數(shù)據(jù)中心安全防護(hù)之道

2013-10-23 15:57:49 eNet硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

隨著互聯(lián)網(wǎng)及其相關(guān)應(yīng)用產(chǎn)業(yè)的發(fā)展，內(nèi)容更豐富、服務(wù)更深層的網(wǎng)絡(luò)服務(wù)提供商橫空出世。數(shù)據(jù)中心作為一個(gè)重要的網(wǎng)絡(luò)服務(wù)平臺(tái)，它通過(guò)與骨干網(wǎng)高速連接，借助豐富的網(wǎng)絡(luò)資源向網(wǎng)站企業(yè)和傳統(tǒng)企業(yè)提供大規(guī)模

也表示，純虛擬化的防火墻在開(kāi)啟安全檢查的時(shí)候會(huì)極大地消耗服務(wù)器的性能，也會(huì)帶來(lái)更高的管理和維護(hù)成本。其實(shí)，不論是廠商還是用戶都在尋找一個(gè)關(guān)于服務(wù)器上純虛擬化防火墻和出口防火墻部署的平衡點(diǎn)。

　　Hillstone首席顧問(wèn)陳懷臨也向記者表示，目前的安全解決方案在東西向流量上趨于要求低延遲和高吞吐。而防火墻一般只用于檢測(cè)南北向的流量。尤其是目前Hadoop以及存儲(chǔ)技術(shù)的發(fā)展，大量的數(shù)據(jù)在多個(gè)數(shù)據(jù)中心之間快速地流通。因此，對(duì)于快速轉(zhuǎn)發(fā)提出了很高的要求，也導(dǎo)致了對(duì)于東西向的流量不采用防火墻的現(xiàn)象。而根源是目前沒(méi)有合適的產(chǎn)品滿足這種高性能需求。他還舉了一個(gè)例子，從數(shù)據(jù)中心的收斂比來(lái)看，如果一個(gè)云數(shù)據(jù)中心做五萬(wàn)個(gè)虛擬機(jī)的安全檢查需要200G的吞吐，而目前并沒(méi)有性價(jià)比更好的防火墻。另外虛擬機(jī)之間的安全檢查與以往并無(wú)區(qū)別，只是虛擬機(jī)的增加會(huì)對(duì)安全檢查提出更高的要求。

　　然而，陳懷臨對(duì)于純虛擬化的防火墻并不認(rèn)同。“受限于服務(wù)器負(fù)載，高端的安全檢查并不能在服務(wù)器內(nèi)部做，還是要將流量牽引出來(lái)。”陳懷臨如是說(shuō)。因此，虛擬化的產(chǎn)生對(duì)于真正高端的防火墻有很大的需求，前提是價(jià)格可以接受。他強(qiáng)調(diào)，基于網(wǎng)絡(luò)的安全一定是流量牽引出來(lái)檢查的方式，純虛擬化的防火墻是個(gè)偽命題。因此，流量只在虛擬機(jī)內(nèi)部做安全檢查，對(duì)于大規(guī)模的數(shù)據(jù)中心很難做，并不只是服務(wù)器本身負(fù)載的問(wèn)題，IT運(yùn)維一致化也是重點(diǎn)，而現(xiàn)在的數(shù)據(jù)中心恰恰很難做到運(yùn)維一致化。因此，從最佳實(shí)踐的角度來(lái)講，純虛擬化防火墻并不適合，流量牽引出來(lái)才是王道。

　　零日攻擊防范新招數(shù)

