三大要素+六个魔法 = 数据中心安全

随着各种业务都逐渐搬到了线上进行，企业和机构的日常运行越来越依赖于数据中心，数据中心的优劣会直接影响到企业的日常的运营——包括企业业务的安全性能否保障。数据中心的安全性和用户的隐私、线上业务的稳定性以及企业的虚拟资产息息相关。而联网设备和应用激进，也增加了大量的新的攻击入口，传统的安全边界方法已不足以保护动态的应用和工作负载。

作为一家全球领先的网络公司，思科针对这个问题提出了他们的解决方案。最近，安全牛了解了思科提出了数据中心安全需要三个必备要素：可视、分段以及威胁防御。

三大要素：可视、分段、威胁防御

在现代的多云环境下的数据中心，需要依靠三大要素构建起安全：可视、分段以及威胁防御。

如果企业、机构无法知道自己环境里到底有哪些设备、用户、网络、应用、服务以及进程，显然他们是无法真正做到防御的——因为他们甚至不知道自己该保护的东西有哪些，在哪里。因此，对于一个数据中心而言，可视化是安全的第一要点。企业需要全数据中心的可视化功能来实时监控自己的环境——知道自己网络有哪些设备、用户、服务，知道自己的网络里在发生着哪些行为、事件。因此，通过可视化功能，企业与机构不仅能知道自己环境中是否存在异样的 活动者，更可以通过观测各个实体的行为来察觉是否有异样。

分段则将一个庞大的系统分为一个个小系统。从管理上来看，技术人员不再需要单独处理一个极其复杂的系统，而是可以将这些系统作为一个个小系统单独对待，从而对各个系统有更好的管控。而从安全的角度上来看，分段的最大价值在于缩小了企业的受攻击面。通过进行分段，管理者可以对东西流量进行控制，从而防止攻击者以及异常数据在东西向移动，确保内部安全。攻击者的目标往往是数据中心中高价值的资产，采取分段后，攻击者将难以直接接入系统获取权限；企业从而可以避免了大部分的攻击。其次，在对整个系统进行分段后，企业可以针对业务对相关功能进行管理以及特殊配置，满足各种合规要求——而不需要对整个系统进行改变去满足合规需求，从而以更低廉的成本满足合规的需求。

无论布置了怎样完备的安全措施，攻击始终是无法避免的。而对于企业和机构来说，当攻击无法避免的时候，就需要快速探知攻击，从而降低甚至规避损失。几乎所有企业都在处于受到攻击的状态，只是大部分企业都没有意识到自己受到了攻击。现代数据中心面临着各种挑战：跨中心跨平台的工作负载、工作面随着移动应用的使用而增加、员工的终端被恶意代码植入成为了攻击的 发起点等等。企业需要从之前的“是否会受到攻击”以及“如何完全防御攻击”的思维过渡到“何时会受到攻击”以及“如何感知甚至预测攻击”的思维。因此，企业需要多层威胁防御方案，对到来的攻击快速进行探知以及响应，防止攻击者窃取数据或者中断业务。

新时代的数据中心只有满足了这三大要素，才能真正为自己的用户提供数据中心的安全能力。这三大要素需要达成的最终目的是通过可视化对数据中心进行全局的掌控，通过分段缩小自己的受攻击面，通过威胁防御来阻止攻击的蔓延。将这三个要素一体化达成，是思科对数据中心安全的核心思想。

六大安全魔法

基于可视、分段和威胁防御的思想，思科有六大解决方案来确保数据中心安全。

1. Fire power NGFW

现今大部分的NGFW即使能做到对应用端的管控，也还是很少有威胁防御的能力。而即使部分NFGW试图去增强这部分的能力，他们的策略也仅仅是加上各种非一体化的产品——但是这种方式显然杯水车薪，因为他们无法应对更为老道的攻击者或者更先进的恶意软件，也无法在事中减小感染面、对受攻击部分进行隔离，更不要提快速恢复。而思科的Firepower NGFW则做到了对防火墙、应用管理、威胁防范以及网对端的高级恶意软件防护的一体化防御，可以做到接入控制、阻挡攻击和恶意软件，并且即使无法成功防御住攻击，也有一体化工具去追查攻击情况并且进行恢复，达成了威胁防御的需求。

2. Stealthwatch

Stealthwatch为企业提供对流量连续的实时监控。因此，企业得以对环境有一个可视化的掌控，从而能更快地对可疑行为采取行动。Stealthwatch通过创建一个正常网站运营的基线，然后使用环境感知自动探测环境中的非正常行为。针对常见的恶意软件、DDoS攻击，甚至零日攻击和APT攻击都能进行有效的防御。而另一方面，随着https的普及越来越广泛，服务器接收加密流量、加密文件已经逐渐成为常态，而越来越多的攻击方式也采取了加密流量的来越过防御机制。而一旦对加密流量和加密文件进行逐一的解密分析，会严重降低数据中心的处理能力，使业务能力受到影响。然而，Stealthwatch可以在无需解密的情况下利用机器学习，识别恶意的加密流量，准确率高达99.9%，确保安全的同时不影响业务的运行。

3. 面向终端的高级恶意软件防护（AMP for Endpoints）

即使在网络层面进行了大量的保护，终端防护依然是安全的最后一道屏障。AMP for Endpoints是一个基于云的终端安全解决方案，在网络层的防御被攻破后，提供对终端的防御、检测以及响应能力。AMP for Endpoints对所有到达服务器系统的文件进行分析，在影响系统前发现恶意代码，从而进行隔离保护。

4.应用为中心的基础设施（ACI）

尽管在网络设计和业务运维上，分段可以帮助企业带来更好的安全性，但是最终依然需要一个统一的管控对全局进行把握。ACI作为思科SDN的解决方案，ACI将物理层与虚拟层整合成为一个可编程的多层数据中心,对整个网络环境的各个分段有着统一部署安全策略的能力。更为重要的是，从安全的角度来看，ACI可以完整查看应用的系统架构，拥有集中的应用级可视性，可以对物理层和虚拟层的实时应用状况进行监控，确保随时能够发现异样情况。

5.Tetration平台

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!