隨著互聯網及其相關應用產業的發展,內容更豐富、服務更深層的網絡服務提供商橫空出世。數據中心作為一個重要的網絡服務平臺,它通過與骨干網高速連接,借助豐富的網絡資源向網站企業和傳統企業提供大規模、高質量、安全可靠的專業化服務器托管等業務。
互聯網應用日益深化,數據中心運行環境正從傳統客戶機/服務器向網絡連接的中央服務器轉型。受其影響,基礎設施框架下多層應用程序與硬件、網絡、操作系統的關系變得愈加復雜。這種復雜性也為數據中心的安全體系引入許多不確定因素,一些未實施正確安全策略的數據中心,黑客和蠕蟲將順勢而入。盡管大多數系統管理員已經認識到來自網絡的惡意行為對數據中心造成的嚴重損害,而且許多數據中心已經部署了依靠訪問控制防御來獲得安全性的設備,但對于日趨成熟和危險的各類攻擊手段,這些傳統的防御措施仍然顯得力不從心。
高性能和虛擬化仍然是根本要求
雖然針對數據中心的安全服務遍及各大行業,甚至很多細分行業領域,但是對于數據中心的安全建設要求還是存在一定共性的。Fortinet中國區首席技術顧問譚杰認為,高性能和虛擬化是當前數據中心安全防護解決方案的兩大基礎共性。譚杰進一步解釋道,數據中心,尤其是云計算數據中心的海量業務,對安全系統的吞吐量、延遲和會話能力都提出了極高的要求。關鍵點在于,數據中心中多租戶模式而導致的業務種類繁多的特點,很難事前對大小數據包的比例進行規劃和設計,因此非常需要安全設備的性能對大小包不敏感,即小包(如64字節)性能與大包相同。另外,云計算數據中心的虛擬化場景需要安全解決方案的良好配合。例如:為每個租戶分配不同的虛擬安全設備及管理賬號,讓其自行管理,這就要求安全設備的虛擬化是完整的(包括接口、路由、策略、管理員等各種對象)。另外不同租戶的業務不同,對安全保護的要求也各不相同。例如Web服務商需要IPS,郵件服務商需要反垃圾郵件,這就要求安全設備的所有功能都能在虛擬化之后正常工作。
對于上述觀點,華為安全產品線營銷工程師劉東徽也認為,數據中心防火墻的性能要基于“真實流量”來看,而不是簡單的在某一種特定類型數據流量環境下的性能。目前數據中心的流量主要集中于東西向(數據中心內數據交換),而南北向(數據中心出口)流量較少。但是由于連接請求的基數很大,因此對于防護設備的性能和并發連接數的支持都要求相當高。我們正處于一個大數據的時代,80%-90%的數據都是近兩年產生的,而到2015年,全球的IP流量將會翻四倍,在線人數也將沖擊30億人大關。華為安全產品線營銷工程師石金利補充道,虛擬化的產生,使得服務器、存儲、帶寬等數據中心資源的利用率大幅提升,而產生的影響就是可同時訪問資源的用戶數量極大地膨脹,由此導致了數據中心防護設備對于并發數量的支持要求更高。另外,當數據中心的一臺服務器宕機之后,防火墻要能夠將安全策略動態遷移到冗余的服務器上,實現自動策略部署。因此,數據中心防護設備必須要做到高性能、高可靠性、靈活部署和可擴展。
譚杰對于高性能的需求方面也持認同態度。他表示,當前的云數據中心對安全產品的性能要求達到了前所未有的高度,吞吐量動輒高達百G以上,延遲、小包吞吐率(包轉發率)、會話能力要求也極高。另一方面,機房空間、能耗等也是制約數據中心發展的重要因素。因此節能、環保、綠色也是數據中心安全建設的一大要求。
完全虛擬化還是部分虛擬化?
