數(shù)據(jù)中心網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢談
數(shù)據(jù)中心安全問題屬于老生常談了,尤其是網(wǎng)絡(luò)安全,牽動(dòng)著數(shù)千萬數(shù)據(jù)中心用戶的心。當(dāng)一切的信息技術(shù)都開始數(shù)據(jù)中心化、云化后,層出不窮的安全事故,使人們開始對數(shù)據(jù)中心的技術(shù)產(chǎn)生了懷疑。當(dāng)蠕蟲、病毒、漏洞攻擊、DDoS攻擊、越權(quán)訪問、帶寬濫用等安全問題頻出時(shí),讓更多的人放棄了將自己的私密信息放到數(shù)據(jù)中心系統(tǒng)中。數(shù)據(jù)中心如果沒有海量的數(shù)據(jù)處理,那就等著關(guān)門大吉吧,所以數(shù)據(jù)中心正在積極想盡各種辦法,減少安全故障的發(fā)生,確保數(shù)據(jù)中心內(nèi)部數(shù)據(jù)信息的安全,各種安全新技術(shù)一時(shí)間撲面而來。那么,未來的網(wǎng)絡(luò)安全技術(shù)如何發(fā)展和演進(jìn),本文將和大家一起探索。
數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)主要指的是數(shù)據(jù)網(wǎng),也就是采用以太網(wǎng)技術(shù)的局域網(wǎng)絡(luò)。以太網(wǎng)協(xié)議標(biāo)準(zhǔn)將網(wǎng)絡(luò)層級劃分為七層,針對每一層都有一些安全防御技術(shù)。一般防御網(wǎng)絡(luò)的層級別越高,能防御的攻擊類型就越多,網(wǎng)絡(luò)的安全性也就越強(qiáng)。當(dāng)然,投入的安全成本也會越高。很多時(shí)候要客觀、慎重地部署安全設(shè)施,過于繁瑣的安全防護(hù)不僅消耗資金量大,反而會加重?cái)?shù)據(jù)中心網(wǎng)絡(luò)的負(fù)擔(dān),未必是好的安全防御方案,要因地制宜、綜合權(quán)衡利弊來選擇最適合自己數(shù)據(jù)中心的安全防御方案。傳統(tǒng)數(shù)據(jù)中心的安全手段往往存在不少的問題,比如過于強(qiáng)調(diào)網(wǎng)關(guān)設(shè)備的安全,將安全和網(wǎng)絡(luò)分離,單純通過網(wǎng)關(guān)的保護(hù)來保護(hù)網(wǎng)絡(luò);網(wǎng)絡(luò)里部署的多臺安全設(shè)備,都是單點(diǎn)作戰(zhàn),沒有形成聯(lián)動(dòng),整體安全防御能力較差;主要對三層網(wǎng)絡(luò)層協(xié)議進(jìn)行控制,對應(yīng)用四到七層缺乏控制機(jī)制,這些都是急需要提升的地方。哪里有不令人滿意的地方,哪里就會有技術(shù)革新,有市場機(jī)會。所以,從這些地方也延伸出了未來網(wǎng)絡(luò)安全技術(shù)發(fā)展的五大趨勢:
趨勢一:全網(wǎng)絡(luò)層級安全防御
以太網(wǎng)協(xié)議有七層,當(dāng)一份數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí),任何一層網(wǎng)絡(luò)協(xié)議出現(xiàn)安全漏洞,都會導(dǎo)致數(shù)據(jù)被泄露或破壞,所以要對所有網(wǎng)絡(luò)層級進(jìn)行綜合安全防御。比如在二層部署一些802.1X、Portal、Port等認(rèn)證,增加訪問的安全性;在三層增加路由策略和ACL訪問控制列表,基于IP Sec技術(shù)對數(shù)據(jù)進(jìn)行隔離和加密;在四層進(jìn)行網(wǎng)絡(luò)流量與異常分析,對異常流量進(jìn)行丟棄,基于狀態(tài)的訪問控制和隔離,基于Syn Proxy、Cookie的DDoS防護(hù);在五到七層,進(jìn)行防病毒攻擊、DDoS防護(hù)、行為與內(nèi)容審計(jì)等,基于關(guān)聯(lián)分析的流量識別和行為識別的技術(shù),基于專家系統(tǒng)和統(tǒng)計(jì)技術(shù)的威脅識別技術(shù)。如此一來,對所有的網(wǎng)絡(luò)協(xié)議層均有防御,不放過任何一個(gè)網(wǎng)絡(luò)協(xié)議的漏洞。
趨勢二:主動(dòng)防御
以往出現(xiàn)網(wǎng)絡(luò)攻擊時(shí),都是排查攻擊源在哪里,然后根據(jù)攻擊源的特征進(jìn)行消除。主動(dòng)防御是將可能出現(xiàn)的攻擊源進(jìn)行猜想,然后模擬攻擊源進(jìn)行攻擊,看網(wǎng)絡(luò)能否經(jīng)受住攻擊,發(fā)現(xiàn)有漏洞的地方,趕緊調(diào)整。模擬過后,將這些可能出現(xiàn)的攻擊樣本放到云安全平臺上,由云安全平臺進(jìn)行實(shí)時(shí)監(jiān)控,當(dāng)再出現(xiàn)網(wǎng)絡(luò)攻擊時(shí),安全設(shè)備立即上報(bào)到云安全平臺中心,云安全平臺根據(jù)攻擊特征,將預(yù)先設(shè)計(jì)好的應(yīng)對策略執(zhí)行。在向數(shù)據(jù)中心管理人員發(fā)出告警的同時(shí),下發(fā)安全防御策略,根據(jù)攻擊源的位置,精準(zhǔn)打擊,對攻擊源所連接的端口關(guān)閉或者下線,通過一系列的安全防御措施,確保網(wǎng)絡(luò)轉(zhuǎn)發(fā)流量不受影響。
趨勢三:精細(xì)化應(yīng)用
傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)安全防御采用粗放型管理,宏觀上看各種安全技術(shù)都有部署,微觀細(xì)節(jié)上卻漏洞百出。比如:交通系統(tǒng),傳統(tǒng)的網(wǎng)絡(luò)安全有如交通系統(tǒng)里只關(guān)注道路,以修路為目的,不關(guān)心道路上的交通行為,這樣交通擁堵情況并無好轉(zhuǎn)。新的網(wǎng)絡(luò)安全就像交通系統(tǒng)關(guān)注用戶,策、管、監(jiān)、控、營綜合運(yùn)用,靈活變化,這樣才能大大緩解交通擁堵的現(xiàn)狀,采用這樣的安全技術(shù)必將大幅提升數(shù)據(jù)中心的安全防御水平。
趨勢四:安全設(shè)備虛擬化
虛擬化是數(shù)據(jù)中心里最為火熱的技術(shù),在安全領(lǐng)域也一樣受到了極大歡迎。通過虛擬化技術(shù)可以將數(shù)據(jù)中心里的防火墻、IPS、ACG、AFC、AV等安全設(shè)備虛擬化成一臺設(shè)備,然后再進(jìn)行統(tǒng)一管理,簡化運(yùn)維管理。同時(shí),這些虛擬化的安全資源可以分給數(shù)據(jù)中心的各個(gè)局部網(wǎng)絡(luò),安全資源按需分配,確保覆蓋到整個(gè)網(wǎng)絡(luò),同時(shí)又不會造成資源的浪費(fèi)。虛擬化技術(shù)已經(jīng)成為安全設(shè)備的一項(xiàng)必備技術(shù)。
趨勢五:集中式安全管理
建立安全管理平臺,從網(wǎng)絡(luò)、安全、業(yè)務(wù)等方面通盤考慮,將所有的安全防御設(shè)備和軟件控制權(quán)交給安全管理平臺。安全管理平臺包括有安全域、邊界防護(hù),內(nèi)網(wǎng)控制終端安全、用戶行為監(jiān)督,遠(yuǎn)程安全接入控制等等,安全平臺幾乎涵蓋了數(shù)據(jù)中心網(wǎng)絡(luò)的任意一個(gè)角落。當(dāng)發(fā)現(xiàn)安全隱患或漏洞時(shí),安全平臺可以調(diào)用應(yīng)急響應(yīng)平臺,執(zhí)行策略部署中心的指令,自動(dòng)消除安全隱患。
數(shù)據(jù)中心網(wǎng)絡(luò)安全技術(shù)正在不斷地發(fā)展,本文介紹了其未來發(fā)展的五大趨勢,每一個(gè)趨勢都直擊現(xiàn)有數(shù)據(jù)中心里的安全痛點(diǎn)。實(shí)際上,這些技術(shù)有些已經(jīng)實(shí)現(xiàn),并已部署到一些先進(jìn)的數(shù)據(jù)中心之中,只是暫時(shí)沒有得到普及。相信在未來的網(wǎng)絡(luò)安全技術(shù)發(fā)展過程中,這些技術(shù)必將不斷生根發(fā)芽,來保護(hù)數(shù)據(jù)中心的網(wǎng)絡(luò)安全,徹底打消人們的后顧之憂,安心地將自己私密的數(shù)據(jù)放到數(shù)據(jù)中心里來,享受數(shù)據(jù)中心應(yīng)用帶來工作和生活上的便捷,改變?nèi)藗兊纳罘绞健?/p>