數據中心安全圍繞數據為核心,從數據的訪問、使用、破壞、修改、丟失、泄漏等多方面維度展開,一般來說包括以下幾個方面:
- 物理安全:主要指數據中心機房的安全,包括機房的選址,機房場地安全,防電磁輻射泄漏,防靜電,防火等內容;
- 網絡安全:指數據中心網絡自身的設計、構建和使用以及基于網絡的各種安全相關的技術和手段,如防火墻,IPS,安全審計等;
- 系統安全:包括服務器操作系統,數據庫,中間件等在內的系統安全,以及為提高這些系統的安全性而使用安全評估管理工具所進行的系統安全分析和加固;
- 數據安全:數據的保存以及備份和恢復設計;
- 信息安全:完整的用戶身份認證以及安全日志審計跟蹤,以及對安全日志和事件的統一分析和記錄;
拋開物理安全的考慮,網絡是數據中心所有系統的基礎平臺,網絡安全從而成為數據中心安全的基礎支持。因此合理的網絡安全體系設計、構建安全可靠的數據中心基礎網絡平臺是進行數據中心安全建設的基本內容。
數據中心網絡安全建設原則
網絡是數據傳輸的載體,數據中心網絡安全建設一般要考慮以下三個方面:
- 合理規劃網絡的安全區域以及不同區域之間的訪問權限,保證針對用戶或客戶機進行通信提供正確的授權許可,防止非法的訪問以及惡性的攻擊入侵和破壞;
- 建立高可靠的網絡平臺,為數據在網絡中傳輸提供高可用的傳輸通道,避免數據的丟失,并且提供相關的安全技術防止數據在傳輸過程中被讀取和改變;
- 提供對網絡平臺支撐平臺自身的安全保護,保證網絡平臺能夠持續的高可靠運行;
綜合以上幾點,數據中心的網絡安全建設可以參考以下原則:
整體性原則:“木桶原理”,單純一種安全手段不可能解決全部安全問題;
多重保護原則:不把整個系統的安全寄托在單一安全措施或安全產品上;
性能保障原則:安全產品的性能不能成為影響整個網絡傳輸的瓶頸;
平衡性原則:制定規范措施,實現保護成本與被保護信息的價值平衡 ;
可管理、易操作原則:盡量采用最新的安全技術,實現安全管理的自動化,以減輕安全管理的負擔,同時減小因為管理上的疏漏而對系統安全造成的威脅;
適應性、靈活性原則:充分考慮今后業務和網絡安全協調發展的需求,避免因只滿足了系統安全要求,而給業務發展帶來障礙的情況發生;
高可用原則:安全方案、安全產品也要遵循網絡高可用性原則;
技術與管理并重原則:“三分技術,七分管理”,從技術角度出發的安全方案的設計必須有與之相適應的管理制度同步制定,并從管理的角度評估安全設計方案的可操作性
投資保護原則:要充分發揮現有設備的潛能,避免投資的浪費;
數據中心網絡安全體系設計
模塊化功能分區
為了進行合理的網絡安全設計,首先要求對數據中心的基礎網絡,采用模塊化的設計方法,根據數據中心服務器上所部署的應用的用戶訪問特性和應用的核心功能,將數據中心劃分為不同的功能區域。
采用模塊化的架構設計方法可以在數據中心中清晰區分不同的功能區域,并針對不同功能區域的安全防護要求來進行相應的網絡安全設計。這樣的架構設計具有很好的伸縮性,根據未來業務發展的需要,可以非常容易的增加新的區域,而不需要對整個架構進行大的修改,具備更好的可擴展性。因為每個區域的安全功能是根據每個區域的特性進行定義,因此可以在不影響其他應用或者整個區域的情況下單獨進行安全部署,對于一次性建設投資或分階段建設的情況下都可以很好進行網絡安全的布局。
“核心-邊緣“安全邊界定義
采用模塊化的架構設計方法將數據中心分為多個功能區域后,由于不同功能區域之間會有相互通訊的需求,因此整個網絡架構形成“核心-邊緣”的結構特性,以數據中心核心區為中心,其他功能區域與核心區相連,成為數據中心網絡的邊緣區域。為了更好的保證數據中心的網絡性能,數據中心核心區一般只提供高速的數據轉發功能,不做安全控制的部署,在這個區域需要重點規劃的是核心區的高可靠和高性能保證。
在這種“核心-邊緣”的結構特性下,各功能區域同核心區域相連的接口成為該區域的網絡安全邊界。從業務和安全控制的角度出發,在各功能區域的邊界需要采用一定的技術手段(通常部署防火墻硬件設備)定義成獨立的安全區域。不同安全區域之間的網絡如果需要相互訪問,應該遵從有限互通的原則,按照不同功能區域之間安全信任級別的不同,在安全邊界上部署不同的訪問控制策略,禁止不同區域之間的網絡在不采取任何安全訪問控制的前提下直接互通。
“點、線、面”安全布局
安全邊界的定義實現了對不同區域之間相互訪問的控制,而各個功能區域內根據安全保護等級的要求以及安全訪問的特性,需要分別設計各自的網絡安全布局。
