談數(shù)據(jù)中心的網(wǎng)絡(luò)安全建設(shè)

1、談數(shù)據(jù)中心的網(wǎng)絡(luò)安全建設(shè)數(shù)據(jù)中心的網(wǎng)絡(luò)安全是數(shù)據(jù)中心安全體系的最基本環(huán)節(jié)，通過合理的網(wǎng)絡(luò)安全設(shè)計(jì)方法可以 保證基礎(chǔ)網(wǎng)絡(luò)平臺(tái)的安全可靠，并提供持續(xù)安全加固的擴(kuò)展性設(shè)計(jì)。但是要想構(gòu)建全面安全 的數(shù)據(jù)中心，還需要數(shù)據(jù)安全、系統(tǒng)安全、信息安全等方面從其他的安全角度出發(fā)進(jìn)行相應(yīng) 的安全規(guī)劃，不斷完善數(shù)據(jù)中心的安全防范等級(jí)。數(shù)據(jù)中心安全圍繞數(shù)據(jù)為核心，從數(shù)據(jù)的訪問、使用、破壞、修改、丟失、泄漏等多方 面維度展開，一般來說包括以下幾個(gè)方面：物理安全：主要指數(shù)據(jù)中心機(jī)房的安全，包括機(jī)房的選址，機(jī)房場(chǎng)地安全，防電磁輻 射泄漏，防靜電，防火等內(nèi)容；網(wǎng)絡(luò)安全：指數(shù)據(jù)中心網(wǎng)絡(luò)自身的設(shè)計(jì)、構(gòu)建和使用以及基于網(wǎng)絡(luò)的各種安

2、全相關(guān)的 技術(shù)和手段，如防火墻，IPS，安全審計(jì)等；系統(tǒng)安全：包括服務(wù)器操作系統(tǒng)，數(shù)據(jù)庫，中間件等在內(nèi)的系統(tǒng)安全，以及為提高這 些系統(tǒng)的安全性而使用安全評(píng)估管理工具所進(jìn)行的系統(tǒng)安全分析和加固；數(shù)據(jù)安全：數(shù)據(jù)的保存以及備份和恢復(fù)設(shè)計(jì)；信息安全：完整的用戶身份認(rèn)證以及安全日志審計(jì)跟蹤，以及對(duì)安全日志和事件的統(tǒng) 一分析和記錄；拋開物理安全的考慮，網(wǎng)絡(luò)是數(shù)據(jù)中心所有系統(tǒng)的基礎(chǔ)平臺(tái)，網(wǎng)絡(luò)安全從而成為數(shù)據(jù)中 心安全的基礎(chǔ)支持。因此合理的網(wǎng)絡(luò)安全體系設(shè)計(jì)、構(gòu)建安全可靠的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)平臺(tái) 是進(jìn)行數(shù)據(jù)中心安全建設(shè)的基本內(nèi)容。數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)原則網(wǎng)絡(luò)是數(shù)據(jù)傳輸?shù)妮d體，數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)一般要考慮以下三個(gè)

3、方面：合理規(guī)劃網(wǎng)絡(luò)的安全區(qū)域以及不同區(qū)域之間的訪問權(quán)限，保證針對(duì)用戶或客戶機(jī)進(jìn)行 通信提供正確的授權(quán)許可，防止非法的訪問以及惡性的攻擊入侵和破壞；建立高可靠的網(wǎng)絡(luò)平臺(tái)，為數(shù)據(jù)在網(wǎng)絡(luò)中傳輸提供高可用的傳輸通道，避免數(shù)據(jù)的丟 失，并且提供相關(guān)的安全技術(shù)防止數(shù)據(jù)在傳輸過程中被讀取和改變；提供對(duì)網(wǎng)絡(luò)平臺(tái)支撐平臺(tái)自身的安全保護(hù)，保證網(wǎng)絡(luò)平臺(tái)能夠持續(xù)的高可靠運(yùn)行； 綜合以上幾點(diǎn)，數(shù)據(jù)中心的網(wǎng)絡(luò)安全建設(shè)可以參考以下原則：整體性原則：“木桶原理”，單純一種安全手段不可能解決全部安全問題； 多重保護(hù)原則：不把整個(gè)系統(tǒng)的安全寄托在單一安全措施或安全產(chǎn)品上； 性能保障原則：安全產(chǎn)品的性能不能成為影響整個(gè)網(wǎng)絡(luò)傳輸?shù)钠?/p>

