首頁 > 新聞 > 專家觀點(diǎn) >

思科:五大步驟保護(hù)你的數(shù)據(jù)中心安全!

2015-12-28 10:55:40   作者:   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:

  馬克思曾在《資本論》里這樣形容過資本家:
  如果有10%的利潤,他就保證到處被使用;有20%的利潤,他就活躍起來;有50%利潤,他就鋌而走險(xiǎn);為了100%的利潤,他就敢踐踏一切人間法律;有了300%的利潤,他就敢犯任何罪行,甚至冒絞首的危險(xiǎn)!
  這個(gè)道理同樣適用于網(wǎng)絡(luò)攻擊者們對(duì)數(shù)據(jù)中心的侵犯,其內(nèi)存儲(chǔ)的高價(jià)值數(shù)據(jù)(包括客戶個(gè)人數(shù)據(jù)、財(cái)務(wù)信息和公司知識(shí)產(chǎn)權(quán))無時(shí)不刻的讓眾多的網(wǎng)絡(luò)犯罪攻擊者們蠢蠢欲動(dòng)。
  當(dāng)然,網(wǎng)絡(luò)攻擊者們對(duì)數(shù)據(jù)中心的覬覦只是保護(hù)數(shù)據(jù)中心安全的第一個(gè)“攔路虎”,數(shù)據(jù)中心的特殊特性將給我們的安全防護(hù)工作帶來更艱巨的挑戰(zhàn),例如流量不對(duì)稱、存在自定義應(yīng)用、需要傳出計(jì)算層并傳輸?shù)綌?shù)據(jù)中心外圍進(jìn)行檢查的流量較大,跨多個(gè)虛擬機(jī)監(jiān)控程序進(jìn)行虛擬化,以及分散在多個(gè)地理位置等等。
  相應(yīng)地,如果安全解決方案沒有在設(shè)計(jì)上考慮到這些特性,則很難為數(shù)據(jù)中心提供安全保護(hù),甚至?xí)䦟?dǎo)致不良的后果:安全保護(hù)出現(xiàn)空白、數(shù)據(jù)中心性能受到嚴(yán)重影響、不得不犧牲數(shù)據(jù)中心功能來滿足安全方面的限制,以及因安全解決方案調(diào)配過于復(fù)雜而降低數(shù)據(jù)中心按需動(dòng)態(tài)調(diào)配資源的能力。
  對(duì)此,思科高級(jí)安全架構(gòu)師徐洪濤給出了保護(hù)數(shù)據(jù)中心安全的建議,即通過深度防御的方法全面覆蓋五大關(guān)鍵領(lǐng)域!
  保護(hù)數(shù)據(jù)中心安全的五個(gè)步驟
  一、提供對(duì)自定義數(shù)據(jù)中心應(yīng)用的可視性和可控性。主要還是傳統(tǒng)互聯(lián)網(wǎng)邊緣設(shè)備只檢查傳統(tǒng)的基于Web的應(yīng)用(例如Facebook和Twitter)和相關(guān)微型應(yīng)用,忽視了對(duì)自定義數(shù)據(jù)中心應(yīng)用的可視性與可控性。
  二、管理設(shè)備或數(shù)據(jù)中心之間的非對(duì)稱流量和應(yīng)用事務(wù)。許多下一代防火墻無法保護(hù)非對(duì)稱流量的安全,數(shù)據(jù)中心里經(jīng)常出現(xiàn)非對(duì)稱路由,數(shù)據(jù)包這個(gè)時(shí)候會(huì)通過不同的路徑返回來源,而許多新一代防火墻在設(shè)計(jì)中僅考慮沿一條可預(yù)測(cè)的路徑跟蹤、檢查和管理流量,因此這就帶來了問題。
  三、適應(yīng)數(shù)據(jù)中心的演變。數(shù)據(jù)中心正在從物理環(huán)境向虛擬環(huán)境,以及進(jìn)一步向下一代SDN、ACI和NFV模式遷移,安全解決方案也必須隨之動(dòng)態(tài)調(diào)整和提供一致的安全保護(hù),從而與不斷演變的混合數(shù)據(jù)中心環(huán)境無縫對(duì)接。
