互聯(lián)網(wǎng)數(shù)據(jù)中心安全管理方案.docx

互聯(lián)網(wǎng)數(shù)據(jù)中心安全管理方案2012年08月12日 09:56來(lái)源：中興通訊技術(shù)作者：譯名我要評(píng)論(0)本文介紹互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)主要特征和多層設(shè)計(jì)原則，分析互聯(lián)網(wǎng)數(shù)據(jù)中心面臨的主要安全威脅，對(duì)其安全規(guī)劃和部署實(shí)施提出方案建議。1 互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)多層設(shè)計(jì)原則從本質(zhì)上說(shuō)，互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)多層設(shè)計(jì)原則是劃分區(qū)域、劃分層次、各自負(fù)責(zé)安全防御任務(wù)，即將復(fù)雜的數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)和主機(jī)元素按一定的原則分為多個(gè)層次多個(gè)部分，形成良好的邏輯層次和分區(qū)。數(shù)據(jù)中心用戶的業(yè)務(wù)可分為多個(gè)子系統(tǒng)，彼此之間會(huì)有數(shù)據(jù)共享、業(yè)務(wù)互訪、數(shù)據(jù)訪問(wèn)控制與隔離的需求，根據(jù)業(yè)務(wù)相關(guān)性和流程需要，需要采用模塊化設(shè)計(jì)，實(shí)現(xiàn)低耦合、高內(nèi)聚，保證系統(tǒng)和數(shù)據(jù)的安全性、可靠性、靈活擴(kuò)展性、易于管理，把用戶的整個(gè)IT 系統(tǒng)按照關(guān)聯(lián)性、管理等方面的需求劃分為多個(gè)業(yè)務(wù)板塊系統(tǒng)，而每個(gè)系統(tǒng)有自己?jiǎn)为?dú)的核心交換，服務(wù)器，安全邊界設(shè)備等，逐級(jí)訪問(wèn)控制，并采用不同等級(jí)的安全措施和防護(hù)手段?；ヂ?lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)可同時(shí)從個(gè)方面劃分層次和區(qū)域：(1)根據(jù)內(nèi)外部分流原則分層。(2)根據(jù)業(yè)務(wù)模塊隔離原則分區(qū)。(3) 根據(jù)應(yīng)用分層次訪問(wèn)原則來(lái)分級(jí)。圖1 數(shù)據(jù)中心網(wǎng)絡(luò)分層1.1 分層根據(jù)內(nèi)外部分流原則，數(shù)據(jù)中心網(wǎng)絡(luò)可分為4 層：互聯(lián)網(wǎng)接入層、匯聚層、業(yè)務(wù)接入層和運(yùn)維管理層。最常見(jiàn)的數(shù)據(jù)中心網(wǎng)絡(luò)分層如圖1 所示?；ヂ?lián)網(wǎng)接入層配置核心路由器實(shí)現(xiàn)與互聯(lián)網(wǎng)的互聯(lián)，對(duì)互聯(lián)網(wǎng)數(shù)據(jù)中心內(nèi)網(wǎng)和外網(wǎng)的路由信息進(jìn)行轉(zhuǎn)換和維護(hù)，并連接匯聚層的各匯聚交換機(jī)，形成數(shù)據(jù)中心的網(wǎng)絡(luò)核心。匯聚層配置匯聚交換機(jī)實(shí)現(xiàn)向下匯聚業(yè)務(wù)接入層各業(yè)務(wù)區(qū)的接入交換機(jī)，向上與核心路由器互聯(lián)。部分流量管理設(shè)備、安全設(shè)備部署在該層。大客戶或重點(diǎn)業(yè)務(wù)可直接接入?yún)R聚層交換機(jī)。業(yè)務(wù)接入層通過(guò)接入交換機(jī)接入各業(yè)務(wù)區(qū)內(nèi)部的各種服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備等。運(yùn)維管理層一般獨(dú)立成網(wǎng)，與業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行隔離，通過(guò)運(yùn)維管理層的接入及匯聚交換機(jī)連接管理子系統(tǒng)各種設(shè)備。