隨著互聯(lián)網(wǎng)及其相關(guān)應(yīng)用產(chǎn)業(yè)的發(fā)展,,內(nèi)容更豐富,、服務(wù)更深層的網(wǎng)絡(luò)服務(wù)提供商橫空出世。數(shù)據(jù)中心作為一個(gè)重要的網(wǎng)絡(luò)服務(wù)平臺(tái),,它通過與骨干網(wǎng)高速連接,,借助豐富的網(wǎng)絡(luò)資源向網(wǎng)站企業(yè)和傳統(tǒng)企業(yè)提供大規(guī)模、高質(zhì)量,、安全可靠的專業(yè)化服務(wù)器托管等業(yè)務(wù),。
互聯(lián)網(wǎng)應(yīng)用日益深化,數(shù)據(jù)中心運(yùn)行環(huán)境正從傳統(tǒng)客戶機(jī)/服務(wù)器向網(wǎng)絡(luò)連接的中央服務(wù)器轉(zhuǎn)型,。受其影響,,基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò),、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜,。這種復(fù)雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素,一些未實(shí)施正確安全策略的數(shù)據(jù)中心,,黑客和蠕蟲將順勢(shì)而入,。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認(rèn)識(shí)到來自網(wǎng)絡(luò)的惡意行為對(duì)數(shù)據(jù)中心造成的嚴(yán)重?fù)p害,,而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設(shè)備,但對(duì)于日趨成熟和危險(xiǎn)的各類攻擊手段,,這些傳統(tǒng)的防御措施仍然顯得力不從心,。
高性能和虛擬化仍然是根本要求
雖然針對(duì)數(shù)據(jù)中心的安全服務(wù)遍及各大行業(yè),甚至很多細(xì)分行業(yè)領(lǐng)域,,但是對(duì)于數(shù)據(jù)中心的安全建設(shè)要求還是存在一定共性的,。Fortinet中國區(qū)首席技術(shù)顧問譚杰認(rèn)為,高性能和虛擬化是當(dāng)前數(shù)據(jù)中心安全防護(hù)解決方案的兩大基礎(chǔ)共性,。譚杰進(jìn)一步解釋道,,數(shù)據(jù)中心,尤其是云計(jì)算數(shù)據(jù)中心的海量業(yè)務(wù),,對(duì)安全系統(tǒng)的吞吐量,、延遲和會(huì)話能力都提出了極高的要求。關(guān)鍵點(diǎn)在于,,數(shù)據(jù)中心中多租戶模式而導(dǎo)致的業(yè)務(wù)種類繁多的特點(diǎn),,很難事前對(duì)大小數(shù)據(jù)包的比例進(jìn)行規(guī)劃和設(shè)計(jì),因此非常需要安全設(shè)備的性能對(duì)大小包不敏感,,即小包(如64字節(jié))性能與大包相同,。另外,云計(jì)算數(shù)據(jù)中心的虛擬化場景需要安全解決方案的良好配合,。例如:為每個(gè)租戶分配不同的虛擬安全設(shè)備及管理賬號(hào),,讓其自行管理,這就要求安全設(shè)備的虛擬化是完整的(包括接口,、路由,、策略、管理員等各種對(duì)象),。另外不同租戶的業(yè)務(wù)不同,,對(duì)安全保護(hù)的要求也各不相同。例如Web服務(wù)商需要IPS,,郵件服務(wù)商需要反垃圾郵件,,這就要求安全設(shè)備的所有功能都能在虛擬化之后正常工作。