4、頸； 平衡性原則：制定規(guī)范措施，實(shí)現(xiàn)保護(hù)成本與被保護(hù)信息的價(jià)值平衡；可管理、易操作原則：盡量采用最新的安全技術(shù)，實(shí)現(xiàn)安全管理的自動(dòng)化，以減輕安全 管理的負(fù)擔(dān)，同時(shí)減小因?yàn)楣芾砩系氖杪┒鴮?duì)系統(tǒng)安全造成的威脅；適應(yīng)性、靈活性原則：充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全協(xié)調(diào)發(fā)展的需求，避免因只滿足了 系統(tǒng)安全要求，而給業(yè)務(wù)發(fā)展帶來障礙的情況發(fā)生；高可用原則：安全方案、安全產(chǎn)品也要遵循網(wǎng)絡(luò)高可用性原則；技術(shù)與管理并重原則：“三分技術(shù)，七分管理，從技術(shù)角度出發(fā)的安全方案的設(shè)計(jì)必須 有與之相適應(yīng)的管理制度同步制定，并從管理的角度評(píng)估安全設(shè)計(jì)方案的可操作性投資保護(hù)原則：要充分發(fā)揮現(xiàn)有設(shè)備的潛能，避免投資的浪費(fèi)；數(shù)據(jù)中心

5、網(wǎng)絡(luò)安全體系設(shè)計(jì)模塊化功能分區(qū)為了進(jìn)行合理的網(wǎng)絡(luò)安全設(shè)計(jì)，首先要求對(duì)數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò)，采用模塊化的設(shè)計(jì)方 法，根據(jù)數(shù)據(jù)中心服務(wù)器上所部署的應(yīng)用的用戶訪問特性和應(yīng)用的核心功能，將數(shù)據(jù)中心劃 分為不同的功能區(qū)域。采用模塊化的架構(gòu)設(shè)計(jì)方法可以在數(shù)據(jù)中心中清晰區(qū)分不同的功能區(qū)域，并針對(duì)不同功 能區(qū)域的安全防護(hù)要求來進(jìn)行相應(yīng)的網(wǎng)絡(luò)安全設(shè)計(jì)。這樣的架構(gòu)設(shè)計(jì)具有很好的伸縮性，根 據(jù)未來業(yè)務(wù)發(fā)展的需要，可以非常容易的增加新的區(qū)域，而不需要對(duì)整個(gè)架構(gòu)進(jìn)行大的修改， 具備更好的可擴(kuò)展性。因?yàn)槊總€(gè)區(qū)域的安全功能是根據(jù)每個(gè)區(qū)域的特性進(jìn)行定義，因此可以 在不影響其他應(yīng)用或者整個(gè)區(qū)域的情況下單獨(dú)進(jìn)行安全部署，對(duì)于一次性

6、建設(shè)投資或分階段 建設(shè)的情況下都可以很好進(jìn)行網(wǎng)絡(luò)安全的布局?！昂诵?邊緣“安全邊界定義采用模塊化的架構(gòu)設(shè)計(jì)方法將數(shù)據(jù)中心分為多個(gè)功能區(qū)域后，由于不同功能區(qū)域之間會(huì) 有相互通訊的需求，因此整個(gè)網(wǎng)絡(luò)架構(gòu)形成核心-邊緣”的結(jié)構(gòu)特性，如圖1所示，以數(shù)據(jù) 中心核心區(qū)為中心，其他功能區(qū)域與核心區(qū)相連，成為數(shù)據(jù)中心網(wǎng)絡(luò)的邊緣區(qū)域。為了更好 的保證數(shù)據(jù)中心的網(wǎng)絡(luò)性能，數(shù)據(jù)中心核心區(qū)一般只提供高速的數(shù)據(jù)轉(zhuǎn)發(fā)功能，不做安全控 制的部署，在這個(gè)區(qū)域需要重點(diǎn)規(guī)劃的是核心區(qū)的高可靠和高性能保證。圖1 “核心-邊緣”安全邊界在這種“核心-邊緣”的結(jié)構(gòu)特性下，各功能區(qū)域同核心區(qū)域相連的接口成為該區(qū)域的網(wǎng) 絡(luò)安全邊界。從業(yè)務(wù)

