数据中心作为信息服务的核心地带,其重要性正不断提升—从内容承载和网络接入的简单定位逐渐转向整个社会信息化服务的重要载体。在中国,数据中心市场的总体规模在去年已经超过6.7亿美元,较2008年增长22.7%,预计2010年这一数字将升至8.3亿美元。
不过,值得关注的是,尽管数据中心在虚拟化、分布式以及云计算等新技术的影响下,其规模和数量不断得以膨胀和扩大,但同时一些隐患也随之暴露。
今年上半年,包括谷歌在内的一些知名的服务提供商和电信运营商都曾因非法网络侵害而造成较长时间的断网事故,包括电信级数据中心在内的很多IDC机房都存在着安全性、隐私性以及内容合法性等一系列问题,由此也成为各大企业、电信运营商及政府机构关注的重点。
这并非老生常谈,据国外监测报告显示,目前地下黑客组织已呈现产业化、经济化趋势,而SQL注入、跨站脚本(XSS)、跨浏览器攻击(ClickJacking)等针对数据中心应用层的攻击行为也逐渐成为黑客们进行网络非法侵害的主要方式。
与此同时,来自Arbor最新的全球互联网基础设施安全年报也显示,在北美洲、南美洲、欧洲、非洲和亚洲等地区的132家一级、二级及其他IP网络运营商中,大约有35%的受访者认为,在未来12个月间,复杂尖端的服务层和应用层攻击将取代大规模的僵尸网络攻击,成为最大的运营威胁。
不幸的是,大部分数据中心对这一变化并无太大警觉。相关咨询机构报告显示,在2009年,全球有94%的数据泄露事件起源于数据库和应用系统中的漏洞;但在用于数据中心安全投入的160亿美元中,90%却被花费在网络防火墙等其他方面。
安全资源分配严重倾斜
一位中国移动研究院网络技术研究所的内部人士告诉记者:“目前电信运营商IDC的安全能力仍主要集中于网络侧。”以中国移动为例,在网络接入层尤其在省网和骨干网出口都部署了流量清洗系统,主要用来抵御DDoS攻击;在网络汇聚层,一方面利用防火墙等工具建立严格的控制访问权限,另一方面对入侵防御系统进行有效补充;而在业务接入层,则面向主机资源等建立集中病毒库,并进行周期性的安全评估。
针对目前黑客们主要的攻击对象—应用层(包括Web应用、数据库和文件管理),电信运营商却少有关注。
“现阶段,一些地方运营商除了针对后台计费系统等关键性业务加装了数据库防火墙外,其余大量的安全防御设施都被部署在了网络层面。”前述研究院人士补充道。
究其原因,数据安全厂商Imperva的技术专家告诉记者:“现阶段安全市场上基于应用内容的安全解决方案,如Web应用防火墙、数据库防火墙、文件防火墙均属于新型防御技术,很多企业客户对此并不了解,也不清楚这些产品能够解决哪些问题,很多企业级用户谈到安全,往往会很习惯地考虑网络防火墙等传统安全产品,并将一些新兴的安全隐患寄希望于传统的IDC安全架构。”
重新审视应用层信息安全
“我们的确需要重新审视应用层的安全问题,由于这些针对业务层的安全攻击,如非法篡改网页和盗取数据库信息往往能够直接获得利益,电信运营商数据中心的后台查询、计算资源以及网站信息管理也就成为了易受攻击的对象。”一位中国联通IDC运营中心的内部人士如是说。
