引言
随着IT应用程度的日益提高,数据中心对于客户的价值与日俱增,相应的,数据中心的安全建设也迫在眉睫。另外,信息安全等级保护、ISO27001等标准也对数据中心的安全建设提出了技术和管理方面的要求。
业务不同,数据中心的网络建设需求也不同。如何区分不同需求的数据中心,从而进行安全等级划分,在上期的《由粮仓防鼠谈数据中心安全按需规划》一文中已进行了阐述。本文将从技术角度出发,深入分析设计数据中心方案时需要考虑的若干安全问题,最后提出数据中心方案设计的参考模型。
数据中心的安全需求有些是通用性的,如分区和地址规划问题、恶意代码防范问题、恶意入侵问题等;有些是独有的保密性需求,比如双层安全防护、数据库审计等;有些是独有的服务保证性需求,比如服务器、链路和站点的负载均衡、应用系统优化等。总体来看,数据中心解决方案对于安全的需求可以从四个纬度来衡量:1、通用安全性需求;2、业务信息保密性需求;3、业务服务保证性需求;4、业务安全绩效性需求。
1 数据中心面临的主要威胁
数据中心面临的主要威胁从4个角度分类后,下表列举了部分具有代表性的威胁:
2 威胁举例和应对方案
2.1 通用安全类
2.1.1攻击者通过恶意代码或木马程序,对网络、操作系统或应用系统进行攻击:
威胁举例
在早期Apache Web服务器版本上的phf CGI程序,就是过去常被黑客用来读取服务器系统上的密码文件(/etc/password)、或让服务器为其执行任意指令的工具之一。因此防御系统就会直接对比所有URL request中是否出现“/cgi-bin/phf”的字符串,以此判断是否出现phf 攻击行为。
攻击者在进行攻击时,为避免被入侵检测系统发现其行为,可能会采取一些规避手法,以隐藏其意图。
例如:攻击者会将URL中的字符编码成16进制的“%XX”,此时“cgi-bin”就会变成“%63%67%69%2d%62%69%6e”。这就好比把“今天天气不错”翻译成“It’s a fine day today”,给一个中英文都懂的人听,虽然表达形式不同,但效果是一样的。这样,单纯的字符串对比就会忽略掉这串编码值内部代表的意义。
攻击者也可将整个request在同一个TCP Session中切割成多个仅内含几个字符的小Packet,防御系统若没将整个TCP session重建,则仅能看到类似“GET”、“/cg”、“i”、“-bin”、“/phf”的个别Packet。这就好比把一只95式自动步枪拆成刺刀、枪管、导气装置、瞄准装置、护盖、枪机、复进簧、击发机、枪托、机匣和弹匣,然后分成11个包裹邮递出去一样。类似的规避方式还有IP Fragmentation Overlap、TCP Overlap 等各种较复杂的欺瞒手法。
安全建设目标
·应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力
·应具有对网络、系统和应用的访问进行严格控制的能力
·应具有对数据、文件或其他资源的访问进行严格控制的能力
·应具有恶意代码检测、集中分析、阻止和清除能力
·应具有防止恶意代码在网络中扩散的能力
·应具有对恶意代码库和搜索引擎及时更新的能力
技术解决方案
在网络核心部署防火墙进行访问控制,基于最小授权原则保证对网络、系统和应用的访问进行严格控制。
通过在数据中心前部署应用层防御,保证了对URL request请求的检测、实时阻止的能力。此时,方案需采用语法分析的状态机技术保证对于类似“GET”、“/cg”、“i”、“-bin”、“/phf”的分片报文攻击和“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”等的变种攻击的检测和阻止;方案还需要采用一种攻击、多种特征匹配的方式解决16进制攻击码流的问题。
同时,需要整合攻击事件日志进行安全分析,找出攻击源并对整网的安全设施进行调整。
2.1.2、内部人员未经授权接入外部网络、或下载/拷贝软件或文件、打开可疑邮件时引入病毒。
威胁举例
前段时间,网络中有多个利用《功夫之王》传播的病毒,其中以“AV终结者变种”和艾妮蠕虫变种危害最大。它们运行后,劫持安全软件,并通过网络自行下载更多其它病毒到电脑中运行。经分析,下载列表的病毒中大部分是盗号木马,它们瞄准用户的网游、网银密码等敏感信息,给用户的网络财产安全带来极大隐患。
