數(shù)據(jù)中心的三個(gè)基本安全實(shí)踐

對于大多數(shù)企業(yè)來說，數(shù)據(jù)中心安全是一個(gè)多方面的、多層次的難題。無論是托管在內(nèi)部、托管在托管設(shè)施中，還是在企業(yè)擁有的非現(xiàn)場數(shù)據(jù)中心或在云端，數(shù)據(jù)中心都是企業(yè)不可或缺的一部分。它們包含允許業(yè)務(wù)流程運(yùn)行的關(guān)鍵數(shù)據(jù)，并為合理的企業(yè)決策提供背景。

另一方面，攻擊者覬覦這些極具吸引力和利潤豐厚的數(shù)據(jù)，并努力獲取這些數(shù)據(jù)。同樣，內(nèi)部人員可能無意或故意濫用或泄露敏感的企業(yè)信息。在任何一種情況下，企業(yè)和客戶信息都可能被勒索、在暗網(wǎng)上出售或被利用。

專業(yè)化環(huán)境

數(shù)據(jù)中心環(huán)境的龐大規(guī)模和多樣性使這一等式更加復(fù)雜。在傳統(tǒng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全主要集中在防止攻擊者在網(wǎng)絡(luò)中立足。即使在分布式勞動力快速增長的情況下，這一戰(zhàn)略仍然適用，因?yàn)榉植际絼趧恿Σ粩鄶U(kuò)大，而且往往會破壞大部分網(wǎng)絡(luò)周邊。

相比之下，數(shù)據(jù)中心通常處理的流量要大得多，虛擬化工作負(fù)載在服務(wù)器、虛擬機(jī)和容器中運(yùn)行，它們相互作用以完成任務(wù)和共享數(shù)據(jù)。數(shù)據(jù)中心架構(gòu)也可以像單一的內(nèi)部設(shè)施一樣簡單，或者使用混合或多云架構(gòu)，并具有一些無定形的外圍環(huán)境。

鑒于數(shù)據(jù)中心架構(gòu)與其所支持的企業(yè)一樣多樣，網(wǎng)絡(luò)安全沒有一個(gè)一刀切的解決方案。然而，有許多通用指南和最佳實(shí)踐可以幫助指導(dǎo)數(shù)據(jù)中心安全工作。

邊緣專用安全

與傳統(tǒng)組網(wǎng)一樣，下一代防火墻通常被部署為數(shù)據(jù)中心的第一道防線；但根據(jù)規(guī)模、流量負(fù)載等方面的考慮，可能需要部署專用的數(shù)據(jù)中心。這些解決方案通?？梢灾С忠哉孜粸閱挝坏姆阑饓ν掏铝亢蛿?shù)百萬并發(fā)用戶會話。

數(shù)據(jù)中心下一代防火墻通常支持劃分為多個(gè)虛擬防火墻，為多租戶環(huán)境中的客戶端提供單獨(dú)的服務(wù)。通常情況下，這些虛擬防火墻是由客戶端直接獨(dú)立控制的，從而能夠針對每個(gè)客戶的需求進(jìn)行精確的特性定制。

冗余和故障轉(zhuǎn)移也是數(shù)據(jù)中心的關(guān)鍵需求，以確保即使在發(fā)生故障、災(zāi)難或類似的業(yè)務(wù)中斷事件時(shí)，也能持續(xù)正常運(yùn)行。在傳統(tǒng)網(wǎng)絡(luò)中，故障轉(zhuǎn)移機(jī)制可能是主動/主動或主動/被動的，但是，在數(shù)據(jù)中心環(huán)境中，為了在故障轉(zhuǎn)移期間保持操作的連續(xù)性，通常首選主動/主動模式。

在故障切換情況下，特別是如果冗余數(shù)據(jù)中心在地理位置上較遠(yuǎn)，則必須注意確保用戶連接以及數(shù)據(jù)和應(yīng)用程序的連續(xù)性。有了適當(dāng)?shù)臋C(jī)制，故障切換就可以在用戶幾乎看不見的情況下發(fā)生，而且不會影響當(dāng)前的連接。