“點、線、面”安全布局的核心思想是以對不同安全區域被訪問主體的訪問控制管理為安全防御主線,結合不同區域的安全級別和應用要求,在安全訪問“線路”上部署不同的安全“點”設備,并且對整個數據中心區域規劃統一的安全事件發現、收集、分析、處理的機制和技術實現,實現安全“面”的統一管理。
這里以互聯網模塊區對外業務服務器的安全布局為例來說明“點、線、面”的安全布局方法。
對外業務服務器區域需要同Internet互聯來提供單位的網上交互業務(如金融單位的網銀業務,政府的網上報稅業務,企業的電子商務業務等),基本的網絡結構,通過路由器與Internet相連(一般考慮到業務連接的可靠性,會部署多條出口線路),區域的核心交換機分別連接WEB、APP和DB服務器,并且同數據中心核心區交換機互聯。在這個區域的安全部署考慮如下:
確認對該安全區域內不同服務器的訪問控制策略:Web服務器允許被互聯網用戶訪問,同時也允許被內網用戶和內網服務器訪問;Web服務器允許訪問APP服務器,但是不允許訪問DB服務器;APP服務器智能被WEB服務器訪問,并且允許訪問DB服務器;DB服務器只能被APP服務器訪問。
分析不同訪問路線上需要關注的安全加固“點”和設備部署考慮。
基于上述的分析,在區域內不同位置部署所需要的安全設備,形成功能區域內的網絡安全布局。
前面通過對安全“線路”進行分析,進行安全設備“點”的部署,實現了互聯網業務區的網絡安全布局,同時,考慮到整個數據中心“面”上的安全統一管理,在綜合管理區部署安全管理中心設備,負責統計、關聯分析內網各類網絡事件,從全局角度幫助數據中心網絡管理人員掌握整個網絡中的安全事件,從而實現對數據中心安全訪問“線路”上的安全加固“點”進行更加合理的布局和后續升級。
網絡的安全虛擬化
“點、線、面”的安全布局方式為了實現安全“點”的全面加固,需要部署大量的安全設備,從而會大大增加網絡結構上單點故障的機率;同時為了保證網絡結構的可靠性,所部署的安全設備要都要做可靠性考慮和相關協議的設置,使網絡部署的復雜度大幅增加,同時增大由于錯誤配置導致網絡可靠性降低的可能。
業界目前的數據中心交換機在設計上支持豐富類型的安全業務板卡,可以將多種安全設備以板卡的形式安裝在網絡中的節點交換機上,實現網絡的安全虛擬化部署。
N:1的虛擬化部署
采用在數據中心網絡節點的交換機上部署安全業務板卡的方式,改變了過去在一條線路上部署多個安全設備(就像糖葫蘆串一樣)的物理結構,將多個安全設備(N)集成在一臺數據中心交換機上,使得整個網絡線路得到大大的簡化,這種部署方式具有以下技術優勢:
- 大大簡化了網絡安全區域的拓撲結構;
- 降低了由于安全設備單點故障對數據中心網絡可用性的影響,如果某塊安全業務板卡出現故障問題,交換機會進行數據轉發層面的二層回退,即數據流不再必經通過出現故障的安全板卡進行處理,而是直接由交換機進行正常的數據轉發,保證整個業務的不中斷;
- 一般獨立的安全設備無法提供設備本身的高可靠保證,而這種部署方式,借助網絡交換機本身的設備可靠性保障(引擎冗余,電源冗余,風扇冗余等),大大提高了安全設備的可靠性運行保證;
- 由于獨立的安全設備無法進行性能升級,隨著數據中心網絡性能的提升,安全設備往往會成為整個網絡性能的瓶頸,采用業務板卡的部署方式,可以在一臺交換機上疊加多塊安全板卡,通過增加板卡的數量提升安全防護的性能,有效的保護已有投資,并且適應網絡的性能發展。
基于N:1安全虛擬化的方式,前面舉例的對外業務區的網絡安全布局可以簡化,安全加固“點”的設備都集成在網絡節點交換機上,整個對外業務區的網絡安全拓撲結構得到大大的簡化。
1:N的虛擬化應用
利用安全板卡的虛擬化特性,可以在一塊物理板卡上邏輯虛擬出來多個安全板卡的實例,并可以將不同的實例分配給不同的服務器連接線路,并單獨設定每個實例的安全配置屬性。在配置了安全板卡后,交換機的每一個業務接口都可以看成為安全板卡的業務接口,因此基于這種1:N的虛擬化特性和實現機制可以擴大交換機的安全防范范圍,便于更細致的安全分區劃分,從而提高網絡安全部署的精細度。
結束語
數據中心的網絡安全是數據中心安全體系的最基本環節,通過合理的網絡安全設計方法可以保證基礎網絡平臺的安全可靠,并提供持續安全加固的擴展性設計。但是要想構建全面安全的數據中心,還需要數據安全、系統安全、信息安全等方面從其他的安全角度出發進行相應的安全規劃,不斷完善數據中心的安全防范等級。
(資料來源:H3C技術在線博客)
