數(shù)據(jù)中心安全防護(hù)之道

2013-10-23 15:57:49 eNet硅谷動力　點(diǎn)擊量：評論 (0)

隨著互聯(lián)網(wǎng)及其相關(guān)應(yīng)用產(chǎn)業(yè)的發(fā)展，內(nèi)容更豐富、服務(wù)更深層的網(wǎng)絡(luò)服務(wù)提供商橫空出世。數(shù)據(jù)中心作為一個(gè)重要的網(wǎng)絡(luò)服務(wù)平臺，它通過與骨干網(wǎng)高速連接，借助豐富的網(wǎng)絡(luò)資源向網(wǎng)站企業(yè)和傳統(tǒng)企業(yè)提供大規(guī)模

　　互聯(lián)網(wǎng)應(yīng)用日益深化，數(shù)據(jù)中心運(yùn)行環(huán)境正從傳統(tǒng)客戶機(jī)/服務(wù)器向網(wǎng)絡(luò)連接的中央服務(wù)器轉(zhuǎn)型。受其影響，基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜。這種復(fù)雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素，一些未實(shí)施正確安全策略的數(shù)據(jù)中心，黑客和蠕蟲將順勢而入。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認(rèn)識到來自網(wǎng)絡(luò)的惡意行為對數(shù)據(jù)中心造成的嚴(yán)重?fù)p害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設(shè)備，但對于日趨成熟和危險(xiǎn)的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯得力不從心。

　　高性能和虛擬化仍然是根本要求

　　雖然針對數(shù)據(jù)中心的安全服務(wù)遍及各大行業(yè)，甚至很多細(xì)分行業(yè)領(lǐng)域，但是對于數(shù)據(jù)中心的安全建設(shè)要求還是存在一定共性的。Fortinet中國區(qū)首席技術(shù)顧問譚杰認(rèn)為，高性能和虛擬化是當(dāng)前數(shù)據(jù)中心安全防護(hù)解決方案的兩大基礎(chǔ)共性。譚杰進(jìn)一步解釋道，數(shù)據(jù)中心，尤其是云計(jì)算數(shù)據(jù)中心的海量業(yè)務(wù)，對安全系統(tǒng)的吞吐量、延遲和會話能力都提出了極高的要求。關(guān)鍵點(diǎn)在于，數(shù)據(jù)中心中多租戶模式而導(dǎo)致的業(yè)務(wù)種類繁多的特點(diǎn)，很難事前對大小數(shù)據(jù)包的比例進(jìn)行規(guī)劃和設(shè)計(jì)，因此非常需要安全設(shè)備的性能對大小包不敏感，即小包（如64字節(jié)）性能與大包相同。另外，云計(jì)算數(shù)據(jù)中心的虛擬化場景需要安全解決方案的良好配合。例如：為每個(gè)租戶分配不同的虛擬安全設(shè)備及管理賬號，讓其自行管理，這就要求安全設(shè)備的虛擬化是完整的（包括接口、路由、策略、管理員等各種對象）。另外不同租戶的業(yè)務(wù)不同，對安全保護(hù)的要求也各不相同。例如Web服務(wù)商需要IPS，郵件服務(wù)商需要反垃圾郵件，這就要求安全設(shè)備的所有功能都能在虛擬化之后正常工作。

　　對于上述觀點(diǎn)，華為安全產(chǎn)品線營銷工程師劉東徽也認(rèn)為，數(shù)據(jù)中心防火墻的性能要基于“真實(shí)流量”來看，而不是簡單的在某一種特定類型數(shù)據(jù)流量環(huán)境下的性能。目前數(shù)據(jù)中心的流量主要集中于東西向（數(shù)據(jù)中心內(nèi)數(shù)據(jù)交換），而南北向（數(shù)據(jù)中心出口）流量較少。但是由于連接請求的基數(shù)很大，因此對于防護(hù)設(shè)備的性能和并發(fā)連接數(shù)的支持都要求相當(dāng)高。我們正處于一個(gè)大數(shù)據(jù)的時(shí)代，80%-90%的數(shù)據(jù)都是近兩年產(chǎn)生的，而到2015年，全球的IP流量將會翻四倍，在線人數(shù)也將沖擊30億人大關(guān)。華為安全產(chǎn)品線營銷工程師石金利補(bǔ)充道，虛擬化的產(chǎn)生，使得服務(wù)器、存儲、帶寬等數(shù)據(jù)中心資源的利用率大幅提升，而產(chǎn)生的影響就是可同時(shí)訪問資源的用戶數(shù)量極大地膨脹，由此導(dǎo)致了數(shù)據(jù)中心防護(hù)設(shè)備對于并發(fā)數(shù)量的支持要求更高。另外，當(dāng)數(shù)據(jù)中心的一臺服務(wù)器宕機(jī)之后，防火墻要能夠?qū)踩呗詣討B(tài)遷移到冗余的服務(wù)器上，實(shí)現(xiàn)自動策略部署。因此，數(shù)據(jù)中心防護(hù)設(shè)備必須要做到高性能、高可靠性、靈活部署和可擴(kuò)展。

　　譚杰對于高性能的需求方面也持認(rèn)同態(tài)度。他表示，當(dāng)前的云數(shù)據(jù)中心對安全產(chǎn)品的性能要求達(dá)到了前所未有的高度，吞吐量動輒高達(dá)百G以上，延遲、小包吞吐率（包轉(zhuǎn)發(fā)率）、會話能力要求也極高。另一方面，機(jī)房空間、能耗等也是制約數(shù)據(jù)中心發(fā)展的重要因素。因此節(jié)能、環(huán)保、綠色也是數(shù)據(jù)中心安全建設(shè)的一大要求。

完全虛擬化還是部分虛擬化？

　　目前，業(yè)界對于云數(shù)據(jù)中心內(nèi)部的虛擬化提出了完全虛擬化（即在虛擬化服務(wù)器上的一個(gè)虛擬機(jī)）和部分虛擬化（即一臺防火墻虛擬多臺防火墻）兩種方式來解決云數(shù)據(jù)中心虛擬機(jī)內(nèi)部流量和虛擬機(jī)之間流量的安全檢查問題。

　　譚杰指出，在云計(jì)算時(shí)代，虛擬化的確成了防火墻（包括下一代防火墻、UTM等多功能網(wǎng)關(guān)）的必備功能。安全部署必須無縫貼合云計(jì)算虛擬化的結(jié)構(gòu)。完全獨(dú)立的虛擬化，全功能虛擬化。這兩點(diǎn)看似既簡單又理所應(yīng)當(dāng)，但實(shí)際實(shí)現(xiàn)還是有較高技術(shù)難度的，需要云計(jì)算數(shù)據(jù)中心的注意。

華為的兩位工程師向記者表示，華為在這兩個(gè)方向的虛擬防火墻解決方案上都在努力。同時(shí)他們

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