浅谈数据中心的安全部署

周晓艳

数据中心是数据大集中而形成的集成IT应用环境,它是各种IT应用服务的提供中心,是数据计算、网络、存储的中心。数据中心中提供了业务连续性保障,实现了安全策略的统一部署,为IT基础设施、业务应用和数据构建统一运维管理平台。

1 数据中心的安全威胁

数据中心作为整个信息架构的核心部分,有着非常重要的地位。在信息传递更加自由、网络应用更加丰富的情况下,管理者必须了解他们的网络所面临的潜在威胁。这些威胁将导致一定程度上的泄密以及对信息或资源的破坏,从而造成巨大的经济损失。了解常见的攻击和威胁类型,以及在策略上为了确保一定程度的网络安全所能采取的行动对数据中心的管理者和决策者来说是十分重要的。

通常我们面临的安全威胁可能是不同类型的。当一个未经授权的实体通过Inter net接入、线路窃听、远程拨号等方式获得了对资源的访问权限,那么安全威胁来自未经授权的访问。未经授权的访问可能是非恶意的行为,但如果攻击者通过偷窃密钥、记录授权序列并重放等方式伪造凭证来冒充合法用户,从而获得对系统或服务的访问权,并破坏系统架构或篡改信息资源,那么这样的未授权访问就是恶意仿冒。恶意的仿冒可能是破坏性的,因为它绕过了为层次化授权访问而创建的信任关系。

威胁还可能来自DoS(拒绝服务)和DDOS(分布式拒绝服务)等网络攻击。但是,攻击不仅仅面向应用层进行,还可能针对传统的网络层和物理层。在数据中心网络环境中,服务的中断和信息资产的丢失可能对网络正常运行造成巨大影响。

2 数据中心的安全策略

安全策略是赋予了组织机构技术和信息资产使用权的人员必须遵守的准则和正规陈述。安全策略不一定就能使网络更安全,但我们可以根据对于策略的一致性的衡量来判断网络的安全程度。安全策略的开发主要由业务需求分析和风险分析来驱动。通过了解组织机构的业务目标,安全策略的设计者才能了解信息资产及其可能受到的威胁对组织的重要性。进一步的风险分析,可以让设计者从全局的高度了解并衡量安全事件产生的成本和减轻这些安全威胁的成本。

在开发安全策略的过程中,总体策略、标准和最佳实践是常见的策略文档。总体策略一般具有广泛的实现性,是实现安全策略的最低要求。标准通常情况下是策略和操作指导的参考,它是一套最基本的操作准则。最佳实践是经过长期经验积累总结出的一套更适合企业自身业务特点的指导方针。安全策略的开发应该由一个团队来完成,包括数据中心系统管理員,高层决策人员,用户代表和其他该组织机构的代表。

3 网络安全技术与设备

在数据中心内部,无论是网络基础设施,业务系统还是其他辅助设备,规模都非常庞大且复杂。安全的管理是非常困难的,但只要你的安全策略匹配了最佳实践,同时构建了合理的安全技术,通过安全策略与安全技术的有效结合,你将在数据中心内部建立一套相对安全的系统。

3.1 身份识别

在网络上用户的身份可以映射为一些不同的元素,如用户名、密码、智能卡、PKI、地址、生物特征识别等。在数据中心内部,身份识别技术在管理架构中运用广泛,主要作用是确保管理员登录的可靠性,防止非法用户访问数据中心内部系统。如果非法用户盗用了管理员帐号或通过其他手段获取了数据中心的访问权限也可能产生安全性问题。所以,通常情况下身份识别还需要与加密技术和安全策略配合来提供更高的安全性。

3.2 防火墙

防火墙的本质功能就是实现网络隔离,通过防火墙可以把安全信任网络和非安全网络进行隔离。实现网络防火墙的基本技术是IP包过滤。ACL是一种简单可靠的技术,应用在路由器或交换机上可实现最基本的IP包过滤,但单纯的ACL包过滤缺乏一定的灵活性。

状态防火墙设备将状态检测技术应用在ACL技术上,通过对连接状态的检测,动态的发现应该打开的端口,保证在通信的过程中动态的决定哪些数据包可以通过防火墙。状态防火墙还采用基于流的状态检测技术,即增强了安全性又提供了更高的转发性能,因为基于ACL的包过滤技术是逐包检测的,这样当规则非常多的时候包过滤防火墙的性能会变得比较低下,而基于流的状态防火墙可以根据流的信息决定数据包是否可以通过防火墙,这样就可以利用流的状态信息决定对数据包的处理结果加快了转发性能。

3.3 入侵检测

传统的网络安全解决方案如防火墙、IDS等,已经不能满足网络安全技术和形势的发展需求了。各种蠕虫、病毒、应用层攻击技术和EMAIL、移动代码结合,形成复合攻击手段,使威胁更加危险和难以抵御。这些复合威胁直接攻击企业核心服务器和应用,给企业带来了重大损失。

IPS(入侵防御系统)可以针对应用流量做深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,通过主动阻止攻击达到对网络应用的保护、网络基础设施的保护和网络性能的保护。

3.4 加密技术

加密可以在网络的不同层次进行,在链路层加密可以通过WEP(有限对等保密)或专用的加密器来实现。不过数据中心内部常用到的是网络层加密和应用层加密, IPSec是常见的网络层加密技术,可以在多种模式下运行提供全面的加密、认证和完整性保护。IPSec实现了站点到站点或客户PC到站点等灵活的部署方式,管理者关注的重点可能是IPSec网关的性能和数量等,因为在数据中心环境中,可靠性和扩展性是必须考虑的关键要素。基于应用的需要,L4到L7的加密也是数据中心网络安全部署中需要考虑的技术,尤其是在基于Web通信为主的网站数据中心应用场景中。SSL与IPSec一样为用户提供了一套完善的认证加密机制,而且不仅仅限于HTTP层的保护,现有的SSL技术还可以提供基于TCP层和IP层的加密保护,为用户提供更多的选择性。

4 结语

数据集中是管理集约化、精细化的必然要求,是企业优化业务流程、管理流程的必要手段。目前,数据集中已经成为国内电子政务、企业信息化建设的发展趋势。数据中心的建设成为数据集中趋势下的必然要求。

参考文献

[1] 章洁如.数据中心的安全分析.中国数据通信,2001(10).

[2] 刘佳,杜雪涛,等.互联网数据中心安全解决方案.电信工程技术与标准化,2010(2).