  四、針對(duì)整個(gè)攻擊過程提供全方位保護(hù):攻擊前、攻擊中和攻擊后。威脅可在網(wǎng)絡(luò)、端點(diǎn)、移動(dòng)設(shè)備和虛擬環(huán)境內(nèi)出現(xiàn),可以說是無處不在。要保護(hù)現(xiàn)代數(shù)據(jù)中心和其中的專門流量,必須要使用以威脅為中心的全面方法,在攻擊前、攻擊中和攻擊后為數(shù)據(jù)中心提供全方位保護(hù)。
  五、保護(hù)整個(gè)網(wǎng)絡(luò)。安全解決方案不僅必須保證遠(yuǎn)程用戶與數(shù)據(jù)中心資源之間的透明,而且還要考慮到自己屬于一個(gè)復(fù)雜網(wǎng)絡(luò)環(huán)境:穿過分支機(jī)構(gòu)、核心,進(jìn)入數(shù)據(jù)中心再進(jìn)到外面的云中。安全解決方案不僅必須是數(shù)據(jù)中心架構(gòu)的一部分,同時(shí)也是更廣泛解決方案的組成部分,既要能發(fā)現(xiàn)基于互聯(lián)網(wǎng)的威脅,又要能發(fā)現(xiàn)針對(duì)數(shù)據(jù)中心的攻擊,同時(shí)還要為整條數(shù)據(jù)路徑無縫提供安全保護(hù)。
  全面、集成的安全策略和架構(gòu),從邊緣到數(shù)據(jù)中心再到云,為整個(gè)分布式網(wǎng)絡(luò)提供一致的智能保護(hù),同時(shí)保證不影響性能,這才是真正為現(xiàn)代數(shù)據(jù)中心提供安全保護(hù)!
  必不可少的現(xiàn)代數(shù)據(jù)中心保護(hù)工具
  說到這里,創(chuàng)新型數(shù)據(jù)中心安全解決方案“思科自適應(yīng)安全設(shè)備(ASA)”就不得不提了!它不但為物理環(huán)境和虛擬環(huán)境提供安全保護(hù),同時(shí)也幫助組織從傳統(tǒng)數(shù)據(jù)中心無縫遷移到下一代數(shù)據(jù)中心,從而建立面向未來的部署并實(shí)現(xiàn)投資保護(hù)和全面保護(hù)!
  • 思科自適應(yīng)安全虛擬設(shè)備(ASAv):CiscoASAv的架構(gòu)非常靈活,這意味著它既可以作為傳統(tǒng)的安全網(wǎng)關(guān)進(jìn)行部署,也可以作為可直接動(dòng)態(tài)納入應(yīng)用服務(wù)鏈的智能SDN和ACI環(huán)境安全資源進(jìn)行部署
  • 具備FirePOWER服務(wù)的思科ASA5585-X:做為一種專門設(shè)計(jì)的數(shù)據(jù)中心安全設(shè)備,它全面支持傳統(tǒng)、SDN和ACI數(shù)據(jù)中心環(huán)境,其中采用了許多高級(jí)防火墻和下一代IPS安全功能(包括能夠檢測(cè)和檢查自定義數(shù)據(jù)中心應(yīng)用),以及高級(jí)性能和調(diào)配功能。
  • 思科FirePOWER下一代IPS:FirePOWER是市場領(lǐng)先的NGIPS,能夠識(shí)別和評(píng)估數(shù)據(jù)中心資源連接和監(jiān)視可疑網(wǎng)絡(luò)活動(dòng),并且既能用做物理解決方案也能用做虛擬解決方案它能夠近乎實(shí)時(shí)地監(jiān)控文件活動(dòng),而且可以通過沙盒(隔離運(yùn)行文件,并分析文件行為)獲得對(duì)某些文件(尤其是有可能是惡意軟件的未知文件)的進(jìn)一步分析,或在云中進(jìn)行查詢(通過查看一般會(huì)員社群中的情報(bào)了解文件信譽(yù))。
  • 思科身份服務(wù)引擎(ISE)和TrustSec:ISE可以將包含安全策略和實(shí)施規(guī)則的安全組標(biāo)簽直接附加到各個(gè)數(shù)據(jù)包。另外,利用此安全標(biāo)簽,數(shù)據(jù)中心可以根據(jù)用戶和設(shè)備角色進(jìn)行劃分,從而消除由VLAN和ACL帶來的復(fù)雜情況和開銷。
  那么,僅僅只是數(shù)據(jù)中心面臨著網(wǎng)絡(luò)安全威脅嗎?通過思科2015年度網(wǎng)絡(luò)安全報(bào)告,我們來看看當(dāng)下的安全威脅情況:
分享到: 收藏

專題