保護解決方案跨一個廣泛的攻擊向量針對無處不在的安全威脅實施監控，包括：在網絡上，在端點上，在移動裝置上，以及在虛拟環境中。一套全面的，以積極應對安全威脅為中心的方法，確定資料中心的安全，包括在安全攻擊發生之前，期間和之後的防禦保護都是必要的，進而才能保護現代資料中心及其專門的流量。

傳統的下一代防火牆針對識别和減輕那些設計用于繞過防禦措施的隐蔽攻擊幾乎沒有提供任何解決方案，其在這些隐蔽攻擊停止後也不能提供補救和分析，無法跟蹤和確定資料中心非對稱流量的安全。他們幾乎完全是防禦性的工具，但卻不能抵禦新興的，針對有漏洞的伺服器，獨特的應用程式和有價值的資料所進行的未知的安全威脅。

5、保護整個網絡。任何資料中心安全解決方案都必須認識到遠端使用者有直接連接配接到某個關鍵的資料中心資源的需要。故而該安全解決方案需要在遠端使用者和資料中心資源之間提供透明度，但其仍然是一個複雜的網絡環境的一部分，隻是通過分支辦事處，跨核心擴充進入到了資料中心，并向外延伸到了雲計算。安全解決方案必須是資料中心架構的一部分，以及一套更廣泛的、可以同時看到基于網絡的安全威脅和以資料中心為攻擊目标、還能夠跨整個資料路徑提供無縫的保護的解決方案一部分。

資料中心的安全是不同的。為了切實保護現代資料中心，新的資料中心模型正在出現，企業組織不能僅僅單隻靠一個下一代的防火牆。他們需要一套全面的、綜合性的安全戰略和架構，以便可以提供跨整個分布式網絡、一緻的、智能型的安全保護，從邊緣到資料中心再到雲環境，而且不會破壞資料中心的性能。

保護現代資料中心

思科提供了強大的工具來捍衛當今不斷發展的資料中心環境，而不僅僅是在資料中心邊緣的保護。創新的思科自适應安全裝置( adaptive security appliances ，asa)解決方案，是專門為確定資料中心的實體和虛拟環境的安全性而設計的，并允許企業組織能夠無縫的從傳統資料中心遷移到下一代資料中心，進而實作面向未來的部署，投資保護和綜合保護。思科asa平台的新增包括：

· 思科自适應安全虛拟裝置( adaptive security virtual appliance，asav)：思科asav是一款完整的思科asa防火牆功能設定的虛拟版，結合了動态的可擴充性和虛拟環境的簡化配置。其被設計為運作在各種虛拟機管理程式上，獨立于vmware vswitch技術，使其成為與思科、混合、和非思科環境無關的資料中心解決方案。在思科asav靈活的架構意味着其既可以作為一個傳統的安全網關部署，又可以作為一款針對智能sdn和aci環境的，可以動态地直接縫合到應用程式服務鍊的安全資源。

· 具備firepower服務的思科asa 5585-x産品：這是一款專用于資料中心的安全裝置，完全支援傳統、sdn和aci的資料中心環境，該款思科asa 5585-x自适應安全裝置具備firepower服務功能，能夠提供先進的防火牆和下一代的ip安全功能，包括探測功能和檢查自定義的資料中心應用程式，以及一些增強的性能和配置能力。其為多達16個節點提供了先進的叢集功能，640 gbps的資料中心級性能可以部署在多處資料中心。叢集解決方案可以作為一款單一的裝置管理，以顯著降低管理開銷。與asav一樣，這款5585-x産品也被設計可在傳統的和下一代資料中心環境如sdn、nfv、和aci下工作，提供跨混合環境的一緻的安全性和對于正在遷移的資料中心的無縫保護。

· 思科firepower下一代ips：firepower是市場領先的ngips，可作為一款實體或虛拟解決方案，識别和評估連接配接到資料中心的資源，并監控可疑的網絡活動。對于文檔活動的監測和控制是近乎實時的，而對于某些特定檔案(特别是可能被惡意軟體攻擊的未知的檔案)則将通過沙盒接受進一步的分析(檔案隔離和行為分析)，或在雲中檢視(在大社群進行智能檢查)。這樣的方法可以進行細粒度的分析和應對關鍵資料中心流量的響應。

思科所提供的有助于提供全面的資料中心的安全保護的其他的解決方案包括：

· 思科身份服務引擎(identity services engine，ise)和trustsec：it團隊可以随着新裝置或使用者通過ucs director添加到資料中心環境，而動态地建立、分享、和執行安全政策。ise可以将包含安全政策和實施規則的安全組标簽直接附加進入個人資料包。此外，該安全标簽使得資料中心可以基于使用者和裝置的角色作用對其進行細分，而沒有與vlan和acl相關的難題開銷。

· 思科snort openappid技術：it團隊可以創造、分享、部署應用程式檢測，并借助思科snort openappid技術資料中心自定義的應用程式開發自定義的規則。這是一款snorttm的開源、面向應用程式的語言檢測和程序子產品，其入侵防禦系統(ips)和入侵檢測系統(ids)由sourcefire公司開發，該公司現在已被思科收購。思科openappid與snort架構完全內建，為管理者們提供了對于在他們的網絡中的應用程式的更深刻的認識。snort的使用者可以利用思科openappid探測器探測和識别應用程式及應用程式的有關使用情況。思科openappid提供應用層與安全相關的事件，并有助于提高分析和修複速度。使得snort阻止或檢測某些應用程式發出警報，有助于通過管理總的威脅面，以降低風險。

· 思科fireamptm和firesighttm解決方案：先進的惡意軟體分析和保護都需要借助一套全面的，以安全威脅為中心的方法，以便在網絡攻擊發生之前、期間和之後確定現代資料中心的安全。思科fireamp産品，來自sourcefire公司，利用大資料來檢測、了解、并阻止進階惡意軟體爆發。其是為其他安全層所錯過的威脅提供阻止所需的可視性和控制的唯一解決方案。并通過将思科fireamp産品與思科asa相結合，使用者可以對非對稱的資料中心流量的深層檢測和保護。

· 思科的firesight，也來自于sourcefire公司，提供了響應不斷變化的情況和新的攻擊所需的網絡可視性，環境和自動化。管理者們可以使用cisco firesight管理中心集中管理數百款裝置。

====================================分割線================================

本文轉自d1net（轉載）