安全建设目标
为了避免此类安全威胁,除以下恶意代码防护的建设目标外:
·应具有对恶意代码的检测、集中分析、阻止和清除能力
·应具有防止恶意代码在网络中扩散的能力
·应具有对恶意代码库和搜索引擎及时更新的能力
还需增加如下建设目标:
·应具有网络边界完整性检测能力
·应具有切断非法连接的能力
·应具有防止未经授权下载、拷贝软件或者文件的能力
·应确保对人员行为进行控制和规范
技术解决方案
最保险的办法当然是OA互联网出口和数据中心互联网出口相分离。物理上隔离成OA网络和生产网络。生产网络不允许终端对于互联网的访问。
另外,还应采取四项措施:
1、无论OA、生产网的终端,都需要保证正版杀毒软件进行全面监控,开启杀毒软件自动更新功能,保持对最新病毒的防御能力。
2、网页挂马利用的漏洞多有软件补丁,需要保证终端及时打补丁。
3、通过对终端的检查,杜绝非法内联和外联,保证边界完整性。
4、通过全网联动,实现切断非法行为的功能。使得木马等程序不能和外界进行通讯,保证机密信息不会外泄。
2.2 业务信息安全类
2.2.1、利用技术或管理漏洞,未经授权修改重要系统数据或系统程序并否认自己的操作行为
威胁举例
公司内部经常有外来人员协同工作,对于网络的访问缺乏认证系统,能够无阻拦的访问核心数据库(以Oracle为例),对数据库的增/删/改没有技术手段进行事后追踪。
安全建设目标
·应该有保证数据库被合法人员访问的能力
·应该有识别和记录对数据库操作的能力,包括插入、删除、存储等操作,并精确到SQL语句
技术解决方案
通过旁路部署的方式,把对数据库的访问流量进行镜像,能够在数据库感知不到的前提下完成关键数据库的审计。方案能够详细记录访问数据库的用户信息,包括:用户访问时间、下线时间、用户名、访问服务器的IP地址以及用户的IP地址信息;同时记录下用户的所有操作(包括但不限于select、insert、create、update、delete、grant和commit等)。
2.3 业务服务保证类
2.3.1、攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意消耗网络、操作系统和应用系统资源,导致拒绝服务
威胁举例
分布式拒绝服务(DDoS)攻击工具“Tribe Flood Network 2000 (TFN2K)”是由德国著名黑客Mixter编写的同类攻击工具TFN的后续版本。
TFN2K通过主控端利用大量代理端主机资源对一个或多个目标进行协同攻击。当前互联网中的UNIX、Solaris和Windows NT等平台的主机都能被用于此类攻击,而且这个工具非常容易被移植到其它系统平台上。
TFN2K由两部分组成:主控端主机上的客户端和代理端主机上的守护进程。主控端向其代理端发送攻击指定的目标主机列表,代理端据此对目标进行拒绝服务攻击。整个TFN2K网络可能使用不同的TCP、UDP或ICMP包进行通讯。对目标的攻击方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST PING(SMURF)数据包flood等。
安全建设目标
·应具有限制网络、操作系统和应用系统资源使用的能力
·应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力
·应具有合理分配、控制网络、操作系统和应用系统资源的能力
技术解决方案
由于DDoS攻击并非频繁发生,所以在网络中串接设备进行防御一般被认为是不必要并且增加故障点的。目前的防御方案向两个方向发展:一是在防火墙、IPS等设备上面完成防御,优点是不需要额外部署设备且不引入新的故障点;缺点是功能易重叠且只能完成一般攻击防范,对于大流量的环境和复杂的攻击类型捉襟见肘。二是部署专业的抗DDoS工具,平时旁路部署,镜像流量进行分析,一旦发生攻击,通过路由进行引流清洗。优点是对现网业务影响最小,且防护全面;缺点是部署成本高。
2.3.2、缓慢的网络响应时间和糟糕的应用性能制约生产力提升,造成无意义的TCO提高
威胁举例
