一、背景介绍
数据中心作为业务集中化部署、发布、存储的区域,承载着业务的核心数据以及机密信息,是各级组织IT建设的心脏环节。互联网的无处不在和即时通信给数据通信带来极大便利,但也随之带来了很多信息安全风险,组织和个人在利用网络使用数据的过程中,不得不考虑如何有效地保护自身机要信息不被窃取和非法传递。对于恶意攻击者而言,数据中心永远是最具吸引力的目标。数据中心的安全建设显得格外重要。越来越多的网络信息安全事件使人们对于数据中心安全建设越来越重视。来自应用层的各种威胁也使安全问题更加复杂多样化,更加难以控制。
二、需求分析
数据中心是一整套复杂的网络系统。它不仅仅包括计算机系统和其它与之配套的设备(例如通信和存储系统),还包含冗余的数据通信连接、环境控制设备、监控设备以及各种安全装置。过去,数据中心的安全建设以各区域安全隔离为主,隔离来自internet、intranet、extranet等区域的安全风险,实现网络级的访问控制。但这是远远不够的,僵尸网络,信息泄露,WEB应用威胁等危害一直是困扰着各个行业网络信息安全的因素。任何一个稍懂安全的人员,都可以轻易利用黑客工具,对保护不佳的数据中心造成破坏。而随着数据中心逐渐向虚拟化云计算发展,数据中心又出现了新的安全问题,虚拟化技术具有提高资源利用率等多种优点,也对用户的网络数据安全提出了新的要求,如风险更加集中,流量模型复杂,边界弱化,以及越权访问等问题。数据中心面临的安全威胁主要包括:
1、来自互联网等区域的网络病毒、木马、蠕虫等危害对数据中心的感染,以及这些危害的交****感染,使得数据中心成为“养马场”;
2、利用服务器操作系统漏洞、应用软件漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,获取服务器权限、窃取服务器和存储等资源的问题,以及黑客利用服务器系统漏洞发起的拒绝服务攻击,导致业务瘫痪中断等问题;
3、利用业务开发时期没有对代码的安全进行评估,使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取和网站内容被篡改或注入黑链的问题;
4、数据中心虚拟化后带来的风险集中、边界弱化、区域划分、虚机横向攻击、越权访问等问题;
5、虚拟机的动态迁移,导致安全策略需要动态跟随,并且虚拟机脱离物理硬件,导致应用层的安全威胁泛滥;
6、来自虚拟化数据中心的不同租户(尤其是电子政务云租户)的个性化安全需求,如灵活的安全选配、自主化运维管理、租户VPC隔离、租户边界安全、租户虚拟机业务安全等。
三、解决方案
铭冠科技提供了深信服下一代防火墙NGAF全面可视的数据中心安全防护解决方案,如下图所示,在数据中心出口部署深信服下一代防火墙硬件网关,提供对数据中心整体网络的安全防护;而在数据中心内部的虚拟化业务集群中部署深信服下一代虚拟软件防火墙,对虚拟化架构中的主机和业务系统进行区域隔离和针对性的安全防护,防止虚拟网络内部的威胁扩散,保障不同租户之间的网络和业务安全。
NGAF智能融合了防火墙、入侵防护、漏洞检测、敏感信息防泄漏、DoS/DDoS攻击防护、防病毒、防扫描、弱口令检查、防僵尸网络、web应用攻击保护、网站篡改保护等功能,可以实时检查数据中心网络中的安全风险,避免因业务系统漏洞导致的入侵,防范病毒、蠕虫、僵尸网络等威胁内容在数据中心传播,防止口令密码被暴力破解,避免数据中心敏感信息被泄露,清洗数据中心异常流量,保护数据中心web应用安全,保障数据中心网络和业务安全运行。
完整的数据中心安全防护
铭冠科技深信服下一代数据中心安全解决方案提供L2-L7层的完整的数据中心应用安全防护体系,帮助数据中心解决传统防火墙由于工作在L3-L4层无法识别的应用层威胁。
ü网络安全:访问控制、DOS攻击防护、IPSECVPN组网、NAT地址转换
ü应用安全:漏洞攻击、非安全应用控制、恶意地址防护、病毒木马蠕虫过滤、应用访问控制、僵尸网络检测
üWeb安全:SQL注入、跨站脚本、敏感信息防泄露、防篡改、黑链检测
ü设备自身安全:抗DOS/DOS属性、管理员SSL加密登陆、业务与管理分离管理
精细控制的可视化数据中心
铭冠科技NGAF数据中心安全解决方案提供L2-L7层完整的数据中心安全防护体系,帮助数据中心解决传统防火墙由于工作在L3-L4层无法识别的应用层威胁。区别于传统防火墙的五元组访问控制策略,下一代防火墙通过应用可视化功能与用户识别技术结合制定的L3-L7一体化应用控制策略,可以为用户提供更加精细直观的控制界面。
