保护企业数据中心安全已经逐渐成为安全领域的重中之重。随着防火墙,防病毒软件,反间谍和木马信息过滤器等各项安全工具层出不穷,很多安全厂商把这些功能集合在一起做成产品套装来方便用户进行管理。还有一些其他类型的安全工具也正在研制当中。
加强日志管理
计算机服务机构面临的最大问题是弄清楚真正威胁他们数据中心的是什么。防病毒软件,防火墙和入侵检测系统能记录大量有关试图进入你的数据中心人员的数据信息。他们通过不同的软件程序在整个部门系统内部进行追踪。位于伦敦的信息科技研究集团资深研究分析师James Quin表示,这也给企业带来了令其困扰的挑战。
Quin表示"经常对所有数据进行解析,关联和交叉引用的企业每天要面对大量的工作负荷"。他推荐使用日志分析器,也就是大家众所周知的安全信息管理器和安全信息事务管理器,这些工具能从各种系统中对数据进行汇总。此类工具还能和报告和分析工具一起配合,进行集中关联和日志管理。
ArcSight就是这种工具的代表,它能跟踪大量的日志数据更好的为企业服务。
位于美国旧金山的富国银行资深信息安全工程师丹尼斯.何因用了一个形象的比喻,他说ArcSight就好比日志管理的瑞士军刀。丹尼斯使用这款工具对银行系统内部的日志进行集中管理。这种做法使他免受意外侵扰。丹尼斯表示"这款工具能引出日志报告,这样以前需要花费时间调查的事情现在只需几分钟或者几小时就可以搞定"。
对于那些小型企业或者没有太多自定义需求的公司来说,来自TriGeo网络安全公司的TriGeo工具和赛门铁克公司的安全信息管理器功能虽然不像ArcSight那么强大,但是他们方便易用,尤其适用于那些缺乏安全经验的公司。
另一个使用日志聚集的实际原因是:他们能阻止小型攻击。位于美国马萨诸塞州的Akibia Inc.主要从事数据中心的信息咨询,公司的技术副总裁Mike Halperin介绍说"当有攻击产生时,就有一连串黄色小旗升起,但不是红色的"。
暴露你的弱点
计算机服务机构需要自查的就是在数据中心中搜索去发现弱点。对于这个流程,可以考虑使用攻击评估和管理工具。eEye Digital Security公司的视网膜攻击扫描仪,GFI LANguard公司可以实现路径管理和安全审核的攻击扫描仪或者Qualys,都是可以实现攻击评估和管理的安全工具。对于很多企业来说,相对简单的做法是使用网络版本的工具就无需再雇佣具备相关经验的安全人员了。
位于美国加利福尼亚州的County Bank拥有40家分支机构,他们使用AS/400来管理将近40台台式机服务器,使用Qualys来执行服务器的日常扫描工作。
County Bank的信息安全官查理.麦考伦认为"类似这样的安全公司对我们非常重要。Windows应用环境中日常的攻击随时都在发生变化"。他很喜欢Qualys,因为Qualys能阻断这些攻击。
除了对Windows服务器进行日常的扫描外,County Bank每个月对AS/400扫描一次。
目前市场上常用的安全工具还有Nessus,这款开源攻击扫描仪由于内核兼容性的问题,不再包括在BackTrack CD之内。
经常进行扫描是非常重要的。安全咨询公司KRvW Associates LLC的首席咨询师兼创始人Ken van Wyk表示"每隔24小时进行一次扫描来寻找人们可能会犯的人为错误。应用程序,配置,服务器和网络的改变都会导致攻击有机可乘,我们必须及时发现它"。
扫描你的数据中心
攻击扫描仪可能是大家最熟悉的计算机取证工具。取证工具涵盖了从基础日志扫描仪到能执行深度系统检测的高级程序。使用这些工具需要具备相关的专业技术和科技知识。严肃的取证分析是专家从事的工作,但是任何人都可以使用其他相对简单的分析工具,虽然详细说明可能需要专门的只是,不过每家计算机服务机构都应该至少有数据中心中使用的基础取证工具。
或者最好的范例就是BackTrack 3 CD。BackTrack 3 CD是包含了开源取证工具的实况光盘。Forrester研究公司的分析师John Kindervag表示"掌控数据中心安全的人员应该做的事情就是下载BackTrack 3 CD,去了解如何使用,了解如何在他们的网络环境中因地制宜"。
预防数据外泄
能监控数据从数据中心外泄和阻止敏感数据流出的软件被称为数据泄露保护软件。这个非常新兴的领域的其他称谓是数据防损(DLP),信息泄露侦测和预防,信息泄露保护,文本监控和过滤或者是数据外泄预防系统。
数据泄露保护使用的软件能监控从数据中心输出的数据,阻止敏感数据的不当外泄。数据泄露保护软件吸引了很多公司从对网络诈骗的关注中转移到企业数据泄露的问题上来。Quin表示"通过对公司里不存在的错误信息予以确认来保护数据是关键所在"他还补充说"数据泄露保护还没有正规的立法规范,因为它还是一个新兴的领域,不过它已经得到了每家企业的肯定和认可"。
在数据防损市场上活跃的多数公司都是新兴企业,但是在过去的6到9个月里,大型安全厂商已经收购了很多这个领域的独立开发商。比如赛门铁克公司目前收购了Vontu,RSA收购了Tablus(目前已经成为RSA数据防损套装产品的组成部分),McAfee收购了Reconnex。Quin强调说"这些工具生产厂商的合并都得到了规模更大,实力更加雄厚的企业的支持,这使得这些工具和这些公司都在行业内取得了领先优势"。
其他需要考虑的因素还有企业的规模和你必须用于安全防范的资源。Quin表示"对于某些领域十分适用的产品未必就适合中小型企业;对于每一个案例,计算机服务机构都必须对功能,产品局限,价格和人力成本进行评估和权衡"。
需要遵循的规则
控制访问是数据中心安全管理的核心部分。能够进行控制设置和只允许合法用户进行访问的身份管理系统目前已经十分成熟,像IBM公司的Tivoli ID Manager和Access Manager,同类的竞争产品还有来自甲骨文,BMC,CA和NOVELL的系统工具。
不过访问管理的一个突出问题是法规遵从管理,它是要采用安全协议来控制资源的访问而并非依靠个体验证。赛门铁克公司的BindView和Elemental Security公司的Elemental Security Platform就是代表。
要谨记数据中心安全产品选择的一个要点,许多工具的功能和特性设置都有所重叠。举例来说,一家公司的日志分析工具可能就是另外一家公司的安全信息管理器。随着安全厂商不断补充他们的产品线,这种情况可能还将继续。
