加强数据中心安全的5大步骤:
综合的加强数据中心的安全需要一套深度的防御方法,企业组织可以从五个关键领域着手实现。其安全防御解决方案必须:
1、提供对于自定义数据中心应用程序的可视化和控制。
数据中心管理人员们所需要的对于自定义数据中心的应用程序的可视化和控制,不仅仅只是包括了传统的基于网络的应用程序(例如,Facebook和Twitter),还涉及到微应用(microapplication)的传统网络边缘安全设备检测。大多数下一代防火墙都是设计用于检查流经互联网边缘的流量类型,但并不确保这些自定义的数据中心应用程序的安全。
2、管理设备或数据中心之间的非对称的业务流量和应用程序交易。
安全解决方案必须能够与数据中心的架构充分整合,而不是简单地处在边缘。边缘的解决方案不能检查南北走向的(入站出站)流量和东西走向(跨应用程序)的流量,而后者则代表了今天的数据中心流量的绝大部分。如果应用程序的流量必须被发送到数据中心外围边界的下一代防火墙,以便在检查之后再发送回计算机层,那么,解决方案将逐渐削弱现代数据中心所要求的动态流量。
许多下一代防火墙都无法保护非对称流量。在非对称路由中,典型的到达数据中心的一个数据包在返回到其数据源时,将选择不同的路径。这成为了许多下一代防火墙的一个问题,因为他们是专为沿一个单一的、可预测的路径而对流量进行跟踪,检查和管理设计的。
数据中心的安全性解决方案还必须能够处理在数据中心或设备之间的应用程序交易,包括在虚拟设备之间。虚拟设备与物理设备是一样脆弱的,但数据中心的安全解决方案也必须能够处理虚拟环境的独特安全挑战,包括创造、拆卸、和迁移恒定的工作负载。
3、适应数据中心的不断发展的需求。
随着数据中心环境从物理环境迁移到虚拟环境再到下一代的SDN和ACI模式,其安全解决方案也必须能够动态地扩展,并提供持续一致的安全保护,以便能够跨不同的演变阶段和各种混合的数据中心环境而无缝工作。在这些新的数据中心模式下,虚拟和物理设备正在被快速的配置,安全规则的失控可能会迅速扩大。访问控制列表(ACL)管理对于很多IT团队而言都已经是一大挑战了。
新设备的配置需要自动执行,这样可以使得其部署时间可以从几天减少到几分钟,同时还无需担心产生不安全的后果。同样,还需要有能够跨多处混合的数据中心部署一款单一的安全解决方案的能力,许多多虚拟机管理程序(虚拟机监视器)允许企业组织数据中心的IT团队能够专注于数据中心的功能,而无需承担安全方面的行政开销。
4、解决整个连续攻击:包括在攻击发生之前、期间和之后。
传统的安全方法仅仅只为数据中心的环境提供了有限的威胁意识和可视化,并主要集中在数据中心外围实施攻击阻挡方面。而覆盖整个连续攻击过程的则需要借助一套安全保护解决方案跨一个广泛的攻击向量针对无处不在的安全威胁实施监控,包括:在网络上,在端点上,在移动设备上,以及在虚拟环境中。一套全面的,以积极应对安全威胁为中心的方法,确保数据中心的安全,包括在安全攻击发生之前,期间和之后的防御保护都是必要的,进而才能保护现代数据中心及其专门的流量。
传统的下一代防火墙针对识别和减轻那些设计用于绕过防御措施的隐蔽攻击几乎没有提供任何解决方案,其在这些隐蔽攻击停止后也不能提供补救和分析,无法跟踪和确保数据中心非对称流量的安全。他们几乎完全是防御性的工具,但却不能抵御新兴的,针对有漏洞的服务器,独特的应用程序和有价值的数据所进行的未知的安全威胁。
5、保护整个网络。
任何数据中心安全解决方案都必须认识到远程用户有直接连接到某个关键的数据中心资源的需要。故而该安全解决方案需要在远程用户和数据中心资源之间提供透明度,但其仍然是一个复杂的网络环境的一部分,只是通过分支办事处,跨核心扩展进入到了数据中心,并向外延伸到了云计算。安全解决方案必须是数据中心架构的一部分,以及一套更广泛的、可以同时看到基于网络的安全威胁和以数据中心为攻击目标、还能够跨整个数据路径提供无缝的保护的解决方案一部分。
数据中心的安全是不同的。为了切实保护现代数据中心,新的数据中心模型正在出现,企业组织不能仅仅单只靠一个下一代的防火墙。他们需要一套全面的、综合性的安全战略和架构,以便可以提供跨整个分布式网络、一致的、智能型的安全保护,从边缘到数据中心再到云环境,而且不会破坏数据中心的性能。
|
