u 安全挑战
IDC是伴随着互联网快速发展的需求而不断成长起来的,可以为ICP、企业,以及各类网站提供服务器托管、空间租用、网络带宽批发、虚拟空间租赁、主机域名、企业邮箱等服务。因此其本身的特性决定了其在安全方面的重要性。特别是近几年来在IDC规模超大化以后,由于多攻击类型、多业务类型、多运营模式(IDC\ADC\EDC\GDC代维)带来的安全挑战及威胁,已经成为了IDC服务提供商关注的焦点。当前IDC 主要存在以下几大挑战:
n 由于云计算兴起,虚拟化几乎成为了数据中心不可缺少的技术,因此由于主机虚拟化、网络虚拟化、存储虚拟化带来的安全挑战,保护虚拟化环境的安全将成为今后IDC安全防护重点。
n 网络层安全风险挑战:网络层由路由器、交换机等数据通信设备和安全设备组成,是IDC开展业务运营的基础。其安全风险主要是针对网络基础架构的攻击行为,包括:Dos/DDos攻击、来自外部的网络攻击行为、各种僵尸/蠕虫/木马等恶意代码的侵害等等。
n 业务层安全风险挑战:业务层是IDC价值的具体表现形式,其安全风险主要是针对前后台业务运行的主机以及主机上承载的特定应用。其风险的表现行为包括:垃圾邮件、恶意蠕虫、病毒、针对Web/DNS/FTP等服务器的应用层攻击、针对服务器本身系统级的入侵行为等等。
n 安全管理及增值服务挑战:如何提升对IDC日常安全事件的监控、发现、预警、处理能力,并把单向的安全防护投入转变为差异化安全增值服务,从而形成面向用户的差异化安全服务,同时带来相应利润是当前面对的主要管理挑战。
u 解决方案
天融信从IDC实际安全挑战需求出发,按照“横向分区,纵向分层”的方式进行设计和建设,横向上采取分域的办法,并基于各安全域的重要程度,采取不同级别的安全防护系统,满足信息系统的安全集成需求;纵向上按照不同类型的技术手段,针对信息系统的特点和需求,分别进行部署和策略的设计,提升系统的抗攻击能力,使系统能够更好地支撑上层各类应用,形成纵深防御系统。同时通过建立一个统一安全管理平台将体系中各层次的安全产品、网络设备等纳入统一管理,并结合自身业务需要,适时开展安全增值服务。
图表 15 天融信IDC整体安全解决方案图
n 网络层安全防护
网络层安全部署主要由边界安全防火墙和异常流量清洗两部分组成。边界安全防火墙指在IDC内部针对不同业务或用户区域实现基础网络隔离,实现安全信任网络和非安全网络进行隔离,实现前台业务区和后台业务区的隔离,这种网络隔离技术是基于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意的接口,使得IDC内部的安全管理模型是不会受到网络拓扑的影响。
防火墙虚拟化技术和基于状态的包检查功能是IDC对边界防火墙的重点需求。天融信防火墙可以虚拟多套防火墙,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。不同的域之间可以共用1台防火墙,但使用不同的虚拟系统。同时士防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。
防ddos攻击设备和异常流量清洗在IDC网络,起到对DDOS攻击防范的作用,通常在运营商IDC的出口处部署,该系统主要由异常流量检测平台、流量清洗平台和安全管理平台三部分组成。
n 应用层安全防护
应用层安全部署主要包括入侵防御系统(IPS)和业务审计系统部署。在IDC的互联网出口处和内部各安全区的网络汇聚层出口处部署IPS进行应用层防护,可采用旁挂方式或与网络设备一体化的融合式部署,保证IDC整体和各安全区域内部服务器免受外部应用层攻击。
网络入侵防护系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。
安全审计系统是根据跟踪检测、协议还原技术开发的功能强大的安全审计系统为网上信息的监测和审查提供完备的解决方案。它能以旁路、透明的方式实时高速的对进出网络汇聚层出口的访问数据包和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供高速的敏感关键词检索和标记功能,从而为防止内部网络敏感信息的泄漏以及非法信息的传播,它能完整的记录各种信息的起始地址和使用者,一旦发生安全事件后,可以通过分析记录信息,了解安全事件的过程,做到事后取证;此外还可以使网络维护人员根据安全事件的攻击过程,深入了解信息系统可能存在的安全隐患,为事后的修补与加固提供依据。
n 统一安全管理
统一安全管理平台旨在集中部署网络安全防护策略,简化对网络安全部件的管理,确保网络安全策略的统一;广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件,通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风险,提高安全报警的信噪比;准确的、实时的评估当前的网络安全态势和风险,并根据预先制定的策略做出快速响应。其基本功能包括:
² 安全策略集中部署:IDC网络中的安全部件涉及身份安全、终端安全、设备安全、连接安全、网络安全等各个层面,对应的安全防护技术包括AAA、防病毒、漏洞检测、防火墙、VPN、IPS等不同层次的防御部件。统一安全管理平台提供了集成、统一、完整的安全防护策略配置功能,可以通过直观的网络、服务器、终端及用户拓扑图,查看和配置安全策略,同时可尽可能的集中收集的各类安全事件报表。
² 业务系统动态感知:统一管理平台通过相应的策略配置,以主动探测和被动接收相关数据的方式,对业务系统进行不间断的监控,使管理员能够实时知道当前业务系统的带宽利用情况、主机访问情、,主机系统资源的利用情况,业务系统的存活情况等业务指标。重新构建客户感知、形成差异化客户服务,使客户享受到更加舒心、贴心、放心的服务。
² 安全事件深度感知:IDC统一安全管理平台在全面采集安全事件的基础上,通过各种基于统计和规则的关联分析算法,结合安全事件产生的网络环境、资产重要程度、系统漏洞级别,对安全事件进行深度分析,可以有效提高安全事件的信噪比,减少告警日志数量而不丢失重要信息,输出运营支撑的报表,为安全事件审计和风险响应提供更准确的决策支持。
² 安全威胁的协同响应:IDC统一安全管理平台在全面了解网络资源部署的条件下,可以根据攻击源的不同,智能选择控制点以更有效的防止攻击,也可以针对不同的被攻击对象,区分响应方式,以提高整个网络的自防御能力。
u 方案优势
n 解决当前问题、兼顾未来发展
该方案不仅考虑解决当前面对的众多安全问题,还着眼于未来IDC盈利创新模式,结合自身业务特点,为广大托管用户提供安全增值服务。
n 适应虚拟化发展趋势
选择具有虚拟化技术的网络层安全防护设备。对于IDC来说,网络层的防护需要在IDC的环境中部署产品。而提供以用户为导向的安全增值服务的关键在于设备本身具有虚拟化的功能。
n 全面防护
通过对安全区域的设计,在网络边界部署防火墙、VPN、IPS等安全设备,不仅能够保证2至7层的安全,同时也保证了数据传输的安全性,形成动态、立体、深层次的全面安全防护。
n 深层防护
通过天融信防火墙、IPS和流量清洗设备的部署,可以形成有效的深层次安全防护。如对蠕虫的传播和攻击进行防御、对服务器的虚拟软件补丁管理、抵抗DoS/DdoS攻击等等。
u 应用领域
随着云计算、移动互联网、虚拟化等新技术的不断深入应用,各IDC作为重要的数据服务中心除了积极倡导到绿色节能外,还得面对众多的新形式下的安全威胁,进一步加强自身安全防护的前提下,合理、最大化的利用现有资源,为用户提供国际领先的差异化安全增值服务。
[nickname] ([date])
[content]