引言
隨著IT應用程度的日益提高,數據中心對于客戶的價值與日俱增,相應的,數據中心的安全建設也迫在眉睫。另外,信息安全等級保護、ISO27001等標準也對數據中心的安全建設提出了技術和管理方面的要求。
業務不同,數據中心的網絡建設需求也不同。如何區分不同需求的數據中心,從而進行安全等級劃分,在上期的《由糧倉防鼠談數據中心安全按需規劃》一文中已進行了闡述。本文將從技術角度出發,深入分析設計數據中心方案時需要考慮的若干安全問題,最后提出數據中心方案設計的參考模型。
數據中心的安全需求有些是通用性的,如分區和地址規劃問題、惡意代碼防范問題、惡意入侵問題等;有些是獨有的保密性需求,比如雙層安全防護、數據庫審計等;有些是獨有的服務保證性需求,比如服務器、鏈路和站點的負載均衡、應用系統優化等。總體來看,數據中心解決方案對于安全的需求可以從四個緯度來衡量:1、通用安全性需求;2、業務信息保密性需求;3、業務服務保證性需求;4、業務安全績效性需求。
1 數據中心面臨的主要威脅
數據中心面臨的主要威脅從4個角度分類后,下表列舉了部分具有代表性的威脅:
2 威脅舉例和應對方案
2.1 通用安全類
2.1.1攻擊者通過惡意代碼或木馬程序,對網絡、操作系統或應用系統進行攻擊:
威脅舉例
在早期Apache Web服務器版本上的phf CGI程序,就是過去常被黑客用來讀取服務器系統上的密碼文件(/etc/password)、或讓服務器為其執行任意指令的工具之一。因此防御系統就會直接對比所有URL request中是否出現“/cgi-bin/phf”的字符串,以此判斷是否出現phf 攻擊行為。
攻擊者在進行攻擊時,為避免被入侵檢測系統發現其行為,可能會采取一些規避手法,以隱藏其意圖。
例如:攻擊者會將URL中的字符編碼成16進制的“%XX”,此時“cgi-bin”就會變成“%63%67%69%2d%62%69%6e”。這就好比把“今天天氣不錯”翻譯成“It’s a fine day today”,給一個中英文都懂的人聽,雖然表達形式不同,但效果是一樣的。這樣,單純的字符串對比就會忽略掉這串編碼值內部代表的意義。
攻擊者也可將整個request在同一個TCP Session中切割成多個僅內含幾個字符的小Packet,防御系統若沒將整個TCP session重建,則僅能看到類似“GET”、“/cg”、“i”、“-bin”、“/phf”的個別Packet。這就好比把一只95式自動步槍拆成刺刀、槍管、導氣裝置、瞄準裝置、護蓋、槍機、復進簧、擊發機、槍托、機匣和彈匣,然后分成11個包裹郵遞出去一樣。類似的規避方式還有IP Fragmentation Overlap、TCP Overlap 等各種較復雜的欺瞞手法。
安全建設目標
·應具有能夠檢測、集中分析、響應、阻止對網絡和所有主機的各種攻擊的能力
·應具有對網絡、系統和應用的訪問進行嚴格控制的能力
·應具有對數據、文件或其他資源的訪問進行嚴格控制的能力
·應具有惡意代碼檢測、集中分析、阻止和清除能力
·應具有防止惡意代碼在網絡中擴散的能力
·應具有對惡意代碼庫和搜索引擎及時更新的能力
技術解決方案
在網絡核心部署防火墻進行訪問控制,基于最小授權原則保證對網絡、系統和應用的訪問進行嚴格控制。
通過在數據中心前部署應用層防御,保證了對URL request請求的檢測、實時阻止的能力。此時,方案需采用語法分析的狀態機技術保證對于類似“GET”、“/cg”、“i”、“-bin”、“/phf”的分片報文攻擊和“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”等的變種攻擊的檢測和阻止;方案還需要采用一種攻擊、多種特征匹配的方式解決16進制攻擊碼流的問題。
同時,需要整合攻擊事件日志進行安全分析,找出攻擊源并對整網的安全設施進行調整。
2.1.2、內部人員未經授權接入外部網絡、或下載/拷貝軟件或文件、打開可疑郵件時引入病毒。
威脅舉例
前段時間,網絡中有多個利用《功夫之王》傳播的病毒,其中以“AV終結者變種”和艾妮蠕蟲變種危害最大。它們運行后,劫持安全軟件,并通過網絡自行下載更多其它病毒到電腦中運行。經分析,下載列表的病毒中大部分是盜號木馬,它們瞄準用戶的網游、網銀密碼等敏感信息,給用戶的網絡財產安全帶來極大隱患。