對(duì)于上述觀點(diǎn),,華為安全產(chǎn)品線營銷工程師劉東徽也認(rèn)為,,數(shù)據(jù)中心防火墻的性能要基于“真實(shí)流量”來看,而不是簡單的在某一種特定類型數(shù)據(jù)流量環(huán)境下的性能,。目前數(shù)據(jù)中心的流量主要集中于東西向(數(shù)據(jù)中心內(nèi)數(shù)據(jù)交換),,而南北向(數(shù)據(jù)中心出口)流量較少。但是由于連接請(qǐng)求的基數(shù)很大,因此對(duì)于防護(hù)設(shè)備的性能和并發(fā)連接數(shù)的支持都要求相當(dāng)高,。我們正處于一個(gè)大數(shù)據(jù)的時(shí)代,,80%-90%的數(shù)據(jù)都是近兩年產(chǎn)生的,而到2015年,,全球的IP流量將會(huì)翻四倍,,在線人數(shù)也將沖擊30億人大關(guān)。華為安全產(chǎn)品線營銷工程師石金利補(bǔ)充道,,虛擬化的產(chǎn)生,,使得服務(wù)器、存儲(chǔ),、帶寬等數(shù)據(jù)中心資源的利用率大幅提升,,而產(chǎn)生的影響就是可同時(shí)訪問資源的用戶數(shù)量極大地膨脹,由此導(dǎo)致了數(shù)據(jù)中心防護(hù)設(shè)備對(duì)于并發(fā)數(shù)量的支持要求更高,。另外,,當(dāng)數(shù)據(jù)中心的一臺(tái)服務(wù)器宕機(jī)之后,,防火墻要能夠?qū)踩呗詣?dòng)態(tài)遷移到冗余的服務(wù)器上,,實(shí)現(xiàn)自動(dòng)策略部署。因此,,數(shù)據(jù)中心防護(hù)設(shè)備必須要做到高性能,、高可靠性、靈活部署和可擴(kuò)展,。
譚杰對(duì)于高性能的需求方面也持認(rèn)同態(tài)度,。他表示,當(dāng)前的云數(shù)據(jù)中心對(duì)安全產(chǎn)品的性能要求達(dá)到了前所未有的高度,,吞吐量動(dòng)輒高達(dá)百G以上,,延遲、小包吞吐率(包轉(zhuǎn)發(fā)率),、會(huì)話能力要求也極高,。另一方面,機(jī)房空間,、能耗等也是制約數(shù)據(jù)中心發(fā)展的重要因素,。因此節(jié)能、環(huán)保,、綠色也是數(shù)據(jù)中心安全建設(shè)的一大要求,。
完全虛擬化還是部分虛擬化?
目前,業(yè)界對(duì)于云數(shù)據(jù)中心內(nèi)部的虛擬化提出了完全虛擬化(即在虛擬化服務(wù)器上的一個(gè)虛擬機(jī))和部分虛擬化(即一臺(tái)防火墻虛擬多臺(tái)防火墻)兩種方式來解決云數(shù)據(jù)中心虛擬機(jī)內(nèi)部流量和虛擬機(jī)之間流量的安全檢查問題,。
譚杰指出,,在云計(jì)算時(shí)代,虛擬化的確成了防火墻(包括下一代防火墻、UTM等多功能網(wǎng)關(guān))的必備功能,。安全部署必須無縫貼合云計(jì)算虛擬化的結(jié)構(gòu),。完全獨(dú)立的虛擬化,全功能虛擬化,。這兩點(diǎn)看似既簡單又理所應(yīng)當(dāng),,但實(shí)際實(shí)現(xiàn)還是有較高技術(shù)難度的,需要云計(jì)算數(shù)據(jù)中心的注意,。
華為的兩位工程師向記者表示,,華為在這兩個(gè)方向的虛擬防火墻解決方案上都在努力。同時(shí)他們也表示,,純虛擬化的防火墻在開啟安全檢查的時(shí)候會(huì)極大地消耗服務(wù)器的性能,,也會(huì)帶來更高的管理和維護(hù)成本。其實(shí),,不論是廠商還是用戶都在尋找一個(gè)關(guān)于服務(wù)器上純虛擬化防火墻和出口防火墻部署的平衡點(diǎn),。