服务器负载不均衡的情况很常见,所以一般情况下都会采用服务器负载均衡的技术手段发挥服务器集群的最大作用。然而,随着WEB应用的增多,越来越多的网上保密业务采用了SSL加密,给服务器带来较大负担;带宽资源的紧张,也经常成为系统的瓶颈,导致最终用户处响应时间慢。南北运营商互通问题、链路如何冗余问题都是提高业务响应所面临的严峻挑战。
安全建设目标
·应具有能够在服务器之间平衡流量的能力
·应具有能够在不同的出口链路之间平衡出入流量的能力
·应具有能够在不同的站点之间平衡流量的能力
·应具有能够在不同链路中基于一定算法进行最优选择的能力
·应具有能够在带宽资源成为瓶颈的情况下,提高响应速度的能力
·应具有能够降低服务器协议处理、减轻扩容压力的能力
技术解决方案
通过GSLB实现不同数据中心之间的负载均衡,保证用户对于站点的访问最优;通过在数据中心服务器集群前部署服务器负载均衡,保证集群的整体处理能力最优;通过出口链路处部署链路负载均衡技术,对出入方向的流量,基于最小响应时间等实现方式进行处理;通过硬件实现TCP协议处理、SSL卸载和TCP快启动等协议优化需求,降低服务器的CPU占用率;通过基于GZIP等的数据压缩和解压缩,保证用户最短的等待时间。
2.4 安全建设绩效类
2.4.1、业务流量变化、业务种类变化导致数据中心需要调整
威胁举例
目前所有的数据中心,其运营、维护的成本都居高不下,并且其基础设施建构维护的费用也很高。其中一部分原因来自于数据中心的应用种类太多太复杂,从而造成很多非标准化的应用和需求,导致运营成本增加。
业务的运作是不停变化的,新业务对计算资源的需求也就随之不断变化。有时候会有更新的业务或者是老业务的淘汰,数据中心的基础设施很难适应业务变化。
安全建设目标
·应具有能够预测业务流量变化的能力
·应具有能够在业务变化时安全策略部署不影响其他业务的能力
技术解决方案
通过类似NetStream/NetFlow等技术的部署,可以从多角度对网络流量进行统计分析,包括基于接口的总体流量趋势分析、应用流量分析、节点(包括源、目的IP)流量统计、会话流量等多种信息,真正实现网络流量透明化,从而能够提前对急需进行的业务调整做出准备。
采用虚拟化技术也是解决业务变化带来的管理问题的一个办法。纵向上,虚拟化技术能够把网络资源化,业务增删的时候,通过虚拟防火墙等虚拟化技术不仅可以保证每种业务都能资源独享,并且不会对其他业务造成影响。横向上,虚拟化技术可以把网络资源简单化,例如,通过IRF等技术,能够实现业务的快速部署。
2.4.2、全网设备管理存在门户不同、管理分散,导致定位问题缓慢且没有有效的技术手段制成IT规划、决策
威胁举例
数据中心资源的部署都非常离散,路由设备、交换设备、存储资源、认证系统、计费系统等IT设备及系统的管理是分而治之,呈现割裂态势,无法形成统一管理,在日益强调IT管理的新时期,愈发不合时宜。
安全建设目标
·应具有能够提供安全管理手段,有效处理网络、系统和应用的安全事件,一站式定位网络安全问题的能力
·应具有能够对网络、系统和应用的统一管理的能力
技术解决方案
通过收集网络、安全、主机、应用、存储的各种日志,把网络内的所有资源作为嗅探器,保证全网的安全事件能够在同一个平台进行整合,不同格式的日志信息能够归一化存储。采用数据挖掘技术提取有效信息,并通过安全拓扑等图形化形式进行直观表达。
通过对SNMP、TR069等协议的支持,保证对网络资源的统一管理;通过认证、审计等技术手段,以用户为本,灵活分配IT资源;基于业务需求,进行IT资源分配保证。充分考虑IT环境组成的三个要素——人、业务、资源,将各类资源进行整合、统一管理,使得IT系统实现端到端的过程管理。
3 数据中心解决方案逻辑模型
综合数据中心安全需求的四个角度,可以对数据中心的网络、安全、主机等资源的安全性、可用性、可管理性等方面得出系统的分析。每个数据中心解决方案在不同维度都会有不同的要求,整体形成一个不规则四边形完成对数据中心需求的覆盖。
4 总结
从安全的角度看数据中心建设,不仅仅是看数据中心如何部署安全基础设施,还包括数据中心分区、地址规划、路由设计等多方面。
本文只是从四个角度简单分析了实际问题、解决方法和具体方案。由于数据中心业务的差异,其建设需求必然存在较大不同。基于以上方法进行数据中心的定制化设计是大多数情况下的选择。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:从安全的角度分析数据
相关文章