安全建設目標
為了避免此類安全威脅,除以下惡意代碼防護的建設目標外:
·應具有對惡意代碼的檢測、集中分析、阻止和清除能力
·應具有防止惡意代碼在網絡中擴散的能力
·應具有對惡意代碼庫和搜索引擎及時更新的能力
還需增加如下建設目標:
·應具有網絡邊界完整性檢測能力
·應具有切斷非法連接的能力
·應具有防止未經授權下載、拷貝軟件或者文件的能力
·應確保對人員行為進行控制和規范
技術解決方案
最保險的辦法當然是OA互聯網出口和數據中心互聯網出口相分離。物理上隔離成OA網絡和生產網絡。生產網絡不允許終端對于互聯網的訪問。
另外,還應采取四項措施:
1、無論OA、生產網的終端,都需要保證正版殺毒軟件進行全面監控,開啟殺毒軟件自動更新功能,保持對最新病毒的防御能力。
2、網頁掛馬利用的漏洞多有軟件補丁,需要保證終端及時打補丁。
3、通過對終端的檢查,杜絕非法內聯和外聯,保證邊界完整性。
4、通過全網聯動,實現切斷非法行為的功能。使得木馬等程序不能和外界進行通訊,保證機密信息不會外泄。
2.2 業務信息安全類
2.2.1、利用技術或管理漏洞,未經授權修改重要系統數據或系統程序并否認自己的操作行為
威脅舉例
公司內部經常有外來人員協同工作,對于網絡的訪問缺乏認證系統,能夠無阻攔的訪問核心數據庫(以Oracle為例),對數據庫的增/刪/改沒有技術手段進行事后追蹤。
安全建設目標
·應該有保證數據庫被合法人員訪問的能力
·應該有識別和記錄對數據庫操作的能力,包括插入、刪除、存儲等操作,并精確到SQL語句
技術解決方案
通過旁路部署的方式,把對數據庫的訪問流量進行鏡像,能夠在數據庫感知不到的前提下完成關鍵數據庫的審計。方案能夠詳細記錄訪問數據庫的用戶信息,包括:用戶訪問時間、下線時間、用戶名、訪問服務器的IP地址以及用戶的IP地址信息;同時記錄下用戶的所有操作(包括但不限于select、insert、create、update、delete、grant和commit等)。
2.3 業務服務保證類
2.3.1、攻擊者利用分布式拒絕服務攻擊等拒絕服務攻擊工具,惡意消耗網絡、操作系統和應用系統資源,導致拒絕服務
威脅舉例
分布式拒絕服務(DDoS)攻擊工具“Tribe Flood Network 2000 (TFN2K)”是由德國著名黑客Mixter編寫的同類攻擊工具TFN的后續版本。
TFN2K通過主控端利用大量代理端主機資源對一個或多個目標進行協同攻擊。當前互聯網中的UNIX、Solaris和Windows NT等平臺的主機都能被用于此類攻擊,而且這個工具非常容易被移植到其它系統平臺上。
TFN2K由兩部分組成:主控端主機上的客戶端和代理端主機上的守護進程。主控端向其代理端發送攻擊指定的目標主機列表,代理端據此對目標進行拒絕服務攻擊。整個TFN2K網絡可能使用不同的TCP、UDP或ICMP包進行通訊。對目標的攻擊方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST PING(SMURF)數據包flood等。
安全建設目標
·應具有限制網絡、操作系統和應用系統資源使用的能力
·應具有能夠檢測、集中分析、響應、阻止對網絡和所有主機的各種攻擊的能力
·應具有合理分配、控制網絡、操作系統和應用系統資源的能力
技術解決方案
由于DDoS攻擊并非頻繁發生,所以在網絡中串接設備進行防御一般被認為是不必要并且增加故障點的。目前的防御方案向兩個方向發展:一是在防火墻、IPS等設備上面完成防御,優點是不需要額外部署設備且不引入新的故障點;缺點是功能易重疊且只能完成一般攻擊防范,對于大流量的環境和復雜的攻擊類型捉襟見肘。二是部署專業的抗DDoS工具,平時旁路部署,鏡像流量進行分析,一旦發生攻擊,通過路由進行引流清洗。優點是對現網業務影響最小,且防護全面;缺點是部署成本高。
2.3.2、緩慢的網絡響應時間和糟糕的應用性能制約生產力提升,造成無意義的TCO提高
威脅舉例
服務器負載不均衡的情況很常見,所以一般情況下都會采用服務器負載均衡的技術手段發揮服務器集群的最大作用。然而,隨著WEB應用的增多,越來越多的網上保密業務采用了SSL加密,給服務器帶來較大負擔;帶寬資源的緊張,也經常成為系統的瓶頸,導致最終用戶處響應時間慢。南北運營商互通問題、鏈路如何冗余問題都是提高業務響應所面臨的嚴峻挑戰。