1.2 分區(qū)按照關(guān)聯(lián)性、管理、安全防護(hù)等方面的不同需求，可將數(shù)據(jù)中心網(wǎng)絡(luò)劃分為不同的區(qū)域：互聯(lián)網(wǎng)域、接入域、服務(wù)域、管理域、計(jì)算域等，各安全域之間經(jīng)過(guò)防火墻隔離，確保相應(yīng)的訪問(wèn)控制策略?；ヂ?lián)網(wǎng)域包括實(shí)施自助管理的管理用戶和訪問(wèn)應(yīng)用的最終用戶。接入域?yàn)橛脩艚尤霐?shù)據(jù)中心提供統(tǒng)一的界面和借口，又稱為非軍事化隔離區(qū)（DMZ）。服務(wù)域提供域名解析、身份認(rèn)證授權(quán)、IP地址轉(zhuǎn)換等網(wǎng)絡(luò)服務(wù)功能。計(jì)算域提供計(jì)算服務(wù)，可以根據(jù)安全需求再劃分安全子域。管理域提供安全管理、運(yùn)營(yíng)管理、業(yè)務(wù)管理等。相對(duì)來(lái)說(shuō)，計(jì)算域和管理域的安全級(jí)別最高，服務(wù)域和接入域次之，用戶域最低。1.3 分級(jí)服務(wù)器資源是數(shù)據(jù)中心的核心，按服務(wù)器服務(wù)功能將其分為可管理的層次，打破將所有功能都駐留在單一服務(wù)器時(shí)帶來(lái)的安全隱患，增強(qiáng)了擴(kuò)展性和可用性。服務(wù)器層直接與接入設(shè)備相連，提供面向客戶的應(yīng)用，如IIS、服務(wù)器等等。應(yīng)用層用來(lái)粘合面向用戶的應(yīng)用程序、后端的數(shù)據(jù)庫(kù)服務(wù)器或存儲(chǔ)服務(wù)器，如WebLogic、J2EE 等中間件技術(shù)。數(shù)據(jù)庫(kù)層包含了所有的數(shù)據(jù)庫(kù)、存儲(chǔ)和被不同應(yīng)用程序共享的原始數(shù)據(jù)，如MS SQL Server、Oracle9i、等。在以上3 種的分層分區(qū)域的設(shè)計(jì)下，不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系明確，可對(duì)每個(gè)區(qū)域進(jìn)行安全實(shí)施，而對(duì)其他區(qū)域不會(huì)干擾；最大限度地隔離故障區(qū)域，加快故障收斂時(shí)間，提高可用性；可根據(jù)不同的區(qū)域和層次的功能分別建設(shè)，業(yè)務(wù)部署靈活；網(wǎng)絡(luò)結(jié)構(gòu)清晰，易管理。2 互聯(lián)網(wǎng)數(shù)據(jù)中心安全威脅侵入攻擊、拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）、蠕蟲(chóng)病毒是互聯(lián)網(wǎng)數(shù)據(jù)中心面臨的最主要的3 類安全威脅。數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)部件眾多，各網(wǎng)絡(luò)層次上不同的安全設(shè)備相互合作，形成整個(gè)安全防護(hù)體系。對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)設(shè)備的非法侵入和危害使侵入攻擊具有強(qiáng)大的破壞能力和隱蔽性，對(duì)某一個(gè)網(wǎng)絡(luò)設(shè)備的侵入可能影響到整個(gè)數(shù)據(jù)中心安全防衛(wèi)體系。在DoS 和DDoS 中，攻擊者通過(guò)惡意搶占網(wǎng)絡(luò)資源，使數(shù)據(jù)中心無(wú)法正常運(yùn)營(yíng)。此類攻擊是互聯(lián)網(wǎng)數(shù)據(jù)中心最常預(yù)見(jiàn)的攻擊，同時(shí)也需要防范利用數(shù)據(jù)中心內(nèi)部僵尸主機(jī)對(duì)互聯(lián)網(wǎng)上其他主機(jī)進(jìn)行攻擊。利用軟件系統(tǒng)設(shè)計(jì)的漏洞對(duì)應(yīng)用的攻擊包括惡意蠕蟲(chóng)、病毒、緩沖溢出代碼、后門(mén)木馬等，攻擊者獲取存在漏洞的主機(jī)的控制權(quán)后對(duì)病毒進(jìn)行復(fù)制和轉(zhuǎn)播，在已感染的主機(jī)中設(shè)置后門(mén)或者執(zhí)行惡意代碼，導(dǎo)致用戶帶寬資源被占用，或者數(shù)據(jù)中心增值業(yè)務(wù)受到威脅。