数据中心安全防护亟待突破现状
用户访问数据中心,以及数据中心直接的访问流量都会导致南北向流量继续增长,导致大型数据中心出口带宽流量会由目前的超过200Gbps,到2015年将接近1Tbps的水平。数据中心中的应用类型变得越来越多样化。
随着互联网及其相关应用产业的发展,内容更丰富、服务更深层的网络服务提供商横空出世。数据中心作为一个重要的网络服务平台,它通过与骨干网高速连接,借助丰富的网络资源向网站企业和传统企业提供大规模、高质量、安全可靠的专业化服务器托管等业务。
互联网应用日益深化,数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型。受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显得力不从心。
高性能和虚拟化仍然是根本要求
虽然针对数据中心的安全服务遍及各大行业,甚至很多细分行业领域,但是对于数据中心的安全建设要求还是存在一定共性的。Fortinet中国区首席技术顾问谭杰认为,高性能和虚拟化是当前数据中心安全防护解决方案的两大基础共性。谭杰进一步解释道,数据中心,尤其是云计算数据中心的海量业务,对安全系统的吞吐量、延迟和会话能力都提出了极高的要求。关键点在于,数据中心中多租户模式而导致的业务种类繁多的特点,很难事前对大小数据包的比例进行规划和设计,因此非常需要安全设备的性能对大小包不敏感,即小包(如64字节)性能与大包相同。另外,云计算数据中心的虚拟化场景需要安全解决方案的良好配合。例如:为每个租户分配不同的虚拟安全设备及管理账号,让其自行管理,这就要求安全设备的虚拟化是完整的(包括接口、路由、策略、管理员等各种对象)。另外不同租户的业务不同,对安全保护的要求也各不相同。例如Web服务商需要IPS,邮件服务商需要反垃圾邮件,这就要求安全设备的所有功能都能在虚拟化之后正常工作。
对于上述观点,华为安全产品线营销工程师刘东徽也认为,数据中心防火墙的性能要基于“真实流量”来看,而不是简单的在某一种特定类型数据流量环境下的性能。目前数据中心的流量主要集中于东西向(数据中心内数据交换),而南北向(数据中心出口)流量较少。但是由于连接请求的基数很大,因此对于防护设备的性能和并发连接数的支持都要求相当高。我们正处于一个大数据的时代,80%-90%的数据都是近两年产生的,而到2015年,全球的IP流量将会翻四倍,在线人数也将冲击30亿人大关。华为安全产品线营销工程师石金利补充道,虚拟化的产生,使得服务器、存储、带宽等数据中心资源的利用率大幅提升,而产生的影响就是可同时访问资源的用户数量极大地膨胀,由此导致了数据中心防护设备对于并发数量的支持要求更高。另外,当数据中心的一台服务器宕机之后,防火墙要能够将安全策略动态迁移到冗余的服务器上,实现自动策略部署。因此,数据中心防护设备必须要做到高性能、高可靠性、灵活部署和可扩展。
谭杰对于高性能的需求方面也持认同态度。他表示,当前的云数据中心对安全产品的性能要求达到了前所未有的高度,吞吐量动辄高达百G以上,延迟、小包吞吐率 (包转发率)、会话能力要求也极高。另一方面,机房空间、能耗等也是制约数据中心发展的重要因素。因此节能、环保、绿色也是数据中心安全建设的一大要求。
完全虚拟化还是部分虚拟化?
