互联网数据中心安全管理方案

互联网数据中心安全管理方案 2012年08月12日 09:56 来源：中兴通讯技术 作者：译名  HYPERLINK "http://www.elecfans.com/tongxin/119/20120812284109.html" \l "comment" \t "_self" 我要评论(0) 本文介绍互联网数据中心网络架构主要特征和多层设计原则，分析互联网数据中心面临的主要安全威胁，对其安全规划和部署实施提出方案建议。 1 互联网数据中心网络多层设计原则 从本质上说，互联网数据中心网络多层设计原则是划分区域、划分层次、各自负责安全防御任务，即将复杂的数据中心内部网络和主机元素按一定的原则分为多个层次多个部分，形成良好的逻辑层次和分区。 数据中心用户的业务可分为多个子系统，彼此之间会有数据共享、业务互访、数据访问控制与隔离的需求，根据业务相关性和流程需要，需要采用模块化设计，实现低耦合、高内聚，保证系统和数据的安全性、可靠性、灵活扩展性、易于管理，把用户的整个IT 系统按照关联性、管理等方面的需求划分为多个业务板块系统，而每个系统有自己单独的核心交换，服务器，安全边界设备等，逐级访问控制，并采用不同等级的安全措施和防护手段。 互联网数据中心网络可同时从个方面划分层次和区域： (1)根据内外部分流原则分层。 (2)根据业务模块隔离原则分区。 (3) 根据应用分层次访问原则来分级。
▲图1 数据中心网络分层 1.1 分层 根据内外部分流原则，数据中心网络可分为4 层：互联网接入层、汇聚层、业务接入层和运维管理层。 最常见的数据中心网络分层如图1 所示。 互联网接入层配置核心路由器实现与互联网的互联，对互联网数据中心内网和外网的路由信息进行转换和维护，并连接汇聚层的各汇聚交换机，形成数据中心的网络核心。 汇聚层配置汇聚交换机实现向下汇聚业务接入层各业务区的接入交换机，向上与核心路由器互联。部分流量管理设备、安全设备部署在该层。大客户或重点业务可直接接入汇聚层交换机。 业务接入层通过接入交换机接入各业务区内部的各种服务器设备、网络设备等。 运维管理层一般独立成网，与业务网络进行隔离，通过运维管理层的接入及汇聚交换机连接管理子系统各种设备。 1.2 分区 按照关联性、管理、安全防护等方面的不同需求，可将数据中心网络划分为不同的区域：互联网域、接入域、服务域、管理域、计算域等，各安全域之间经过防火墙隔离，确保相应的访问控制策略。 互联网域包括实施自助管理的管理用户和访问应用的最终用户。 接入域为用户接入数据中心提供统一的界面和借口，又称为非军事化隔离区（DMZ）。服务域提供域名解析、身份认证授权、IP 地址转换等网络服务功能。计算域提供计算服务，可以根据安全需求再划分安全子域。管理域提供安全管理、运营管理、业务管理等。 相对来说，计算域和管理域的安全级别最高，服务域和接入域次之，用户域最低。 1.3 分级 服务器资源是数据中心的核心，按服务器服务功能将其分为可管理的层次，打破将所有功能都驻留在单一服务器时带来的安全隐患，增强了扩展性和可用性。 服务器层直接与接入设备相连，提供面向客户的应用，如IIS、服务器等等。 应用层用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器，如WebLogic、J2EE 等中间件技术。 数据库层包含了所有的数据库、存储和被不同应用程序共享的原始数据，如MS SQL Server、Oracle 9i、等。 在以上3 种的分层分区域的设计下，不同网络区域之间的安全关系明确，可对每个区域进行安全实施，而对其他区域不会干扰；最大限度地隔离故障区域，加快故障收敛时间，提高可用性；可根据不同的区域和层次的功能分别建设，业务部署灵活；网络结构清晰，易管理。 2 互联网数据中心安全威胁 侵入攻击、拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）、蠕虫病毒是互联网数据中心面临的最主要的3 类安全威胁。 数据中心网络安全防护部件众多，各网络层次上不同的安全设备相互合作，形成整个安全防护体系。对数据中心网络基础设备的非法侵入和危害使侵入攻击具有强大的破坏能力和隐蔽性，对某一个网络设备的侵入可能影响到整个数据中心安全防卫体系。 在DoS 和DDoS 中，攻击者通过恶意抢占网络资源，使数据中心无法正常运营。此类攻击是互联网数据中心最常预见的攻击，同时也需要防范利用数据中心内部僵尸主机对互联网上其他主机进行攻击。 利用软件系统设计的漏洞对应用的攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等，攻击者获取存在漏洞的主机的控制权后对病毒进行复制和转播，在已感染的主机中设置后门或者执行恶意代码，导致用户带宽资源被占用，或者数据中心增值业务受到威胁。因其传播都基于现有的业务端口，传统的防火墙对此类攻击缺乏足够的检测能力。更为严峻的是数据中心抵抗飞速增长的应用的“零日攻击”问题。 3 互联网数据中心安全防护措施 为保障互联网数据中心的安全，抵御各种威胁和攻击，需要联合使用安全体系中各个层次的安全技术，形成一个完善的安全防预体系。 3.1 虚拟专用网 为了在不安全的互联网中实现企业应用的安全访问和数据的安全传输，虚拟专用网（VPN） 技术无疑是互联网数据中心必不可少的安全技术。VPN 通过互联网建立一个临时的、安全的连接，形成一个穿越公网的安全稳定的虚拟私有广域网。网络的VPN 应用有两种：除了提供防火墙到防火墙的VPN 应用，支持应用在企业分支机构之间互通信息外，还提供移动用户到VPN 防火墙/网关设备的VPN 应用，支持移动办公的IP 地址不固定的企业员工从互联网上对企业内部资源的访问。随着互联网数据中心业务的不断扩大，还需要保障在有限的网络带宽下实现VPN，并提供业务质量（QoS） 保证。目前的趋势是采用网络控制和应用控制，即和身份和访问管理（IAM） 技术结合，提供更灵活的访问控制和安全隔离服务。 3.2 虚拟局域网 数据中心多业务运营的需求，使得数据中心网络中服务器和客户端之间的纵向流量大于服务器之间的横向流量，需要使用虚拟局域网将不同客户的不同业务从第二层隔离开，分配一个VLAN 和IP 子网。专用VLAN 可以有不同安全级别的端口：专用端口与服务器连接，只能与混杂端口通信；混杂端口与路由器或交换机接口相连，也可以和共有端口通信；共有端口之间也可以相互通信，主要用于需要相互通信的客户之间。 3.3 防火墙 防火墙是数据中心网络最基本的安全设备，可以对不同的信任级别的安全区域进行隔离，保护数据中心边界安全，同时提供灵活的部署和扩展能力。DoS 攻击和DDoS 攻击的手段繁多、攻击时流量突然增大，因此防DoS 攻击对防火墙的功能要求