现如今的数据中心管理人员们正面临着一个重大的挑战:他们需要在不影响新的数据中心环境所带来的性能和功能的前提下,确保数据中心的安全运营。许多企业组织都在使用为互联网边缘设计的解决方案来加强数据中心的安全,但这些解决方案是不够的。本文中,我们将为广大读者朋友们介绍关于您企业组织可以借鉴,用以确保您的数据中心在今天安全运营所需要采取的5大步骤。
鉴于每家企业组织的数据中心都围绕着其独特的业务需求有着特殊具体的配置、性能、虚拟化、应用程序和流量要求,而网络边缘的安全设备根本不是旨在解决上述这些具体特殊要求的。
确保一家数据中心的安全运营所需要的一套解决方案必须具备如下条件:
● 提供对于自定义的数据中心应用程序的可视化和控制
● 处理设备和数据中心之间的非对称流量和应用程序交易
● 适应数据中心的不断发展的需求,如:虚拟化、软件定义的网络(SDN)、网络功能虚拟化(NFV)、思科的以应用程序为中心的基础设施(ACIS)等等
● 解决整个连续攻击:包括在攻击发生之前、期间和之后
● 跨整个网络整合安全部署
支持地理上的分散DC流量和部署,包括私有、公共和云环境
安全威胁攻击的首要目标:数据中心
许多现代的网络犯罪活动是专门旨在以数据中心为攻击目标而设计的,因为这些数据中心都托管和处理着海量高价值的数据信息,包括个人客户数据资料、财务信息和企业知识产权等(1)。故而确保数据中心的安全运营是一项挑战。非对称的业务流量、定制化的应用程序、需要被路由到计算层之外并达到数据中心周边以便进行检查的高流量数据、跨多个hypervisor的虚拟化、以及地理上分散的数据中心,所有这一切,都使得利用那些不是设计用于该目的,但却又被用来确保数据中心安全运营的解决方案实施起来异常困难。其结果是:在安全方案覆盖范围方面存在空白、对数据中心性能造成严重的影响、乃至牺牲数据中心的功能以适应安全的限制、并通过提供复杂的安全解决方案,削弱并破坏了数据中心根据实际业务需求而动态地配置资源的能力。
而与此同时,数据中心又是在不断发展演变的,其正在从物理环境迁移到虚拟环境,再到下一代的诸如SDN和ACI的环境中。数据中心的流量已经呈现出了几何级的成倍增长,而这在很大程度上是由云服务利用率的增加和物联网(IoT)环境的兴起所推动的,其中互联网和网络已经扩展到了诸如制造车间、能源网格、医疗设施和运输等领域。
而根据思科的预测,到2017年,全球76%的数据中心流量将保留在数据中心内,并将很大程度上是在虚拟环境中由存储、生产和开发数据所生成的(2)。而早在2015年3月底,市场调研机构Gartner公司就曾经预测,数据中心连接每秒增加3000%。
现代数据中心已经为企业提供了大量的应用程序、服务和解决方案。许多企业组织都需要依赖于分散在各个不同地理位置的数据中心所部署的服务,以支持他们不断增长的云计算和流量需求。他们还需要解决战略方面的举措,如大数据分析和业务连续性管理,使数据中心成为其企业骨干的一个更为关键的部分。但这也进一步使得数据中心的资源成为了恶意攻击者们设计越来越复杂的安全威胁以逃避检测,进而对数据中心进行攻击的主要目标。所有这一切,都意味着数据中心的安全团队实施数据中心的监控和保护将变得更加困难。
数据中心管理人员及他们的团队所面临的另一个复杂的问题是:配置和性能严重影响和限制了安全解决方案如何充分发挥作用,如下一代防火墙的部署,及其所能够检查的流量。安全解决方案不能破坏数据中心的性能。在今天的数据中心,安全配置必须在几小时或几分钟内完成,而不是花费几天或几周的时间。而性能则必须是动态扩展的,以处理大量突发的高流量。
加强数据中心安全的5大步骤:
综合的加强数据中心的安全需要一套深度的防御方法,企业组织可以从五个关键领域着手实现。其安全防御解决方案必须:
1、提供对于自定义数据中心应用程序的可视化和控制。数据中心管理人员们所需要的对于自定义数据中心的应用程序的可视化和控制,不仅仅只是包括了传统的基于网络的应用程序(例如,Facebook和Twitter),还涉及到微应用(microapplication)的传统网络边缘安全设备检测。大多数下一代防火墙都是设计用于检查流经互联网边缘的流量类型,但并不确保这些自定义的数据中心应用程序的安全。