Hillstone首席顧問陳懷臨也向記者表示,目前的安全解決方案在東西向流量上趨于要求低延遲和高吞吐,。而防火墻一般只用于檢測南北向的流量,。尤其是目前Hadoop以及存儲(chǔ)技術(shù)的發(fā)展,大量的數(shù)據(jù)在多個(gè)數(shù)據(jù)中心之間快速地流通,。因此,,對(duì)于快速轉(zhuǎn)發(fā)提出了很高的要求,也導(dǎo)致了對(duì)于東西向的流量不采用防火墻的現(xiàn)象,。而根源是目前沒有合適的產(chǎn)品滿足這種高性能需求,。他還舉了一個(gè)例子,從數(shù)據(jù)中心的收斂比來看,,如果一個(gè)云數(shù)據(jù)中心做五萬個(gè)虛擬機(jī)的安全檢查需要200G的吞吐,,而目前并沒有性價(jià)比更好的防火墻。另外虛擬機(jī)之間的安全檢查與以往并無區(qū)別,,只是虛擬機(jī)的增加會(huì)對(duì)安全檢查提出更高的要求,。
然而,陳懷臨對(duì)于純虛擬化的防火墻并不認(rèn)同,。“受限于服務(wù)器負(fù)載,,高端的安全檢查并不能在服務(wù)器內(nèi)部做,還是要將流量牽引出來,。”陳懷臨如是說,。因此,虛擬化的產(chǎn)生對(duì)于真正高端的防火墻有很大的需求,,前提是價(jià)格可以接受,。他強(qiáng)調(diào),基于網(wǎng)絡(luò)的安全一定是流量牽引出來檢查的方式,純虛擬化的防火墻是個(gè)偽命題,。因此,,流量只在虛擬機(jī)內(nèi)部做安全檢查,對(duì)于大規(guī)模的數(shù)據(jù)中心很難做,,并不只是服務(wù)器本身負(fù)載的問題,,IT運(yùn)維一致化也是重點(diǎn),而現(xiàn)在的數(shù)據(jù)中心恰恰很難做到運(yùn)維一致化,。因此,,從最佳實(shí)踐的角度來講,純虛擬化防火墻并不適合,,流量牽引出來才是王道,。
零日攻擊防范新招數(shù)
針對(duì)系統(tǒng)缺陷的應(yīng)用攻擊已成為數(shù)據(jù)中心面臨的主要威脅。而漏洞發(fā)現(xiàn)到攻擊的時(shí)間跨度越來越短,,甚至來不及打補(bǔ)丁,。數(shù)據(jù)中心應(yīng)如何應(yīng)對(duì)由應(yīng)用漏洞產(chǎn)生的安全威脅呢?譚杰認(rèn)為,零日攻擊的泛濫使得數(shù)據(jù)中心不能依賴單一功能的安全設(shè)備,,尤其是僅僅基于特征防御的安全產(chǎn)品,。例如WAF(Web應(yīng)用防火墻)同時(shí)通過特征和行為對(duì)攻擊進(jìn)行防御,對(duì)Web服務(wù)的保護(hù)效果就好于IPS,。用戶需要的安全解決方案要集多種安全特性(防火墻,、IPS,、病毒防御,、DLP、內(nèi)容過濾等)于一身,,并結(jié)合應(yīng)用層防御技術(shù)(如Web應(yīng)用防護(hù),、數(shù)據(jù)庫安全等),各項(xiàng)安全技術(shù)有機(jī)結(jié)合,,互相保護(hù),,時(shí)刻監(jiān)控并防御APT攻擊的各種入侵手段,打造一個(gè)全方位立體安全體系,。
