數(shù)據(jù)中心安全防護之道

2013-10-23 15:57:49 eNet硅谷動力　點擊量：評論 (0)

隨著互聯(lián)網(wǎng)及其相關(guān)應用產(chǎn)業(yè)的發(fā)展，內(nèi)容更豐富、服務更深層的網(wǎng)絡服務提供商橫空出世。數(shù)據(jù)中心作為一個重要的網(wǎng)絡服務平臺，它通過與骨干網(wǎng)高速連接，借助豐富的網(wǎng)絡資源向網(wǎng)站企業(yè)和傳統(tǒng)企業(yè)提供大規(guī)模

　　互聯(lián)網(wǎng)應用日益深化，數(shù)據(jù)中心運行環(huán)境正從傳統(tǒng)客戶機/服務器向網(wǎng)絡連接的中央服務器轉(zhuǎn)型。受其影響，基礎(chǔ)設(shè)施框架下多層應用程序與硬件、網(wǎng)絡、操作系統(tǒng)的關(guān)系變得愈加復雜。這種復雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素，一些未實施正確安全策略的數(shù)據(jù)中心，黑客和蠕蟲將順勢而入。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認識到來自網(wǎng)絡的惡意行為對數(shù)據(jù)中心造成的嚴重損害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設(shè)備，但對于日趨成熟和危險的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯得力不從心。

　　高性能和虛擬化仍然是根本要求

　　雖然針對數(shù)據(jù)中心的安全服務遍及各大行業(yè)，甚至很多細分行業(yè)領(lǐng)域，但是對于數(shù)據(jù)中心的安全建設(shè)要求還是存在一定共性的。Fortinet中國區(qū)首席技術(shù)顧問譚杰認為，高性能和虛擬化是當前數(shù)據(jù)中心安全防護解決方案的兩大基礎(chǔ)共性。譚杰進一步解釋道，數(shù)據(jù)中心，尤其是云計算數(shù)據(jù)中心的海量業(yè)務，對安全系統(tǒng)的吞吐量、延遲和會話能力都提出了極高的要求。關(guān)鍵點在于，數(shù)據(jù)中心中多租戶模式而導致的業(yè)務種類繁多的特點，很難事前對大小數(shù)據(jù)包的比例進行規(guī)劃和設(shè)計，因此非常需要安全設(shè)備的性能對大小包不敏感，即小包（如64字節(jié)）性能與大包相同。另外，云計算數(shù)據(jù)中心的虛擬化場景需要安全解決方案的良好配合。例如：為每個租戶分配不同的虛擬安全設(shè)備及管理賬號，讓其自行管理，這就要求安全設(shè)備的虛擬化是完整的（包括接口、路由、策略、管理員等各種對象）。另外不同租戶的業(yè)務不同，對安全保護的要求也各不相同。例如Web服務商需要IPS，郵件服務商需要反垃圾郵件，這就要求安全設(shè)備的所有功能都能在虛擬化之后正常工作。

　　對于上述觀點，華為安全產(chǎn)品線營銷工程師劉東徽也認為，數(shù)據(jù)中心防火墻的性能要基于“真實流量”來看，而不是簡單的在某一種特定類型數(shù)據(jù)流量環(huán)境下的性能。目前數(shù)據(jù)中心的流量主要集中于東西向（數(shù)據(jù)中心內(nèi)數(shù)據(jù)交換），而南北向（數(shù)據(jù)中心出口）流量較少。但是由于連接請求的基數(shù)很大，因此對于防護設(shè)備的性能和并發(fā)連接數(shù)的支持都要求相當高。我們正處于一個大數(shù)據(jù)的時代，80%-90%的數(shù)據(jù)都是近兩年產(chǎn)生的，而到2015年，全球的IP流量將會翻四倍，在線人數(shù)也將沖擊30億人大關(guān)。華為安全產(chǎn)品線營銷工程師石金利補充道，虛擬化的產(chǎn)生，使得服務器、存儲、帶寬等數(shù)據(jù)中心資源的利用率大幅提升，而產(chǎn)生的影響就是可同時訪問資源的用戶數(shù)量極大地膨脹，由此導致了數(shù)據(jù)中心防護設(shè)備對于并發(fā)數(shù)量的支持要求更高。另外，當數(shù)據(jù)中心的一臺服務器宕機之后，防火墻要能夠?qū)踩呗詣討B(tài)遷移到冗余的服務器上，實現(xiàn)自動策略部署。因此，數(shù)據(jù)中心防護設(shè)備必須要做到高性能、高可靠性、靈活部署和可擴展。

　　譚杰對于高性能的需求方面也持認同態(tài)度。他表示，當前的云數(shù)據(jù)中心對安全產(chǎn)品的性能要求達到了前所未有的高度，吞吐量動輒高達百G以上，延遲、小包吞吐率（包轉(zhuǎn)發(fā)率）、會話能力要求也極高。另一方面，機房空間、能耗等也是制約數(shù)據(jù)中心發(fā)展的重要因素。因此節(jié)能、環(huán)保、綠色也是數(shù)據(jù)中心安全建設(shè)的一大要求。

完全虛擬化還是部分虛擬化？

　　目前，業(yè)界對于云數(shù)據(jù)中心內(nèi)部的虛擬化提出了完全虛擬化（即在虛擬化服務器上的一個虛擬機）和部分虛擬化（即一臺防火墻虛擬多臺防火墻）兩種方式來解決云數(shù)據(jù)中心虛擬機內(nèi)部流量和虛擬機之間流量的安全檢查問題。

　　譚杰指出，在云計算時代，虛擬化的確成了防火墻（包括下一代防火墻、UTM等多功能網(wǎng)關(guān)）的必備功能。安全部署必須無縫貼合云計算虛擬化的結(jié)構(gòu)。完全獨立的虛擬化，全功能虛擬化。這兩點看似既簡單又理所應當，但實際實現(xiàn)還是有較高技術(shù)難度的，需要云計算數(shù)據(jù)中心的注意。

華為的兩位工程師向記者表示，華為在這兩個方向的虛擬防火墻解決方案上都在努力。同時他們