网络服务器租用,能够有效降低维护费用和机房设备投入、线路租用等高额费用,线路租用等高额费用。网络T3级别数据中心,具备完善的机房设施,有效保证高品质的网络环境和丰富的带宽资源,同时接入统一的系统管理平台,资源调配更轻松,使系统安全、可靠、稳定、高效运行。
网络服务器租用地址:https://www.aqxyun.com/lease/
随着智能设备以指数方式增加攻击向量,物联网(IoT)、工业物联网(IIoT)和基于云计算的应用程序迅速增加了数据中心风险。在这个全球连接的时代,组织需要不断测试其安全措施,以防范复杂的威胁,这些威胁包括Web应用程序和无文件攻击、内存损坏、返回/跳转导向编程(ROP/JOP),以及受损的硬件和软件供应链攻击等。
虽然数据中心传统上依赖于检测和采取周边安全解决方案来降低风险,但新型网络威胁的激增已经提高了对预防的需求。根据波洛蒙研究所的研究,估计数据中心停机的平均成本超过740,000美元(自2010年以来增长近40%),那些负责数据中心网络安全的工作人员必须寻求采用下一代预防策略来减少和关闭攻击面,并提高现有基础设施、流程和人员的效率。
保护周边
几十年来,外围安全一直是保护数据中心的主要手段。然而,这种策略类似于一个中世纪城堡,其中保护的目标只限制在一个小区域内,并由具有严密防护入口点的坚固墙壁保护。数据中心在其周边建立了安全层,这些安全层深入协作,其理念是如果一个安全层没有抵御某些攻击,那可以通过下一个安全层进行防护。
与城堡一样,数据中心强调检测进出组织的流量。传统的流量检测方法包括映射出网络接入点以创建不断测试和加固周边设施。这对于检测攻击和生成警报非常有效,希望具有足够的安全性来防止安全层的破坏,而这可能导致停机、经济损失、声誉受损,甚至环境危害。
加强数据中心的安全
数据中心的安全不再只考虑内部的保护事物。城堡型解决方案在大型机和硬线终端的时代运作良好,但它们对于当今的威胁并不那么有效。事实上,无线通信(OTA)、物联网设备和云计算的出现使得数据中心的安全性降低。
目前,数据中心面临的主要安全挑战是,他们必须努力在内部部署数据中心、公共云、私有云和混合云中运行应用程序时保持其数据的私密性。虽然他们的许多客户将业务进一步扩展到云中,但这也可能无意中增加了克隆配置扩展攻击的风险。攻击者可以定位路由器、交换机、存储控制器、服务器,以及传感器和交换机等操作技术组件的所有内容。一旦黑客获得对设备的控制权,他们就可以进行更多的扩展,从而可能跨网络攻击所有相同的设备。
如今的攻击来自新地方或意想不到的地方,因为网络攻击者现在拥有更多的工具来规避周边安全检测,并从数据中心内部攻击目标。美国国防部信息网络联合部队总部(JFHQ-DODIN)运营总监Paul Craft上校在5月举行的AFCEA防御网络运营研讨会上表示,安全不仅仅与基础设施有关。“这是我们的IT平台,将记录我们所有的数据,它也是我们的ICS和SCADA系统,也涉及我们所有跨域的网络。”他说。
根据波洛蒙研究所的调查,许多攻击现在可以迅速从一个设备扩展到所有设备,这可以从黑客访问使用相同代码构建的200,000个网络设备的缺陷中看出。例如内存损坏(缓冲区、栈和堆)和ROP/JOP(返回/跳转导向编程)执行重新排序这样的无文件攻击,也成为了一种日益严重的威胁,其感染设备的可能性是传统攻击的10倍。
根据赛门铁克公司的2018年互联网安全威胁报告,过去一年中,对供应链攻击增加了200%。很多组织和供应商现在只能控制其源代码的一小部分,因为现代软件堆栈由来自全球供应链第三方的二进制文件组成,这些二进制文件来自包含隐藏漏洞的专有和开源代码。此外,零日攻击迅速增长,很多黑客正在利用软件、硬件或固件中的未知漏洞攻击系统。
新时代的数据中心网络安全
数据中心必须从只关注检测的安全性转向强调预防的安全性。由于许多新的攻击完全避开传统的网络和端点保护,最新一代的工具旨在抵御不断增长的攻击媒介类别。这不仅可以提高抵御最新威胁的安全性,还可以提高工具和流程在处理剩余内容方面的有效性。