陳懷臨也提出了自己的看法,。他認(rèn)為,傳統(tǒng)基于簽名的檢測方法對(duì)于零日攻擊的防護(hù)并沒有起到很好的效果?,F(xiàn)在大家普遍使用Sandbox(沙盒)來進(jìn)行模擬,,通過虛擬現(xiàn)實(shí)的環(huán)境來檢查未知惡意軟件,對(duì)于未知威脅或者零日攻擊的防護(hù),,借用大數(shù)據(jù)分析的方式,,對(duì)行為進(jìn)行主動(dòng)識(shí)別,將是下一個(gè)發(fā)展方向。大數(shù)據(jù)與網(wǎng)絡(luò)安全的最新文章">網(wǎng)絡(luò)安全的結(jié)合也將是網(wǎng)絡(luò)安全的下一個(gè)春天,。當(dāng)然,,如果要將全部的判斷都基于行為是否異常來進(jìn)行,在建模和大數(shù)據(jù)的分析上都是難點(diǎn),。另外,,由于防火墻必須是在主干路上的,因此對(duì)于性能和穩(wěn)定性的要求都很高,。雖然對(duì)于硬件平臺(tái)也提出了新的挑戰(zhàn),,但卻是一個(gè)可行的方向,而Hillstone希望引領(lǐng)這個(gè)潮流,。
事實(shí)上,,一些安全軟件廠商已經(jīng)將基于行為的分析用作對(duì)于未知惡意軟件的安全檢查之中,并且效果很好,。然而,,由于大數(shù)據(jù)也只是新興概念,基于大數(shù)據(jù)的行為分析究竟價(jià)值幾何,,還需要時(shí)間的驗(yàn)證,。
本地防御和云清洗搭建DDoS" style="color: rgb(0, 0, 0); text-decoration: none; border-bottom-color: rgb(7, 129, 199); border-bottom-width: 1px; border-bottom-style: dotted; " target="_blank" title="DDoS的最新文章">DDoS防御網(wǎng)
目前市場上很多廠商的防火墻中都含有Anti-DDoS功能,然而,,防火墻和IPS是否可以有效保護(hù)網(wǎng)絡(luò)設(shè)施免受DDoS侵害呢?石金利認(rèn)為,,如果防火墻中的Anti-DDoS功能不是單獨(dú)的板卡,是不能防御DDoS攻擊的,。對(duì)于DDoS的防護(hù),,必須要使用專用的Anti-DDoS設(shè)備。作為電信運(yùn)營商流量清洗業(yè)務(wù)的合作伙伴,,合泰云天創(chuàng)始人郭慶表示,,防火墻與入侵檢測IPS通常串行部署在網(wǎng)絡(luò)下游的網(wǎng)關(guān)位置,是基于狀態(tài)檢測的訪問控制系統(tǒng),,本身就是DDoS的一個(gè)攻擊目標(biāo),,在設(shè)備新建連接與狀態(tài)連接耗盡時(shí)成為網(wǎng)絡(luò)瓶頸。DDoS防護(hù)的最佳實(shí)踐應(yīng)該是:流量清洗中心與運(yùn)營商BGP路由調(diào)度控制,。
石金利認(rèn)為,,如果防火墻中的Anti-DDoS功能不是單獨(dú)的板卡,一旦開啟DDoS防護(hù)功能,,可能會(huì)對(duì)防火墻的基本轉(zhuǎn)發(fā),,甚至?xí)挶淼荣Y源造成巨大的消耗,造成性能極大下降,。對(duì)于DDoS的防護(hù),,必須要使用專用的Anti-DDoS設(shè)備或者專門的板卡,。對(duì)于滿帶寬的DDoS攻擊,在鏈路上游對(duì)于流量的清洗是DDoS防御最為有效的方式,。然而,,從統(tǒng)計(jì)數(shù)據(jù)來看,數(shù)據(jù)中心發(fā)生的攻擊90%以上不足以造成數(shù)據(jù)中心出口帶寬擁塞,,基本是以業(yè)務(wù)癱瘓型攻擊為主,,只有10%不到的攻擊是將數(shù)據(jù)中心的鏈路完全擁塞的。因此,,如果是應(yīng)用型的DDoS攻擊,,由于流量在本地帶寬控制以內(nèi),所以本地清洗即可,,一旦遇到針對(duì)基礎(chǔ)設(shè)施的大流量擁塞型泛洪攻擊,,在鏈路上游的清洗還是必要手段。