隨著企業資訊化的成熟發展和新技術的廣泛引用,各個企業都因需求不斷擴大而正在規劃和建設各自的資料中心。一方面隨著資訊爆炸,出於管理集約化、精細化的必然要求,進行資料集中已經成為企業資訊化建設的發展趨勢。另一方面資料中心不再是簡單的基礎通信網路,更是集通信服務、IT服務、管理應用和專業資訊化服務於一體的綜合性資訊服務中心。
資料中心作為資料處理、存儲和交換的中心,是網路中資料交換最頻繁、資源最密集的地方,更是存儲資料的安全局,它要保證所有資料的安全和完備。一旦資料中心安全受到威脅,甚至處於癱瘓狀態,將會給企業帶來巨大的經濟損失。如何通過一套有效、實用的安全架構,使企業的資料中心運行在安全的環境下,使其免受駭客攻擊、病毒、木馬、惡意程式的入侵,已成為資料中心安全建設的重點。
基於資料中心的業務需求,以及資料中心面臨的安全問題,可以通過以下相關安全建設方案來解決資料中心面臨的不同風險。
一、重塑安全邊界
出口邊界安全
網路出口安全防護設計主要包括以下手段:抗DDoS攻擊、鏈路負載均衡、存取控制技術、VPN隧道技術、流量清洗技術、入侵偵測與入侵防禦技術、病毒過濾技術等。通過下一代防火牆,不斷進行技術更新,持續增加安全能力,更有效的幫助用戶抵禦互聯網安全威脅,實現邊界防禦智慧化。通過VPN幫助用戶實現更安全、體驗更佳的應用發佈。
安全域邊隔離
基於縱深防護理念,資料中心內部可以進一步劃分DMZ區、核心業務系統區、開發測試區、外部業務系統區等安全區域,並根據不同的安全區域配置不同的安全保護策略。將經過核心交換的流量引流至深信服安全資源池,能夠直接對安全區域進行安全防護,且實現靈活彈性擴展。
資料中心微隔離
微隔離方案提出了一種基於安全域應用角色之間的流量存取控制的系統解決方法,提供全面基於主機應用角色之間的存取控制,做到視覺化的安全訪問策略配置,簡單高效地對應用服務之間訪問進行隔離技術實現。並且基於安裝羽量級主機Agent軟體的存取控制,不受虛擬化平臺的影響,不受物理機器和虛擬機器器的影響。終端檢測與回應平臺EDR,適配虛擬主機環境,實現微隔離,並降低威脅影響面。
二、資料中心核心安全
應用和資料安全
通過WAF產品部署于Web伺服器區核心交換前實現雙向內容的檢測,針對HTTP協議的深入解析,精確識別出協議中各種要素,如cookie、Get參數、Post表單等,並對這些資料進行快速解析,以還原其原始通信的資訊,根據這些解析後的原始資訊,精確檢測其是否包含威脅內容。WAF在正則匹配安全檢測技術基礎上,引入語法、詞法分析演算法,並全面結合機器學習、人工智慧技術,打造下一代WAF檢測引擎,精准識別Web威脅。
通過部署資料庫審計產品,實現對所有外部或內部使用者訪問資料庫的各種操作行為、內容的即時監控;同時對高危操作、入侵和違規行為進行即時告警,並能夠指導管理員進行應急回應處理。資料庫審計DAS對資料庫伺服器性能影響低、審計全面、即時告警、輸出報表豐富、自訂程度高。
設備和計算安全
實現伺服器主機資產管理、主機安全體檢、主機合規檢查,支援微隔離的存取控制策略統一管理、安全事件的一鍵隔離處置,以及熱點事件IOC的全網威脅定位,歷史行為資料的溯源分析,遠端協助取證調查分析。傳統的病毒檢測技術使用特徵匹配,使得病毒碼庫越來越大,運行所占資源也越來越多。終端檢測回應平臺EDR使用多維度羽量級的無特徵檢測技術,包含AI技術的SAVE引擎、行為引擎、雲查引擎、全網信譽庫等,檢測更智慧、更精准,回應更快速,資源佔用更低消耗
網路和通信安全
為保證資料的傳輸保密性,應採用加密技術或其他有效的技術手段,包括但不限於鑒別資料、重要業務資料和重要個人資訊的保密性。建議採用VPN閘道來保護資料傳輸和遠端應用維護操作的傳輸管道安全
三、全域可視及安全治理
全域可視及安全治理
採用威脅分析和檢測分析手段對資料中即時分析處理,並實現對預處理包的海量資料即時與歷史分析。安全感知平臺採用多種分析方法,包括人工智慧、關聯分析、機器學習、運維分析、統計分析、行為檢測分析、攻擊畫像、OLAP分析、資料採擷和惡意程式碼分析等多種分析手段對資料進行綜合關聯,實現安全威脅檢測與視覺化運維管理。