数据中心作为资源共享的中心,其持续服务的能力对企业来说至关重要,因此保障数据中心的安全一直是运营者不可忽略的一部分。目前,随着下一代数据中心的建设,虚拟化、云技术以及Web2.0等新技术不断应用到新的数据中心建设中,这对安全的保障提出了越来越高的要求,数据中心运营者不仅希望能够得到高效、低成本的安全部署,他们更愿意简化数据中心的安全架构,以便降低部署复杂性且易于安全管理。
新技术的安全隐患
目前,运营商对数据中心的性能、容量提出了提升量级的高要求,并且运营商一直努力希望通过利用高灵活的IT功能来不断优化生产效率,以最大限度地提高投资回报率。但是网络无边界化的趋势日益明显,当运营商利用云计算、虚拟化等动态平台取代以往的静态基础设施时,数据中心的安全威胁也在不断变化,不法分子正企图利用这些新技术的薄弱环节发动新形态的攻击,并且这种趋势非常明显。
3COM旗下的TippingPoint说:“虚拟化、云计算和Web2.0是最新被引入到数据中心的技术,这些技术使数据中心在效率和生产力上达到了新的高度,例如通过协同工作系统等以人为本的工具将服务器集中可以节约供热/制冷的费用,但是并非利用任何新技术都没有风险,更加狡猾的黑客们看到了利用新技术实施攻击的机会。”比如,云计算技术将应用程序和数据等发布到共享资源,这样黑客攻击后不只是影响到某一个用户或组织,而是暴露了一个共享环境下的所有客户,其后果可能不仅包括高度敏感信息的失控,更可能导致“云”中的多个客户服务中断。
虚拟化是把双刃剑
虚拟化技术可大幅提高数据中心的资源利用率并起到节能减排的作用,但是由此引发的动态IT基础设施架构将使安全管理更加复杂。
首先,下一代数据中心必须能在大范围的虚拟化环境下,根据用户行为、具体应用及接入特性来防御各种复杂的安全威胁。如业务应用程序可以利用隧道技术穿过或绕过网络边界,黑客可利用新Web应用程序存在的弱点进行攻击,而拥有智能手机的移动办公人员能够开辟出多条远程路径进入企业网络,这也容易被利用。因此,数据中心安全接入解决方案必须根据各种因素包括用户身份、端点类型和状态等来执行策略。
其次,随着虚拟化的出现,网络容量和系统利用率也不断增加,企业会在主机之间移动大量数据,从而可在一个弹性的服务器资源库中建立分布式的应用。这就导致了客户端到服务器的流量不断增加,因此,网络安全设备需要更高的容量来满足服务器之间的流量传输,进而也就需要更高和更动态的安全保护。
SonicWALL亚太区副总裁Richard Ting也提出,在下一代数据中心的建设中,安全挑战来自于安全架构、容量及性能、访问控制等。Richard Ting说:“首先,在数据中心整合过程中,原本属于某一个或多个数据中心的安全设备可能不能再发挥原本的作用,在整合后,原先的安全设备会因为整合而变得毫无意义,需要一个新的公共防御边界的建设。其次,下一代数据中心拥有大量的计算基础设施,这将产生巨大的网络流量,因此,安全设备不仅要能够处理和保护传输速度高达Gbit/s级的应用流量,还要避免延迟。此外,资源高度集中后,非法用户可能只需‘攻克’一次就能获取和损害更多的数据,同理,单一的破坏性行为可能会影响到更多的计算基础设施。”
可以看出,下一代数据中心虽然带来了便于管理和低成本,但是安全威胁却日新月异且日趋复杂,虚拟化带来的商业利益很可能会遭到损害。
数据中心注重统一安全架构
虚拟化是为了提升效率,而下一代数据中心的安全保护同样需要提升效率。从虚拟化早期的部署情况来看,一些项目在规模上有限,‘单点式’的虚拟安全产品就可以满足基本需求。但是,随着下一代数据中心的规模建设,客户在执行安全策略的时候需要一种统一的安全架构,以在任何类型的基础设施中都能够执行安全政策,这已经成为一种趋势。
SonicWALL近期推出了由多款安全解决方案构成的“全球网络动态安全愿景”,包括具有应用智能性与虚拟安全设备的高级防火墙以及安全虚拟设备产品系列。Richard Ting表示:“全球网络动态安全愿景促使我们不断推出全新的解决方案,确保始终走在安全威胁的前面,甚至在某些情况下,可以在安全威胁发生之前预防攻击的发生。”
TippingPoint则将其Secure Network Fabric拓展至下一代数据中心和虚拟网络,并且与H3C企业网络构建一体化的数据中心解决方案,此外,IBM也将在其整合的数据中心解决方案中加入瞻博的安全产品,SonicWALL也将招募系统集成商,跟其网络安全设备实现对接。技术整合、一站式解决方案或许将成为下一代数据中心建设的趋势。
