数据中心安全技术有哪些(最注重的安全技术及措施)

数据中心安全域的划分及隔离

为保证系统的安全运行,数据中心网络一般采用层次化、模块化设计,并进行安全域分区。即按照“分层防护,纵深防御”的原则,实现最小化授权,在满足可靠性和可扩展性的基础上进行数据中心安全域的划分,并区分不同的业务场景和隔离场景来保证用户数据安全和彼此之间良好的隔离。(1)内外网的安全隔离:在数据中心出口部署高性能的防火墙,同时根据相应安全要求,配置防DDoS攻击、IPS等安全设备,并实现IPS设备和防火墙的联动,出口层主要的安全威胁来自于DDoS攻击、非法业务访问、网络入侵、异常流量攻击等。在内外网之间可部署两层异构防火墙,一层在服务器之前,在防火墙上配置ACL等安全策略用来阻止非法访问服务器;另外一层在服务器之后,用来实现内网和外网的隔离。同时启动防火墙的NAT映射,隐藏内网拓扑结构。(2)外部用户访问的安全性:外部用户访问数据中心内部的资源是通过SSL VPN或IPsec VPN来进行访问的,以此充分保证用户的合法性和数据的安全性,可以在出口处部署VPN网关,实现客户通过Internet安全接入,VPN可以单独部署也可以直接在防火墙上部署。(3)分区隔离:用户内部按照业务的类型和安全程度进行分区部署,并保证各分区的的访问控制和互通的安全。(4)系统的分权分域管理:数据中心管理系统通过角色、域和组织来对用户进行管理,使用户在不同的组织下进行独立的操作和维护,实现用户在自己虚拟数据中心下独立操控,完成业务配置和服务目录发放。角色:用于操作权限管理,确定用户可以做哪些操作。系统管理员预先定义一些类似于模板的角色,赋予不同的操作权限。域:通过域的划分来限定系统管理员能够操作哪个域内的资源,并与集群相关联。组织:可以看做是业务管理员的域,即限定业务管理员可以操作哪个组织内的资源。一个VDC只能属于一个组织,一个组织内可以有多个VDC。基本角色的访问控制支持为管理员在不同域和组织上分配不同的角色,从而实现管理员接入系统时的权限控制,并为不同管理员分配不同管理范围和业务访问权限,方便管理员业务分工。每个管理员的权限由授权定义,管理员的权限、域严格受控,提高了系统的业务安全性。
数据中心安全技术有哪些(最注重的安全技术及措施)

多租户安全

数据中心中VPC表示租户为业务划分的一个逻辑组网模型,一个VPC模型组成一个独立的网络安全域, 单个租户或业务部署时可根据互访需要规划多个VPC,VPC内部、VPC与外网及VPC间互访,都需要进行安全的检测和隔离。

为了适应数据中心网络业务的变化,借鉴SDN思路,通过软件定义安全的方式实现安全服务的快速上线,首先提供安全资源池满足云环境的弹性扩容,其次租户级的安全服务满足租户差异化的安全服务的快速上线,并且通过网络和安全的协同,将租户的流量引入到安全资源池,实现租户的安全的检测和隔离。

通过防火墙的虚拟化形成安全资源池,为各个租户分配一个虚拟的防火墙,每个虚拟的防火墙的子接口对应交换机的VRF,为租户提供路由转发平面、安全服务和配置管理平面;同时通过设置一些访问控制策略来实现各租户的隔离。

网络安全保障

数据中心的网络安全等级确定应依据国家相关规范及规定确定,根据其承载系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,划分为五个不同的安全保护等级。安全保障的投入是无止境的,数据中心网络应依照不同的安全等级采取不同的安全保障措施,配备不同的安全设备,除常规用的防火墙、VPN、防病毒软件外,其它安全设备或技术,如:抗DDoS、IPS/IDS、入侵检测、网页防篡改、系统漏扫、WAF、APT威胁监控、蜜罐技术等,可以根据实际情况选择配置。

Anti-DDoS

Anti-DDoS由检测中心、清洗中心和管理系统组成,通过管理中心使用协同部署模型来关联检测和清洗设备。检测到异常流量后,检测设备会向管理中心上报异常流量攻击。管理中心将控制清洗设备开始清洗,随后清洗设备完成流量分流、清洗和注入。