如今,必须假设供应链中的硬件受到损害。这意味着企业需要在可能不受信任的硬件之上构建和运行受保护的软件。数据中心需要这种新的防御策略,采用深入的方法识别潜在的漏洞,并直接加强二进制文件,以便攻击无法实现或复制。
实现此目的的最佳方法之一是以某种方式转换设备中的软件二进制文件,从而使恶意软件无法更改命令并在系统中传播。这种方法称为“网络硬化”,可防止单个漏洞利用跨多个系统传播。它缩小了攻击面,并缩小了工业控制系统和嵌入式系统和设备中的漏洞,大大减少了物理损坏和人为破坏的机会。
最好的安全性总是假设黑客最终会入侵。而不是在漏洞利用后对受到攻击的漏洞作出反应,网络硬化可以防止恶意软件针对数据中心的攻击,而防御比较薄弱的组织不要取消这样的基础设施。
在部署数据中心时,需要规划以下哪些安全解决方案
1. 数据中心设计原则
依据数据中心网络安全建设和改造需求,数据中心方案设计将遵循以下原则:
1.1 网络适应云环境原则
网络的设计要在业务需求的基础上,屏蔽基础网络差异,实现网络资源的池化;根据业务自动按需分配网络资源,有效增强业务系统的灵活性、安全性,降低业务系统部署实施周期和运维成本。
1.2 高安全强度原则
安全系统应基于等保要求和实际业务需求,部署较为完备的安全防护策略,防止对核心业务系统的非法访问,保护数据的安全传输与存储,设计完善的面向全网的统一安全防护体系。同时,应充分考虑访问流量大、业务丰富、面向公众及虚拟化环境下的安全防护需求,合理设计云计算环境内安全隔离、监测和审计的方案,提出云计算环境安全解决思路。
1.3 追求架构先进,可靠性强原则
设计中所采用的网络技术架构,需要放眼长远,采用先进的网络技术,顺应当前云网络发展方向,使系统建设具有较长的生命周期,顺应业务的长远发展。同时保证网络系统的可靠性,实现关键业务的双活需求。同时,应为设备和链路提供冗余备份,有效降低故障率,缩短故障修复时间。
1.4 兼容性和开放性原则
设计中所采用的网络技术,遵守先进性、兼容性、开放性,以保证网络系统的互操作性、可维护性、可扩展性。采用标准网络协议,保证在异构网络中的系统兼容性;网络架构提供标准化接口,便于整体网络的管理对接,实现对网络资源的统一管理。
2. 云计算环境下的安全设计
随着目前大量服务区虚拟化技术的应用和云计算技术的普及,在云计算环境下的安全部署日益成为关注的重点问题,也关系到未来数据中心发展趋势。在本设计方案中,建议采用高性能网络安全设备和灵活的虚拟软件安全网关(NFV 网络功能虚拟化)产品组合来进行数据中心云安全设计。在满足多业务的安全需求时,一方面可以通过建设高性能、高可靠、虚拟化的硬件安全资源池,同时集成FW/IPS/LB等多种业务引擎,每个业务可以灵活定义其需要的安全服务类型并通过云管理员分配相应的安全资源,实现对业务流量的安全隔离和防护;另一方面,针对业务主机侧的安全问题,可以通过虚拟软件安全网关实现对主机的安全防护,每个业务可以针对自身拥有的服务器计算资源进行相应的安全防护和加固的工作。其部署示意图如下所示:
2.1 南北向流量安全防护规划
在云计算数据中心中,针对出入数据中心的流量,我们称之为“南北向流量”。针对南北向流量的安全防护,建议采用基于虚拟化技术的高性能安全网关来实现。
虚拟化技术是实现基于多业务业务隔离的重要方式。和传统厂商的虚拟化实现方式不同,H3C的安全虚拟化是一种基于容器的完全虚拟化技术;每个安全引擎通过唯一的OS内核对系统硬件资源进行管理,每个虚拟防火墙作为一个容器实例运行在同一个内核之上,多台虚拟防火墙相互独立,每个虚拟防火墙实例对外呈现为一个完整的防火墙系统,该虚拟防火墙业务功能完整、管理独立、具备精细化的资源限制能力,典型示意图如下所示:
虚拟防火墙具备多业务的支持能力