　　針對(duì)系統(tǒng)缺陷的應(yīng)用攻擊已成為數(shù)據(jù)中心面臨的主要威脅。而漏洞發(fā)現(xiàn)到攻擊的時(shí)間跨度越來(lái)越短，甚至來(lái)不及打補(bǔ)丁。數(shù)據(jù)中心應(yīng)如何應(yīng)對(duì)由應(yīng)用漏洞產(chǎn)生的安全威脅呢？譚杰認(rèn)為，零日攻擊的泛濫使得數(shù)據(jù)中心不能依賴單一功能的安全設(shè)備，尤其是僅僅基于特征防御的安全產(chǎn)品。例如WAF（Web應(yīng)用防火墻）同時(shí)通過(guò)特征和行為對(duì)攻擊進(jìn)行防御，對(duì)Web服務(wù)的保護(hù)效果就好于IPS。用戶需要的安全解決方案要集多種安全特性（防火墻、IPS、病毒防御、DLP、內(nèi)容過(guò)濾等）于一身，并結(jié)合應(yīng)用層防御技術(shù)（如Web應(yīng)用防護(hù)、數(shù)據(jù)庫(kù)安全等），各項(xiàng)安全技術(shù)有機(jī)結(jié)合，互相保護(hù)，時(shí)刻監(jiān)控并防御APT攻擊的各種入侵手段，打造一個(gè)全方位立體安全體系。

　　陳懷臨也提出了自己的看法。他認(rèn)為，傳統(tǒng)基于簽名的檢測(cè)方法對(duì)于零日攻擊的防護(hù)并沒(méi)有起到很好的效果?，F(xiàn)在大家普遍使用Sandbox（沙盒）來(lái)進(jìn)行模擬，通過(guò)虛擬現(xiàn)實(shí)的環(huán)境來(lái)檢查未知惡意軟件，對(duì)于未知威脅或者零日攻擊的防護(hù)，借用大數(shù)據(jù)分析的方式，對(duì)行為進(jìn)行主動(dòng)識(shí)別，將是下一個(gè)發(fā)展方向。大數(shù)據(jù)與網(wǎng)絡(luò)安全的結(jié)合也將是網(wǎng)絡(luò)安全的下一個(gè)春天。當(dāng)然，如果要將全部的判斷都基于行為是否異常來(lái)進(jìn)行，在建模和大數(shù)據(jù)的分析上都是難點(diǎn)。另外，由于防火墻必須是在主干路上的，因此對(duì)于性能和穩(wěn)定性的要求都很高。雖然對(duì)于硬件平臺(tái)也提出了新的挑戰(zhàn)，但卻是一個(gè)可行的方向，而Hillstone希望引領(lǐng)這個(gè)潮流。

　　事實(shí)上，一些安全軟件廠商已經(jīng)將基于行為的分析用作對(duì)于未知惡意軟件的安全檢查之中，并且效果很好。然而，由于大數(shù)據(jù)也只是新興概念，基于大數(shù)據(jù)的行為分析究竟價(jià)值幾何，還需要時(shí)間的驗(yàn)證。

本地防御和云清洗搭建DDoS防御網(wǎng)

　　目前市場(chǎng)上很多廠商的防火墻中都含有Anti-DDoS功能，然而，防火墻和IPS是否可以有效保護(hù)網(wǎng)絡(luò)設(shè)施免受DDoS侵害呢？石金利認(rèn)為，如果防火墻中的Anti-DDoS功能不是單獨(dú)的板卡，是不能防御DDoS攻擊的。對(duì)于DDoS的防護(hù)，必須要使用專用的Anti-DDoS設(shè)備。作為電信運(yùn)營(yíng)商流量清洗業(yè)務(wù)的合作伙伴，合泰云天創(chuàng)始人郭慶表示，防火墻與入侵檢測(cè)IPS通常串行部署在網(wǎng)絡(luò)下游的網(wǎng)關(guān)位置，是基于狀態(tài)檢測(cè)的訪問(wèn)控制系統(tǒng)，本身就是DDoS的一個(gè)攻擊目標(biāo)，在設(shè)備新建連接與狀態(tài)連接耗盡時(shí)成為網(wǎng)絡(luò)瓶頸。DDoS防護(hù)的最佳實(shí)踐應(yīng)該是：流量清洗中心與運(yùn)營(yíng)商BGP路由調(diào)度控制。

石金利認(rèn)為，如果防火墻中的Anti-DDoS功能不是單獨(dú)的板卡，一旦開(kāi)啟DDoS防護(hù)功能，可能會(huì)對(duì)防火墻的基本轉(zhuǎn)發(fā)，甚至?xí)挶淼荣Y源造成巨大的消耗，造成性能極大下降。對(duì)于DDoS的防護(hù)

上一頁(yè) 1 2 3 4 下一頁(yè)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