数据中心的建设是一个系统化的工程,不但需要考虑性能、容量、环保的领域,安全同样值得大家关注。数据中心的安全,不但需要有完善的信息安全的方案,还需要覆盖到安全存储的部分,这是和传统的数据中心完全不同的地方。
多层次的安全威胁
赛门铁克曾发布的一份报告显示:2006年上半年,全球每天发生6110次的DDoS攻击。在国内,DDoS攻击占网络攻击的12%,平均每天发生800次,且在不断递增。全球有500万的僵尸主机,现在很多计算机都被病毒控制了。
另外,僵尸网络只是众多的数据中心面临的安全威胁之一。数据中心通常直接面向互联网或者是专用的网络,由于网络具有开放性、不可预知性等特点,使得数据中心面临多方面的安全威胁。
我们把数据中心的模型分成了3+3的模式:从大的范围来讲是外部网络、数据中心内部以及数据中心之间,数据中心又可分为网络、计算和存储方面。来自外部网络的威胁,除了DDoS攻击,还有非法访问、安全传输等问题;数据中心内部的安全问题包括安全攻击、系统安全、数据备份等;在数据中心之间,还存在远程复制、灾难恢复、业务连续等安全威胁。
面对这些安全威胁,数据中心用户需要的不仅仅是产品和方案,更需要建立一种可以维持持续发展的安全防御的能力。
安全能力提升计划
为了能够分阶段建设数据中心的安全能力,我们建议数据中心的安全建设需要划分为五个阶段:不确定期、觉醒期、启蒙期、智慧期以及确定期。每个阶段都有特定的安全需求和安全状态。
针对这五个安全建设阶段,华为赛门铁克公司(简称华赛)提出安全能力提升计划(SAUP)的参考方法。针对需求的不同阶段,数据中心的核心价值、价值分析、安全战略与安全方法都相应得到提升。
数据中心的价值定位在不断地发生变化,从业务发布到业务整合到最后的战略应用,每个阶段都有特定的安全需求和安全状态。SAUP建议从数据中心的两个方面出发进行分析。举例来讲,当数据中心作为业务的发布平台时,用户将传统的业务流程迁移到数据中心,目的是提高效率、降低成本。这个阶段的用户有普遍的安全意识,采取了安全的手段,但是无法避免安全问题的出现。我们把这个阶段的用户划分到安全能力的觉醒期,建议采用纵深的策略,从业务的全流程去考虑问题。在这些工作的基础上,用户同时还必须考虑数据的安全存储和备份。在后面的每个阶段,随着威胁的不断发生,我们会采取更多的安全策略和安全方法。
可以看到,随着数据中心核心价值不断提升,数据中心安全能力也在持续地创新和应用。在这个过程当中,实现了数据中心和安全两者能力的共同提升,这是SAUP的核心思想所在。
完善的安全支持方案
SAUP可以作为数据中心安全能力建设的一个参考方法,华赛为之提供了全方位的安全支持方案。
华赛推出的与网络融合的万兆安全平台,采用分布式体系结构,提供高达N??万兆吞吐量,支持海量VPN接入,并具有上佳的DDoS攻击防护能力。
在DDoS攻击防御方面,华赛提供基于DPI的深度检测技术,华赛的设备还支持指纹识别功能。另外,华赛产品还能对攻击流量进行动态的控制,消除对网络结构和网络性能的影响。
无论是用户处于数据中心内部还是VPN接入,华赛都能以灵活的方式实现基于策略的访问控制。通过隔断不安全的用户,可以保证对数据中心资源的分类别的访问控制,而不是开放式的简单的直接访问。
在持续数据保护方面,华赛提供数据归档、备份和容灾的、全方位的数据保护,并支持CDP、重复数据删除两项关键的技术。