2、管理设备或数据中心之间的非对称的业务流量和应用程序交易。安全解决方案必须能够与数据中心的架构充分整合,而不是简单地处在边缘。边缘的解决方案不能检查南北走向的(入站出站)流量和东西走向(跨应用程序)的流量,而后者则代表了今天的数据中心流量的绝大部分。如果应用程序的流量必须被发送到数据中心外围边界的下一代防火墙,以便在检查之后再发送回计算机层,那么,解决方案将逐渐削弱现代数据中心所要求的动态流量。
许多下一代防火墙都无法保护非对称流量。在非对称路由中,典型的到达数据中心的一个数据包在返回到其数据源时,将选择不同的路径。这成为了许多下一代防火墙的一个问题,因为他们是专为沿一个单一的、可预测的路径而对流量进行跟踪,检查和管理设计的。
数据中心的安全性解决方案还必须能够处理在数据中心或设备之间的应用程序交易,包括在虚拟设备之间。虚拟设备与物理设备是一样脆弱的,但数据中心的安全解决方案也必须能够处理虚拟环境的独特安全挑战,包括创造、拆卸、和迁移恒定的工作负载。
3、适应数据中心的不断发展的需求。随着数据中心环境从物理环境迁移到虚拟环境再到下一代的SDN和ACI模式,其安全解决方案也必须能够动态地扩展,并提供持续一致的安全保护,以便能够跨不同的演变阶段和各种混合的数据中心环境而无缝工作。在这些新的数据中心模式下,虚拟和物理设备正在被快速的配置,安全规则的失控可能会迅速扩大。访问控制列表(ACL)管理对于很多IT团队而言都已经是一大挑战了。
新设备的配置需要自动执行,这样可以使得其部署时间可以从几天减少到几分钟,同时还无需担心产生不安全的后果。同样,还需要有能够跨多处混合的数据中心部署一款单一的安全解决方案的能力,许多多虚拟机管理程序(虚拟机监视器)允许企业组织数据中心的IT团队能够专注于数据中心的功能,而无需承担安全方面的行政开销。
4、解决整个连续攻击:包括在攻击发生之前、期间和之后。传统的安全方法仅仅只为数据中心的环境提供了有限的威胁意识和可视化,并主要集中在数据中心外围实施攻击阻挡方面。而覆盖整个连续攻击过程的则需要借助一套安全保护解决方案跨一个广泛的攻击向量针对无处不在的安全威胁实施监控,包括:在网络上,在端点上,在移动设备上,以及在虚拟环境中。一套全面的,以积极应对安全威胁为中心的方法,确保数据中心的安全,包括在安全攻击发生之前,期间和之后的防御保护都是必要的,进而才能保护现代数据中心及其专门的流量。
传统的下一代防火墙针对识别和减轻那些设计用于绕过防御措施的隐蔽攻击几乎没有提供任何解决方案,其在这些隐蔽攻击停止后也不能提供补救和分析,无法跟踪和确保数据中心非对称流量的安全。他们几乎完全是防御性的工具,但却不能抵御新兴的,针对有漏洞的服务器,独特的应用程序和有价值的数据所进行的未知的安全威胁。
5、保护整个网络。任何数据中心安全解决方案都必须认识到远程用户有直接连接到某个关键的数据中心资源的需要。故而该安全解决方案需要在远程用户和数据中心资源之间提供透明度,但其仍然是一个复杂的网络环境的一部分,只是通过分支办事处,跨核心扩展进入到了数据中心,并向外延伸到了云计算。安全解决方案必须是数据中心架构的一部分,以及一套更广泛的、可以同时看到基于网络的安全威胁和以数据中心为攻击目标、还能够跨整个数据路径提供无缝的保护的解决方案一部分。
数据中心的安全是不同的。为了切实保护现代数据中心,新的数据中心模型正在出现,企业组织不能仅仅单只靠一个下一代的防火墙。他们需要一套全面的、综合性的安全战略和架构,以便可以提供跨整个分布式网络、一致的、智能型的安全保护,从边缘到数据中心再到云环境,而且不会破坏数据中心的性能。
保护现代数据中心
思科提供了强大的工具来捍卫当今不断发展的数据中心环境,而不仅仅是在数据中心边缘的保护。创新的思科自适应安全设备( Adaptive Security Appliances ,ASA)解决方案,是专门为确保数据中心的物理和虚拟环境的安全性而设计的,并允许企业组织能够无缝的从传统数据中心迁移到下一代数据中心,进而实现面向未来的部署,投资保护和综合保护。思科ASA平台的新增包括:
