數(shù)據(jù)中心網(wǎng)絡安全技術(shù)發(fā)展趨勢談

責任編輯:cres

作者:harbor

2016-12-13 10:17:43

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

數(shù)據(jù)中心安全問題屬于老生常談了,尤其是網(wǎng)絡安全,牽動著數(shù)千萬數(shù)據(jù)中心用戶的心。當一切的信息技術(shù)都開始數(shù)據(jù)中心化、云化后,層出不窮的安全事故,使人們開始對數(shù)據(jù)中心的技術(shù)產(chǎn)生了懷疑。

數(shù)據(jù)中心安全問題屬于老生常談了,尤其是網(wǎng)絡安全,牽動著數(shù)千萬數(shù)據(jù)中心用戶的心。當一切的信息技術(shù)都開始數(shù)據(jù)中心化、云化后,層出不窮的安全事故,使人們開始對數(shù)據(jù)中心的技術(shù)產(chǎn)生了懷疑。當蠕蟲、病毒、漏洞攻擊、DDoS攻擊、越權(quán)訪問、帶寬濫用等安全問題頻出時,讓更多的人放棄了將自己的私密信息放到數(shù)據(jù)中心系統(tǒng)中。數(shù)據(jù)中心如果沒有海量的數(shù)據(jù)處理,那就等著關(guān)門大吉吧,所以數(shù)據(jù)中心正在積極想盡各種辦法,減少安全故障的發(fā)生,確保數(shù)據(jù)中心內(nèi)部數(shù)據(jù)信息的安全,各種安全新技術(shù)一時間撲面而來。那么,未來的網(wǎng)絡安全技術(shù)如何發(fā)展和演進,本文將和大家一起探索。
 
數(shù)據(jù)中心內(nèi)部網(wǎng)絡主要指的是數(shù)據(jù)網(wǎng),也就是采用以太網(wǎng)技術(shù)的局域網(wǎng)絡。以太網(wǎng)協(xié)議標準將網(wǎng)絡層級劃分為七層,針對每一層都有一些安全防御技術(shù)。一般防御網(wǎng)絡的層級別越高,能防御的攻擊類型就越多,網(wǎng)絡的安全性也就越強。當然,投入的安全成本也會越高。很多時候要客觀、慎重地部署安全設施,過于繁瑣的安全防護不僅消耗資金量大,反而會加重數(shù)據(jù)中心網(wǎng)絡的負擔,未必是好的安全防御方案,要因地制宜、綜合權(quán)衡利弊來選擇最適合自己數(shù)據(jù)中心的安全防御方案。傳統(tǒng)數(shù)據(jù)中心的安全手段往往存在不少的問題,比如過于強調(diào)網(wǎng)關(guān)設備的安全,將安全和網(wǎng)絡分離,單純通過網(wǎng)關(guān)的保護來保護網(wǎng)絡;網(wǎng)絡里部署的多臺安全設備,都是單點作戰(zhàn),沒有形成聯(lián)動,整體安全防御能力較差;主要對三層網(wǎng)絡層協(xié)議進行控制,對應用四到七層缺乏控制機制,這些都是急需要提升的地方。哪里有不令人滿意的地方,哪里就會有技術(shù)革新,有市場機會。所以,從這些地方也延伸出了未來網(wǎng)絡安全技術(shù)發(fā)展的五大趨勢:
 
趨勢一:全網(wǎng)絡層級安全防御
 
以太網(wǎng)協(xié)議有七層,當一份數(shù)據(jù)在網(wǎng)絡中傳輸時,任何一層網(wǎng)絡協(xié)議出現(xiàn)安全漏洞,都會導致數(shù)據(jù)被泄露或破壞,所以要對所有網(wǎng)絡層級進行綜合安全防御。比如在二層部署一些802.1X、Portal、Port等認證,增加訪問的安全性;在三層增加路由策略和ACL訪問控制列表,基于IP Sec技術(shù)對數(shù)據(jù)進行隔離和加密;在四層進行網(wǎng)絡流量與異常分析,對異常流量進行丟棄,基于狀態(tài)的訪問控制和隔離,基于Syn Proxy、Cookie的DDoS防護;在五到七層,進行防病毒攻擊、DDoS防護、行為與內(nèi)容審計等,基于關(guān)聯(lián)分析的流量識別和行為識別的技術(shù),基于專家系統(tǒng)和統(tǒng)計技術(shù)的威脅識別技術(shù)。如此一來,對所有的網(wǎng)絡協(xié)議層均有防御,不放過任何一個網(wǎng)絡協(xié)議的漏洞。
 
