雲平臺是數據中心的控制中心,是數據中心進行業務部署,故障診斷,運行監控的重要平臺。雲平臺出現安全問題,往往引發整個數據中心的運行,甚至癱瘓,做好雲平臺的安全工作至關重要。由於雲平臺是計算技術的一種外在形式,它可能不會像數據中心那樣安全或需要更多的工作來確保安全。很多時候,數據中心雲平臺是把數據交給可能沒有最新安全認證第三方的供應商,若雲技術是依託在不同地方的幾個數據中心,那這幾個地方也需要適當的安全措施。雲平臺要部署一些軟件防護技術,來增加安全性比。如:通過安全軟件週期性對VM文件內容,註冊表等進行檢測,對40多萬的病毒庫進行掃描,及時更新病毒庫;針對各種協議防護,7000多種攻擊檢測和防護等。針對各種入侵,基於安全模塊的實時使用最新威脅特徵庫,隨時啓動防護措施。雲平臺應該部署先進的虛擬化海量存儲技術來存儲和管理數據資源,相應的安全機制有數據加密,數據隔離,數據校驗,數據備份,災難恢復,從而最大程度上保證雲平臺免受惡意攻擊的騷擾。
系統安全
數據中心數據系統一旦被人攻破,那一切機密數據都可能外流,給數據中心用戶帶來的損失難用金錢來衡量,所以一定要保障數據中心繫統安全。系統安全包括服務器操作系統,數據庫,中間件等在內的系統安全,以及爲提高這些系統的安全性而使用安全評估管理工具所進行的系統安全分析和加固比。如:很多設備通過安全軟件掃描,會看到不少的端口服務都是開啓的,這是一種極其不安全的隱患,萬一這些端口服務本身存在漏洞,就會讓壞分子有機可乘,通過漏洞攻入數據中心繫統內部,盜取機密的數據資源;要對系統進行定期掃描,更新漏洞;對各種系統和設備訪問要進行密碼加密和權限控制,密碼採用隨機密碼輸入,增強安全性,管理訪問https要加密,模塊,接口調用SSL加密處理,SSH,遠程登錄訪問登錄都要到認證服務器上做驗證,增加安全性。系統安全是數據中心安全防禦最爲重要的一環,只要系統沒有漏洞,就很難被人所利用。不過反過來,幾乎沒有哪個系統是完美的,只要是人設計的系統或多或少都存在一些缺陷,很多人就是利用了這些缺陷,攻破系統安全防禦,所以要時刻對這些系統安全漏洞保持警惕,發現了就及時解決。
傳輸訪問層安全
數據中心要完成各種業務應用,要處理各種各樣的數據,在數據中心內部以及內外之間要交互大量的數據,這主要在網絡的傳輸層完成。在數據傳輸的過程中,這些數據就可能被泄漏,所以要進行傳輸訪問層的安全防禦。傳輸數據首先要基於SSL加密訪問傳輸,最近被炒得非常火的量子通信也是要解決傳輸數據面臨的安全問題,讓數據在傳輸的過程中不會被泄漏出去。傳輸的設備要具有安全防禦能力,比如網絡設備,要對控制用戶進行管理,僅客戶端訪問纔可以,同時記錄用戶的所有操作,基於日誌可進行行爲審計。在數據中心網絡中,很多傳輸層攻擊都是針對TCP / IP協議固有漏洞發起的,如今已經有IPSec,SSL,S-HTTP,S / MIME,TLS等安全協議,通過運行這些協議可以最大限度地確保傳輸層安全。傳輸層一旦發生數據泄漏,雖然內容不是那麼好還原出來,但可以根據數據特徵進行有針對性的破壞活動,導致數據傳輸出現問題,引起數據中心業務中斷,這也將給數據中心帶來嚴重問題。
除了以上介紹的這三大方面的安全防禦,還有設備硬件漏洞,人員管理上的安全漏洞,監控系統的漏洞等等,數據中心安全涉及的範圍極廣,絕不僅僅包含雲平臺,系統安全和傳輸層三大塊,僅在網絡層面,從網絡第一層物理層到第七層應用層,每一層都面臨着不同程度的安全風險,很多攻擊專門針對某一網絡協議層發起攻擊,利用網絡設備或協議的漏洞,攻擊網絡,破壞數據中心業務正常運行;在服務器層面,就更加廣泛了,服務器上的操作系統安全,各種應用軟件安全,登陸口令的安全等等,每個部分都需要做安全防禦,以至於數據中心很難照顧到所有方方面面,這也是很多數據中心頻發安全事故的原因。數據中心包含的各種系統太複雜,任何一個環節沒有做好安全防禦,都可以讓壞分子有機可乘。而數據中心在明處,壞分子在暗處,只有做好每個環節的安全防禦工作,才能確保數據中心安全,正所謂“魔高一尺道高一丈”,安全防禦技術總是要比破壞分子技高一籌,讓數據中心處於安全防禦之下,不受侵擾。
沒有留言:
張貼留言