· 思科自适应安全虚拟设备( Adaptive Security Virtual Appliance,ASAv):思科ASAv是一款完整的思科ASA防火墙功能设置的虚拟版,结合了动态的可扩展性和虚拟环境的简化配置。其被设计为运行在各种虚拟机管理程序上,独立于VMware vSwitch技术,使其成为与思科、混合、和非思科环境无关的数据中心解决方案。在思科ASAv灵活的架构意味着其既可以作为一个传统的安全网关部署,又可以作为一款针对智能SDN和ACI环境的,可以动态地直接缝合到应用程序服务链的安全资源。
· 具备FirePOWER服务的思科ASA 5585-X产品:这是一款专用于数据中心的安全设备,完全支持传统、SDN和ACI的数据中心环境,该款思科ASA 5585-X自适应安全设备具备FirePOWER服务功能,能够提供先进的防火墙和下一代的IP安全功能,包括探测功能和检查自定义的数据中心应用程序,以及一些增强的性能和配置能力。其为多达16个节点提供了先进的集群功能,640 Gbps的数据中心级性能可以部署在多处数据中心。集群解决方案可以作为一款单一的设备管理,以显著降低管理开销。与ASAv一样,这款5585-X产品也被设计可在传统的和下一代数据中心环境如SDN、NFV、和ACI下工作,提供跨混合环境的一致的安全性和对于正在迁移的数据中心的无缝保护。
· 思科FirePOWER下一代IPS:FirePOWER是市场领先的NGIPS,可作为一款物理或虚拟解决方案,识别和评估连接到数据中心的资源,并监控可疑的网络活动。对于文档活动的监测和控制是近乎实时的,而对于某些特定文件(特别是可能被恶意软件攻击的未知的文件)则将通过沙盒接受进一步的分析(文件隔离和行为分析),或在云中查看(在大社区进行智能检查)。这样的方法可以进行细粒度的分析和应对关键数据中心流量的响应。
思科所提供的有助于提供全面的数据中心的安全保护的其他的解决方案包括:
· 思科身份服务引擎(Identity Services Engine,ISE)和TrustSec:IT团队可以随着新设备或用户通过UCS director添加到数据中心环境,而动态地创建、分享、和执行安全策略。ISE可以将包含安全政策和实施规则的安全组标签直接附加进入个人数据包。此外,该安全标签使得数据中心可以基于用户和设备的角色作用对其进行细分,而没有与VLAN和ACL相关的难题开销。
· 思科Snort OpenAppID技术:IT团队可以创造、分享、部署应用程序检测,并借助思科Snort OpenAppID技术数据中心自定义的应用程序开发自定义的规则。这是一款SnortTM的开源、面向应用程序的语言检测和进程模块,其入侵防御系统(IPS)和入侵检测系统(IDS)由Sourcefire公司开发,该公司现在已被思科收购。思科OpenAppID与Snort框架完全集成,为管理员们提供了对于在他们的网络中的应用程序的更深刻的认识。Snort的用户可以利用思科OpenAppID探测器探测和识别应用程序及应用程序的有关使用情况。思科OpenAppID提供应用层与安全相关的事件,并有助于提高分析和修复速度。使得Snort阻止或检测某些应用程序发出警报,有助于通过管理总的威胁面,以降低风险。
· 思科FireAMPTM和FireSIGHTTM解决方案:先进的恶意软件分析和保护都需要借助一套全面的,以安全威胁为中心的方法,以便在网络攻击发生之前、期间和之后确保现代数据中心的安全。思科FireAMP产品,来自Sourcefire公司,利用大数据来检测、了解、并阻止高级恶意软件爆发。其是为其他安全层所错过的威胁提供阻止所需的可视性和控制的唯一解决方案。并通过将思科FireAMP产品与思科ASA相结合,用户可以对非对称的数据中心流量的深度检测和保护。
· 思科的FireSIGHT,也来自于Sourcefire公司,提供了响应不断变化的情况和新的攻击所需的网络可视性,环境和自动化。管理员们可以使用Cisco FireSIGHT管理中心集中管理数百款设备。