最完美的方式是將數(shù)據(jù)中心側(cè)和運(yùn)營商側(cè)進(jìn)行聯(lián)動(dòng),,實(shí)現(xiàn)分層防御,。即運(yùn)營商側(cè)管道擁塞型攻擊,數(shù)據(jù)中心側(cè)防范業(yè)務(wù)癱瘓型DDoS攻擊,。華為的Anti-DDoS解決方案目前在運(yùn)營商側(cè)有廣泛應(yīng)用,,結(jié)合數(shù)據(jù)中心側(cè)的Anti-DDoS可以實(shí)現(xiàn)全網(wǎng)聯(lián)動(dòng)的“云清洗”戰(zhàn)略。
隨著黑客技術(shù)發(fā)展,、網(wǎng)絡(luò)帶寬的普遍增加,、僵尸主機(jī)數(shù)量的不斷擴(kuò)大,現(xiàn)在的業(yè)務(wù)癱瘓型攻擊也不再是以前的百兆級(jí)別的了,。在2012年,,發(fā)現(xiàn)數(shù)起千兆級(jí)別的CC攻擊,因此高性能是數(shù)據(jù)中心DDoS防護(hù)方案的重點(diǎn),。同時(shí),,對(duì)于攻擊防護(hù)的設(shè)備精準(zhǔn)度也必不可少,。一方面,,能夠精準(zhǔn)識(shí)別每一次攻擊;另一方面,誤判更是客戶不能容忍的?,F(xiàn)在,,智能終端的普遍應(yīng)用會(huì)給傳統(tǒng)的防護(hù)設(shè)備帶來更多的挑戰(zhàn),如何保證智能終端訪問不受影響成為新的課題,。
郭慶認(rèn)為,,雖然造成鏈路癱瘓的攻擊數(shù)量上少于出口帶寬,但正是這種DDoS攻擊對(duì)數(shù)據(jù)中心系統(tǒng),,甚至整個(gè)數(shù)據(jù)中心造成致命傷害,。這時(shí),,數(shù)據(jù)中心需要考慮投入產(chǎn)出比,雖然不能一味地增加對(duì)于DDoS防護(hù)的投入,。當(dāng)問及數(shù)據(jù)中心在DDoS防護(hù)上的投入應(yīng)該如何做預(yù)算時(shí),,郭慶說道:“數(shù)據(jù)中心一年受到DDoS大面積影響的總小時(shí)數(shù)期間損失利潤的20%-30%作為流量清洗投資的預(yù)算較為合適。”
他談到在大規(guī)模DDoS攻擊發(fā)生時(shí),,整個(gè)網(wǎng)絡(luò)的上下游均出現(xiàn)故障,,實(shí)現(xiàn)最佳的防御效果需要三個(gè)條件:1. 有經(jīng)驗(yàn)和技能的清洗專家; 2. 與上游運(yùn)營商的熱線機(jī)制; 3. 快速檢測攻擊變化與應(yīng)急災(zāi)備能力。云清洗是DDoS防護(hù)的大趨勢(shì),,厲害的DDoS攻擊者手法多,,變化快,時(shí)常需要定制正則語法來清洗,,大規(guī)模攻擊的清洗位置越靠近上游越好,。云清洗服務(wù)商需要具備自治域AS號(hào)進(jìn)行BGP路由調(diào)度控制與DNS全網(wǎng)策略控制能力,才能帶給客戶良好的網(wǎng)絡(luò)服務(wù)品質(zhì),。
他進(jìn)一步闡述道:頁面被篡改,,數(shù)據(jù)泄露這種事情客戶是不會(huì)找運(yùn)營商的,一般是自己關(guān)起門來商量對(duì)策,。所以運(yùn)營商在上游只需清洗大流量攻擊,,清洗開通后的關(guān)鍵是防止誤殺正常業(yè)務(wù),這方面運(yùn)營商需要專業(yè)的清洗技術(shù)服務(wù),。不過最近一些新型的攻擊導(dǎo)致客戶系統(tǒng)提供不了服務(wù),,如訪問出錯(cuò)、頁面訪問緩慢,,客戶也會(huì)找到運(yùn)營商一起判斷處理,。這些新型的攻擊很多時(shí)候?qū)π阅苡休^大影響,嚴(yán)重的時(shí)候引起系統(tǒng)會(huì)宕機(jī),,有時(shí)很難快速分清現(xiàn)象根源,,這也是需要專業(yè)清洗技術(shù)服務(wù)的原因。
