由于数据中心承载着用户的核心业务和机密数据,同时为内部、外部以及合作伙伴等客户提供业务交互和数据交换,因此在新一代的数据中心建设过程中,安全体系建设成为重点的主题。
文/杜佶
数据中心安全围绕数据为核心,从数据的访问、使用、破坏、修改、丢失、泄漏等多方面维度展开,一般来说包括以下几个方面:
抛开物理安全的考虑,网络是数据中心所有系统的基础平台,网络安全从而成为数据中心安全的基础支持。因此合理的网络安全体系设计、构建安全可靠的数据中心基础网络平台是进行数据中心安全建设的基本内容。
数据中心网络安全建设原则
网络是数据传输的载体,数据中心网络安全建设一般要考虑以下三个方面:
综合以上几点,数据中心的网络安全建设可以参考以下原则:
数据中心网络安全体系设计
为了进行合理的网络安全设计,首先要求对数据中心的基础网络,采用模块化的设计方法,根据数据中心服务器上所部署的应用的用户访问特性和应用的核心功能,将数据中心划分为不同的功能区域。
采用模块化的架构设计方法可以在数据中心中清晰区分不同的功能区域,并针对不同功能区域的安全防护要求来进行相应的网络安全设计。这样的架构设计具有很好的伸缩性,根据未来业务发展的需要,可以非常容易的增加新的区域,而不需要对整个架构进行大的修改,具备更好的可扩展性。因为每个区域的安全功能是根据每个区域的特性进行定义,因此可以在不影响其他应用或者整个区域的情况下单独进行安全部署,对于一次性建设投资或分阶段建设的情况下都可以很好进行网络安全的布局。
采用模块化的架构设计方法将数据中心分为多个功能区域后,由于不同功能区域之间会有相互通讯的需求,因此整个网络架构形成“核心-边缘”的结构特性,如图1所示,以数据中心核心区为中心,其他功能区域与核心区相连,成为数据中心网络的边缘区域。为了更好的保证数据中心的网络性能,数据中心核心区一般只提供高速的数据转发功能,不做安全控制的部署,在这个区域需要重点规划的是核心区的高可靠和高性能保证。
图1 “核心-边缘”安全边界
在这种“核心-边缘”的结构特性下,各功能区域同核心区域相连的接口成为该区域的网络安全边界。从业务和安全控制的角度出发,在各功能区域的边界需要采用一定的技术手段(通常部署防火墙硬件设备)定义成独立的安全区域。不同安全区域之间的网络如果需要相互访问,应该遵从有限互通的原则,按照不同功能区域之间安全信任级别的不同,在安全边界上部署不同的访问控制策略,禁止不同区域之间的网络在不采取任何安全访问控制的前提下直接互通。
安全边界的定义实现了对不同区域之间相互访问的控制,而各个功能区域内根据安全保护等级的要求以及安全访问的特性,需要分别设计各自的网络安全布局。
“点、线、面”安全布局的核心思想是以对不同安全区域被访问主体的访问控制管理为安全防御主线,结合不同区域的安全级别和应用要求,在安全访问“线路”上部署不同的安全“点”设备,并且对整个数据中心区域规划统一的安全事件发现、收集、分析、处理的机制和技术实现,实现安全“面”的统一管理。
这里以互联网模块区对外业务服务器的安全布局为例来说明“点、线、面”的安全布局方法。
图2 互联网业务区
联系客服