資料中心安全的管理人員和行業專家表示企業必須管理法規,政策,人員和技術,需要確保動態安全和資料中心安全。每一個安全層都是很重要的,所以很難說哪一個更重要。
一些組織如雲安全聯盟是一個行業的領導者,全球安全專家協會和聯盟,公佈了雲端計算知識和使用雲端計算的最佳做法的指導。這個指導手冊覆蓋了十五個安全領域,從計算架構到虛擬化,都是企業應該應用到資料中心安全措施。
儘管如此,在與一些資料中心安全管理者和行業專家對話的基礎上,我們列出了確保資料中心安全的五步驟。
1、獲取物理控制
對於很多公司來說,第一步是要考慮是否要繼續保持自己的資料中心或外包任務,Smid說。 另外一些資料中心經理可能需要開始更艱難的任務,如控制訪問每個系統或網路層。下面讓我們看一個例子。
NASA美國宇航局噴氣推進實驗室(JPL)IT集團經理Corbin Miller更願意在資料中心封鎖物理安全。
在俄克拉何馬美國聯邦航空局(FAA)的資料中心,分層的安全越來越受歡迎,前美國聯邦航空局企業服務中心IT主管邁克梅爾斯表示。在該中心,物理安全包括一個隔開的校園,進入主體建築和資料中心的證件,護送訪問者的一名警衛,獲准進入房間的關鍵卡,資料中心的視訊監控,以及根據資料的敏感性鎖定的伺服器。
米勒正在實驗室的資料中心建立物理安全層來劃分測試、開發和生產領域。
該中心的經理要在資料中心設立一個開發實驗室,但米勒希望把它和生產區域分開,以保持JPL的操作正常執行。
“我想要把生產區作為最高級別的安全區”,只允許該地區授權的ghost xp系統管理員進入,他說,“所以我設想在資料中心開設三個區。” 一個區將用於研究人員測試的裝置;一個區在系統和應用開發進入生產之前,給他們提供更多的控制;最後一個區是生產區,只有核心系統管理員可以進入。
對於內層,並非一定需要證件進入,但有些型別的訪問控制(如伺服器機架上鎖)對於生產系統是很有必要的,米勒說:“我只是不希望突然實驗室的人員說,‘我需要電力。讓我把裝置插在這兒吧’,這樣它就給生產造成了問題”他說。
2、建立網路安全區
在建立物理安全程式之後,艱難的網路安全工作開始了。
“我會把分割槽集中到網路層,”米勒說, 在JPL“第一個區域是有點寬鬆的環境,因為它是一個開發領域。下一個是子網的測試,它和開發區是分開的,是一個比生產區更寬鬆的環境。”
第三區是生產或支援子網的區域,也是系統管理員花費大量的時間和精力的地方。該區只有生產裝置,因此管理員必須以受控的方式給生產網路部署新系統,米勒說。
在JPL,管理員可以手動或虛擬給子網路部署系統,並連線到虛擬區域網中,然後他們可以給流入或輸出的流量設立嚴格的規則。例如,管理員可以把郵件伺服器部署埠25或80埠,原則是這個部署並不應該影響那個區的批准流量。
米勒表示資料中心管理人員需要考慮企業的各種子網路將要處理的業務型別。如電子郵件應用,一些資料庫監測活動使用的連結到外界的埠。然而,這些生產機器不應該轉向CNN.com,ESPN.com,或雅虎新聞。在管理員設定這些規則後,他們可以更好地檢測異常活動,米勒說。
米勒表示一臺機器轉移到網路的時候,你應該知道它正在執行,誰可以訪問作業系統層,它在通過網路與其他系統通訊,這些你都應該知道。
“現在你可以更好的瞭解你的安全監控和資料洩漏以及預防監測應該放在哪裡,”他強調, “如果我知道只有三臺機器在網路上時,我可以很清楚的看清流量和某些需要的具體的東西。”
米勒表示儘管無線網路很受歡迎,但無線接入點在資料中心並沒有必要,因為他們很難控制。
DISA採取三管齊下的方法保證資料中心的安全性,Sienkiewicz說。第一部分是NetOps,確保國防部的全球資訊網格的業務框架是可用的,而且它還提供保護和完整性。 二是技術保護。最後一部分是應用的認可和認證。
NetOps包括全球資訊柵格企業管理(GIG Enterprise Management),全球資訊柵格網路保證,以及全球資訊柵格內容管理。 DISA投入了特定人員,政策,流程和業務支援功能來操作NetOps,Sienkiewicz表示。
在技術方面,美國國防部非軍事區是一個焦點。 所有的國防企業計算中心的流量通道都通過DOD和DISA非軍事區。