目前,业界对于云数据中心内部的虚拟化提出了完全虚拟化(即在虚拟化服务器上的一个虚拟机)和部分虚拟化(即一台防火墙虚拟多台防火墙)两种方式来解决云数据中心虚拟机内部流量和虚拟机之间流量的安全检查问题。
谭杰指出,在云计算时代,虚拟化的确成了防火墙(包括下一代防火墙、UTM等多功能网关)的必备功能。安全部署必须无缝贴合云计算虚拟化的结构。完全独立的虚拟化,全功能虚拟化。这两点看似既简单又理所应当,但实际实现还是有较高技术难度的,需要云计算数据中心的注意。
华为的两位工程师向记者表示,华为在这两个方向的虚拟防火墙解决方案上都在努力。同时他们也表示,纯虚拟化的防火墙在开启安全检查的时候会极大地消耗服务器的性能,也会带来更高的管理和维护成本。其实,不论是厂商还是用户都在寻找一个关于服务器上纯虚拟化防火墙和出口防火墙部署的平衡点。
Hillstone首席顾问陈怀临也向记者表示,目前的安全解决方案在东西向流量上趋于要求低延迟和高吞吐。而防火墙一般只用于检测南北向的流量。尤其是目前Hadoop以及存储技术的发展,大量的数据在多个数据中心之间快速地流通。因此,对于快速转发提出了很高的要求,也导致了对于东西向的流量不采用防火墙的现象。而根源是目前没有合适的产品满足这种高性能需求。他还举了一个例子,从数据中心的收敛比来看,如果一个云数据中心做五万个虚拟机的安全检查需要200G的吞吐,而目前并没有性价比更好的防火墙。另外虚拟机之间的安全检查与以往并无区别,只是虚拟机的增加会对安全检查提出更高的要求。
然而,陈怀临对于纯虚拟化的防火墙并不认同。“受限于服务器负载,高端的安全检查并不能在服务器内部做,还是要将流量牵引出来。”陈怀临如是说。因此,虚拟化的产生对于真正高端的防火墙有很大的需求,前提是价格可以接受。他强调,基于网络的安全一定是流量牵引出来检查的方式,纯虚拟化的防火墙是个伪命题。因此,流量只在虚拟机内部做安全检查,对于大规模的数据中心很难做,并不只是服务器本身负载的问题,IT运维一致化也是重点,而现在的数据中心恰恰很难做到运维一致化。因此,从最佳实践的角度来讲,纯虚拟化防火墙并不适合,流量牵引出来才是王道。
零日攻击防范新招数
针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。而漏洞发现到攻击的时间跨度越来越短,甚至来不及打补丁。数据中心应如何应对由应用漏洞产生的安全威胁呢?谭杰认为,零日攻击的泛滥使得数据中心不能依赖单一功能的安全设备,尤其是仅仅基于特征防御的安全产品。例如WAF(Web应用防火墙)同时通过特征和行为对攻击进行防御,对Web服务的保护效果就好于IPS。用户需要的安全解决方案要集多种安全特性(防火墙、IPS、病毒防御、DLP、内容过滤等)于一身,并结合应用层防御技术(如Web应用防护、数据库安全等),各项安全技术有机结合,互相保护,时刻监控并防御APT攻击的各种入侵手段,打造一个全方位立体安全体系。
陈怀临也提出了自己的看法。他认为,传统基于签名的检测方法对于零日攻击的防护并没有起到很好的效果。现在大家普遍使用Sandbox(沙盒)来进行模拟,通过虚拟现实的环境来检查未知恶意软件,对于未知威胁或者零日攻击的防护,借用大数据分析的方式,对行为进行主动识别,将是下一个发展方向。大数据与网络安全的结合也将是网络安全的下一个春天。当然,如果要将全部的判断都基于行为是否异常来进行,在建模和大数据的分析上都是难点。另外,由于防火墙必须是在主干路上的,因此对于性能和稳定性的要求都很高。虽然对于硬件平台也提出了新的挑战,但却是一个可行的方向,而Hillstone希望引领这个潮流。
事实上,一些安全软件厂商已经将基于行为的分析用作对于未知恶意软件的安全检查之中,并且效果很好。然而,由于大数据也只是新兴概念,基于大数据的行为分析究竟价值几何,还需要时间的验证。
本地防御和云清洗搭建DDoS防御网