虚拟防火墙有自己独立的运行空间,各个实例之间的运行空间完全隔离,天然具备了虚拟化特性。每个实例运行的防火墙业务系统,包括管理平面、控制平面、数据平面,具备完整的业务功能。因此,从功能的角度看,虚拟化后的系统和非虚拟化的系统功能一致。这也意味着每个虚拟防火墙内部可以使能多种安全业务,诸如路由协议,NAT,状态检测,IPSEC VPN,攻击防范等都可以独立开启。
虚拟防火墙安全资源精确定义能力
通过统一的OS内核,可以细粒度的控制每个虚拟防火墙容器对的CPU、内存、存储的硬件资源的利用率,也可以管理每个VFW能使用的物理接口、VLAN等资源,有完善的虚拟化资源管理能力。通过统一的调度接口,每个容器的所能使用的资源支持动态的调整,比如,可以根据业务情况,在不中断VFW业务的情况下,在线动态增加某个VFW的内存资源。
多层次分级分角色的独立管理能力
基于分级的多角色虚拟化管理方法,可以对每个管理设备的用户都会被分配特定的级别和角色,从而确定了该用户能够执行的操作权限。一方面,通过分级管理员的定义,可以将整个安全资源划分为系统级别和虚拟防火墙级别。系统级别的管理员可以对整个防火墙的资源进行全局的配置管理,虚拟防火墙管理员只关注自身的虚拟防火墙配置管理。另一方面,通过定义多角色管理员,诸如在每个虚拟防火墙内部定义管理员、操作员、审计员等不同角色,可以精确定义每个管理员的配置管理权限,满足虚拟防火墙内部多角色分权的管理。
2.2 东西向流量安全防护规划
数据中心中虚机(VM)间的交互流量,我们称之为“东西向流量”。针对东西两流量,采用虚拟软件安全网关产品来实现安全防护。
对于普通的云计算VPC模型的业务,既可以将NFV安全业务安装在业务服务器内,也可以部署独立的安全业务网关服务器。可采用部署独立的安全业务网关服务器,此时安装了NFV的独立的服务器资源逻辑上被认为是单一管理节点,对外提供高性能的VFW业务。
考虑到在虚拟化之后服务器内部的多个VM之间可能存在流量交换,在这种情况下外部的安全资源池无法对其流量进行必要的安全检查,在这种情况下,基于SDN架构模式的虚拟化软件安全网关vFW产品应运而生,在安全功能方面,为用户提供了全面的安全防范体系和远程安全接入能力,支持攻击检测和防御、NAT、ALG、ACL、安全域策略,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN、IPSec VPN等丰富业务功能。
vFW技术带来如下优势:
• 部署简单,无需改变网络即可对虚拟机提供保护
• 安全策略自动跟随虚拟机迁移,确保虚拟机安全性
• 新增虚拟机能够自动接受已有安全策略的保护
• 细粒度的安全策略确保虚拟机避免内外部安全威胁;
vFW解决方案能够监控和保护虚拟环境的安全,以避免虚拟化环境与外部网络遭受内外部威胁的侵害,从而为虚拟化数据中心和云计算网络带来全面的安全防护,帮助企业构建完善的数据中心和云计算网络安全解决方案。
3. 云计算环境下数据安全防护手段建议
基于以上云计算环境下的数据安全风险分析,在云计算安全的建设过程中,需要针对这些安全风险采取有针对性的措施进行防护。
3.1 用户自助服务管理平台的访问安全
用户需要登录到云服务管理平台进行自身的管理操作设置,如基础的安全防护策略设置,针对关键服务器的访问权限控制设置,用户身份认证加密协议配置,虚拟机的资源配置、管理员权限配置及日志配置的自动化等等。这些部署流程应该被迁移到自服务模型并为用户所利用。在这种情况下,云服务管理者本身需要对租户的这种自服务操作进行用户身份认证确认,用户策略的保密、不同租户之间的配置安全隔离以及用户关键安全事件的日志记录以便后续可以进行问题跟踪溯源。
3.2 服务器虚拟化的安全
在服务器虚拟化的过程中,单台的物理服务器本身可能被虚化成多个虚拟机并提供给多个不同的租户,这些虚拟机可以认为是共享的基础设施,部分组件如CPU、缓存等对于该系统的使用者而言并不是完全隔离的。此时任何一个租户的虚拟机漏洞被黑客利用将导致整个物理服务器的全部虚拟机不能正常工作,同时,针对全部虚拟机的管理平台,一旦管理软件的安全漏洞被利用将可能导致整个云计算的服务器资源被攻击从而造成云计算环境的瘫痪。针对这类型公用基础设施的安全需要部署防护。