趨勢二:主動防御
 
以往出現(xiàn)網(wǎng)絡攻擊時,都是排查攻擊源在哪里,然后根據(jù)攻擊源的特征進行消除。主動防御是將可能出現(xiàn)的攻擊源進行猜想,然后模擬攻擊源進行攻擊,看網(wǎng)絡能否經(jīng)受住攻擊,發(fā)現(xiàn)有漏洞的地方,趕緊調(diào)整。模擬過后,將這些可能出現(xiàn)的攻擊樣本放到云安全平臺上,由云安全平臺進行實時監(jiān)控,當再出現(xiàn)網(wǎng)絡攻擊時,安全設備立即上報到云安全平臺中心,云安全平臺根據(jù)攻擊特征,將預先設計好的應對策略執(zhí)行。在向數(shù)據(jù)中心管理人員發(fā)出告警的同時,下發(fā)安全防御策略,根據(jù)攻擊源的位置,精準打擊,對攻擊源所連接的端口關(guān)閉或者下線,通過一系列的安全防御措施,確保網(wǎng)絡轉(zhuǎn)發(fā)流量不受影響。
 
趨勢三:精細化應用
 
傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡安全防御采用粗放型管理,宏觀上看各種安全技術(shù)都有部署,微觀細節(jié)上卻漏洞百出。比如:交通系統(tǒng),傳統(tǒng)的網(wǎng)絡安全有如交通系統(tǒng)里只關(guān)注道路,以修路為目的,不關(guān)心道路上的交通行為,這樣交通擁堵情況并無好轉(zhuǎn)。新的網(wǎng)絡安全就像交通系統(tǒng)關(guān)注用戶,策、管、監(jiān)、控、營綜合運用,靈活變化,這樣才能大大緩解交通擁堵的現(xiàn)狀,采用這樣的安全技術(shù)必將大幅提升數(shù)據(jù)中心的安全防御水平。
 
趨勢四:安全設備虛擬化
 
虛擬化是數(shù)據(jù)中心里最為火熱的技術(shù),在安全領(lǐng)域也一樣受到了極大歡迎。通過虛擬化技術(shù)可以將數(shù)據(jù)中心里的防火墻、IPS、ACG、AFC、AV等安全設備虛擬化成一臺設備,然后再進行統(tǒng)一管理,簡化運維管理。同時,這些虛擬化的安全資源可以分給數(shù)據(jù)中心的各個局部網(wǎng)絡,安全資源按需分配,確保覆蓋到整個網(wǎng)絡,同時又不會造成資源的浪費。虛擬化技術(shù)已經(jīng)成為安全設備的一項必備技術(shù)。
 
趨勢五:集中式安全管理
 
建立安全管理平臺,從網(wǎng)絡、安全、業(yè)務等方面通盤考慮,將所有的安全防御設備和軟件控制權(quán)交給安全管理平臺。安全管理平臺包括有安全域、邊界防護,內(nèi)網(wǎng)控制終端安全、用戶行為監(jiān)督,遠程安全接入控制等等,安全平臺幾乎涵蓋了數(shù)據(jù)中心網(wǎng)絡的任意一個角落。當發(fā)現(xiàn)安全隱患或漏洞時,安全平臺可以調(diào)用應急響應平臺,執(zhí)行策略部署中心的指令,自動消除安全隱患。
 
數(shù)據(jù)中心網(wǎng)絡安全技術(shù)正在不斷地發(fā)展,本文介紹了其未來發(fā)展的五大趨勢,每一個趨勢都直擊現(xiàn)有數(shù)據(jù)中心里的安全痛點。實際上,這些技術(shù)有些已經(jīng)實現(xiàn),并已部署到一些先進的數(shù)據(jù)中心之中,只是暫時沒有得到普及。相信在未來的網(wǎng)絡安全技術(shù)發(fā)展過程中,這些技術(shù)必將不斷生根發(fā)芽,來保護數(shù)據(jù)中心的網(wǎng)絡安全,徹底打消人們的后顧之憂,安心地將自己私密的數(shù)據(jù)放到數(shù)據(jù)中心里來,享受數(shù)據(jù)中心應用帶來工作和生活上的便捷,改變?nèi)藗兊纳罘绞健?/div>

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號