数据中心安全防护之道
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据中心安全防护之道
摘要:在大数据发展的驱动下,未来高性能数据中心防火墙会在两个方面发展。第一,大型数据中心或者云数据中心中,用户访问数据中心,以及数据中心直接的访问流量都会导致南北向流量继续增长,导致大型数据中心出口带宽流量会由目前的超过200Gbps,到2015年将接近1Tbps的水平。第二,数据中心中的应用类型变得越来越多样化。
随着互联网及其相关应用产业的发展,内容更丰富、服务更深层的网络服务提供商横空出世。数据中心作为一个重要的网络服务平台,它通过与骨干网高速连接,借助丰富的网络资源向网站企业和传统企业提供大规模、高质量、安全可靠的专业化服务器托管等业务。
互联网应用日益深化,数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型。受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显得力不从心。
高性能和虚拟化仍然是根本要求
虽然针对数据中心的安全服务遍及各大行业,甚至很多细分行业领域,但是对于数据中心的安全建设要求还是存在一定共性的。Fortinet中国区首席技术顾问谭杰认为,高性能和虚拟化是当前数据中心安全防护解决方案的两大基础共性。谭杰进一步解释道,数据中心,尤其是云计算数据中心的海量业务,对安全系统的吞吐量、延迟和会话能力都提出了极高的要求。关键点在于,数据中心中多租户模式而导致的业务种类繁多的特点,很难事前对大小数据包的比例进行规划和设计,因此非常需要安全设备的性能对大小包不敏感,即小包(如64字节)性能与大包相同。另外,云计算数据中心的虚拟化场景需要安全解决方案的良好配合。例如:为每个租户分配不同的虚拟安全设备及管理账号,让其自行管理,这就要求安全设备的虚拟化是完整的(包括接口、路由、策略、管理员等各种对象)。另外不同租户的业务不同,对安全保护的要求也各不相同。例如Web服务商需要IPS,邮件服务商需要反垃圾邮件,这就要求安全设备的所有功能都能在虚拟化之后正常工作。
对于上述观点,华为安全产品线营销工程师刘东徽也认为,数据中心防火墙的性能要基于“真实流量”来看,而不是简单的在某一种特定类型数据流量环境下的性能。目前数据中心的流量主要集中于东西向(数据中心内数据交换),而南北向(数据中心出口)流量较少。但是由于连接请求的基数很大,因此对于防护设备的性能和并发连接数的支持都要求相当高。我们正处于一个大数据的时代,80%-90%
的数据都是近两年产生的,而到2015年,全球的IP流量将会翻四倍,在线人数也将冲击30亿人大关。华为安全产品线营销工程师石金利补充道,虚拟化的产生,使得服务器、存储、带宽等数据中心资源的利用率大幅提升,而产生的影响就是可同时访问资源的用户数量极大地膨胀,由此导致了数据中心防护设备对于并发数量的支持要求更高。另外,当数据中心的一台服务器宕机之后,防火墙要能够将安全策略动态迁移到冗余的服务器上,实现自动策略部署。因此,数据中心防护设备必须要做到高性能、高可靠性、灵活部署和可扩展。
谭杰对于高性能的需求方面也持认同态度。他表示,当前的云数据中心对安全产品的性能要求达到了前所未有的高度,吞吐量动辄高达百G以上,延迟、小包吞吐率(包转发率)、会话能力要求也极高。另一方面,机房空间、能耗等也是制约数据中心发展的重要因素。因此节能、环保、绿色也是数据中心安全建设的一大要求。
完全虚拟化还是部分虚拟化?
目前,业界对于云数据中心内部的虚拟化提出了完全虚拟化(即在虚拟化服务器上的一个虚拟机)和部分虚拟化(即一台防火墙虚拟多台防火墙)两种方式来解决云数据中心虚拟机内部流量和虚拟机之间流量的安全检查问题。
谭杰指出,在云计算时代,虚拟化的确成了防火墙(包括下一代防火墙、UTM等多功能网关)的必备功能。安全部署必须无缝贴合云计算虚拟化的结构。完全独立的虚拟化,全功能虚拟化。这两点看似既简单又理所应当,但实际实现还是有较高技术难度的,需要云计算数据中心的注意。
华为的两位工程师向记者表示,华为在这两个方向的虚拟防火墙解决方案上都在努力。同时他们也表示,纯虚拟化的防火墙在开启安全检查的时候会极大地消耗服务器的性能,也会带来更高的管理和维护成本。其实,不论是厂商还是用户都在寻找一个关于服务器上纯虚拟化防火墙和出口防火墙部署的平衡点。
Hillstone首席顾问陈怀临也向记者表示,目前的安全解决方案在东西向流量上趋于要求低延迟和高吞吐。而防火墙一般只用于检测南北向的流量。尤其是目前Hadoop以及存储技术的发展,大量的数据在多个数据中心之间快速地流通。因此,对于快速转发提出了很高的要求,也导致了对于东西向的流量不采用防火墙的现象。而根源是目前没有合适的产品满足这种高性能需求。他还举了一个例子,从数据中心的收敛比来看,如果一个云数据中心做五万个虚拟机的安全检查需要200G的吞吐,而目前并没有性价比更好的防火墙。另外虚拟机之间的安全检查与以往并无区别,只是虚拟机的增加会对安全检查提出更高的要求。
然而,陈怀临对于纯虚拟化的防火墙并不认同。“受限于服务器负载,高端的安全检查并不能在服务器内部做,还是要将流量牵引出来。”陈怀临如是说。因此,虚拟化的产生对于真正高端的防火墙有很大的需求,前提是价格可以接受。他强调,基于网络的安全一定是流量牵引出来检查的方式,纯虚拟化的防火墙是个伪命题。因此,流量只在虚拟机内部做安全检查,对于大规模的数据中心很难做,并不只是服务器本身负载的问题,IT运维一致化也是重点,而现在的数据中心恰恰很难做到运维一致化。因此,从最佳实践的角度来讲,纯虚拟化防火墙并不适合,流量牵引出来才是王道。
零日攻击防范新招数
针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。而漏洞发现到攻击的时间跨度越来越短,甚至来不及打补丁。数据中心应如何应对由应用漏洞产生的安全威胁呢?谭杰认为,零日攻击的泛滥使得数据中心不能依赖单一功能的安全设备,尤其是仅仅基于特征防御的安全产品。例如WAF(Web应用防火墙)同时通过特征和行为对攻击进行防御,对Web服务的保护效果就好于IPS。用户需要的安全解决方案要集多种安全特性(防火墙、IPS、病毒防御、DLP、内容过滤等)于一身,并结合应用层防御技术(如Web应用防护、数据库安全等),各项安全技术有机结合,互相保护,时刻监控并防御APT攻击的各种入侵手段,打造一个全方位立体安全体系。
陈怀临也提出了自己的看法。他认为,传统基于签名的检测方法对于零日攻击的防护并没有起到很好的效果。现在大家普遍使用Sandbox(沙盒)来进行模拟,通过虚拟现实的环境来检查未知恶意软件,对于未知威胁或者零日攻击的防护,借用大数据分析的方式,对行为进行主动识别,将是下一个发展方向。大数据与网络安全的结合也将是网络安全的下一个春天。当然,如果要将全部的判断都基于行为是否异常来进行,在建模和大数据的分析上都是难点。另外,由于防火墙必须是在主干路上的,因此对于性能和稳定性的要求都很高。虽然对于硬件平台也提出了新的挑战,但却是一个可行的方向,而Hillstone希望引领这个潮流。
事实上,一些安全软件厂商已经将基于行为的分析用作对于未知恶意软件的安全检查之中,并且效果很好。然而,由于大数据也只是新兴概念,基于大数据的行为分析究竟价值几何,还需要时间的验证。
本地防御和云清洗搭建DDoS防御网
目前市场上很多厂商的防火墙中都含有Anti-DDoS功能,然而,防火墙和IPS
是否可以有效保护网络设施免受DDoS侵害呢?石金利认为,如果防火墙中的
Anti-DDoS功能不是单独的板卡,是不能防御DDoS攻击的。对于DDoS的防护,必须要使用专用的Anti-DDoS设备。作为电信运营商流量清洗业务的合作伙伴,合泰云天创始人郭庆表示,防火墙与入侵检测IPS通常串行部署在网络下游的网关位置,是基于状态检测的访问控制系统,本身就是DDoS的一个攻击目标,在设备新建连接与状态连接耗尽时成为网络瓶颈。DDoS防护的最佳实践应该是:流量清洗中心与运营商BGP路由调度控制。
石金利认为,如果防火墙中的Anti-DDoS功能不是单独的板卡,一旦开启DDoS 防护功能,可能会对防火墙的基本转发,甚至会话表等资源造成巨大的消耗,造成性能极大下降。对于DDoS的防护,必须要使用专用的Anti-DDoS设备或者专门的板卡。对于满带宽的DDoS攻击,在链路上游对于流量的清洗是DDoS防御最为有效的方式。然而,从统计数据来看,数据中心发生的攻击90%以上不足以造成数据中心出口带宽拥塞,基本是以业务瘫痪型攻击为主,只有10%不到的攻击是将数据中心的链路完全拥塞的。因此,如果是应用型的DDoS攻击,由于流量在本地带宽控制以内,所以本地清洗即可,一旦遇到针对基础设施的大流量拥塞型泛洪攻击,在链路上游的清洗还是必要手段。最完美的方式是将数据中心侧和