目前市场上很多厂商的防火墙中都含有Anti-DDoS功能,然而,防火墙和IPS是否可以有效保护网络设施免受DDoS侵害呢?石金利认为,如果防火墙中的Anti-DDoS功能不是单独的板卡,是不能防御DDoS攻击的。对于DDoS的防护,必须要使用专用的Anti-DDoS设备。作为电信运营商流量清洗业务的合作伙伴,合泰云天创始人郭庆表示,防火墙与入侵检测IPS通常串行部署在网络下游的网关位置,是基于状态检测的访问控制系统,本身就是
DDoS的一个攻击目标,在设备新建连接与状态连接耗尽时成为网络瓶颈。DDoS防护的最佳实践应该是:流量清洗中心与运营商BGP路由调度控制。
石金利认为,如果防火墙中的Anti-DDoS功能不是单独的板卡,一旦开启DDoS防护功能,可能会对防火墙的基本转发,甚至会话表等资源造成巨大的消耗,造成性能极大下降。对于DDoS的防护,必须要使用专用的Anti-DDoS设备或者专门的板卡。对于满带宽的DDoS攻击,在链路上游对于流量的清洗是DDoS防御最为有效的方式。然而,从统计数据来看,数据中心发生的攻击90%以上不足以造成数据中心出口带宽拥塞,基本是以业务瘫痪型攻击为主,只有10%不到的攻击是将数据中心的链路完全拥塞的。
因此,如果是应用型的DDoS攻击,由于流量在本地带宽控制以内,所以本地清洗即可,一旦遇到针对基础设施的大流量拥塞型泛洪攻击,在链路上游的清洗还是必要手段。最完美的方式是将数据中心侧和运营商侧进行联动,实现分层防御。即运营商侧管道拥塞型攻击,数据中心侧防范业务瘫痪型DDoS攻击。华为的 Anti-DDoS解决方案目前在运营商侧有广泛应用,结合数据中心侧的Anti-DDoS可以实现全网联动的“云清洗”战略。
随着黑客技术发展、网络带宽的普遍增加、僵尸主机数量的不断扩大,现在的业务瘫痪型攻击也不再是以前的百兆级别的了。在2012年,发现数起千兆级别的 CC攻击,因此高性能是数据中心DDoS防护方案的重点。同时,对于攻击防护的设备精准度也必不可少。一方面,能够精准识别每一次攻击;另一方面,误判更是客户不能容忍的。现在,智能终端的普遍应用会给传统的防护设备带来更多的挑战,如何保证智能终端访问不受影响成为新的课题。
郭庆认为,虽然造成链路瘫痪的攻击数量上少于出口带宽,但正是这种DDoS攻击对数据中心系统,甚至整个数据中心造成致命伤害。这时,数据中心需要考虑投入产出比,虽然不能一味地增加对于DDoS防护的投入。当问及数据中心在DDoS防护上的投入应该如何做预算时,郭庆说道:“数据中心一年受到DDoS大面积影响的总小时数期间损失利润的20%-30%作为流量清洗投资的预算较为合适。”
他谈到在大规模DDoS攻击发生时,整个网络的上下游均出现故障,实现最佳的防御效果需要三个条件:1. 有经验和技能的清洗专家; 2.
与上游运营商的热线机制; 3.
快速检测攻击变化与应急灾备能力。云清洗是DDoS防护的大趋势,厉害的DDoS攻击者手法多,变化快,时常需要定制正则语法来清洗,大规模攻击的清洗位置越靠近上游越好。云清洗服务商需要具备自治域AS号进行BGP路由调度控制与DNS全网策略控制能力,才能带给客户良好的网络服务品质。
他进一步阐述道:页面被篡改,数据泄露这种事情客户是不会找运营商的,一般是自己关起门来商量对策。所以运营商在上游只需清洗大流量攻击,清洗开通后的关键是防止误杀正常业务,这方面运营商需要专业的清洗技术服务。不过最近一些新型的攻击导致客户系统提供不了服务,如访问出错、页面访问缓慢,客户也会找到运营商一起判断处理。这些新型的攻击很多时候对性能有较大影响,严重的时候引起系统会宕机,有时很难快速分清现象根源,这也是需要专业清洗技术服务的原因。
数据分析咨询请扫描二维码
在准备数据分析师面试时,掌握高频考题及其解答是应对面试的关键。为了帮助大家轻松上岸,以下是10个高频考题及其详细解析,外加 ...
