數據中心安全防護之道

2013-10-23 15:57:49 eNet硅谷動力　點擊量：評論 (0)

隨著互聯網及其相關應用產業的發展，內容更豐富、服務更深層的網絡服務提供商橫空出世。數據中心作為一個重要的網絡服務平臺，它通過與骨干網高速連接，借助豐富的網絡資源向網站企業和傳統企業提供大規模

隨著互聯網及其相關應用產業的發展，內容更豐富、服務更深層的網絡服務提供商橫空出世。數據中心作為一個重要的網絡服務平臺，它通過與骨干網高速連接，借助豐富的網絡資源向網站企業和傳統企業提供大規模、高質量、安全可靠的專業化服務器托管等業務。

　　互聯網應用日益深化，數據中心運行環境正從傳統客戶機/服務器向網絡連接的中央服務器轉型。受其影響，基礎設施框架下多層應用程序與硬件、網絡、操作系統的關系變得愈加復雜。這種復雜性也為數據中心的安全體系引入許多不確定因素，一些未實施正確安全策略的數據中心，黑客和蠕蟲將順勢而入。盡管大多數系統管理員已經認識到來自網絡的惡意行為對數據中心造成的嚴重損害，而且許多數據中心已經部署了依靠訪問控制防御來獲得安全性的設備，但對于日趨成熟和危險的各類攻擊手段，這些傳統的防御措施仍然顯得力不從心。

　　高性能和虛擬化仍然是根本要求

　　雖然針對數據中心的安全服務遍及各大行業，甚至很多細分行業領域，但是對于數據中心的安全建設要求還是存在一定共性的。Fortinet中國區首席技術顧問譚杰認為，高性能和虛擬化是當前數據中心安全防護解決方案的兩大基礎共性。譚杰進一步解釋道，數據中心，尤其是云計算數據中心的海量業務，對安全系統的吞吐量、延遲和會話能力都提出了極高的要求。關鍵點在于，數據中心中多租戶模式而導致的業務種類繁多的特點，很難事前對大小數據包的比例進行規劃和設計，因此非常需要安全設備的性能對大小包不敏感，即小包（如64字節）性能與大包相同。另外，云計算數據中心的虛擬化場景需要安全解決方案的良好配合。例如：為每個租戶分配不同的虛擬安全設備及管理賬號，讓其自行管理，這就要求安全設備的虛擬化是完整的（包括接口、路由、策略、管理員等各種對象）。另外不同租戶的業務不同，對安全保護的要求也各不相同。例如Web服務商需要IPS，郵件服務商需要反垃圾郵件，這就要求安全設備的所有功能都能在虛擬化之后正常工作。

　　對于上述觀點，華為安全產品線營銷工程師劉東徽也認為，數據中心防火墻的性能要基于“真實流量”來看，而不是簡單的在某一種特定類型數據流量環境下的性能。目前數據中心的流量主要集中于東西向（數據中心內數據交換），而南北向（數據中心出口）流量較少。但是由于連接請求的基數很大，因此對于防護設備的性能和并發連接數的支持都要求相當高。我們正處于一個大數據的時代，80%-90%的數據都是近兩年產生的，而到2015年，全球的IP流量將會翻四倍，在線人數也將沖擊30億人大關。華為安全產品線營銷工程師石金利補充道，虛擬化的產生，使得服務器、存儲、帶寬等數據中心資源的利用率大幅提升，而產生的影響就是可同時訪問資源的用戶數量極大地膨脹，由此導致了數據中心防護設備對于并發數量的支持要求更高。另外，當數據中心的一臺服務器宕機之后，防火墻要能夠將安全策略動態遷移到冗余的服務器上，實現自動策略部署。因此，數據中心防護設備必須要做到高性能、高可靠性、靈活部署和可擴展。

　　譚杰對于高性能的需求方面也持認同態度。他表示，當前的云數據中心對安全產品的性能要求達到了前所未有的高度，吞吐量動輒高達百G以上，延遲、小包吞吐率（包轉發率）、會話能力要求也極高。另一方面，機房空間、能耗等也是制約數據中心發展的重要因素。因此節能、環保、綠色也是數據中心安全建設的一大要求。

完全虛擬化還是部分虛擬化？

　　目前，業界對于云數據中心內部的虛擬化提出了完全虛擬化（即在虛擬化服務器上的一個虛擬機）和部分虛擬化（即一臺防火墻虛擬多臺防火墻）兩種方式來解決云數據中心虛擬機內部流量和虛擬機之間流量的安全檢查問題。

　　譚杰指出，在云計算時代，虛擬化的確成了防火墻（包括下一代防火墻、UTM等多功能網關）的必備功能。安全部署必須無縫貼合云計算虛擬化的結構。完全獨立的虛擬化，全功能虛擬化。這兩點看似既簡單又理所應當，但實際實現還是有較高技術難度的，需要云計算數據中心的注意。

華為的兩位工程師向記者表示，華為在這兩個方向的虛擬防火墻解決方案上都在努力。同時他們