馬克思曾在《資本論》里這樣形容過(guò)資本家:
如果有10%的利潤,他就保證到處被使用;有20%的利潤,他就活躍起來(lái);有50%利潤,他就鋌而走險;為了100%的利潤,他就敢踐踏一切人間法律;有了300%的利潤,他就敢犯任何罪行,甚至冒絞首的危險!
這個(gè)道理同樣適用于網(wǎng)絡(luò )攻擊者們對數據中心的侵犯,其內存儲的高價(jià)值數據(包括客戶(hù)個(gè)人數據、財務(wù)信息和公司知識產(chǎn)權)無(wú)時(shí)不刻的讓眾多的網(wǎng)絡(luò )犯罪攻擊者們蠢蠢欲動(dòng)。
當然,網(wǎng)絡(luò )攻擊者們對數據中心的覬覦只是保護數據中心安全的第一個(gè)“攔路虎”,數據中心的特殊特性將給我們的安全防護工作帶來(lái)更艱巨的挑戰,例如流量不對稱(chēng)、存在自定義應用、需要傳出計算層并傳輸到數據中心外圍進(jìn)行檢查的流量較大,跨多個(gè)虛擬機監控程序進(jìn)行虛擬化,以及分散在多個(gè)地理位置等等。
相應地,如果安全解決方案沒(méi)有在設計上考慮到這些特性,則很難為數據中心提供安全保護,甚至會(huì )導致不良的后果:安全保護出現空白、數據中心性能受到嚴重影響、不得不犧牲數據中心功能來(lái)滿(mǎn)足安全方面的限制,以及因安全解決方案調配過(guò)于復雜而降低數據中心按需動(dòng)態(tài)調配資源的能力。
對此,思科高級安全架構師徐洪濤給出了保護數據中心安全的建議,即通過(guò)深度防御的方法全面覆蓋五大關(guān)鍵領(lǐng)域!
保護數據中心安全的五個(gè)步驟
一、提供對自定義數據中心應用的可視性和可控性。主要還是傳統互聯(lián)網(wǎng)邊緣設備只檢查傳統的基于Web的應用(例如Facebook和Twitter)和相關(guān)微型應用,忽視了對自定義數據中心應用的可視性與可控性。
二、管理設備或數據中心之間的非對稱(chēng)流量和應用事務(wù)。許多下一代防火墻無(wú)法保護非對稱(chēng)流量的安全,數據中心里經(jīng)常出現非對稱(chēng)路由,數據包這個(gè)時(shí)候會(huì )通過(guò)不同的路徑返回來(lái)源,而許多新一代防火墻在設計中僅考慮沿一條可預測的路徑跟蹤、檢查和管理流量,因此這就帶來(lái)了問(wèn)題。
三、適應數據中心的演變。數據中心正在從物理環(huán)境向虛擬環(huán)境,以及進(jìn)一步向下一代SDN、ACI和NFV模式遷移,安全解決方案也必須隨之動(dòng)態(tài)調整和提供一致的安全保護,從而與不斷演變的混合數據中心環(huán)境無(wú)縫對接。
四、針對整個(gè)攻擊過(guò)程提供全方位保護:攻擊前、攻擊中和攻擊后。威脅可在網(wǎng)絡(luò )、端點(diǎn)、移動(dòng)設備和虛擬環(huán)境內出現,可以說(shuō)是無(wú)處不在。要保護現代數據中心和其中的專(zhuān)門(mén)流量,必須要使用以威脅為中心的全面方法,在攻擊前、攻擊中和攻擊后為數據中心提供全方位保護。
五、保護整個(gè)網(wǎng)絡(luò )。安全解決方案不僅必須保證遠程用戶(hù)與數據中心資源之間的透明,而且還要考慮到自己屬于一個(gè)復雜網(wǎng)絡(luò )環(huán)境:穿過(guò)分支機構、核心,進(jìn)入數據中心再進(jìn)到外面的云中。安全解決方案不僅必須是數據中心架構的一部分,同時(shí)也是更廣泛解決方案的組成部分,既要能發(fā)現基于互聯(lián)網(wǎng)的威脅,又要能發(fā)現針對數據中心的攻擊,同時(shí)還要為整條數據路徑無(wú)縫提供安全保護。
全面、集成的安全策略和架構,從邊緣到數據中心再到云,為整個(gè)分布式網(wǎng)絡(luò )提供一致的智能保護,同時(shí)保證不影響性能,這才是真正為現代數據中心提供安全保護!
必不可少的現代數據中心保護工具
說(shuō)到這里,創(chuàng )新型數據中心安全解決方案“思科自適應安全設備(ASA)”就不得不提了!它不但為物理環(huán)境和虛擬環(huán)境提供安全保護,同時(shí)也幫助組織從傳統數據中心無(wú)縫遷移到下一代數據中心,從而建立面向未來(lái)的部署并實(shí)現投資保護和全面保護!
- 思科自適應安全虛擬設備(ASAv):CiscoASAv的架構非常靈活,這意味著(zhù)它既可以作為傳統的安全網(wǎng)關(guān)進(jìn)行部署,也可以作為可直接動(dòng)態(tài)納入應用服務(wù)鏈的智能SDN和ACI環(huán)境安全資源進(jìn)行部署
- 具備FirePOWER服務(wù)的思科ASA5585-X:做為一種專(zhuān)門(mén)設計的數據中心安全設備,它全面支持傳統、SDN和ACI數據中心環(huán)境,其中采用了許多高級防火墻和下一代IPS安全功能(包括能夠檢測和檢查自定義數據中心應用),以及高級性能和調配功能。
- 思科FirePOWER下一代IPS:FirePOWER是市場(chǎng)領(lǐng)先的NGIPS,能夠識別和評估數據中心資源連接和監視可疑網(wǎng)絡(luò )活動(dòng),并且既能用做物理解決方案也能用做虛擬解決方案它能夠近乎實(shí)時(shí)地監控文件活動(dòng),而且可以通過(guò)沙盒(隔離運行文件,并分析文件行為)獲得對某些文件(尤其是有可能是惡意軟件的未知文件)的進(jìn)一步分析,或在云中進(jìn)行查詢(xún)(通過(guò)查看一般會(huì )員社群中的情報了解文件信譽(yù))。
- 思科身份服務(wù)引擎(ISE)和TrustSec:ISE可以將包含安全策略和實(shí)施規則的安全組標簽直接附加到各個(gè)數據包。另外,利用此安全標簽,數據中心可以根據用戶(hù)和設備角色進(jìn)行劃分,從而消除由VLAN和ACL帶來(lái)的復雜情況和開(kāi)銷(xiāo)。
那么,僅僅只是數據中心面臨著(zhù)網(wǎng)絡(luò )安全威脅嗎?通過(guò)思科2015年度網(wǎng)絡(luò )安全報告,我們來(lái)看看當下的安全威脅情況:
