數(shù)據(jù)中心安全問題屬于老生常談了，尤其是網(wǎng)絡(luò)安全，牽動(dòng)著數(shù)千萬數(shù)據(jù)中心用戶的心。當(dāng)一切的信息技術(shù)都開始數(shù)據(jù)中心化、云化后，層出不窮的安全事故，使人們開始對數(shù)據(jù)中心的技術(shù)產(chǎn)生了懷疑。當(dāng)蠕蟲、病毒、漏洞攻擊、DDoS攻擊、越權(quán)訪問、帶寬濫用等安全問題頻出時(shí)，讓更多的人放棄了將自己的私密信息放到數(shù)據(jù)中心系統(tǒng)中。數(shù)據(jù)中心如果沒有海量的數(shù)據(jù)處理，那就等著關(guān)門大吉吧，所以數(shù)據(jù)中心正在積極想盡各種辦法，減少安全故障的發(fā)生，確保數(shù)據(jù)中心內(nèi)部數(shù)據(jù)信息的安全，各種安全新技術(shù)一時(shí)間撲面而來。那么，未來的網(wǎng)絡(luò)安全技術(shù)如何發(fā)展和演進(jìn)，本文將和大家一起探索。

[[178767]]

數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)主要指的是數(shù)據(jù)網(wǎng)，也就是采用以太網(wǎng)技術(shù)的局域網(wǎng)絡(luò)。以太網(wǎng)協(xié)議標(biāo)準(zhǔn)將網(wǎng)絡(luò)層級劃分為七層，針對每一層都有一些安全防御技術(shù)。一般防御網(wǎng)絡(luò)的層級別越高，能防御的攻擊類型就越多，網(wǎng)絡(luò)的安全性也就越強(qiáng)。當(dāng)然，投入的安全成本也會越高。很多時(shí)候要客觀、慎重地部署安全設(shè)施，過于繁瑣的安全防護(hù)不僅消耗資金量大，反而會加重?cái)?shù)據(jù)中心網(wǎng)絡(luò)的負(fù)擔(dān)，未必是好的安全防御方案，要因地制宜、綜合權(quán)衡利弊來選擇最適合自己數(shù)據(jù)中心的安全防御方案。傳統(tǒng)數(shù)據(jù)中心的安全手段往往存在不少的問題，比如過于強(qiáng)調(diào)網(wǎng)關(guān)設(shè)備的安全，將安全和網(wǎng)絡(luò)分離，單純通過網(wǎng)關(guān)的保護(hù)來保護(hù)網(wǎng)絡(luò);網(wǎng)絡(luò)里部署的多臺安全設(shè)備，都是單點(diǎn)作戰(zhàn)，沒有形成聯(lián)動(dòng)，整體安全防御能力較差;主要對三層網(wǎng)絡(luò)層協(xié)議進(jìn)行控制，對應(yīng)用四到七層缺乏控制機(jī)制，這些都是急需要提升的地方。哪里有不令人滿意的地方，哪里就會有技術(shù)革新，有市場機(jī)會。所以，從這些地方也延伸出了未來網(wǎng)絡(luò)安全技術(shù)發(fā)展的五大趨勢：

趨勢一：全網(wǎng)絡(luò)層級安全防御

以太網(wǎng)協(xié)議有七層，當(dāng)一份數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)，任何一層網(wǎng)絡(luò)協(xié)議出現(xiàn)安全漏洞，都會導(dǎo)致數(shù)據(jù)被泄露或破壞，所以要對所有網(wǎng)絡(luò)層級進(jìn)行綜合安全防御。比如在二層部署一些802.1X、Portal、Port等認(rèn)證，增加訪問的安全性;在三層增加路由策略和ACL訪問控制列表，基于IP Sec技術(shù)對數(shù)據(jù)進(jìn)行隔離和加密;在四層進(jìn)行網(wǎng)絡(luò)流量與異常分析，對異常流量進(jìn)行丟棄，基于狀態(tài)的訪問控制和隔離，基于Syn Proxy、Cookie的DDoS防護(hù);在五到七層，進(jìn)行防病毒攻擊、DDoS防護(hù)、行為與內(nèi)容審計(jì)等，基于關(guān)聯(lián)分析的流量識別和行為識別的技術(shù)，基于專家系統(tǒng)和統(tǒng)計(jì)技術(shù)的威脅識別技術(shù)。如此一來，對所有的網(wǎng)絡(luò)協(xié)議層均有防御，不放過任何一個(gè)網(wǎng)絡(luò)協(xié)議的漏洞。

趨勢二：主動(dòng)防御

以往出現(xiàn)網(wǎng)絡(luò)攻擊時(shí)，都是排查攻擊源在哪里，然后根據(jù)攻擊源的特征進(jìn)行消除。主動(dòng)防御是將可能出現(xiàn)的攻擊源進(jìn)行猜想，然后模擬攻擊源進(jìn)行攻擊，看網(wǎng)絡(luò)能否經(jīng)受住攻擊，發(fā)現(xiàn)有漏洞的地方，趕緊調(diào)整。模擬過后，將這些可能出現(xiàn)的攻擊樣本放到云安全平臺上，由云安全平臺進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)再出現(xiàn)網(wǎng)絡(luò)攻擊時(shí)，安全設(shè)備立即上報(bào)到云安全平臺中心，云安全平臺根據(jù)攻擊特征，將預(yù)先設(shè)計(jì)好的應(yīng)對策略執(zhí)行。在向數(shù)據(jù)中心管理人員發(fā)出告警的同時(shí)，下發(fā)安全防御策略，根據(jù)攻擊源的位置，精準(zhǔn)打擊，對攻擊源所連接的端口關(guān)閉或者下線，通過一系列的安全防御措施，確保網(wǎng)絡(luò)轉(zhuǎn)發(fā)流量不受影響。

趨勢三：精細(xì)化應(yīng)用

傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)安全防御采用粗放型管理，宏觀上看各種安全技術(shù)都有部署，微觀細(xì)節(jié)上卻漏洞百出。比如：交通系統(tǒng)，傳統(tǒng)的網(wǎng)絡(luò)安全有如交通系統(tǒng)里只關(guān)注道路，以修路為目的，不關(guān)心道路上的交通行為，這樣交通擁堵情況并無好轉(zhuǎn)。新的網(wǎng)絡(luò)安全就像交通系統(tǒng)關(guān)注用戶，策、管、監(jiān)、控、營綜合運(yùn)用，靈活變化，這樣才能大大緩解交通擁堵的現(xiàn)狀，采用這樣的安全技術(shù)必將大幅提升數(shù)據(jù)中心的安全防御水平。

趨勢四：安全設(shè)備虛擬化

虛擬化是數(shù)據(jù)中心里最為火熱的技術(shù)，在安全領(lǐng)域也一樣受到了極大歡迎。通過虛擬化技術(shù)可以將數(shù)據(jù)中心里的防火墻、IPS、ACG、AFC、AV等安全設(shè)備虛擬化成一臺設(shè)備，然后再進(jìn)行統(tǒng)一管理，簡化運(yùn)維管理。同時(shí)，這些虛擬化的安全資源可以分給數(shù)據(jù)中心的各個(gè)局部網(wǎng)絡(luò)，安全資源按需分配，確保覆蓋到整個(gè)網(wǎng)絡(luò)，同時(shí)又不會造成資源的浪費(fèi)。虛擬化技術(shù)已經(jīng)成為安全設(shè)備的一項(xiàng)必備技術(shù)。

趨勢五：集中式安全管理

建立安全管理平臺，從網(wǎng)絡(luò)、安全、業(yè)務(wù)等方面通盤考慮，將所有的安全防御設(shè)備和軟件控制權(quán)交給安全管理平臺。安全管理平臺包括有安全域、邊界防護(hù)，內(nèi)網(wǎng)控制終端安全、用戶行為監(jiān)督，遠(yuǎn)程安全接入控制等等，安全平臺幾乎涵蓋了數(shù)據(jù)中心網(wǎng)絡(luò)的任意一個(gè)角落。當(dāng)發(fā)現(xiàn)安全隱患或漏洞時(shí)，安全平臺可以調(diào)用應(yīng)急響應(yīng)平臺，執(zhí)行策略部署中心的指令，自動(dòng)消除安全隱患。

數(shù)據(jù)中心網(wǎng)絡(luò)安全技術(shù)正在不斷地發(fā)展，本文介紹了其未來發(fā)展的五大趨勢，每一個(gè)趨勢都直擊現(xiàn)有數(shù)據(jù)中心里的安全痛點(diǎn)。實(shí)際上，這些技術(shù)有些已經(jīng)實(shí)現(xiàn)，并已部署到一些先進(jìn)的數(shù)據(jù)中心之中，只是暫時(shí)沒有得到普及。相信在未來的網(wǎng)絡(luò)安全技術(shù)發(fā)展過程中，這些技術(shù)必將不斷生根發(fā)芽，來保護(hù)數(shù)據(jù)中心的網(wǎng)絡(luò)安全，徹底打消人們的后顧之憂，安心地將自己私密的數(shù)據(jù)放到數(shù)據(jù)中心里來，享受數(shù)據(jù)中心應(yīng)用帶來工作和生活上的便捷，改變?nèi)藗兊纳罘绞健?/p>