随着信息技术的不断发展,信息安全成为数据中心发展的重要事项。网络攻击者们对数据中心的觊觎只是保护数据中心安全的第一个“拦路虎”,数据中心的特殊特性将给我们的安全防护工作带来更艰巨的挑战,例如流量不对称、存在自定义应用、需要传出计算层并传输到数据中心外围进行检查的流量较大,跨多个虚拟机监控程序进行虚拟化,以及分散在多个地理位置等等。
相应地,如果安全解决方案没有在设计上考虑到这些特性,则很难为数据中心提供安全保护,甚至会导致不良的后果:安全保护出现空白、数据中心性能受到严重影响、不得不牺牲数据中心功能来满足安全方面的限制,以及因安全解决方案调配过于复杂而降低数据中心按需动态调配资源的能力。
保护数据中心安全的五个步骤
一、提供对自定义数据中心应用的可视性和可控性。主要还是传统互联网边缘设备只检查传统的基于Web的应用(例如Facebook和Twitter)和相关微型应用,忽视了对自定义数据中心应用的可视性与可控性。
二、管理设备或数据中心之间的非对称流量和应用事务。许多下一代防火墙无法保护非对称流量的安全,数据中心里经常出现非对称路由,数据包这个时候会通过不同的路径返回来源,而许多新一代防火墙在设计中仅考虑沿一条可预测的路径跟踪、检查和管理流量,因此这就带来了问题。
三、适应数据中心的演变。数据中心正在从物理环境向虚拟环境,以及进一步向下一代SDN、ACI和NFV模式迁移,安全解决方案也必须随之动态调整和提供一致的安全保护,从而与不断演变的混合数据中心环境无缝对接。
四、针对整个攻击过程提供全方位保护:攻击前、攻击中和攻击后。威胁可在网络、端点、移动设备和虚拟环境内出现,可以说是无处不在。要保护现代数据中心和其中的专门流量,必须要使用以威胁为中心的全面方法,在攻击前、攻击中和攻击后为数据中心提供全方位保护。
五、保护整个网络。安全解决方案不仅必须保证远程用户与数据中心资源之间的透明,而且还要考虑到自己属于一个复杂网络环境:穿过分支机构、核心,进入数据中心再进到外面的云 中。安全解决方案不仅必须是数据中心架构的一部分,同时也是更广泛解决方案的组成部分,既要能发现基于互联网的威胁,又要能发现针对数据中心的攻击,同时 还要为整条数据路径无缝提供安全保护。
全面、集成的安全策略和架构,从边缘到数据中心再到云,为整个分布式网络提供一致的智能保护,同时保证不影响性能,这才是真正为现代数据中心提供安全保护!<
http:www.cps800.com/news/2015-12/20151223152347.html