2022-12-14 09:36 千家网
对于大多数企业来说,数据中心安全是一个多方面的、多层次的难题。无论是托管在内部、托管在托管设施中,还是在企业拥有的非现场数据中心或在云端,数据中心都是企业不可或缺的一部分。它们包含允许业务流程运行的关键数据,并为合理的企业决策提供背景。
另一方面,攻击者觊觎这些极具吸引力和利润丰厚的数据,并努力获取这些数据。同样,内部人员可能无意或故意滥用或泄露敏感的企业信息。在任何一种情况下,企业和客户信息都可能被勒索、在暗网上出售或被利用。
专业化环境
数据中心环境的庞大规模和多样性使这一等式更加复杂。在传统网络中,网络安全主要集中在防止攻击者在网络中立足。即使在分布式劳动力快速增长的情况下,这一战略仍然适用,因为分布式劳动力不断扩大,而且往往会破坏大部分网络周边。
相比之下,数据中心通常处理的流量要大得多,虚拟化工作负载在服务器、虚拟机和容器中运行,它们相互作用以完成任务和共享数据。数据中心架构也可以像单一的内部设施一样简单,或者使用混合或多云架构,并具有一些无定形的外围环境。
鉴于数据中心架构与其所支持的企业一样多样,网络安全没有一个一刀切的解决方案。然而,有许多通用指南和最佳实践可以帮助指导数据中心安全工作。
边缘专用安全
与传统组网一样,下一代防火墙通常被部署为数据中心的第一道防线;但根据规模、流量负载等方面的考虑,可能需要部署专用的数据中心。这些解决方案通常可以支持以兆位为单位的防火墙吞吐量和数百万并发用户会话。
数据中心下一代防火墙通常支持划分为多个虚拟防火墙,为多租户环境中的客户端提供单独的服务。通常情况下,这些虚拟防火墙是由客户端直接独立控制的,从而能够针对每个客户的需求进行精确的特性定制。
冗余和故障转移也是数据中心的关键需求,以确保即使在发生故障、灾难或类似的业务中断事件时,也能持续正常运行。在传统网络中,故障转移机制可能是主动/主动或主动/被动的,但是,在数据中心环境中,为了在故障转移期间保持操作的连续性,通常首选主动/主动模式。
在故障切换情况下,特别是如果冗余数据中心在地理位置上较远,则必须注意确保用户连接以及数据和应用程序的连续性。有了适当的机制,故障切换就可以在用户几乎看不见的情况下发生,而且不会影响当前的连接。
然而,总有一个权衡。下一代防火墙的购买和安装可能相当昂贵,必须权衡违约或业务中断可能造成的潜在财政和声誉损失。此外,下一代防火墙的大部分繁重工作都是由安全策略执行的,尽管大多数供应商提供配置向导和其他工具,但可能会出现策略冲突。例如,容纳远程工作人员可能需要手动配置,以便允许访问数据中心资源。
更深层次:细分
通过虚拟化、容器、多云使用和其他结构,几乎每个现代数据中心都利用了云架构的元素。这既允许可扩展性,也允许弹性,但本身存在安全风险。例如,一旦攻击者获得了访问权限,数据中心的相关工作流程就可以提供通往其他服务器、数据、应用和其他资源的路径。
细分技术允许安全团队定义数据中心的不同区域,然后设置安全策略以保护它们,直到VM、容器或工作负载。数据中心元素之间的东西向通信可以被监控和可视化,防止恶意软件和其他危害指标在数据中心广泛传播。
此外,在多租户环境中,细分解决方案可以帮助防止未经授权的用户或威胁和攻击在客户端之间进行访问。此外,这些解决方案提供了对数据中心内部流量的广泛可见性,以及一套标准的防御机制,如IPS、防病毒和其他攻击防御。
尽管细分有许多好处,但在现有环境中,实现可能非常复杂且难以正确应用。正常流量模式的机器学习可以帮助确定允许或拒绝哪些东西向流量,但错误的配置可能会中断或阻碍业务运营。与下一代防火墙一样,在考虑此解决方案时,必须权衡成本与收益。
另一个难题:云工作负载保护平台
正如前一节所提到的,云工作负载的可见性和资产通常如何交互是确保数据中心安全的关键之一。通过对工作负载的通常行为进行建模,可以更容易地识别可能表明潜在威胁的任何异常,然后消除或补救它。
这种新兴技术被称为云工作负载保护平台,简称CWPP,通常为多云数据中心提供了许多关键的安全功能:允许监控、可视化和控制的仪表板;基于AI或机器学习的正常行为和模式建模,以检测威胁;以及跨多个云的微分割。
在考虑CWPP时,请记住,某些解决方案可能不支持所有用例,例如容器和微服务。此外,由于大多数CWPP都是基于代理的,因此在每个数据中心资产上安装和维护代理的成本可能会迅速上升,降低部署速度,并可能影响资产的性能水平。
虽然数据中心安全是一个持续的过程,而不是一次性事件,但在数据中心组件的边缘和内部设置核心安全措施是至关重要的。这样做将为成功保护公司重要资产奠定基础,无论这些资产位于何处。