/ 中存储网

确保数据中心安全需要做哪些事情

2012-10-11 10:13:00 来源:机房360

一些组织如云安全联盟是一个行业的领导者,全世界安全专家协会和联盟,公布了云计算知识和使用云计算的最佳做法的指导。这个指导手册覆盖了十五个安全领域,从计算架构到虚拟化,都是企业应该应用到数据中心(Data Center)安全措施。

尽管如此,在与一些数据中心(Data Center)安全管理者和行业专家对话的基础上,我们列出了确保数据中心(Data Center)安全的五件事情。

1.获取物理控制

对于很多公司来说,第一步是要考虑是否要继续保持自己的数据中心(Data Center)或外包任务,Smid说。另外一些数据中心(Data Center)经理可能需要开始更艰难的任务,如控制访问每个系统或网络层。下面让我们看一个例子。

NASA美国宇航局喷气推进实验室(JPL)IT集团经理CorbinMiller更愿意在数据中心(Data Center)封锁物理安全。

在俄克拉何马美国联邦航空局(FAA)的数据中心(Data Center),分层的安全越来越受欢迎,前美国联邦航空局企业服务中心IT主管迈克梅尔斯表示。在该中心,物理安全包括一个隔开的校园,进入主体建筑和数据中心(Data Center)的证件,护送访问者的一名警卫,获准进入房间的关键卡,数据中心(Data Center)的视频监控,以及根据数据的敏感性锁定的服务器。

米勒正在实验室的数据中心(Data Center)建立物理安全层来划分测试、开发和生产领域。

该中心的经理要在数据中心(Data Center)设立一个开发实验室,但米勒希望把它和生产区域分开,以保持JPL的操作正常运行。

“我想要把生产区作为最高级别的安全区”,只允许该地区授权的系统管理员进入,他说,“所以我设想在数据中心(Data Center)开设三个区。”一个区将用于研究人员测试的设备;一个区在系统和应用开发进入生产之前,给他们提供更多的控制;最后一个区是生产区,只有核心系统管理员能够进入。

对于内层,并非一定需要证件进入,但有些类型的访问控制(如服务器机架上锁)对于生产系统是很有必要的,米勒说:“我只是不希望突然实验室的人员说,‘我需要电力。让我把设备插在这儿吧’,这样它就给生产造成了问题”他说。

2.建立网络安全区

在建立物理安全程序之后,艰难的网络安全工作开始了。

“我会把分区集中到网络层,”米勒说,在JPL“第一个区域是有点宽松的环境,因为它是一个开发领域。下一个是子网的测试,它和开发区是分开的,是一个比生产区更宽松的环境。”

第三区是生产或支持子网的区域,也是系统管理员花费大量的时间和精力的地方。该区只有生产设备,因此管理员必须以受控的方式给生产网络部署新系统,米勒说。

在JPL,管理员能够手动或虚拟给子网络部署系统,并连接到虚拟局域网中,然后他们能够给流入或输出的流量设立严格的规则。例如,管理员能够把邮件服务器部署端口25或80端口,原则是这个部署并不应该影响那个区的批准流量。

米勒表示数据中心(Data Center)管理人员需要考虑企业的各种子网络将要处理的业务类型。如电子邮件应用,一些数据库监测活动使用的链接到外界的端口。可是,这些生产机器不应该转向CNN.com,ESPN.com,或雅虎新闻。在管理员设置这些规则后,他们能够更好地检测异常活动,米勒说。

米勒表示一台机器转移到网络的时候,你应该知道它正在运行,谁能够访问操作系统层,它在通过网络与其他系统通信,这些你都应该知道。

“现在你能够更好的了解你的安全监控和数据泄漏以及预防监测应该放在哪里,”他强调,“如果我知道只有三台机器在网络上时,我能够很清楚的看清流量和某些需要的具体的东西。”

米勒表示尽管无线网络很受欢迎,但无线接入点在数据中心(Data Center)并没有必要,因为他们很难控制。

DISA采取三管齐下的方法保证数据中心(Data Center)的安全性,Sienkiewicz说。第一部分是NetOps,确保国防部的全世界信息网格的业务框架是可用的,而且它还提供保护和完整性。二是技术保护。最后一部分是应用的认可和认证。

NetOps包括全世界信息栅格企业管理(GIGEnterpriseManagement),全世界信息栅格网络保证,以及全世界信息栅格内容管理。DISA投入了特定人员,政策,流程和业务支持功能来操作NetOps,Sienkiewicz表示。

