在虛擬化和云計算時代,管理 員需要一個更全面的方法來確保數據中心更安全。 隨著云計算的出現、廣泛的互聯網應用、面向服務的架構,以及虛擬化,數據中心變得更有活力。不過,轉向一個新的計算環境增加了數據層的復雜性,也增大了 IT經理保護數據中心的難度。 美國國防信息系統局(DISA)技術項目總監Henry Sienkiewicz表示企業應該在設計數據中心時就考慮到數據中心的安全性。 “數據中心是一個完整的生態圈,必須從整體角度來看” Henry Sienkiewicz說。 “如果我們不這樣做,我們就會漏掉一些東西。” Apptis技術公司的數據中心經理Jim Smid表示IT經理們越來越多地希望可以確保通信的絕對安全,這意味著從桌面安全到網絡應用程序到存儲都必須是安全的。過去,網絡支持團隊只需要確保網 絡的安全;應用小組只需處理數據加密......但當前的環境和新出現的技術都對安全策略提出了新要求,所以需要采用新的方法來應對,Smid表示,企業 需要監控數據中心所有的業務交互是否正確,并確保數據中心的每個組成部分都是安全的。 除此之外,數據中心的安全管理人員和行業專家表示 企業必須管理法規、政策、人員和技術,需要確保動態安全乃至整個數據中心的安全。每一層的安全都是很重要的,很難說哪一個更重要。 一些 組織如云安全聯盟是一個全球安全專家協會和行業領導者聯盟。該聯盟公布了云計算知識和使用云計算的最佳實踐指導。這個指導手冊覆蓋了十五個安全領域,從計 算架構到虛擬化,都是企業應該應用到數據中心的安全措施。 在與一些數據中心安全管理員和行業專家對話的基礎上,我們列出了確保數據中心 安全的五要素。 1. 確保物理安全 對于有些公司來說, 首先需要考慮的是繼續自己維護自建的數據中心還是將其外包?Smid說。 另外一些數據中心經理可能要從更艱難的任務入手,如控制對每個系統或網絡層的訪問。下面讓我們看一個例子。 NASA美國宇航局噴氣推進 實驗室(JPL)IT集團經理Corbin Miller更愿意從數據中心物理安全入手。 在位于Oklahoma的美國聯邦航空局 (FAA)數據中心,分層的安全越來越受歡迎,前美國聯邦航空局企業服務中心IT主管邁克梅爾斯表示。在該中心,物理安全包括以下要素:一個隔開的校園、 進入主體建筑和數據中心需要證件、由一名警衛員護送每位來訪者、進入房間需要密碼卡、數據中心裝有視頻監控,以及根據數據的敏感性鎖定的服務器。 米勒正通過在實驗室的數據中心建立物理安全層來劃分測試、開發和生產領域。 該中心的經理要在數據中心設立一個開發實驗室,但米勒希望 把它和生產區域分開,以保持JPL的操作正常運行。 “我想要把生產區作為最高級別的安全區”,只允許該地區授權的系統管理員進入,他 說,“所以我設想在數據中心開設三個區。” 一個區將用于研究人員測試的設備;一個區在系統和應用開發進入生產之前,給他們提供更多的控制;最后一個區是生產區,只有核心系統管理員可以進入。 對于內層,并非一定需要證件進入,但有些類型的訪問控制(如服務器機架上鎖)對于生產系統是很有必要的,米勒說:“我只是不希望突然實驗室的人員說, ‘我需要電力,讓我把設備插在這兒吧’,這種操作會給生產系統造成問題”他說。
2. 建立網絡安全區 在確保物理安全之后,艱難的 網絡安全工作開始了。 “我會把分區集中到網絡層,”米勒說, 在JPL“第一個區域是略顯寬松的環境,因為它是一個開發領域。下一個是子網的測試,它和開發區是分開的,是一個比生產區更寬松的環境。” 第三區是生產或支持子網的區域,也是系統管理員花費大量的時間和精力的地方。該區只有生產設備,因此管理員必須以受控的方式給生產網絡部署新系統,米勒 說。 在JPL,管理員可以給虛擬局域網的子網絡部署系統,并給流量設立嚴格的規則。例如,管理員可以把郵件服務器部署在端口25或端口 80,原則是這個部署并不會影響那個區本來的流量。 米勒表示數據中心管理人員需要考慮倒企業子網絡處理的業務類型。如電子郵件應用和一 些數據庫監測應用需要連接到外網,但這些生產機不應該連到CNN.com、ESPN.com,或雅虎新聞之類的網站。在管理員設置相應的規則后,他們可以 更好地檢測異常活動,米勒說。 米勒表示一臺機器轉移到生產網絡的時候,你應該知道它正在運行什么、誰可以訪問操作系統層、它在通過網絡 與哪些系統通信? “現在你可以更好的了解你的安全監控和數據泄漏以及預防監測程序應該放在哪里”他強調, “如果我知道只有三臺機器在網絡上時,我可以很清楚的看清流量和其他細節。” 米勒表示盡管無線網絡很受歡迎,但無線接入點在數據中心并 沒有必要,因為他們很難控制。 