目前,業界對于云數據中心內部的虛擬化提出了完全虛擬化(即在虛擬化服務器上的一個虛擬機)和部分虛擬化(即一臺防火墻虛擬多臺防火墻)兩種方式來解決云數據中心虛擬機內部流量和虛擬機之間流量的安全檢查問題。
譚杰指出,在云計算時代,虛擬化的確成了防火墻(包括下一代防火墻、UTM等多功能網關)的必備功能。安全部署必須無縫貼合云計算虛擬化的結構。完全獨立的虛擬化,全功能虛擬化。這兩點看似既簡單又理所應當,但實際實現還是有較高技術難度的,需要云計算數據中心的注意。
華為的兩位工程師向記者表示,華為在這兩個方向的虛擬防火墻解決方案上都在努力。同時他們也表示,純虛擬化的防火墻在開啟安全檢查的時候會極大地消耗服務器的性能,也會帶來更高的管理和維護成本。其實,不論是廠商還是用戶都在尋找一個關于服務器上純虛擬化防火墻和出口防火墻部署的平衡點。
Hillstone首席顧問陳懷臨也向記者表示,目前的安全解決方案在東西向流量上趨于要求低延遲和高吞吐。而防火墻一般只用于檢測南北向的流量。尤其是目前Hadoop以及存儲技術的發展,大量的數據在多個數據中心之間快速地流通。因此,對于快速轉發提出了很高的要求,也導致了對于東西向的流量不采用防火墻的現象。而根源是目前沒有合適的產品滿足這種高性能需求。他還舉了一個例子,從數據中心的收斂比來看,如果一個云數據中心做五萬個虛擬機的安全檢查需要200G的吞吐,而目前并沒有性價比更好的防火墻。另外虛擬機之間的安全檢查與以往并無區別,只是虛擬機的增加會對安全檢查提出更高的要求。
然而,陳懷臨對于純虛擬化的防火墻并不認同。“受限于服務器負載,高端的安全檢查并不能在服務器內部做,還是要將流量牽引出來。”陳懷臨如是說。因此,虛擬化的產生對于真正高端的防火墻有很大的需求,前提是價格可以接受。他強調,基于網絡的安全一定是流量牽引出來檢查的方式,純虛擬化的防火墻是個偽命題。因此,流量只在虛擬機內部做安全檢查,對于大規模的數據中心很難做,并不只是服務器本身負載的問題,IT運維一致化也是重點,而現在的數據中心恰恰很難做到運維一致化。因此,從最佳實踐的角度來講,純虛擬化防火墻并不適合,流量牽引出來才是王道。
零日攻擊防范新招數
針對系統缺陷的應用攻擊已成為數據中心面臨的主要威脅。而漏洞發現到攻擊的時間跨度越來越短,甚至來不及打補丁。數據中心應如何應對由應用漏洞產生的安全威脅呢?譚杰認為,零日攻擊的泛濫使得數據中心不能依賴單一功能的安全設備,尤其是僅僅基于特征防御的安全產品。例如WAF(Web應用防火墻)同時通過特征和行為對攻擊進行防御,對Web服務的保護效果就好于IPS。用戶需要的安全解決方案要集多種安全特性(防火墻、IPS、病毒防御、DLP、內容過濾等)于一身,并結合應用層防御技術(如Web應用防護、數據庫安全等),各項安全技術有機結合,互相保護,時刻監控并防御APT攻擊的各種入侵手段,打造一個全方位立體安全體系。
陳懷臨也提出了自己的看法。他認為,傳統基于簽名的檢測方法對于零日攻擊的防護并沒有起到很好的效果。現在大家普遍使用Sandbox(沙盒)來進行模擬,通過虛擬現實的環境來檢查未知惡意軟件,對于未知威脅或者零日攻擊的防護,借用大數據分析的方式,對行為進行主動識別,將是下一個發展方向。大數據與網絡安全的最新文章">網絡安全的結合也將是網絡安全的下一個春天。當然,如果要將全部的判斷都基于行為是否異常來進行,在建模和大數據的分析上都是難點。另外,由于防火墻必須是在主干路上的,因此對于性能和穩定性的要求都很高。雖然對于硬件平臺也提出了新的挑戰,但卻是一個可行的方向,而Hillstone希望引領這個潮流。
事實上,一些安全軟件廠商已經將基于行為的分析用作對于未知惡意軟件的安全檢查之中,并且效果很好。然而,由于大數據也只是新興概念,基于大數據的行為分析究竟價值幾何,還需要時間的驗證。