安全建設目標
·應具有能夠在服務器之間平衡流量的能力
·應具有能夠在不同的出口鏈路之間平衡出入流量的能力
·應具有能夠在不同的站點之間平衡流量的能力
·應具有能夠在不同鏈路中基于一定算法進行最優選擇的能力
·應具有能夠在帶寬資源成為瓶頸的情況下,提高響應速度的能力
·應具有能夠降低服務器協議處理、減輕擴容壓力的能力
技術解決方案
通過GSLB實現不同數據中心之間的負載均衡,保證用戶對于站點的訪問最優;通過在數據中心服務器集群前部署服務器負載均衡,保證集群的整體處理能力最優;通過出口鏈路處部署鏈路負載均衡技術,對出入方向的流量,基于最小響應時間等實現方式進行處理;通過硬件實現TCP協議處理、SSL卸載和TCP快啟動等協議優化需求,降低服務器的CPU占用率;通過基于GZIP等的數據壓縮和解壓縮,保證用戶最短的等待時間。
2.4 安全建設績效類
2.4.1、業務流量變化、業務種類變化導致數據中心需要調整
威脅舉例
目前所有的數據中心,其運營、維護的成本都居高不下,并且其基礎設施建構維護的費用也很高。其中一部分原因來自于數據中心的應用種類太多太復雜,從而造成很多非標準化的應用和需求,導致運營成本增加。
業務的運作是不停變化的,新業務對計算資源的需求也就隨之不斷變化。有時候會有更新的業務或者是老業務的淘汰,數據中心的基礎設施很難適應業務變化。
安全建設目標
·應具有能夠預測業務流量變化的能力
·應具有能夠在業務變化時安全策略部署不影響其他業務的能力
技術解決方案
通過類似NetStream/NetFlow等技術的部署,可以從多角度對網絡流量進行統計分析,包括基于接口的總體流量趨勢分析、應用流量分析、節點(包括源、目的IP)流量統計、會話流量等多種信息,真正實現網絡流量透明化,從而能夠提前對急需進行的業務調整做出準備。
采用虛擬化技術也是解決業務變化帶來的管理問題的一個辦法。縱向上,虛擬化技術能夠把網絡資源化,業務增刪的時候,通過虛擬防火墻等虛擬化技術不僅可以保證每種業務都能資源獨享,并且不會對其他業務造成影響。橫向上,虛擬化技術可以把網絡資源簡單化,例如,通過IRF等技術,能夠實現業務的快速部署。
2.4.2、全網設備管理存在門戶不同、管理分散,導致定位問題緩慢且沒有有效的技術手段制成IT規劃、決策
威脅舉例
數據中心資源的部署都非常離散,路由設備、交換設備、存儲資源、認證系統、計費系統等IT設備及系統的管理是分而治之,呈現割裂態勢,無法形成統一管理,在日益強調IT管理的新時期,愈發不合時宜。
安全建設目標
·應具有能夠提供安全管理手段,有效處理網絡、系統和應用的安全事件,一站式定位網絡安全問題的能力
·應具有能夠對網絡、系統和應用的統一管理的能力
技術解決方案
通過收集網絡、安全、主機、應用、存儲的各種日志,把網絡內的所有資源作為嗅探器,保證全網的安全事件能夠在同一個平臺進行整合,不同格式的日志信息能夠歸一化存儲。采用數據挖掘技術提取有效信息,并通過安全拓撲等圖形化形式進行直觀表達。
通過對SNMP、TR069等協議的支持,保證對網絡資源的統一管理;通過認證、審計等技術手段,以用戶為本,靈活分配IT資源;基于業務需求,進行IT資源分配保證。充分考慮IT環境組成的三個要素——人、業務、資源,將各類資源進行整合、統一管理,使得IT系統實現端到端的過程管理。
3 數據中心解決方案邏輯模型
綜合數據中心安全需求的四個角度,可以對數據中心的網絡、安全、主機等資源的安全性、可用性、可管理性等方面得出系統的分析。每個數據中心解決方案在不同維度都會有不同的要求,整體形成一個不規則四邊形完成對數據中心需求的覆蓋。
4 總結
從安全的角度看數據中心建設,不僅僅是看數據中心如何部署安全基礎設施,還包括數據中心分區、地址規劃、路由設計等多方面。
本文只是從四個角度簡單分析了實際問題、解決方法和具體方案。由于數據中心業務的差異,其建設需求必然存在較大不同。基于以上方法進行數據中心的定制化設計是大多數情況下的選擇。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:從安全的角度分析數據
相關文章