7、和安全控制的角度出發(fā)，在各功能區(qū)域的邊界需要采用一定的技術(shù)手段 （通常部署防火墻硬件設(shè)備）定義成獨(dú)立的安全區(qū)域。不同安全區(qū)域之間的網(wǎng)絡(luò)如果需要相 互訪問，應(yīng)該遵從有限互通的原則，按照不同功能區(qū)域之間安全信任級(jí)別的不同，在安全邊 界上部署不同的訪問控制策略，禁止不同區(qū)域之間的網(wǎng)絡(luò)在不采取任何安全訪問控制的前提 下直接互通?！包c(diǎn)、線、面”安全布局安全邊界的定義實(shí)現(xiàn)了對(duì)不同區(qū)域之間相互訪問的控制，而各個(gè)功能區(qū)域內(nèi)根據(jù)安全保 護(hù)等級(jí)的要求以及安全訪問的特性，需要分別設(shè)計(jì)各自的網(wǎng)絡(luò)安全布局?！包c(diǎn)、線、面”安全布局的核心思想是以對(duì)不同安全區(qū)域被訪問主體的訪問控制管理為安 全防御主線，結(jié)合不同區(qū)域的安全級(jí)別

8、和應(yīng)用要求，在安全訪問“線路”上部署不同的安全 “點(diǎn)”設(shè)備，并且對(duì)整個(gè)數(shù)據(jù)中心區(qū)域規(guī)劃統(tǒng)一的安全事件發(fā)現(xiàn)、收集、分析、處理的機(jī)制和 技術(shù)實(shí)現(xiàn)，實(shí)現(xiàn)安全“面”的統(tǒng)一管理。這里以互聯(lián)網(wǎng)模塊區(qū)對(duì)外業(yè)務(wù)服務(wù)器的安全布局為例來說明“點(diǎn)、線、面”的安全布局方 法。圖2互聯(lián)網(wǎng)業(yè)務(wù)區(qū)對(duì)外業(yè)務(wù)服務(wù)器區(qū)域需要同Internet互聯(lián)來提供單位的網(wǎng)上交互業(yè)務(wù)（如金融單位的網(wǎng) 銀業(yè)務(wù)，政府的網(wǎng)上報(bào)稅業(yè)務(wù)，企業(yè)的電子商務(wù)業(yè)務(wù)等），基本的網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示，通 過路由器與Internet相連（一般考慮到業(yè)務(wù)連接的可靠性，會(huì)部署多條出口線路），區(qū)域的 核心交換機(jī)分別連接WEB、APP和DB服務(wù)器，并且同數(shù)據(jù)中心核心區(qū)交換機(jī)互

9、聯(lián)。在這 個(gè)區(qū)域的安全部署考慮如下：確認(rèn)對(duì)該安全區(qū)域內(nèi)不同服務(wù)器的訪問控制策略:Web服務(wù)器允許被互聯(lián)網(wǎng)用戶訪問， 同時(shí)也允許被內(nèi)網(wǎng)用戶和內(nèi)網(wǎng)服務(wù)器訪問；Web服務(wù)器允許訪問APP服務(wù)器，但是不允許 訪問DB服務(wù)器；APP服務(wù)器智能被WEB服務(wù)器訪問，并且允許訪問DB服務(wù)器；DB服 務(wù)器只能被APP服務(wù)器訪問。分析不同訪問路線上需要關(guān)注的安全加固“點(diǎn)”和設(shè)備部署考慮，內(nèi)容如表1： 表1互聯(lián)網(wǎng)業(yè)務(wù)區(qū)安全布局分析基于上述的分析，整個(gè)對(duì)外業(yè)務(wù)區(qū)的安全部署結(jié)構(gòu)可如圖3所示，在區(qū)域內(nèi)不同位置部 署所需要的安全設(shè)備，形成功能區(qū)域內(nèi)的網(wǎng)絡(luò)安全布局。圖3互聯(lián)網(wǎng)業(yè)務(wù)區(qū)安全布局前面通過對(duì)安全“線路”進(jìn)行分析，進(jìn)行

10、安全設(shè)備“點(diǎn)”的部署，實(shí)現(xiàn)了互聯(lián)網(wǎng)業(yè)務(wù)區(qū)的網(wǎng) 絡(luò)安全布局，同時(shí)，考慮到整個(gè)數(shù)據(jù)中心面”上的安全統(tǒng)一管理，在綜合管理區(qū)部署安全管 理中心設(shè)備，負(fù)責(zé)統(tǒng)計(jì)、關(guān)聯(lián)分析內(nèi)網(wǎng)各類網(wǎng)絡(luò)事件，從全局角度幫助數(shù)據(jù)中心網(wǎng)絡(luò)管理人 員掌握整個(gè)網(wǎng)絡(luò)中的安全事件，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)中心安全訪問“線路”上的安全加固“點(diǎn)”進(jìn)行 更加合理的布局和后續(xù)升級(jí)。網(wǎng)絡(luò)的安全虛擬化“點(diǎn)、線、面”的安全布局方式為了實(shí)現(xiàn)安全“點(diǎn)”的全面加固，需要部署大量的安全設(shè)備， 從而會(huì)大大增加網(wǎng)絡(luò)結(jié)構(gòu)上單點(diǎn)故障的機(jī)率；同時(shí)為了保證網(wǎng)絡(luò)結(jié)構(gòu)的可靠性，所部署的安 全設(shè)備要都要做可靠性考慮和相關(guān)協(xié)議的設(shè)置，使網(wǎng)絡(luò)部署的復(fù)雜度大幅增加，同時(shí)增大由 于錯(cuò)誤配置導(dǎo)致

