扫一扫
关注微信公众号

互联网数据中心的网络安全问题
2022-03-07   

  近年来,由于云计算、大数据和人工智能等新兴产业的快速发展,作为重要的信息基础设施互联网数据中心(InternetDataCenter),也开始发挥越来越重要的作用。然而,在这样繁荣的发展现状下,也隐藏着一些安全威胁。


  数据中心为很多企业提供了大量的应用程序、服务和解决方案,数据中心的资源对于企业来说也越来越重要。随着智能设备的大量普及,一些物联网和基于云计算的应用程序也迅速增加了数据中心的安全风险。数据中心作为一个非常关键的角色,在企业运营中也扮演着越来越重要的作用,正因如此,数据中心往往更容易遭受攻击。

  安全性对于数据中心的重要性不言而喻,尤其是人们对信息安全加重视的今天,安全事件无小事,一旦数据中心出现了严重的安全问题,对于数据中心造成的损失是无法估量的。数据中心的安全是围绕数据为核心,从数据的访问、使用、破坏、修改、丢失,泄漏等多方面维度展开,因此也衍生出很多技术方法。从软件到硬件,从网络边缘到核心,从数据中心入口到出口,只要有数据的地方都可以部署安全设备。不少的数据中心安全设备部署了很多,但是依然会不断受到攻击,原因为何?其实数据中心安全是一个系统工程,不是部署几台防火墙就可以应付了。数据中心在网络中直接担负着汇总数据、整合数据资源、提供数据服务和维护全网运行等任务,是各种网络活动得以安全运行的基础,必须能够提供较快的响应速度,满足全时段提供服务的要求。需要进行详细的安全方案设计,让安全的方案渗透到数据中心的每个环节,才能确保数据中心的数据安全。

  在应用层面,病毒、蠕虫、木马、后门及逻辑炸弹等,在少数别有用心的人眼中,数据中心保存的各种关键数据是无价之宝,在经济利益或其他特定目的的驱使下,这些人会利用种种手段对数据中心发动攻击或企图渗透进入数据中心,对数据中心的关键数据进行各种非授权访问和非法操作。由此可能带来数据中心的关键数据被监听、窃取、仿冒和篡改,服务器运行缓慢、性能下降或死机而无法对外提供数据服务,甚至硬件被损坏,造成重大损失。因此,数据中心的安全运行就显得至关重要。

  数据中心安全围绕数据为核心,从数据的访问、使用、破坏、修改、丢失、泄漏等多方面维度展开,一般来说包括以下几个方面:

  物理安全:主要指数据中心机房的安全,包括机房的选址,机房场地安全,防电磁辐射泄漏,防静电,防火等内容;

  网络安全:指数据中心网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段,如防火墙,IPS,安全审计等;

  系统安全:包括服务器操作系统,数据库,中间件等在内的系统安全,以及为提高这些系统的安全性而使用安全评估管理工具所进行的系统安全分析和加固;

  数据安全:数据的保存以及备份和恢复设计;

  信息安全:完整的用户身份认证以及安全日志审计跟踪,以及对安全日志和事件的统一分析和记录;

  抛开物理安全的考虑,网络是数据中心所有系统的基础平台,所以网络安全是数据中心安全的基础支持。

  常见数据中心安全胁威

  作为网络中数据交换最频繁、资源最密集的地方,外网数据中心无疑是个充满着巨大的诱惑的数字城堡,任何防护上的疏漏必将会导致不可估量的损失,因此构筑一道安全的防御体系将是这座数字城堡首先面对的问题。当前数据中心面对的主要安全威胁包括:

  面向应用层的攻击:

  常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等。应用攻击的共同特点是利用了软件系统在设计上的缺陷,并且他们的传播都基于现有的业务端口,因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检测功能的防火墙。

  面向网络层的攻击:

  除了由于系统漏洞造成的应用攻击外,数据中心还要面对拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)的挑战。DOS/DDOS是一种传统的网络攻击方式,然而其破坏力却十分强劲。常见的DDOS攻击方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已发现的DOS攻击程序有ICMPSmurf、UDP反弹,而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo和Stacheldraht等。DOS/DDoS攻击大行其道的原因主要是利用了TCP/IP的开放性原则,从任意源地址向任意目标地址都可以发送数据包。DOS/DDO。S利用看似合理的海量服务请求来耗尽网络和系统的资源,从而使合法用户无法得到服务的响应就是利用大量的傀儡机来发起攻击,积少成多超过网络和系统的能力的极限,最终击溃高性能的网络和系统。

