随着越来越多的企业业务和数据正从分散部署走向大集中,作为这种集中模式的代表,数据中心的出现极大地促进了企业业务的发展。但与此同时,受制于数据中心对开放Internet的依赖,在带来应用便利和自由度的同时,也对安全提出了更高的要求。
数据中心的特点及安全需求
通过互联网提供服务的数据中心的特点是:业务集中化处理,数据集中化存储,外部集中访问。此类的数据中心对互联网开放,因此数据中心往往面临着较多的安全威胁。作为集中了用户最重要信息的资产,其重要性不言而喻,因此加强边界的安全防护显得至关重要。
众所周知,数据中心实现了业务和数据的大集中,对于用户而言,其所有的业务都要通过远程访问数据中心的资源,这就使得数据中心往往面对众多的远程访问请求,数据中心承受着大并发访问量、高开放性、多业务并存以及不确定的访问来源等多种情况,因此给数据中心带来了众多的安全威胁,所以安全需求也因此而生。
数据中心对网络边界层面的防护具有如下的安全需求:其一是有效的边界隔离,可以实现对非法访问的阻断;其二是有效的身份识别与访问控制功能,可以实现对源地址的定位、识别和控制;其三是建立有效的对抗攻击能力,实现对异常流量、恶意代码、有目标的渗透等情况的鉴别和防护;其四是建立深度应用识别与攻击检测,对应用数据包进行深度检测,防范欺骗;其五是可以实现业务间隔离与带宽资源控制,保障重要业务访问;其六是保护数据传输安全,防止数据被窃听和篡改。
同时,还必须具有高可靠性的安全设备来防止由于高并发访问量、系统故障等突发情况而带来的访问不便。此外,由于边界是数据中心正常运行的重要节点,部署安全产品必须具有便于管理的特点,这就要求设备能够适应不同的网络环境,配置尽量简单方便,特征库能够自动升级,可以提供丰富的访问审计功能,能够对流量进行有效监控,能够提供丰富的攻击统计,使数据中心系统管理员能够充分掌握数据中心的安全态势,为不断地优化安全策略提供依据。
Hillstone山石网科对数据中心网络边界安全设计
根据数据中心对边界安全防护的建设需求,不难看出,通过安全网关实现边界隔离与防护是一种非常有效的手段,同时针对数据中心的特点,在选择并实施安全防护技术时,应进行有针对性的选择,确保实施后的系统能够真正发挥作用,对抗攻击行为,保障数据中心安全可靠地运行。
对此,Hillstone山石网科认为在数据中心的互联网出口,通过配置高性能安全网关设备,综合运用访问控制、入侵防护、病毒过滤、QOS、VPN、行为审计等措施,有效隔离互联网,并对来自互联网的访问进行有效控制,可以满足数据中心在抗攻击、防止非授权访问、资源控制、加密传输、高可靠及管理维护层面的建设需求。
对应上述分析的数据中心特点,Hillstone山石网科数据认为必须从以下四个方面考虑:一是采用可提供多种安全技术的高性能安全网关,形成综合防护体系,来防范各类安全风险;二是采用具有便于管理的集中监控,从全局视角掌握数据中心的安全态势,为发生安全事件后的快速响应提供有力依据;三是确保安全网关的高性能可以处理并发访问量高,对链路质量有较高的要求,保证数据中心的整体运行效率;四是保障设备的高可靠性,一是设备自身的稳定运行能力;二是设备故障后的冗余能力。
Hillstone山石网科数据中心网络边界安全防护解决方案