11、網(wǎng)絡(luò)可靠性降低的可能。業(yè)界目前的數(shù)據(jù)中心交換機(jī)在設(shè)計(jì)上支持豐富類型的安全業(yè)務(wù)板卡，可以將多種安全設(shè) 備以板卡的形式安裝在網(wǎng)絡(luò)中的節(jié)點(diǎn)交換機(jī)上，實(shí)現(xiàn)網(wǎng)絡(luò)的安全虛擬化部署。N:1的虛擬化部署圖4 N:1安全虛擬化應(yīng)用采用在數(shù)據(jù)中心網(wǎng)絡(luò)節(jié)點(diǎn)的交換機(jī)上部署安全業(yè)務(wù)板卡的方式，改變了過去在一條線路 上部署多個(gè)安全設(shè)備（就像糖葫蘆串一樣）的物理結(jié)構(gòu)，將多個(gè)安全設(shè)備N）集成在一臺(tái) 數(shù)據(jù)中心交換機(jī)上，使得整個(gè)網(wǎng)絡(luò)線路得到大大的簡(jiǎn)化，這種部署方式具有以下技術(shù)優(yōu)勢(shì):大大簡(jiǎn)化了網(wǎng)絡(luò)安全區(qū)域的拓?fù)浣Y(jié)構(gòu)；降低了由于安全設(shè)備單點(diǎn)故障對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)可用性的影響，如果某塊安全業(yè)務(wù)板卡 出現(xiàn)故障問題，交換機(jī)會(huì)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)層面的

12、二層回退，即數(shù)據(jù)流不再必經(jīng)通過出現(xiàn)故障的 安全板卡進(jìn)行處理，而是直接由交換機(jī)進(jìn)行正常的數(shù)據(jù)轉(zhuǎn)發(fā)，保證整個(gè)業(yè)務(wù)的不中斷；一般獨(dú)立的安全設(shè)備無法提供設(shè)備本身的高可靠保證，而這種部署方式，借助網(wǎng)絡(luò)交 換機(jī)本身的設(shè)備可靠性保障（引擎冗余，電源冗余，風(fēng)扇冗余等），大大提高了安全設(shè)備的 可靠性運(yùn)行保證；由于獨(dú)立的安全設(shè)備無法進(jìn)行性能升級(jí)，隨著數(shù)據(jù)中心網(wǎng)絡(luò)性能的提升，安全設(shè)備往 往會(huì)成為整個(gè)網(wǎng)絡(luò)性能的瓶頸，采用業(yè)務(wù)板卡的部署方式，可以在一臺(tái)交換機(jī)上疊加多塊安 全板卡，通過增加板卡的數(shù)量提升安全防護(hù)的性能，有效的保護(hù)已有投資，并且適應(yīng)網(wǎng)絡(luò)的 性能發(fā)展。基于N:1安全虛擬化的方式，前面舉例的對(duì)外業(yè)務(wù)區(qū)的網(wǎng)絡(luò)安全布局可以簡(jiǎn)化為圖5 所示，安全加固“點(diǎn)”的設(shè)備都集成在網(wǎng)絡(luò)節(jié)點(diǎn)交換機(jī)上，整個(gè)對(duì)外業(yè)務(wù)區(qū)的網(wǎng)絡(luò)安全拓?fù)浣Y(jié) 構(gòu)得到大大的簡(jiǎn)化。圖5 N:1虛擬化對(duì)網(wǎng)絡(luò)安全布局的優(yōu)化1:N的虛擬化應(yīng)用圖6 1:N安全虛擬化應(yīng)用如圖6所示，利用安全板卡的虛擬化特性，可以在一塊物理板卡上邏輯虛擬出來多個(gè)安 全板卡的實(shí)例，并可以將不同的實(shí)例分配給不同的服務(wù)器連接線路，并單獨(dú)設(shè)定每個(gè)實(shí)例的 安全配置屬性。在配置了安全板卡后，交換機(jī)的每一個(gè)業(yè)務(wù)接口都可以看成為安全板卡的業(yè) 務(wù)接口，因此基于這種1:N的虛