數據中心安全圍繞數據為核心,從數據的訪問、使用、破壞、修改、丟失、泄漏等多方面維度展開,一般來說包括以下幾個方面:
物理安全:主要指數據中心機房的安全,包括機房的選址,機房場地安全,防電磁輻射泄漏,防靜電,防火等內容;
網絡安全:指數據中心網絡自身的設計、構建和使用以及基于網絡的各種安全相關的技術和手段,如防火墻,IPS,安全審計等;
系統安全:包括服務器操作系統,數據庫,中間件等在內的系統安全,以及為提高這些系統的安全性而使用安全評估管理工具所進行的系統安全分析和加固;
數據安全:數據的保存以及備份和恢復設計;
信息安全:完整的用戶身份認證以及安全日志審計跟蹤,以及對安全日志和事件的統一分析和記錄;
拋開物理安全的考慮,網絡是數據中心所有系統的基礎平臺,網絡安全從而成為數據中心安全的基礎支持。因此合理的網絡安全體系設計、構建安全可靠的數據中心基礎網絡平臺是進行數據中心安全建設的基本內容。
數據中心網絡安全建設原則
網絡是數據傳輸的載體,數據中心網絡安全建設一般要考慮以下三個方面:
合理規劃網絡的安全區域以及不同區域之間的訪問權限,保證針對用戶或客戶機進行通信提供正確的授權許可,防止非法的訪問以及惡性的攻擊入侵和破壞;
建立高可靠的網絡平臺,為數據在網絡中傳輸提供高可用的傳輸通道,避免數據的丟失,并且提供相關的安全技術防止數據在傳輸過程中被讀取和改變;
提供對網絡平臺支撐平臺自身的安全保護,保證網絡平臺能夠持續的高可靠運行;
綜合以上幾點,數據中心的網絡安全建設可以參考以下原則:
整體性原則:“木桶原理”,單純一種安全手段不可能解決全部安全問題;
多重保護原則:不把整個系統的安全寄托在單一安全措施或安全產品上;
性能保障原則:安全產品的性能不能成為影響整個網絡傳輸的瓶頸;
平衡性原則:制定規范措施,實現保護成本與被保護信息的價值平衡 ;
可管理、易操作原則:盡量采用最新的安全技術,實現安全管理的自動化,以減輕安全管理的負擔,同時減小因為管理上的疏漏而對系統安全造成的威脅;
適應性、靈活性原則:充分考慮今后業務和網絡安全協調發展的需求,避免因只滿足了系統安全要求,而給業務發展帶來障礙的情況發生;
高可用原則:安全方案、安全產品也要遵循網絡高可用性原則;
技術與管理并重原則:“三分技術,七分管理”,從技術角度出發的安全方案的設計必須有與之相適應的管理制度同步制定,并從管理的角度評估安全設計方案的可操作性
投資保護原則:要充分發揮現有設備的潛能,避免投資的浪費;
數據中心網絡安全體系設計
模塊化功能分區
為了進行合理的網絡安全設計,首先要求對數據中心的基礎網絡,采用模塊化的設計方法,根據數據中心服務器上所部署的應用的用戶訪問特性和應用的核心功能,將數據中心劃分為不同的功能區域。
采用模塊化的架構設計方法可以在數據中心中清晰區分不同的功能區域,并針對不同功能區域的安全防護要求來進行相應的網絡安全設計。這樣的架構設計具有很好的伸縮性,根據未來業務發展的需要,可以非常容易的增加新的區域,而不需要對整個架構進行大的修改,具備更好的可擴展性。因為每個區域的安全功能是根據每個區域的特性進行定義,因此可以在不影響其他應用或者整個區域的情況下單獨進行安全部署,對于一次性建設投資或分階段建設的情況下都可以很好進行網絡安全的布局。
“核心-邊緣”安全邊界定義
采用模塊化的架構設計方法將數據中心分為多個功能區域后,由于不同功能區域之間會有相互通訊的需求,因此整個網絡架構形成“核心-邊緣”的結構特性,如圖1所示,以數據中心核心區為中心,其他功能區域與核心區相連,成為數據中心網絡的邊緣區域。為了更好的保證數據中心的網絡性能,數據中心核心區一般只提供高速的數據轉發功能,不做安全控制的部署,在這個區域需要重點規劃的是核心區的高可靠和高性能保證。
在這種“核心-邊緣”的結構特性下,各功能區域同核心區域相連的接口成為該區域的網絡安全邊界。從業務和安全控制的角度出發,在各功能區域的邊界需要采用一定的技術手段(通常部署防火墻硬件設備)定義成獨立的安全區域。不同安全區域之間的網絡如果需要相互訪問,應該遵從有限互通的原則,按照不同功能區域之間安全信任級別的不同,在安全邊界上部署不同的訪問控制策略,禁止不同區域之間的網絡在不采取任何安全訪問控制的前提下直接互通。
“點、線、面”安全布局
安全邊界的定義實現了對不同區域之間相互訪問的控制,而各個功能區域內根據安全保護等級的要求以及安全訪問的特性,需要分別設計各自的網絡安全布局。
“點、線、面”安全布局的核心思想是以對不同安全區域被訪問主體的訪問控制管理為安全防御主線,結合不同區域的安全級別和應用要求,在安全訪問 “線路”上部署不同的安全“點”設備,并且對整個數據中心區域規劃統一的安全事件發現、收集、分析、處理的機制和技術實現,實現安全“面”的統一管理。
這里以互聯網模塊區對外業務服務器的安全布局為例來說明“點、線、面”的安全布局方法。
對外業務服務器區域需要同Internet互聯來提供單位的網上交互業務(如金融單位的網銀業務,政府的網上報稅業務,企業的電子商務業務等),基本的網絡結構如圖2所示,通過路由器與Internet相連(一般考慮到業務連接的可靠性,會部署多條出口線路),區域的核心交換機分別連接 WEB、APP和DB服務器,并且同數據中心核心區交換機互聯。在這個區域的安全部署考慮如下:
確認對該安全區域內不同服務器的訪問控制策略:Web服務器允許被互聯網用戶訪問,同時也允許被內網用戶和內網服務器訪問;Web服務器允許訪問APP服務器,但是不允許訪問DB服務器;APP服務器智能被WEB服務器訪問,并且允許訪問DB服務器;DB服務器只能被APP服務器訪問。