然而，總有一個(gè)權(quán)衡。下一代防火墻的購買和安裝可能相當(dāng)昂貴，必須權(quán)衡違約或業(yè)務(wù)中斷可能造成的潛在財(cái)政和聲譽(yù)損失。此外，下一代防火墻的大部分繁重工作都是由安全策略執(zhí)行的，盡管大多數(shù)供應(yīng)商提供配置向?qū)Ш推渌ぞ?，但可能會出現(xiàn)策略沖突。例如，容納遠(yuǎn)程工作人員可能需要手動配置，以便允許訪問數(shù)據(jù)中心資源。

更深層次：細(xì)分

通過虛擬化、容器、多云使用和其他結(jié)構(gòu)，幾乎每個(gè)現(xiàn)代數(shù)據(jù)中心都利用了云架構(gòu)的元素。這既允許可擴(kuò)展性，也允許彈性，但本身存在安全風(fēng)險(xiǎn)。例如，一旦攻擊者獲得了訪問權(quán)限，數(shù)據(jù)中心的相關(guān)工作流程就可以提供通往其他服務(wù)器、數(shù)據(jù)、應(yīng)用和其他資源的路徑。

細(xì)分技術(shù)允許安全團(tuán)隊(duì)定義數(shù)據(jù)中心的不同區(qū)域，然后設(shè)置安全策略以保護(hù)它們，直到VM、容器或工作負(fù)載。數(shù)據(jù)中心元素之間的東西向通信可以被監(jiān)控和可視化，防止惡意軟件和其他危害指標(biāo)在數(shù)據(jù)中心廣泛傳播。

此外，在多租戶環(huán)境中，細(xì)分解決方案可以幫助防止未經(jīng)授權(quán)的用戶或威脅和攻擊在客戶端之間進(jìn)行訪問。此外，這些解決方案提供了對數(shù)據(jù)中心內(nèi)部流量的廣泛可見性，以及一套標(biāo)準(zhǔn)的防御機(jī)制，如IPS、防病毒和其他攻擊防御。

盡管細(xì)分有許多好處，但在現(xiàn)有環(huán)境中，實(shí)現(xiàn)可能非常復(fù)雜且難以正確應(yīng)用。正常流量模式的機(jī)器學(xué)習(xí)可以幫助確定允許或拒絕哪些東西向流量，但錯(cuò)誤的配置可能會中斷或阻礙業(yè)務(wù)運(yùn)營。與下一代防火墻一樣，在考慮此解決方案時(shí)，必須權(quán)衡成本與收益。

另一個(gè)難題：云工作負(fù)載保護(hù)平臺

正如前一節(jié)所提到的，云工作負(fù)載的可見性和資產(chǎn)通常如何交互是確保數(shù)據(jù)中心安全的關(guān)鍵之一。通過對工作負(fù)載的通常行為進(jìn)行建模，可以更容易地識別可能表明潛在威脅的任何異常，然后消除或補(bǔ)救它。

這種新興技術(shù)被稱為云工作負(fù)載保護(hù)平臺，簡稱CWPP，通常為多云數(shù)據(jù)中心提供了許多關(guān)鍵的安全功能：允許監(jiān)控、可視化和控制的儀表板；基于AI或機(jī)器學(xué)習(xí)的正常行為和模式建模，以檢測威脅；以及跨多個(gè)云的微分割。

在考慮CWPP時(shí)，請記住，某些解決方案可能不支持所有用例，例如容器和微服務(wù)。此外，由于大多數(shù)CWPP都是基于代理的，因此在每個(gè)數(shù)據(jù)中心資產(chǎn)上安裝和維護(hù)代理的成本可能會迅速上升，降低部署速度，并可能影響資產(chǎn)的性能水平。

雖然數(shù)據(jù)中心安全是一個(gè)持續(xù)的過程，而不是一次性事件，但在數(shù)據(jù)中心組件的邊緣和內(nèi)部設(shè)置核心安全措施是至關(guān)重要的。這樣做將為成功保護(hù)公司重要資產(chǎn)奠定基礎(chǔ)，無論這些資產(chǎn)位于何處。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。