因其傳播都基于現(xiàn)有的業(yè)務(wù)端口，傳統(tǒng)的防火墻對(duì)此類攻擊缺乏足夠的檢測(cè)能力。更為嚴(yán)峻的是數(shù)據(jù)中心抵抗飛速增長(zhǎng)的應(yīng)用的“零日攻擊”問(wèn)題。3 互聯(lián)網(wǎng)數(shù)據(jù)中心安全防護(hù)措施為保障互聯(lián)網(wǎng)數(shù)據(jù)中心的安全，抵御各種威脅和攻擊，需要聯(lián)合使用安全體系中各個(gè)層次的安全技術(shù)，形成一個(gè)完善的安全防預(yù)體系。3.1 虛擬專用網(wǎng)為了在不安全的互聯(lián)網(wǎng)中實(shí)現(xiàn)企業(yè)應(yīng)用的安全訪問(wèn)和數(shù)據(jù)的安全傳輸，虛擬專用網(wǎng)（VPN） 技術(shù)無(wú)疑是互聯(lián)網(wǎng)數(shù)據(jù)中心必不可少的安全技術(shù)。VPN 通過(guò)互聯(lián)網(wǎng)建立一個(gè)臨時(shí)的、安全的連接，形成一個(gè)穿越公網(wǎng)的安全穩(wěn)定的虛擬私有廣域網(wǎng)。網(wǎng)絡(luò)的VPN 應(yīng)用有兩種：除了提供防火墻到防火墻的VPN 應(yīng)用，支持應(yīng)用在企業(yè)分支機(jī)構(gòu)之間互通信息外，還提供移動(dòng)用戶到VPN 防火墻/網(wǎng)關(guān)設(shè)備的VPN 應(yīng)用，支持移動(dòng)辦公的IP 地址不固定的企業(yè)員工從互聯(lián)網(wǎng)上對(duì)企業(yè)內(nèi)部資源的訪問(wèn)。隨著互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)的不斷擴(kuò)大，還需要保障在有限的網(wǎng)絡(luò)帶寬下實(shí)現(xiàn)VPN，并提供業(yè)務(wù)質(zhì)量（QoS） 保證。目前的趨勢(shì)是采用網(wǎng)絡(luò)控制和應(yīng)用控制，即和身份和訪問(wèn)管理（IAM） 技術(shù)結(jié)合，提供更靈活的訪問(wèn)控制和安全隔離服務(wù)。3.2 虛擬局域網(wǎng)數(shù)據(jù)中心多業(yè)務(wù)運(yùn)營(yíng)的需求，使得數(shù)據(jù)中心網(wǎng)絡(luò)中服務(wù)器和客戶端之間的縱向流量大于服務(wù)器之間的橫向流量，需要使用虛擬局域網(wǎng)將不同客戶的不同業(yè)務(wù)從第二層隔離開(kāi)，分配一個(gè)VLAN和IP 子網(wǎng)。專用VLAN 可以有不同安全級(jí)別的端口：專用端口與服務(wù)器連接，只能與混雜端口通信；混雜端口與路由器或交換機(jī)接口相連，也可以和共有端口通信；共有端口之間也可以相互通信，主要用于需要相互通信的客戶之間。3.3 防火墻防火墻是數(shù)據(jù)中心網(wǎng)絡(luò)最基本的安全設(shè)備，可以對(duì)不同的信任級(jí)別的安全區(qū)域進(jìn)行隔離，保護(hù)數(shù)據(jù)中心邊界安全，同時(shí)提供靈活的部署和擴(kuò)展能力。DoS 攻擊和DDoS 攻擊的手段繁多、攻擊時(shí)流量突然增大，因此防DoS 攻擊對(duì)防火墻的功能要求和性能要求比較大。目前互聯(lián)網(wǎng)數(shù)據(jù)中心對(duì)防火墻的重點(diǎn)需求是基于狀態(tài)的包檢測(cè)功能和虛擬防火墻。狀態(tài)防火墻設(shè)備將狀態(tài)檢測(cè)技術(shù)應(yīng)用在ACL 技術(shù)上，動(dòng)態(tài)的決定哪些數(shù)據(jù)包可以通過(guò)防火墻，而基于流的狀態(tài)檢測(cè)技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能。在物理防火墻無(wú)法滿足實(shí)際網(wǎng)絡(luò)環(huán)境的情況下，可以實(shí)施虛擬防火墻，將物理防火墻邏輯劃分出多個(gè)相互無(wú)干擾的虛擬防火墻，并依據(jù)業(yè)務(wù)需求設(shè)置合理的細(xì)粒度的訪問(wèn)控制措施。