在此背景下,不同的租户可以选择差异化的安全模型,此时需要安全资源池的设备可以通过虚拟化技术提供基于用户的专有安全服务。如针对防火墙安全业务的租户,为了将不同租户的流量在传输过程中进行安全隔离,需要在防火墙上使能虚拟防火墙技术,不同的租户流量对应到不同的虚拟防火墙实例,此时,每个租户可以在自身的虚拟防火墙实例中配置属于自己的访问控制安全策略,同时要求设备记录所有安全事件的日志,创建基于用户的安全事件分析报告,一方面可以为用户的网络安全策略调整提供技术支撑,另一方面一旦发生安全事件,可以基于这些日志进行事后的安全审计并追踪问题发生的原因。其它的安全服务类型如IPS和LB负载均衡等也需要通过虚拟化技术将流量引入到设备并进行特定的业务处理。
3.3 内部人员的安全培训和行为审计
为了保证用户的数据安全,云服务管理者必须要对用户的数据安全进行相应的SLA保证。同时必须在技术和制度两个角度对内部数据操作人员进行安全培训。一方面通过制定严格的安全制度要求内部人员恪守用户数据安全,另一方面,需要通过技术手段,将内部人员的安全操作日志、安全事件日志、修改管理日志、用户授权访问日志等进行持续的安全监控,确保安全事件发生后可以做到有迹可寻。
3.4 管理平台的安全支持
云服务管理者需要建设统一的云管理平台,实现对整个云计算基础设施资源的管理和监控,统一的云管理平台应在安全管理功能的完整性以及接口API的开放性两个方面有所考虑。前者要求管理平台需要切实承担起对全部安全资源池设备的集中设备管理、安全策略部署以及整网安全事件的监控分析和基于用户的报表展示;后者的考虑是为了适配云计算环境中可能存在的多种安全设备类型或多厂商设备,也需要在API接口的开放性和统一性上进行规范和要求,以实现对下挂安全资源池设备的配置管理和日志格式转换等需求。也只有这样才能实现设备和管理平台的无缝对接,提升云管理平台的安全管理能力。
数据安全怎么做有保障?
保持网络安全,保障资产不受网络攻击的影响。
没有智能卡或没有通过生物识别身份验证扫描,任何人都无法进入数据中心。
对进出数据中心的审计跟踪。
对警告进行编程,可以通知团队是否存在安全漏洞。
数据中心的安全性取决于保护层面,大多数数据中心在应用防御层保护虚拟访问和物理边界方面做得非常出色。但是数据中心内运行的设备物理安全性如何呢?驻留在机柜中的服务器是否受到物理访问保护?
如果机柜没有上锁,那么就像于在家里将贵重财物随意放置而没有锁入保险柜一样。
如何保障数据安全如何保障数据安全
数据中心的物理安全
曾几何时,只需在机房入口处通过采用安全、可审核的访问控制来管理对数据中心的访问就足够了。只要能够确保没有未经授权的人员不能访问组织敏感数字基础设施,并且只要能够向审核人员提供这些合理安全措施的证据就可以了。
数据中心需要满足不断升级的监管要求,例如HIPAA、SOX、PCI DSS 3.2和SSAE 16等法规要求数据中心敏感系统和数据受其自身特定保护。
然后是应对组织内部的风险。内部威胁(包括人为错误)仍然是造成数据中心停机的主要原因之一。为了帮助消除内部威胁,需要受信任的用户只能访问有权使用的特定机柜。
现在数据中心大部分的安全措施都只是关注人员的出入,但不一定关注和跟踪人员在进入数据中心内部初始安全层之后发生的事情。
因此,只是确保授权人员进入数据中心已经不够了。组织必须跟踪和监控他们对特定敏感系统的访问权限,并确保他们对特定区域拥有正确的权限。并且,组织必须能够提供广泛的审计跟踪,了解谁在何时这些系统,以及每次都做了什么事情。
作为回应,数据中心正在采用多种方法来提升机架级物理安全性和合规性:
可以远程管理电子机柜锁,以便使用企业安全策略和/或临时管理在适当的人员和正确的系统之间映射适当的权限。
近距离卡片身份验证,使授权人员可以轻松快速访问获得授权的机柜或机架。
机架内部署可捕获实时视频和照片摄像头,并自动标记相关数据(时间、日期、用户ID、系统数据、操作等),以便进行审计文档和取证。