Anti-DDoS设备除了用于防护对数据中心基础设施的异常流量攻击,还可以为租户提供精细化的DDoS防护服务,租户可以根据自身的应用类型,配置流量阀值参数,并查看攻击和防御状态。

入侵检测

为了感知来自Internet(数据中心南北向流量)、以及租户虚拟网路之间(租户东西向流量)的攻击,并针对攻击做阻断(IPS),需要在网络边界部署IPS/IDS设备。IPS/IDS设备要求具备网络实时流量、分析和阻止(IPS),能防护以下主要攻击:

异常协议攻击

暴力攻击

端口/漏洞扫描

各种入侵行为

部分DoS和DDoS攻击

部分DNS DoS攻击

病毒、木马行为

抵御最新和已知的漏洞攻击

基于网络流量,IPS设备可以帮助定位和调查网络异常,分配定向流量的限制策略,并采用相应的自定义检测规则,保护生产环境的应用程序和网络基础设施安全。网页防篡改网页防篡改(WEB Tamper Protection)是通过文件驱动技术对用户主机中的网站文件目录进行文件实时监控, 防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等类型的文件进行非法篡改和破坏 。用户访问网站时,首先要经过网页防篡改设备或服务进行检测,对非法请求、恶意扫描及数据库注入攻击等进行拦截,只有合法的请求被正常响应。然后,由Web站点进行网页文件请求,防篡改模块也会开始工作,对访问网页进行实时规则检查,对网页的篡改及删除等操作进行拦截,并且,产生日志及报警。合法的请求被通过后,最终返回给用户。系统漏洞扫描系统漏洞扫描是基于漏洞数据库,主动扫描发现各类主机服务器、各类应用服务器中安装的主流操作系统和数据库、主流网络设备(如交换机、路由器、防火墙等)、应用服务等对象的漏洞的安全设备。产品形态包括硬件和软件,主要组件包括管理控制中心、扫描引擎、安全漏洞库和特征库。系统漏洞扫描可以和防火墙、入侵检测系统互相配合,有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。WAFWeb应用防火墙(WAF)部署在防火墙和Web服务器群之间,对出入Web服务器群的应用层流量进行检测和防护,从而为Web应用提供实时有效的防护。WAF工作在应用层,对HTTP(S)进行双向深层次检测,从而感知和抵御某些攻击行为,如SQL注入攻击、跨站脚本攻击、命令注入攻击、webshell攻击等,在不影响目前提供的应用服务质量的前提下,使业务Web系统免受攻击,保障业务的正常开展。APT威胁监控APT(Advanced Persistent Threat高级可持续威胁攻击)也称为定向威胁攻击,是指利用各种先进的攻击手段,对高价值目标进行的有组织、长期持续性网络攻击行为。APT具有如下特点:APT不仅包括计算机入侵技术和网络入侵技术,但也包括传统的情报收集技术,通过多种方法,工具和技术的综合应用,达到并保持对目标的访问的目的。APT攻击是通过持续监控和互动来实现的,以达到既定的目标,APT攻击方的目标之一是保持对目标的长期访问,而不会仅仅满足于短时间的访问权限。APT攻击是通过团队协作来执行的,攻击方有非常明确和特定的目标,最终目标是破坏、窃取重要信息资产。针对APT攻击,传统的安全技术有些无能为力,目前主要的APT威胁监控手段如下:基于未知文件行为检测的方法。一般通过沙箱技术罪恶意程序进行模拟执行,通过对程序的行为分析和评估来判断未知文件是否存在恶意威胁。基于终端应用监控的方法,一般采用文件信誉与黑白名单技术在终端上检测应用和进程。基于大数据分析的方法,通过网络取证,将大数据分析技术和沙箱技术结合全面分析APT攻击。

蜜罐技术(Deception)

蜜罐技术是一种对攻击方进行欺骗的技术,是网络诱捕技术的一种,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐技术目前在快速发展中,在数据中心网络系统中也在逐步应用和部署,基于蜜罐技术又发展出了蜜网技术:蜜网不是单一的系统构成而是一个网络,即构成了一个诱捕黑客行为的网络体系架构,在这个架构中包含了一个或多个蜜罐。一个典型的蜜网通常由防火墙、网关、入侵检测系统和多个蜜罐主机组成。

发表评论

登录后才能评论