因此,必須檢查和管理連線國防部Web伺服器的所有主機。 此外,在網路訪問架構和其他DECC架構之間有一個隔離,在使用者和伺服器型別之間也有一個邏輯分離。
由於這些設定,DISA可以限制訪問點,管理指令和控制,並跨環境提供集中安全和負載平衡。
此外,“我們使用帶外網路,生產流量並不級聯到我們管理架構的方法中。” Sienkiewicz說。 通過虛擬專用網路連線,使用者可以管理他們自己的環境。VPN連線為生產主機提供路徑來發送和接收企業系統管理
3、鎖定伺服器和主機
在俄克拉何馬聯邦航空局設施,所有伺服器都在資料庫中登記,這個資料庫包含伺服器是否包含隱私資訊和細節。資料庫的大部分是手動維護的,但這個過程可以通過自動化提高,邁爾斯說。在問題地區已變更並配置管理,這些程序有些是自動化的,有些是手動的。美國聯邦航空局正在提高軟體自動化。
此外,美國聯邦航空局正在執行修補程式,至少每月跟蹤並掃描他們伺服器上的漏洞。
美國聯邦航空局分開處理資料的安全性和伺服器的安全性。美國聯邦航空局的應用加密多於軟體加密,這樣太侷限,而且產生了系統相容問題。該機構設立了防火牆來把政府的資料和私人資料分開。 聯邦航空局還使用掃描技術來監測潛在的外洩活動資料。 該掃描技術旨在確保資料進入正確的收件人,並且得到適當加密,邁爾斯說。
在DISA,資料中心經理正在努力解決伺服器虛擬化造成的安全問題。 “當我們看虛擬化的時候,即我們如何提高伺服器虛擬化,並解決由伺服器虛擬化所帶來的新的安全問題。” Sienkiewicz說。
DISA的安全管理人員必須回答的一些問題是“我們如何確保管理程式被鎖定?我們如何確保新增,刪除和遷移得到適當的保護? “他說。
“我們使用虛擬化的最大問題是分開和孤立,” Sienkiewicz說。“我們努力把應用程式,Web服務,應用服務和資料庫服務和物理單獨的機架分開,因此在這個環境中資料不會發生連結或遺漏,同時我們也強化了環境的其他部分。”
和美國聯邦航空局一樣,DISA也在一張名單上登記了主機,該機構還安裝了基於主機的安全系統,監測和檢測惡意活動。他還是用公鑰為DOD管理物理安全,ghost xp sp3使用者必須使用通用訪問卡登入到系統,這樣就提供了雙重認證
4、應用程式漏洞掃描
應用掃描和程式碼掃描工具是非常重要的,美國宇航局的米勒說。
在JPL,如果有人想部署一個應用程式,在進入生產環境之前,它必須經過管理員的掃描。 米勒使用的IBM Rational AppScan等掃描Web應用程式。 AppScan測試了黑客可以輕易地利用的安全漏洞,並提供修復能力、安全性指標以及關鍵的報告。
另一方面,寫程式碼的開發人員必須通過程式碼掃描器執行它,這個程式碼掃描可能是一個Perl指令碼,可以掃除緩衝區或其他漏洞的程式碼,米勒表示。
5、協調溝通可視資料流裝置的安全性
使用雲端計算,機構需要改變他們的整體方法,以確保資料中心的安全,Juniper網路公司系統工程總監Tim LeMaster表示。ghost xp系統下載2013最新版 blog.sina.com.cn/winxp2013
“在雲端計算,主要是保護資料中心、使用者系統之間以及資料中心內虛擬機器的安全。”LeMaster說。 因此,應用程式的可視性變得非常重要。
“你必須可以觀察到這些通道,而不是惡意軟體,因為很多惡意通道試圖掩蓋他們。” 很多通道使用88埠或通道來加密。 網路管理員必須具備識別這些流量的知識和應用,他解釋說。
Juniper網路公司開發的應用程式識別技術,除了埠協議外連線到資料的內容,並努力申請簽名,這樣幫助決定這個應用是否是一個真正的共享程式或對等網路程式。
Juniper公司的技術還側重於應用的拒絕服務攻擊。拒絕服務攻擊並不新鮮,但傳統的方法來對付攻擊是“黑洞”的通道。 這種做法幫助拒絕服務攻擊完成它所原本要做的,然後再拒絕服務。因為網路管理員必須刪除所有伺服器受攻擊的流量和通道。
應用的拒絕服務防範軟體為管理員提供了分析能力,以確定通道是否合法。有了這些工具,管理員可以觀察其他資料流客戶端,並把它們和現有的其他資料中心的對比。協調網路裝置、防火牆、SSL的裝置和入侵防護解決方案在雲端計算基礎設施中都很有用。