在技术方面,美国国防部非军事区是一个焦点。所有的国防企业计算中心的流量通道都通过DOD和DISA非军事区。

因此,必须检查和管理连接国防部Web服务器的所有主机。另外,在网络访问架构和其他DECC架构之间有一个隔离,在用户和服务器类型之间也有一个逻辑分离。

由于这些设置,DISA能够限制访问点,管理指令和控制,并跨环境提供集中安全和负载平衡。

另外,“我们使用带外网络,生产流量并不级联到我们管理架构的方法中。”Sienkiewicz说。通过虚拟专用网络连接,用户能够管理他们自己的环境。VPN连接为生产主机提供路径来发送和接收企业系统管理。

3.锁定服务器和主机

在俄克拉何马联邦航空局设施,所有服务器都在数据库中登记,这个数据库包含服务器是否包含隐私信息和细节。数据库的大部分是手动维护的,但这个过程能够通过自动化提高,迈尔斯说。在问题地区已变更并配置管理,这些进程有些是自动化的,有些是手动的。美国联邦航空局正在提高软件自动化。

另外,美国联邦航空局正在执行修补程序,至少每月跟踪并扫描他们服务器上的漏洞。

美国联邦航空局分开处理数据的安全性和服务器的安全性。美国联邦航空局的应用加密多于软件加密,这样太局限,而且产生了系统兼容问题。该机构设立了防火墙来把政府的数据和私人数据分开。联邦航空局还使用扫描技术来监测潜在的外泄活动数据。该扫描技术旨在确保数据进入正确的收件人,并且得到适当加密,迈尔斯说。

在DISA,数据中心(Data Center)经理正在努力解决服务器虚拟化造成的安全问题。“当我们看虚拟化的时候,即我们如何提高服务器虚拟化,并解决由服务器虚拟化所带来的新的安全问题。”Sienkiewicz说。

DISA的安全管理人员必须回答的一些问题是“我们如何确保管理程序被锁定?我们如何确保添加,删除和迁移得到适当的保护?”他说。

“我们使用虚拟化的最大问题是分开和孤立,”Sienkiewicz说。“我们努力把应用程序,Web服务,应用服务和数据库服务和物理单独的机架分开,因此在这个环境中数据不会发生链接或遗漏,同时我们也强化了环境的其他部分。”

和美国联邦航空局一样,DISA也在一张名单上登记了主机,该机构还安装了基于主机的安全系统,监测和检测恶意活动。他还是用公钥为DOD管理物理安全,用户必须使用通用访问卡登录到系统,这样就提供了双重认证。

4.应用程序漏洞扫描

应用扫描和代码扫描工具是非常重要的,美国宇航局的米勒说。

在JPL,如果有人想部署一个应用程序,在进入生产环境之前,它必须经过管理员的扫描。米勒使用的IBMRationalAppScan等扫描Web应用程序。AppScan测试了黑客能够轻易地利用的安全漏洞,并提供修复能力、安全性指标以及关键的报告。

另一方面,写代码的开发人员必须通过代码扫描器运行它,这个代码扫描可能是一个Perl脚本,能够扫除缓冲区或其他漏洞的代码,米勒表示。

5.协调沟通可视数据流设备的安全性

使用云计算,机构需要改变他们的整体方法,以确保数据中心(Data Center)的安全,Juniper网络公司系统工程总监TimLeMaster表示。

“在云计算,主要是保护数据中心(Data Center)、用户系统之间以及数据中心(Data Center)内虚拟机的安全。”LeMaster说。因此,应用程序的可视性变得非常重要。

“你必须能够观察到这些通道,而不是恶意软件,因为很多恶意通道试图掩盖他们。”很多通道使用88端口或通道来加密。网络管理员必须具备识别这些流量的知识和应用,他解释说。

Juniper网络公司开发的应用程序识别技术,除了端口协议外连接到数据的内容,并努力申请签名,这样帮助决定这个应用是否是一个真正的共享程序或对等网络程序。

Juniper公司的技术还侧重于应用的拒绝服务攻击。拒绝服务攻击并不新鲜,但传统的方法来对付攻击是“黑洞”的通道。这种做法帮助拒绝服务攻击完成它所原本要做的,然后再拒绝服务。因为网络管理员必须删除所有服务器受攻击的流量和通道。

应用的拒绝服务防范软件为管理员提供了分析能力,以确定通道是否合法。有了这些工具,管理员能够观察其他数据流客户端,并把它们和现有的其他数据中心(Data Center)的对比。协调网络设备、防火墙、SSL的设备和入侵防护解决方案在云计算基础设施中都很有用。