与DCIM和/或其他出入系统和楼宇控制系统集成,以促进单点控制,并轻松整合所有与安全/合规相关的审计跟踪。
加密和检测安全措施,以确保获得机架级安全保护和审计系统的完整性。
实时警告/警报,通知适当的当事人需要立即关注的事件。
同样重要的是,工作人员需要认识到其机架级控件的重要性,它们是数据中心基础设施管理工作流程的一部分。提供SIEM分析和取证,支持向组织的内部和外部审计人员提供合规性文档。它们甚至可以在其他过程中发挥作用,例如捕获和分析基于活动的数据中心成本。
机架级工具应与各种相关硬件和软件很好地集成。机架级管理中的各种利益相关者(从一线技术人员到外部监管机构)必须对通过这些集成提供的数据和控制保持高度的信心。因此,除了从技术角度上有效地将机架级工具集成到更广泛的安全性和合规性流程之外,组织还必须确保技术和非技术利益相关者了解这些集成如何帮助他们完成各自的工作。
在理想情况下,新机柜控件的安装应该很容易地用现有机柜锁进行改进,并与现有机架基础设施(如PDU)即插即用,以便可以利用现有数据中心基础设施,这将消除安装单独安全系统的成本、电缆和网络布线。当然,组织需要的软件可与其现有的DCIM应用程序、资产跟踪系统、LDAP/AD目录服务等配合使用,以便共享数据。例如,用于构建访问的感应卡系统使用的ID徽章凭证可用于建立直至机柜级别的访问权限。
企业无需对数据中心机柜或机架进行全面改造,即可进行更好的机架级控制和审计。选择附件的良好试验计划可以为组织提供所需的实际操作,以确保在准备执行更完整的部署时取得成功。
服务器托管:考察IDC机房要注意哪几点
互联网发展至今,服务器方面的基础设施受到越来越多人的重视,如果要进行服务器托管业务就离不开比较,到底哪家好也就成为很多人关注的焦点,众多IDC品牌林立,很多客户在选择IDC服务商时,不知如何着手。
我建议大家,实地考察IDC服务商的机房环境不失为一个好的策略,通过对机房的考察有助于判断一个IDC服务商的实力,了解其为服务器提供的各方面保障。下面我们就考察IDC机房方面进行简单的分析,帮助那些要进行服务器托管的用户。
一、看现场环境
现场环境包括内部环境和外部环境两个方面。外部环境,即数据中心所在的地理位置和交通条件,看数据中心是否远离污染源、危险源、强干扰源、强震动源等不利因素;内部环境即机房的基础设施,需重点评估机房面积、容纳能力、电力供应、网络资源、温湿度控制系统、消防系统、监控系统以及防尘、除尘能力。在条件允许的情况下,企业IT部门负责人最好能够去数据中心实地参观考察一番。
二、看网络资源
网络资源也属于数据中心的基础设施,但网络接入服务是数据中心的最重要的服务之一,所以企业需重点评估。网络资源评估包括物理线路、带宽资源、互联互通性能、可扩展性等性能指标。
三、看安全措施
数据中心作为企业所有数据的承载平台,其安全性一定要有所保障。安全保障一方面体现在网络、电源、避灾防灾、安全监控等基础设施方面,另一方面体现在数据中心的安全管理流程与制度上。
四、看服务保障
服务保障主要看服务人员和服务标准两个方面。①服务人员:评估运维工程师的技术能力和服务值守时间、客服人员的服务响应水平等;②服务标准:服务标准是数据中心良好服务品质的基本保障。企业可重点关注数据中心有无书面化的服务标准(制度)、有无推行国际标准的服务品质协议(SLA)等。
五、看性价比
降低成本是企业选择数据中心服务的出发点,因此,价格是企业评估数据中心的重要因素,但不能作为首要或者唯一的因素。企业需对以上四个方面(现场环境、网络资源、安全措施、服务保障)进行综合评估,以便取得最佳的性价比。
六、发展能力评估
用户当然愿意选择那些前景良好的IDC,谁也不希望看到为自己服务的IDC经营一段时间后因实力不济而关门,由此产生的损失简直不敢想像。用户在选择IDC时应该对IDC的发展能力有一个准确评价,不要被一些诸如低价格的表面因素所迷惑,以减少将来的损失风险。