另外，具有QoS 機(jī)制的防火墻能夠提供流量控制功能，針對(duì)不同的應(yīng)用做出合理的帶寬分配和流量控制，防止某個(gè)應(yīng)用如FTP、Telnet 在某個(gè)的時(shí)間內(nèi)獨(dú)占帶寬資源而導(dǎo)致關(guān)鍵業(yè)務(wù)流量丟失和實(shí)時(shí)性業(yè)務(wù)流量中斷。目前大多數(shù)據(jù)中心實(shí)施雙機(jī)部署、或者部署異構(gòu)防火墻，以滿足高可用性的要求。3.4 流量清洗為監(jiān)控、告警、防護(hù)對(duì)應(yīng)用服務(wù)器發(fā)起的DOS/DDOS 攻擊，可在互聯(lián)網(wǎng)數(shù)據(jù)中心出口處部署流量清洗設(shè)備，監(jiān)測(cè)異常流量，當(dāng)發(fā)現(xiàn)攻擊時(shí)，開(kāi)啟防御，將異常流量牽引出來(lái)進(jìn)行清洗，將正常的流量回注到服務(wù)器進(jìn)行業(yè)務(wù)處理。3.5 入侵防御入侵防御系統(tǒng)檢測(cè)蠕蟲(chóng)、網(wǎng)絡(luò)釣魚(yú)、后門(mén)木馬、間諜軟件等應(yīng)用層攻擊，可在互聯(lián)網(wǎng)數(shù)據(jù)中心出口和內(nèi)部各安全區(qū)的網(wǎng)絡(luò)匯聚層采用旁掛或者與網(wǎng)絡(luò)設(shè)備融合的部署方式進(jìn)行部署，主動(dòng)提供防護(hù)，預(yù)先對(duì)入侵流量進(jìn)行攔截，配合防火墻和安全網(wǎng)關(guān)設(shè)備形成從鏈路層到應(yīng)用層的全面防護(hù)?；ヂ?lián)網(wǎng)數(shù)據(jù)中心的應(yīng)用流量對(duì)入侵防御系統(tǒng)的性能提出了挑戰(zhàn)，需要具備高精度、高效率的入侵檢測(cè)引擎和全面及時(shí)的攻擊特征庫(kù)。3.6 安全管理為達(dá)到互聯(lián)網(wǎng)數(shù)據(jù)中心的運(yùn)營(yíng)要求，除了部署健全的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施外，還需建設(shè)的系統(tǒng)的、多層次的、可運(yùn)營(yíng)的安全管理系統(tǒng)，確保安全策略的集中部署、安全部件的統(tǒng)一管理，安全事件的高度關(guān)聯(lián)，從安全管理上提升數(shù)據(jù)中心的整體安全防御能力。首先應(yīng)制訂正式、有效、全面的安全管理制度，在安全管理機(jī)構(gòu)與崗位設(shè)置上嚴(yán)格把關(guān)。加強(qiáng)系統(tǒng)安全運(yùn)維管理，定期進(jìn)行設(shè)備檢查、安全監(jiān)察、漏洞掃描，并采取及時(shí)地安全事件處置措施，還可利用輔助性管理工具，實(shí)現(xiàn)安全配置的自動(dòng)管理。在安全信息和事件管理方面，應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、云平臺(tái)自身管理節(jié)點(diǎn)的安全信息與事件進(jìn)行管理，進(jìn)行安全日志管理，針對(duì)操作日志、運(yùn)行日志、故障日志等進(jìn)行管理，提供設(shè)備、主機(jī)、應(yīng)用系統(tǒng)、漏洞、網(wǎng)絡(luò)流量、主機(jī)資產(chǎn)等報(bào)告。在用戶身份認(rèn)證與訪問(wèn)管理方面，應(yīng)按照不同用戶等級(jí)，設(shè)計(jì)相應(yīng)的數(shù)據(jù)中心資源訪問(wèn)用戶的訪問(wèn)權(quán)限。用戶訪問(wèn)等級(jí)權(quán)限應(yīng)區(qū)分管理員用戶、普通用戶的不同權(quán)限。在故障管理方面，應(yīng)進(jìn)行故障預(yù)防管理，通過(guò)對(duì)高危操作的預(yù)防以達(dá)到將隱患消除在萌芽狀態(tài)的目的?？筛鶕?jù)不同高危類別，設(shè)定不同級(jí)別的高危動(dòng)作。應(yīng)進(jìn)行故障管理，如告警處理、故障處理、應(yīng)急處理、部件更換等方面。4 結(jié)束語(yǔ)由于互聯(lián)網(wǎng)數(shù)據(jù)中心設(shè)備的集中、數(shù)據(jù)的集中