2024-12-20互联网数据分析师是一个热门且综合性的职业,他们通过数据挖掘和分析,为企业的业务决策和运营优化提供强有力的支持。尤其在如今 ...
2024-12-20在现代商业环境中,数据分析师是不可或缺的角色。他们的工作不仅仅是对数据进行深入分析,更是协助企业从复杂的数据信息中提炼出 ...
2024-12-20随着大数据时代的到来,数据驱动的决策方式开始受到越来越多企业的青睐。近年来,数据分析在人力资源管理中正在扮演着至关重要的 ...
2024-12-20在数据分析的世界里,表面上的技术操作只是“入门票”,而真正的高手则需要打破一些“看不见的墙”。这些“隐形天花板”限制了数 ...
2024-12-19在数据分析领域,尽管行业前景广阔、岗位需求旺盛,但实际的工作难度却远超很多人的想象。很多新手初入数据分析岗位时,常常被各 ...
2024-12-19入门数据分析,许多人都会感到“难”,但这“难”究竟难在哪儿?对于新手而言,往往不是技术不行,而是思维方式、业务理解和实践 ...
2024-12-19在如今的行业动荡背景下,数据分析师的职业前景虽然面临一些挑战,但也充满了许多新的机会。随着技术的不断发展和多领域需求的提 ...
2024-12-19在信息爆炸的时代,数据分析师如同探险家,在浩瀚的数据海洋中寻觅有价值的宝藏。这不仅需要技术上的过硬实力,还需要一种艺术家 ...
2024-12-19在当今信息化社会,大数据已成为各行各业不可或缺的宝贵资源。大数据专业应运而生,旨在培养具备扎实理论基础和实践能力,能够应 ...
2024-12-19阿里P8、P9失业都找不到工作?是我们孤陋寡闻还是世界真的已经“癫”成这样了? 案例一:本硕都是 985,所学的专业也是当红专业 ...
2024-12-19CDA持证人Louis CDA持证人基本情况 我大学是在一个二线城市的一所普通二本院校读的,专业是旅游管理,非计算机非统计学。毕业之 ...
2024-12-18最近,知乎上有个很火的话题:“一个人为何会陷入社会底层”? 有人说,这个世界上只有一个分水岭,就是“羊水”;还有人说,一 ...
2024-12-18在这个数据驱动的时代,数据分析师的技能需求快速增长。掌握适当的编程语言不仅能增强分析能力,还能帮助分析师从海量数据中提取 ...
2024-12-17在当今信息爆炸的时代,数据分析已经成为许多行业中不可或缺的一部分。想要在这个领域脱颖而出,除了热情和毅力外,你还需要掌握 ...
2024-12-17数据分析,是一项通过科学方法处理数据以获取洞察并支持决策的艺术。无论是在商业环境中提升业绩,还是在科研领域推动创新,数据 ...
2024-12-17在数据分析领域,图表是我们表达数据故事的重要工具。它们不仅让数据变得更加直观,也帮助我们更好地理解数据中的趋势和模式。相 ...
2024-12-16在当今社会,我们身处着一个飞速发展、变化迅猛的时代。不同行业在科技进步、市场需求和政策支持的推动下蓬勃发展,呈现出令人瞩 ...
2024-12-16在现代商业世界中,数据分析师扮演着至关重要的角色。他们通过解析海量数据,为企业战略决策提供有力支持。要有效完成这项任务, ...
2024-12-16在当今数据爆炸的时代,数据分析师是组织中不可或缺的导航者。他们通过从大量数据中提取可操作的洞察力,帮助企业在竞争激烈的市 ...
2024-12-16