  考虑到数据中心的架构特点,以及数据中心承担业务的复杂性,数据中心的安全建设一般采取如下措施:

  01、实施安全分区和访问控制:

  划分安全区和访问控制,可以从一定程度上防御来自内部的非法越权访问和攻击行为;

  防火墙:目前网络中主要使用防火墙来实施安全分区和访问控制。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙,是一个或一组实施访问控制策略的系统,它监控可信任网络和不可信任网络之间的访问通道,以防止一个区域中出现的危险蔓延到另一个区域。

  安全交换机:目前市场上主流的交换机具备抵抗DOS攻击和划分安全域的功能,但安全功能太少,覆盖面少;

  02、实施入侵防御:

  IPS(IntrusionPreventionSystem,入侵防御系统)能够高速、在线检测并阻断漏洞利用和入侵行为,这些功能可以用来保护数据中心免遭来自外部的威胁,同时也可以用来保护数据中心内部关键的网段。

  03、实施服务器集群优化:

  数据中心环境中常常有众多的服务器,而承担类似工作的服务器会组成一个服务器集群。在数据中心建成之后,随着数据量的迅速提升和服务器集群需要提供的应用复杂性增加,服务器集群面临越来越大的负荷,常常出现网络堵塞、访问延迟等等问题。服务器集群优化,保障业务的稳定可靠、持续可用是此类问题的解决之道。此外,系统还必须要对于服务器的运行状况做出准确判断,确保提供服务的正确。

  实施服务器集群常用的技术是负载均衡,利用负载均衡设备可以搭建高效的服务器集群,合理的分配访问请求,充分发挥每台服务器的性能优势,保障服务运行的稳定;

  04、实施应用层的防护

  防火墙、安全交换机无法针对应用层的安全威胁进行防护,而目前针对应用层特别是WEB服务器的攻击和威胁手段越来越多,比如网站挂马,网页篡改,信息泄密等等。

  目前针对应用层防护的主要使用WAF做应用服务做安全加固,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解;

  05、记录访问日志

  开启日志服务虽然对阻止黑客的入侵并没有直接的作用,但是它可以记录黑客的行踪,维护员可以分析入侵者在系统上做过什么手脚,在系统上留了哪些后门,给系统造成了哪些破坏及隐患,服务器到底还存在哪些安全漏洞等,以便有针对性地实施维护。

  数据中心为应对种种安全威胁,采取了许多安全机制和防范措施,综合而言,主要采取的应对策略有防病毒技术、防火墙技术、入侵检测技术和数据库安全审计,有效确保了数据中心的可靠运行。这些技术通过不同机制来应付种种安全威胁,各有所长,取得了极大成效。然而从实践结果来看,仍然存在不小的缺陷,如下所述:

  ①尽管数据中心安装了不同类型的防病毒硬件或杀毒软件,但是,数据中心安全不仅仅包括防病毒的问题,还包括外来非法侵人检测与安全策略执行等方面,防病毒技术难以完全解决这些方面的威胁。

  ②数据中心安装软硬件防火墙后,可以通过设定规则来阻止非授权访问,但是仍无法避免垃圾邮件及拒绝服务的侵扰。

  ③入侵检测技术是被动检测,在提前预警和主动预测方面存在先天不足,且难以精确定位入侵来自何处。

  ④数据库安全审计能够对数据中心的工作过程进行实时跟踪和审计,有效监控网内和网外用户对数据库的操作,但是目前的这种安全审计仍然存在系统智能化程度低、无法进行实时监测和及时报警、审计日志可以被攻击者恶意删除,以及筛选有用信息极其困难等缺点。

  因此,针对当前数据中心安全机制存在的不足,这里提出了数据中心的4层安全体系架构,通过搭建应用层的4层防护体系,实现数据中心的全面防护,保障数据中心的可靠运行。

  

热词搜索:

上一篇:生物免疫模型是网络安全的终极出路?
下一篇:零信任如何缓解5G安全挑战?

分享到: 收藏