郭慶還強(qiáng)調(diào),,云清洗是DDoS防御最終的發(fā)展方向,,大規(guī)模DDoS清洗方向是運(yùn)營商主導(dǎo)的云清洗聯(lián)盟機(jī)制,中小規(guī)模DDoS清洗方向是云清洗專業(yè)服務(wù)商,。
今天,,以云數(shù)據(jù)中心為依托提供各種服務(wù)的商業(yè)模式已日漸明朗。因此,,云數(shù)據(jù)中心自身的可用性一直是業(yè)務(wù)永續(xù)運(yùn)行的關(guān)鍵因素,,談云的信息安全威脅,首先要在可用性的前提下才能進(jìn)一步解決信息的完整性與保密性方面的問題,。
譚杰指出,,安全邊界的模糊使得內(nèi)網(wǎng)安全與外網(wǎng)安全同等重要,。因此建議數(shù)據(jù)中心構(gòu)建者做到如下四件事:第一,能夠嚴(yán)格地按區(qū)域劃分,,不同的租戶,,不同的應(yīng)用劃分至不同的安全域,使用安全產(chǎn)品進(jìn)行隔離與保護(hù);第二,,部署端到端的安全防御手段,。例如運(yùn)行在VM上的安全設(shè)備,可以將防御能力部署到每一臺(tái)物理服務(wù)器上;第三,,對(duì)網(wǎng)絡(luò)訪問行為進(jìn)行嚴(yán)格管理,。通過技術(shù)和管理手段規(guī)范BYOD行為,對(duì)僵尸網(wǎng)絡(luò),、網(wǎng)絡(luò)濫用等進(jìn)行有效防御;第四,,使用多功能安全網(wǎng)關(guān)(如下一代防火墻或UTM)來替代傳統(tǒng)防火墻,在保護(hù)業(yè)務(wù)流量時(shí),,出于性能考慮,,可能只會(huì)用到防火墻、IPS等功能,,但在保護(hù)管理流量時(shí),,可啟用二至七層的多種安全功能(防病毒、應(yīng)用控制,、BYOD管理,、內(nèi)容過濾、數(shù)據(jù)泄漏防護(hù),、VPN等),。業(yè)務(wù)流和管理流劃分至不同的虛擬設(shè)備中,保證各自的獨(dú)立性,。
石金利在采訪最后表示,,在大數(shù)據(jù)發(fā)展的驅(qū)動(dòng)下,未來高性能數(shù)據(jù)中心防火墻會(huì)在兩個(gè)方面發(fā)展,。第一,,大型數(shù)據(jù)中心或者云數(shù)據(jù)中心中,用戶訪問數(shù)據(jù)中心,,以及數(shù)據(jù)中心直接的訪問流量都會(huì)導(dǎo)致南北向流量繼續(xù)增長,,導(dǎo)致大型數(shù)據(jù)中心出口帶寬流量會(huì)由目前的超過200Gbps,到2015年將接近1Tbps的水平,。第二,數(shù)據(jù)中心中的應(yīng)用類型變得越來越多樣化,。數(shù)據(jù)中心流量傳輸不僅會(huì)在用戶與設(shè)備間(如網(wǎng)頁瀏覽),,也可能存在于用戶與用戶間(如社交軟件),,以及設(shè)備與設(shè)備(如GPS)之間。接入數(shù)據(jù)中心的設(shè)備類型也變得更加多種多樣,。同時(shí),,伴隨虛擬化的發(fā)展,進(jìn)一步復(fù)雜化了業(yè)務(wù)模型,。作為放置在數(shù)據(jù)中心出口的防火墻,,需要適應(yīng)在更加復(fù)雜的應(yīng)用流量模型下提供更高的處理性能,以適應(yīng)大數(shù)據(jù)發(fā)展,。