一个装满了货物的仓库,总会引来各种各样不必要的"光顾者"。就好像我们企业的数据中心一样,越是核心的业务应用、越是敏感的数据,越容易遭受来自外界的攻击。
随着IT应用程度的日益提高,数据中心对于客户的价值与日俱增,相应的,数据中心的安全建设也迫在眉睫。面对日益繁复的应用和日渐频繁的外界攻击,一个好的数据中心除了应对数据的存储和传递之外,能否保证数据的安全性也是衡量其合格与否的重要标志。而面对不断变化的外来攻击,数据中心的建设对安全也有了更高的要求。
数据中心安全需求的四个维度
数据中心的安全需求有些是通用性的,如分区和地址规划问题、恶意代码防范问题、恶意入侵问题等;有些是独有的保密性需求,比如双层安全防护、数据库审计等;有些是独有的服务保证性需求,比如服务器、链路和站点的负载均衡、应用系统优化等。总体来看,数据中心对于安全的需求可以从四个纬度来衡量:通用安全性需求、业务信息保密性需求、业务服务保证性需求、业务安全绩效性需求。
通用性的安全威胁可能出现的情况包括攻击者通过恶意代码或木马程序,对网络、操作系统或应用系统进行攻击;内部人员未经授权接入外部网络、或下载/拷贝软件或文件、打开可疑邮件时引入病毒;攻击者利用应用系统、操作系统中的后门程序攻击系统;授权用户操作失误导致系统文件被覆盖、数据丢失或不能使用等。
业务信息安全性威胁则包括内部人员利用技术或管理漏洞,未经授权修改重要系统数据或系统程序;攻击者利用各种工具获取身份鉴别数据,并对鉴别数据进行分析和解剖,获得鉴别信息,未经授权访问网络、系统,或非法使用应用软件、文件和数据;以及攻击者利用网络结构设计缺陷旁路安全策略,未经授权访问网络等。
业务服务保证性威胁指的是诸如攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意消耗网络、操作系统和应用系统资源,导致拒绝服务;攻击者利用各种工具获取身份鉴别数据,并对鉴别数据进行分析和解剖,获得鉴别信息,未经授权访问网络、系统,或非法使用应用软件、文件和数据;以及粗放式业务服务能力方式提高了总体拥有成本这类的威胁。
安全建设绩效性威胁则指的是业务流量变化导致安全策略部署需要调整;业务种类变化导致安全部署需要调整;全网设备管理存在门户不同、管理分散,导致定位问题缓慢;以及缺乏整体的IT规划,没有有效的技术手段制成IT规划、决策等。
构建数据中心安全有"三高"要求
根据对数据中心所受到的威胁的分析,业界对数据中心安全的建设有了更多的考虑。犹如现在铸造一把好锁,不仅需要严格的机械原理,还会辅之以各种电子化的技术。目前业内普遍认可,在构建数据中心时也要突破以往的思路,站在更高、更全面的高度上重新思考以下方面:
首先是高安全。木桶原理直观说明了安全需要全方位防御,核心数据作为企业的最宝贵的资产和生命线,需要强有力的保障数据中心的安全访问,避免病毒、攻击、非授权的访问与泄密,以及保障访问记录的审查和监督已经成为数据中心安全运营的必备条件;
其次是高性能。数据与业务集中后,流程整合、信息挖掘和实时工作等新应用系统对数据中心内部系统的带宽、响应时间、吞吐量等提出了更高的要求,多媒体数据、Web2.0、移动3G和高性能计算等业务的广泛应用不断吞噬着数据中心的处理能力、网络带宽。安全如何保证不成为万兆网络的性能瓶颈,如何提供更高的带宽、更好的响应时间,也是企业管理者关注的核心问题之一;
最后是高可靠。数据中心已成为企业IT系统的心脏,如何保证数据中心在各种条件下的安全和稳定运行,如何保障数据中心的各种业务连续性,也是IT行业面临的一个巨大挑战;
这"三高"可以说是构建一个安全稳定的数据中心的最基本,也是最重要的要求。除此以外,应用优化、低成本与易管理,以及现在业内普遍提倡的绿色的概念,也都是一个好的数据中心所应当具备的条件。
业界最佳的数据中心保护方案全面迎战"三高"
基于对数据中心架构的深入研究和对各种安全问题的了解, H3C在其新一代数据中心解决方案中通过以iSPN智能安全渗透网络理念、面向安全的网络设计,实现了网络与安全的智能融合管理,为新一代数据中心应用提供了高性能、高安全的数据中心保护解决方案,为客户提供了增值的数据中心网络。
首先,安全防护是一个整体,任何疏漏都可能被攻击者利用并导致破坏。安全防御系统通过高端防火墙和IPS实现2~7全面安全防御,并通过SecBlade安全插卡,将安全隔离、深度入侵防御、DDoS防御、VPN、流量分析和协议分析(含数据库审计)等技术融合于H3C S75E/S95/ S95E/S58系列交换:一方面通过防火墙插卡、IPS插卡、AFC插卡能够阻断各种网络攻击和异常流量,为用户提供从物理层到应用层的全方位安全防护;另一方面通过NetStream流量分析插卡、ACG应用控制插卡、负载均衡插卡和SSL VPN插卡能够实现对网络行为的精细化管理和性能优化,提升用户的网络使用效率。
其次,在部署时充分考虑数据中心高可靠性要求,安全设备支持双机状态热备、双电源、业务接口卡支持热插拔等特性,并且安全系统采用"交换机+SecBlade插卡"方式部署,即可达到万兆级安全防护能力,同时整网设备明显减少,避免传统糖葫芦串式结构,也极大地方便了网络与业务部署、任何设备故障时,业务流量自动绕行,彻底消除单点故障的风险,同时大大降低了用户的综合成本。
再次,为解决万兆网络安全性能瓶颈问题,H3C的40G超万兆防火墙F5000-A5和业界唯一的万兆防火墙模块可满足大型企业、运营商和数据中心网络的高性能安全防护需求。同时提供八种SecBlade安全板卡,可以实现性能无限扩展、为用户提供融合多业务的一体化网络安全解决方案,满足大容量数据中心需求。
最后,通过4~7层负载均衡、SSL 加速、Web 加速、Http数据压缩等技术,保证在访问请求急剧增长时,服务器不会因不堪重负而反应缓慢,实现对数据中心的整体性能进行优化,为用户提供更佳体验;同时,通过安全管理平台与iMC开放智能管理中枢实现对设备、服务器的配置、监控和管理。
由于能够对数据中心安全实施充分、全面的保障,H3C数据中心保护解决方案在国家环保部、国家人保部、国家知识产局、中国公安部、工总行南北数据中心、上海农行、江西省农行、山东省农信、万和证券、成都市政府、数迅IDC等用户中都已经有了成功的应用。方案不仅充分满足了用户对数据存储、计算等方面的需求,更提供了全面的保护措施,使用户可以安心无忧地基于数据中心开展更为丰富、深入的应用,充分发挥出了数据中心应有的价值。