數(shù)據(jù)中心的三個基本安全實踐

對于大多數(shù)企業(yè)來說，數(shù)據(jù)中心安全是一個多方面的、多層次的難題。無論是托管在內(nèi)部、托管在托管設(shè)施中，還是在企業(yè)擁有的非現(xiàn)場數(shù)據(jù)中心或在云端，數(shù)據(jù)中心都是企業(yè)不可或缺的一部分。它們包含允許業(yè)務流程運行的關(guān)鍵數(shù)據(jù)，并為合理的企業(yè)決策提供背景。

另一方面，攻擊者覬覦這些極具吸引力和利潤豐厚的數(shù)據(jù)，并努力獲取這些數(shù)據(jù)。同樣，內(nèi)部人員可能無意或故意濫用或泄露敏感的企業(yè)信息。在任何一種情況下，企業(yè)和客戶信息都可能被勒索、在暗網(wǎng)上出售或被利用。

專業(yè)化環(huán)境

數(shù)據(jù)中心環(huán)境的龐大規(guī)模和多樣性使這一等式更加復雜。在傳統(tǒng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全主要集中在防止攻擊者在網(wǎng)絡(luò)中立足。即使在分布式勞動力快速增長的情況下，這一戰(zhàn)略仍然適用，因為分布式勞動力不斷擴大，而且往往會破壞大部分網(wǎng)絡(luò)周邊。

相比之下，數(shù)據(jù)中心通常處理的流量要大得多，虛擬化工作負載在服務器、虛擬機和容器中運行，它們相互作用以完成任務和共享數(shù)據(jù)。數(shù)據(jù)中心架構(gòu)也可以像單一的內(nèi)部設(shè)施一樣簡單，或者使用混合或多云架構(gòu)，并具有一些無定形的外圍環(huán)境。

鑒于數(shù)據(jù)中心架構(gòu)與其所支持的企業(yè)一樣多樣，網(wǎng)絡(luò)安全沒有一個一刀切的解決方案。然而，有許多通用指南和最佳實踐可以幫助指導數(shù)據(jù)中心安全工作。

邊緣專用安全

與傳統(tǒng)組網(wǎng)一樣，下一代防火墻通常被部署為數(shù)據(jù)中心的第一道防線；但根據(jù)規(guī)模、流量負載等方面的考慮，可能需要部署專用的數(shù)據(jù)中心。這些解決方案通?？梢灾С忠哉孜粸閱挝坏姆阑饓ν掏铝亢蛿?shù)百萬并發(fā)用戶會話。

數(shù)據(jù)中心下一代防火墻通常支持劃分為多個虛擬防火墻，為多租戶環(huán)境中的客戶端提供單獨的服務。通常情況下，這些虛擬防火墻是由客戶端直接獨立控制的，從而能夠針對每個客戶的需求進行精確的特性定制。

冗余和故障轉(zhuǎn)移也是數(shù)據(jù)中心的關(guān)鍵需求，以確保即使在發(fā)生故障、災難或類似的業(yè)務中斷事件時，也能持續(xù)正常運行。在傳統(tǒng)網(wǎng)絡(luò)中，故障轉(zhuǎn)移機制可能是主動/主動或主動/被動的，但是，在數(shù)據(jù)中心環(huán)境中，為了在故障轉(zhuǎn)移期間保持操作的連續(xù)性，通常首選主動/主動模式。

在故障切換情況下，特別是如果冗余數(shù)據(jù)中心在地理位置上較遠，則必須注意確保用戶連接以及數(shù)據(jù)和應用程序的連續(xù)性。有了適當?shù)臋C制，故障切換就可以在用戶幾乎看不見的情況下發(fā)生，而且不會影響當前的連接。

然而，總有一個權(quán)衡。下一代防火墻的購買和安裝可能相當昂貴，必須權(quán)衡違約或業(yè)務中斷可能造成的潛在財政和聲譽損失。此外，下一代防火墻的大部分繁重工作都是由安全策略執(zhí)行的，盡管大多數(shù)供應商提供配置向?qū)Ш推渌ぞ?，但可能會出現(xiàn)策略沖突。例如，容納遠程工作人員可能需要手動配置，以便允許訪問數(shù)據(jù)中心資源。

更深層次：細分

通過虛擬化、容器、多云使用和其他結(jié)構(gòu)，幾乎每個現(xiàn)代數(shù)據(jù)中心都利用了云架構(gòu)的元素。這既允許可擴展性，也允許彈性，但本身存在安全風險。例如，一旦攻擊者獲得了訪問權(quán)限，數(shù)據(jù)中心的相關(guān)工作流程就可以提供通往其他服務器、數(shù)據(jù)、應用和其他資源的路徑。

細分技術(shù)允許安全團隊定義數(shù)據(jù)中心的不同區(qū)域，然后設(shè)置安全策略以保護它們，直到VM、容器或工作負載。數(shù)據(jù)中心元素之間的東西向通信可以被監(jiān)控和可視化，防止惡意軟件和其他危害指標在數(shù)據(jù)中心廣泛傳播。

此外，在多租戶環(huán)境中，細分解決方案可以幫助防止未經(jīng)授權(quán)的用戶或威脅和攻擊在客戶端之間進行訪問。此外，這些解決方案提供了對數(shù)據(jù)中心內(nèi)部流量的廣泛可見性，以及一套標準的防御機制，如IPS、防病毒和其他攻擊防御。

盡管細分有許多好處，但在現(xiàn)有環(huán)境中，實現(xiàn)可能非常復雜且難以正確應用。正常流量模式的機器學習可以幫助確定允許或拒絕哪些東西向流量，但錯誤的配置可能會中斷或阻礙業(yè)務運營。與下一代防火墻一樣，在考慮此解決方案時，必須權(quán)衡成本與收益。

另一個難題：云工作負載保護平臺

正如前一節(jié)所提到的，云工作負載的可見性和資產(chǎn)通常如何交互是確保數(shù)據(jù)中心安全的關(guān)鍵之一。通過對工作負載的通常行為進行建模，可以更容易地識別可能表明潛在威脅的任何異常，然后消除或補救它。

這種新興技術(shù)被稱為云工作負載保護平臺，簡稱CWPP，通常為多云數(shù)據(jù)中心提供了許多關(guān)鍵的安全功能：允許監(jiān)控、可視化和控制的儀表板；基于AI或機器學習的正常行為和模式建模，以檢測威脅；以及跨多個云的微分割。

在考慮CWPP時，請記住，某些解決方案可能不支持所有用例，例如容器和微服務。此外，由于大多數(shù)CWPP都是基于代理的，因此在每個數(shù)據(jù)中心資產(chǎn)上安裝和維護代理的成本可能會迅速上升，降低部署速度，并可能影響資產(chǎn)的性能水平。

雖然數(shù)據(jù)中心安全是一個持續(xù)的過程，而不是一次性事件，但在數(shù)據(jù)中心組件的邊緣和內(nèi)部設(shè)置核心安全措施是至關(guān)重要的。這樣做將為成功保護公司重要資產(chǎn)奠定基礎(chǔ)，無論這些資產(chǎn)位于何處。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。