DISA采取三管齊下的方法保證數據中心的安全性,Sienkiewicz說。第一部分是NetOps, 確保國防部的全球信息網格的業務框架是可用的,而且它還提供安全保護和完整性。 二是技術保護。最后一部分是應用的許可和認證。 Sienkiewicz介紹,NetOps包括GIG Enterprise Management, GIG Network Assurance,以及 GIG Content Management三個部門。 DISA投入了特定的人員、政策、流程和業務支持功能來運營NetOps。 在技術方面,美國國防部非軍事區是一個焦點。 所有的國防企業計算中心的流量都集中通過DOD和DISA非軍事區。 因此,必須檢查和管理連接國防部Web服務器的所有主機。 此外,在網絡訪問架構和其他DECC架構之間有一個隔離,在用戶和服務器類型之間也有一個邏輯分離。 憑借這些設置,DISA可以限制訪 問點、管理指令和控制,并跨環境提供集中安全和負載平衡。 此外,“我們使用out-of-band (帶外)網絡,生產流量并不級聯到我們管理架構的方法中。” Sienkiewicz說。 通過虛擬專用網絡連接,用戶可以管理他們自己的環境。VPN連接為生產主機提供路徑來發送和接收企業系統管理流量。
3. 鎖定服務器和主機 在俄克拉何馬聯邦航空局,所有服務器都在數據庫中有登記。這個數據庫包含服務器是否包含隱私信息等 細節。數據庫大部分是手動維護的,但這個過程可以通過自動化提高效率,邁爾斯說。 美國聯邦航空局正在提高軟件自動化。 此外,美國聯邦 航空局正在執行修補程序,至少每月都要跟蹤并掃描他們服務器上的漏洞一次。 美國聯邦航空局將數據安全和服務器的安全分開處理。美國聯邦 航空局使用應用加密多于軟件加密,因為后者有較大局限性,而且產生了系統兼容的問題。該機構設立了防火墻來把政府的數據和私人數據分開。 聯邦航空局還使用掃描技術來監測潛在的外泄活動數據。 該掃描技術旨在確保數據進入正確的收件人,并且得到適當加密,邁爾斯說。 在 DISA,數據中心經理正在努力解決服務器虛擬化造成的安全問題。 Sienkiewicz表示:服務器虛擬化用的越來越多,而服務器虛擬化帶來了新的安 全問題。 DISA的安全管理人員必須回答的一些問題是“我們如何確保管理程序已經鎖定?我們如何確保添加、刪除和遷移從而得到適當的保 護? ” “我們使用虛擬化的最大問題是分開和孤立” Sienkiewicz說,“我們努力把應用程序、Web服務、應用服務和數據庫服務區分開,放到不同的物理機架,使得在這個環境中數據不會發生意外接入 或流出”。 和美國聯邦航空局一樣,DISA也在一張名單上登記了主機。他們還安裝了基于主機的安全系統,監測和檢測惡意活動。 DISA用公鑰為DOD管理物理安全,用戶必須使用通用訪問卡登錄到系統,這樣雙重認證提高安全性。
4. 應用程序漏洞掃描 應用掃描和代碼掃描工具是非常重要的,美國宇航局的米勒說。 在JPL,如果有人 想部署一個應用程序,在進入生產環境之前,它必須經過管理員的掃描。 米勒使用的IBM Rational AppScan等掃描Web應用程序。 AppScan測試了黑客可以輕易地利用的安全漏洞,并提供修復能力、安全性指標以及關鍵的報告。 另一方面,寫代碼的開發人員必須通過 代碼掃描器運行它,這個代碼掃描可能是一個Perl腳本,可以掃除緩沖區或其他漏洞的代碼,米勒表示。 5. 協調溝通可視數據流設備的安全性 如果采用了云計算,機構需要從整體上改變他們的數據中心安全措施,Juniper網 絡公司系統工程總監Tim LeMaster表示。 “在云計算環境下,主要是保護數據中心、用戶系統之間以及數據中心內虛擬機的安 全。”LeMaster說。 因此,應用程序的可視性變得非常重要。 “你必須能夠方便的看到這些流量確認他們是合法的。你要確保你看到 的不是惡意軟件,因為很多惡意程序會偽裝成其他流量。” 很多通信會使用擁有保密插口層加密的88端口或通道。 網絡管理員必須具備識別這些流量的知識和能力,他解釋說。 Juniper網絡公司開發的應用程序識別技術,可以識別的范圍從端口協議到 數據的內容,幫助用戶識別某應用是否是一個真正的共享程序或端到端的程序。 Juniper公司的技術還側重于應用的拒絕服務攻擊。拒絕 服務攻擊并不新鮮,但傳統的方法來對付攻擊是black hole(黑洞)流量。 應用拒絕服務防范軟件的特色是為管理員提供了分析能力,幫助確定某通訊是否合法。有了這些工具,管理員可以觀察其他數據流客戶端,并把它們和現有的其他數 據中心的對比。協調網絡設備、防火墻、SSL的設備和入侵防護解決方案在云計算基礎設施中都很有用。