马克思曾在《资本论》里这样形容过资本家:
如果有10%的利润,他就保证到处被使用;有20%的利润,他就活跃起来;有50%利润,他就铤而走险;为了100%的利润,他就敢践踏一切人间法律;有了300%的利润,他就敢犯任何罪行,甚至冒绞首的危险!
这个道理同样适用于网络攻击者们对数据中心的侵犯,其内存储的高价值数据(包括客户个人数据、财务信息和公司知识产权)无时不刻的让众多的网络犯罪攻击者们蠢蠢欲动。
当然,网络攻击者们对数据中心的觊觎只是保护数据中心安全的第一个“拦路虎”,数据中心的特殊特性将给我们的安全防护工作带来更艰巨的挑战,例如流量不对称、存在自定义应用、需要传出计算层并传输到数据中心外围进行检查的流量较大,跨多个虚拟机监控程序进行虚拟化,以及分散在多个地理位置等等。
相应地,如果安全解决方案没有在设计上考虑到这些特性,则很难为数据中心提供安全保护,甚至会导致不良的后果:安全保护出现空白、数据中心性能受到严重影响、不得不牺牲数据中心功能来满足安全方面的限制,以及因安全解决方案调配过于复杂而降低数据中心按需动态调配资源的能力。
对此,思科高级安全架构师徐洪涛给出了保护数据中心安全的建议,即通过深度防御的方法全面覆盖五大关键领域!
保护数据中心安全的五个步骤
一、提供对自定义数据中心应用的可视性和可控性。主要还是传统互联网边缘设备只检查传统的基于Web的应用(例如Facebook和Twitter)和相关微型应用,忽视了对自定义数据中心应用的可视性与可控性。
二、管理设备或数据中心之间的非对称流量和应用事务。许多下一代防火墙无法保护非对称流量的安全,数据中心里经常出现非对称路由,数据包这个时候会通过不同的路径返回来源,而许多新一代防火墙在设计中仅考虑沿一条可预测的路径跟踪、检查和管理流量,因此这就带来了问题。
三、适应数据中心的演变。数据中心正在从物理环境向虚拟环境,以及进一步向下一代SDN、ACI和NFV模式迁移,安全解决方案也必须随之动态调整和提供一致的安全保护,从而与不断演变的混合数据中心环境无缝对接。
四、针对整个攻击过程提供全方位保护:攻击前、攻击中和攻击后。威胁可在网络、端点、移动设备和虚拟环境内出现,可以说是无处不在。要保护现代数据中心和其中的专门流量,必须要使用以威胁为中心的全面方法,在攻击前、攻击中和攻击后为数据中心提供全方位保护。
五、保护整个网络。安全解决方案不仅必须保证远程用户与数据中心资源之间的透明,而且还要考虑到自己属于一个复杂网络环境:穿过分支机构、核心,进入数据中心再进到外面的云中。安全解决方案不仅必须是数据中心架构的一部分,同时也是更广泛解决方案的组成部分,既要能发现基于互联网的威胁,又要能发现针对数据中心的攻击,同时还要为整条数据路径无缝提供安全保护。
全面、集成的安全策略和架构,从边缘到数据中心再到云,为整个分布式网络提供一致的智能保护,同时保证不影响性能,这才是真正为现代数据中心提供安全保护!
必不可少的现代数据中心保护工具
说到这里,创新型数据中心安全解决方案“思科自适应安全设备(ASA)”就不得不提了!它不但为物理环境和虚拟环境提供安全保护,同时也帮助组织从传统数据中心无缝迁移到下一代数据中心,从而建立面向未来的部署并实现投资保护和全面保护!
- 思科自适应安全虚拟设备(ASAv):CiscoASAv的架构非常灵活,这意味着它既可以作为传统的安全网关进行部署,也可以作为可直接动态纳入应用服务链的智能SDN和ACI环境安全资源进行部署
- 具备FirePOWER服务的思科ASA5585-X:做为一种专门设计的数据中心安全设备,它全面支持传统、SDN和ACI数据中心环境,其中采用了许多高级防火墙和下一代IPS安全功能(包括能够检测和检查自定义数据中心应用),以及高级性能和调配功能。
- 思科FirePOWER下一代IPS:FirePOWER是市场领先的NGIPS,能够识别和评估数据中心资源连接和监视可疑网络活动,并且既能用做物理解决方案也能用做虚拟解决方案它能够近乎实时地监控文件活动,而且可以通过沙盒(隔离运行文件,并分析文件行为)获得对某些文件(尤其是有可能是恶意软件的未知文件)的进一步分析,或在云中进行查询(通过查看一般会员社群中的情报了解文件信誉)。
- 思科身份服务引擎(ISE)和TrustSec:ISE可以将包含安全策略和实施规则的安全组标签直接附加到各个数据包。另外,利用此安全标签,数据中心可以根据用户和设备角色进行划分,从而消除由VLAN和ACL带来的复杂情况和开销。
那么,仅仅只是数据中心面临着网络安全威胁吗?通过思科2015年度网络安全报告,我们来看看当下的安全威胁情况:
