数据中心中的流量该如何保护?
讯道通信工程
部署下一代的防火墙可以保护进出数据中心、以及在企业内部的服务器之间传输的网络流量。 现如今的企业组织可以说是采用了各种各样的数据中心架构。有些企业组织选择为每款应用程序利用专用的物理服务器,运行一个企业私有的、单一组织的设施。其他有的企业组织则选择了一款为数百或数千家客户提供虚拟服务器的公有云设施。所有这些数据中心都有一些共同点:均需要保护他们的应用程序和数据的安全,进而免受越来越多的复杂的网络安全的威胁。
任何数据中心安全策略的关键部分都是通过采用了下一代的物理和虚拟防火墙的协同工作,来监控和分析数据中心内的所有网络流量。物理防火墙设备尝试跨数据中心的网络边界来对流量实施监控,而虚拟防火墙则负责检查流入或流出数据中心虚拟服务器的流量。这种方法为云环境提供了强大的安全解决方案,但网络安全威胁仍然潜在的可能来自其他人所使用的进行虚拟服务的相同的物理服务器。
数据中心的安全威胁
数据中心安全的原始模型是基于安全威胁是来自外部的假设。故而保护数据中心的这些基础设施的安全架构都主要是专注于在数据中心和外部世界之间建立一个网络外围边界。而这一外围边界的基础便是一道防火墙,其将负责检查所有的南北走向的流量,这些流量主要是在数据中心和互联网之间传输。防火墙负责在这些数据流量中寻找违反安全管理策略和所存在的其他可疑活动的迹象。然后,其便采取相应的措施,如阻止流量传输、标记额外的附加信息,并通知操作管理员。
尽管数据中心仍然需要排查南北走向的流量,以及时发现外部安全威胁,但现在的安全威胁监测工作已变得越来越复杂了。例如,客户端设备对于托管在数据中心服务器的数据的访问便构成了相当大的威胁。在过去,客户端设备都是同质的、集中管理的台式电脑,均处于一家企业组织内部,并受到企业安全控制的保护。故而彼时由客户端设备所造成的恶意软件和其他漏洞能够快速被检测和纠正。
但现如今的大多数企业环境早已不再是如此了。企业用户所采用的客户端设备不仅在其操作系统和应用程序方面千差万别,而且这些设备所存在的安全漏洞、他们使用的安全控制、以及他们连接到企业IT资源时所处的地理位置也是广泛变化的。许多客户端设备是企业用户的私人的硬件设备,并经常没有使用任何安全控制。它的这使得现在的企业IT管理人员们发现,他们不能再假设从企业内部进行访问的客户端设备是绝对处于安全控制之下的了,一旦发现有用户使用这些客户端设备,也将需要迅速实施检测,并根除相应的安全威胁。在这个新的环境中,每款客户端设备都潜在的构成了一个单独的安全威胁。
数据中心安全威胁的另一大变化是在数据中心内部的服务器之间的相互作用。非故意的安全威胁一直是一个普遍关注的问题。例如,某台服务器感染了恶意软件,会通过数据的传输而感染到数据中心内部的其他服务器。但是到了今天,故意的安全威胁也可能是一大问题。在一处拥有多家客户的数据中心,如一个公共云环境,一家客户可能试图侵入另一台服务器,以便窃取专有信息或篡改记录。
在数据中心服务器之间传输的网络流量称为东西走向的流量。对于此类流量实施监控对于查找和阻止安全威胁是至关重要的。许多数据中心的东西走向的流量要比南北走向的流量(客户端到服务器的流量)更多得多。因此,忽略对东西流量实施监控或将意味着数据中心内部虚拟或物理服务器之间所存在的安全攻击可能不被注意。此外,随着数据中心越来越多的托管高价值的应用程序,以及以前原本存储在企业内部网络上更为孤立的敏感数据信息,因此使得这类流量更需要受到更好的保护。此外,现代数据中心必须为应用程序和数据提供日志和审计服务,以支持其操作,例如必须符合安全合规性计划或审计要求。
数据中心运营商们还必须了解来自前几代先进性网络安全的威胁。当前网络安全威胁的典型模式是通过一家企业组织的服务器缓慢地、隐蔽地走向最终的目标服务器,而避免被检测到。今天的大多数网络安全威胁均寻求访问和复制敏感的数据信息,然后将其转移到一个外部位置,进而获取经济利益。
网络攻击者通常通过获得一名普通职员的访问授权凭证来开始其攻击。而实现这一点的常见方式是用恶意软件感染客户端设备以获取凭证,或者使用网络钓鱼或其他社交工程技术欺骗用户向攻击者提供凭证。然后攻击者可以使用这些凭证来访问数据中心内的特定服务器,以及可能支持相同凭证的其他服务器。攻击者可能需要使用其他安全漏洞以提升其权限,获得更多用户帐户的访问权或以其他方式继续朝向目标服务器进展。一旦攻击者获得对目标服务器的访问,最终将利用漏洞将企业组织的敏感数据传输到攻击者在数据中心外部所选择的系统。
传统防火墙vs.下一代的防火墙
当评估不同的防火墙产品时,企业IT领导者应该明白,他们的功能差异很大。第一项区别是防火墙是否使用传统的分析机制,专注于标准的端口和协议;以及其是否提供强大的下一代防火墙的功能。而传统防火墙和下一代防火墙之间的主要区别在于:
网络监控:传统的监控方法仅监控特定的端口,并对每个端口上使用的协议作出假设。在一款非标准端口上运行的任何服务的网络流量是可以忽略的;故而攻击者可以利用这一局限性避免被检测到。而下一代的监控方法不使用关于任何端口上所使用的哪款协议的这样的假设,所以他们可以看到并解析流量,而不管其所使用的端口。
处理异常协议:传统的方法假定所有流量仅使用最常见的应用程序协议。传统的防火墙会受到未知协议的阻碍。在默认情况下,其要么允许流量通过,而不对其进行分析,这是危险的,要么直接阻止流量的传输,这又可能中断授权的操作。下一代的防火墙对应用程序协议有了更广泛的理解,允许做出更好,更精确的决策。
建立流量管理规则:对于传统的防火墙而言,管理防火墙策略以反映现实世界的流量通常更为复杂。一款传统的防火墙使用基于源地址和目的地的IP地址和端口号,以及协议类型和其他数据包特性的规则集。更复杂的是,防火墙通常依赖于反病毒服务器,入侵防御服务器和其他技术来作为其能力的补充。使用这些技术可能需要为每种类型的流量添加额外的规则,并确保所有规则保持适当的顺序。这些规则集的防火墙策略维护相当耗时且容易出错,从而导致了操作中断和创建漏洞,从而可能允许攻击者通过防火墙而未被检测到。
_
有效的数据中心防御
数据中心的安全防御必须得到扩大和加强,以便包括对于其东西走向流量的安全监测和分析。实现这一目标的一个早期的方法是将所有东西走向的流量集中到一个防火墙实施检查,然后才允许这些流量继续传输到其相应的目的地。但这样的架构是非常低效的,增加了所有网络通信的开销。而在今天的云环境中,这样的方法也会错过在一台单一的物理服务器内的虚拟机之间的流量。
一处数据中心的南北走向的流量最好由一款或多款企业级的防火墙设备来实施监控,但东西走向的流量则最好由安装在每台物理服务器上的虚拟防火墙来负责处理。这些防火墙由每台服务器的虚拟机管理程序来使用,不仅负责监控进入和离开服务器的所有网络流量,还监控在服务器的管理程序内的虚拟机之间传递的所有网络流量。
数据中心内的防火墙必须具有强大的功能,以便检查和分析应用程序的流量。这不仅意味着理解经常用于应用程序组件之间通信的Web、数据库和其他协议类别,而且还意味着能够检查加密网络流量的内容。保护敏感信息的相同加密技术也隐藏了网络攻击。有几种选项可用于访问这些加密分组的内容,例如传输中的非加密流量,或者采用防火墙检查其内容,然后在将流量发送到其最终目的地之前对流量进行重新加密,由此给予了企业组织在确定如何确保防火墙审查所有流量内容方面的灵活性。
另一个重要的考虑因素是通过服务器虚拟化所带来的数据中心云环境的高度动态性。在这样的环境中,虚拟服务器自动从一台物理服务器迁移到另一台物理服务器,并且根据需要产生虚拟服务器的副本,以处理不断变化的需求,并补偿涉及物理服务器和网络的操作问题。对于虚拟服务器的保护需要使用可将安全策略与每台虚拟服务器相关联的防火墙技术,并当虚拟服务器在数据中心内迁移时自动重新定位和启用该策略。这些防火墙技术还必须具有强大的安全分析功能。但不幸的是,云环境的许多防火墙是基于传统的,具有太多缺陷的端口监控方法。
保护数据中心的步骤
对于数据中心防御措施的改进最好通过分阶段的方法来实现。尝试更换旧式的防火墙设备,并一次性的部署所需的虚拟防火墙,尤其是在没有严格规划情况下的转变可能会导致操作的重大中断,并带来安全漏洞,这可能反而丧失了部署防火墙的价值。一个高层次的数据中心安全改进方法可以分为四个阶段进行:
- 阶段1:收集应用程序的信息,包括其组件,每个组件所使用的数据的敏感性以及组件之间的所有流量的性质。
- 阶段2:确定每款应用程序的安全需求,包括每款应用程序组件和每个流量的安全需求。
- 阶段3:确定在哪里部署防火墙以满足这些需求,然后从部署只有基本安全功能的防火墙,作为一个起点。
- 阶段4:随着时间的推移,按照每款应用程序的组件和数据的安全需求启用额外的其他安全功能,以保护应用程序和他们的数据免受先进的高级威胁的攻击。
在这其中,阶段3通常是最具挑战性的,因为IT管理人员在选择在何处部署防火墙时,需要考虑太多的因素。例如,他们通常将高价值的应用程序和来自其他操作的数据实施分段,以便为高价值的数据资产提供更强的保护。但是,还有其他太多需要考虑的因素,例如按业务部门,用户社区(客户与员工),用户位置或操作状态(如生产、开发和测试环境)分割应用程序。
在某些情况下,一家企业组织可能需要使用网络分割,从而将其附属子和最近收购的、但还没有被整合到企业IT基础设施的独立服务器独立开来。在数据中心使用网络分割的决策,以减少安全威胁风险时,一家企业组织可能需要考虑几个潜在的相互矛盾的因素。END