过去部署的安全设备,大都从IP、端口等维度来展示攻击,看上去和业务应用关系不大,因此业务系统安全状况很难快速看清,需要花费大量的精力来区分IP和端口,分析一些攻击的危害,并通过将这些信息和应用系统关联起来,来展示各个应用系统的安全风险和状态。深信服下一代防火墙将各种安全日志与业务进行关联分析,给出清晰全面的安全威胁来源分类统计,提供相应的安全风险评级,帮助客户打造可视化的数据中心安全。
专业的虚拟化数据中心安全
数据中心内部的虚拟化业务集群中部署深信服下一代虚拟软件防火墙,对虚拟化架构中的主机和业务系统进行逻辑隔离和针对性的安全防护。软件NGAF可以将虚拟网络内部关键业务安全地分置在不同的区域内,确保所有通信都符合安全策略,同时对所有来自物理网络的访问进行安全过滤,并对虚拟机主动发起的连接进行安全核查和控制。
深信服虚拟软件防火墙专为虚拟化网络安全而设计,它是以虚拟机的形式存在于Vmware等虚拟化平台中,拥有和物理产品一样的安全功能,支持虚机的克隆和迁移等配置和操作,从而实现最高的易用性。虚拟软件防火墙可以精确的对hypervisor平台的L2到L7层流量分析和控制,可以解决虚拟网络中的区域隔离、边界控制、风险识别、漏洞检测、应用控制、应用安全、威胁防护等安全功能。虚拟软件防火墙同样可以在虚拟网络中启用HA高可靠性部署,做到7*24*365的无间断安全防护,实现最高的可用性和可靠性
完全适配的云租户安全
当前云租户安全的主要场景是电子政务云和大型互联网平台中不同租户的安全防护。在服务器虚拟化环境下,对不同租户间、租户内部虚拟机间的流量进行安全防护和隔离。通过深信服虚拟化软件防火墙产品,形成软件安全资源池,提供了虚拟化网络的2到7层安全防护,实现精细的区域划分与可视化的权限访问控制。如区域划分、接入控制、病毒防护、入侵防护、漏洞检测、DDoS攻击防护、WEB安全防护、数据泄露保护、网页篡改保护等,并基于资源池实现按需分配、灵活部署的安全保护。
灵活的安全取用
软件NGAF可以区分各租户的边界并进行隔离保护,对于不同的租户来说,每一个租户都可以被划分成一个独立的虚拟区域,并在每一个区域使用虚拟软件防火墙进行区域之间的隔离,从而避免不受信的租户之间的数据互访造成安全隐患。
租户VPC隔离
针对不同的租户,利用软件NGAF可以区分出各租户的边界并进行隔离保护,对于不同的租户来说,每一个租户都可以被划分成一个独立的虚拟区域,并在每一个区域使用虚拟软件防火墙进行区域之间的隔离,从而避免不受信的租户之间的数据互访造成安全隐患。
租户安全边界
虚拟软件防火墙为租户提供了业务安全边界,确保租户业务系统南北向和东西向的流量安全。软件NGAF确保了租户对外应用的安全,防止非法人员从政务外网、互联网进行发起的攻击行为;同时实现了租户与租户之间的安全隔离保护,防止非法人员从云平台内部进行安全攻击。
租户虚机L2-L7安全
通过开启软件NGAF的IPS、WAF、漏洞检测、病毒防护等功能模块,实现对租户业务虚机的L2-L7层安全保护。通过实时流量检测和用户行为分析,检查租户业务系统中是否存在不安全行为,并实时阻断入侵行为,防御蠕虫、病毒、木马、拒绝服务、WEB攻击等威胁,并提供对租户业务的可疑访问、恶意访问、异常流量等安全隐患的预警分析。
高可靠保障的数据中心
数据大集中后数据中心成为数据、业务的核心承载区域,其业务可用性是数据中心建设至关重要的目标。为保证数据中心业务不中断,深信服NGAF数据中心安全解决方案具备多重的高可靠保障:
1、传统关键部件冗余:包括电源、风扇1+1冗余,且支持热插拔(硬件设备);
2、存储介质冗余,确保系统稳定运行:硬盘+CF卡,实现存储冗余,在硬盘故障时,CF无缝切换,系统稳定运行(硬件设备);
3、设备稳定性:可实现硬件故障bypass保证数据中心稳定性(硬件设备)
4、设备提供了HA高可用性保障(软硬件设备均支持);
简单的自助化安全运维
对于NGAF监测发现的数据中心安全问题,NGAF还创新的提供了自助化安全运维服务,通过将发现的问题分类汇总,提醒用户及时修复安全问题。针对检测识别的安全问题,NGAF给出了详细的风险说明及建议的解决方案,用户只需要参照解决方案提示步骤,即可快速完成完成安全风险的修复。
这种全面的风险识别和自助化运维理念,不仅弥补了传统安全设备在应用层风险识别上的不足,同时通过直观的威胁展示和清晰的运维说明,帮助组织单位快速实现数据中心安全运维,化被动为主动,进一步提升IT信息部门的效率和价值。
四、总结
铭冠科技深信服下一代防火墙致力于打造可视、安全、高效、可靠的数据中心安全解决方案,通过物理网关和虚拟软件设备的完善配合,为数据中心打造全维度、可控制、易管理、高可靠的一体化多层次安全防护体系,帮助用户将数据中心安全风险降到最低,真正实现“安全”、“可靠”、“高效“的数据中心网络服务。