数据中心安全的原始模型是基于安全威胁是来自外部的假设。故而保护数据中心的这些基础设施的安全架构都主要是专注于在数据中心和外部世界之间建立一个网络外围边界。而这一外围边界的基础便是一道防火墙,其将负责检查所有的南北走向的流量,这些流量主要是在数据中心和互联网之间传输。防火墙负责在这些数据流量中寻找违反安全管理策略和所存在的其他可疑活动的迹象。然后,其便采取相应的措施,如阻止流量传输、标记额外的附加信息,并通知操作管理员。
尽管数据中心仍然需要排查南北走向的流量,以及时发现外部安全威胁,但现在的安全威胁监测工作已变得越来越复杂了。例如,客户端设备对于托管在数据中心服务器的数据的访问便构成了相当大的威胁。在过去,客户端设备都是同质的、集中管理的台式电脑,均处于一家企业组织内部,并受到企业安全控制的保护。故而彼时由客户端设备所造成的恶意软件和其他漏洞能够快速被检测和纠正。
但现如今的大多数企业环境早已不再是如此了。企业用户所采用的客户端设备不仅在其操作系统和应用程序方面千差万别,而且这些设备所存在的安全漏洞、他们使用的安全控制、以及他们连接到企业IT资源时所处的地理位置也是广泛变化的。许多客户端设备是企业用户的私人的硬件设备,并经常没有使用任何安全控制。它的这使得现在的企业IT管理人员们发现,他们不能再假设从企业内部进行访问的客户端设备是绝对处于安全控制之下的了,一旦发现有用户使用这些客户端设备,也将需要迅速实施检测,并根除相应的安全威胁。在这个新的环境中,每款客户端设备都潜在的构成了一个单独的安全威胁。
数据中心安全威胁的另一大变化是在数据中心内部的服务器之间的相互作用。非故意的安全威胁一直是一个普遍关注的问题。例如,某台服务器感染了恶意软件,会通过数据的传输而感染到数据中心内部的其他服务器。但是到了今天,故意的安全威胁也可能是一大问题。在一处拥有多家客户的数据中心,如一个公共云环境,一家客户可能试图侵入另一台服务器,以便窃取专有信息或篡改记录。
在数据中心服务器之间传输的网络流量称为东西走向的流量。对于此类流量实施监控对于查找和阻止安全威胁是至关重要的。许多数据中心的东西走向的流量要比南北走向的流量(客户端到服务器的流量)更多得多。因此,忽略对东西流量实施监控或将意味着数据中心内部虚拟或物理服务器之间所存在的安全攻击可能不被注意。此外,随着数据中心越来越多的托管高价值的应用程序,以及以前原本存储在企业内部网络上更为孤立的敏感数据信息,因此使得这类流量更需要受到更好的保护。此外,现代数据中心必须为应用程序和数据提供日志和审计服务,以支持其操作,例如必须符合安全合规性计划或审计要求。
数据中心运营商们还必须了解来自前几代先进性网络安全的威胁。当前网络安全威胁的典型模式是通过一家企业组织的服务器缓慢地、隐蔽地走向最终的目标服务器,而避免被检测到。今天的大多数网络安全威胁均寻求访问和复制敏感的数据信息,然后将其转移到一个外部位置,进而获取经济利益。
网络攻击者通常通过获得一名普通职员的访问授权凭证来开始其攻击。而实现这一点的常见方式是用恶意软件感染客户端设备以获取凭证,或者使用网络钓鱼或其他社交工程技术欺骗用户向攻击者提供凭证。然后攻击者可以使用这些凭证来访问数据中心内的特定服务器,以及可能支持相同凭证的其他服务器。攻击者可能需要使用其他安全漏洞以提升其权限,获得更多用户帐户的访问权或以其他方式继续朝向目标服务器进展。一旦攻击者获得对目标服务器的访问,最终将利用漏洞将企业组织的敏感数据传输到攻击者在数据中心外部所选择的系统。
..
|