本地防御和云清洗搭建DDoS" style="color: rgb(0, 0, 0); text-decoration: none; border-bottom-color: rgb(7, 129, 199); border-bottom-width: 1px; border-bottom-style: dotted; " target="_blank" title="DDoS的最新文章">DDoS防御網
目前市場上很多廠商的防火墻中都含有Anti-DDoS功能,然而,防火墻和IPS是否可以有效保護網絡設施免受DDoS侵害呢?石金利認為,如果防火墻中的Anti-DDoS功能不是單獨的板卡,是不能防御DDoS攻擊的。對于DDoS的防護,必須要使用專用的Anti-DDoS設備。作為電信運營商流量清洗業務的合作伙伴,合泰云天創始人郭慶表示,防火墻與入侵檢測IPS通常串行部署在網絡下游的網關位置,是基于狀態檢測的訪問控制系統,本身就是DDoS的一個攻擊目標,在設備新建連接與狀態連接耗盡時成為網絡瓶頸。DDoS防護的最佳實踐應該是:流量清洗中心與運營商BGP路由調度控制。
石金利認為,如果防火墻中的Anti-DDoS功能不是單獨的板卡,一旦開啟DDoS防護功能,可能會對防火墻的基本轉發,甚至會話表等資源造成巨大的消耗,造成性能極大下降。對于DDoS的防護,必須要使用專用的Anti-DDoS設備或者專門的板卡。對于滿帶寬的DDoS攻擊,在鏈路上游對于流量的清洗是DDoS防御最為有效的方式。然而,從統計數據來看,數據中心發生的攻擊90%以上不足以造成數據中心出口帶寬擁塞,基本是以業務癱瘓型攻擊為主,只有10%不到的攻擊是將數據中心的鏈路完全擁塞的。因此,如果是應用型的DDoS攻擊,由于流量在本地帶寬控制以內,所以本地清洗即可,一旦遇到針對基礎設施的大流量擁塞型泛洪攻擊,在鏈路上游的清洗還是必要手段。最完美的方式是將數據中心側和運營商側進行聯動,實現分層防御。即運營商側管道擁塞型攻擊,數據中心側防范業務癱瘓型DDoS攻擊。華為的Anti-DDoS解決方案目前在運營商側有廣泛應用,結合數據中心側的Anti-DDoS可以實現全網聯動的“云清洗”戰略。
隨著黑客技術發展、網絡帶寬的普遍增加、僵尸主機數量的不斷擴大,現在的業務癱瘓型攻擊也不再是以前的百兆級別的了。在2012年,發現數起千兆級別的CC攻擊,因此高性能是數據中心DDoS防護方案的重點。同時,對于攻擊防護的設備精準度也必不可少。一方面,能夠精準識別每一次攻擊;另一方面,誤判更是客戶不能容忍的。現在,智能終端的普遍應用會給傳統的防護設備帶來更多的挑戰,如何保證智能終端訪問不受影響成為新的課題。
郭慶認為,雖然造成鏈路癱瘓的攻擊數量上少于出口帶寬,但正是這種DDoS攻擊對數據中心系統,甚至整個數據中心造成致命傷害。這時,數據中心需要考慮投入產出比,雖然不能一味地增加對于DDoS防護的投入。當問及數據中心在DDoS防護上的投入應該如何做預算時,郭慶說道:“數據中心一年受到DDoS大面積影響的總小時數期間損失利潤的20%-30%作為流量清洗投資的預算較為合適。”
他談到在大規模DDoS攻擊發生時,整個網絡的上下游均出現故障,實現最佳的防御效果需要三個條件:1. 有經驗和技能的清洗專家; 2. 與上游運營商的熱線機制; 3. 快速檢測攻擊變化與應急災備能力。云清洗是DDoS防護的大趨勢,厲害的DDoS攻擊者手法多,變化快,時常需要定制正則語法來清洗,大規模攻擊的清洗位置越靠近上游越好。云清洗服務商需要具備自治域AS號進行BGP路由調度控制與DNS全網策略控制能力,才能帶給客戶良好的網絡服務品質。
他進一步闡述道:頁面被篡改,數據泄露這種事情客戶是不會找運營商的,一般是自己關起門來商量對策。所以運營商在上游只需清洗大流量攻擊,清洗開通后的關鍵是防止誤殺正常業務,這方面運營商需要專業的清洗技術服務。不過最近一些新型的攻擊導致客戶系統提供不了服務,如訪問出錯、頁面訪問緩慢,客戶也會找到運營商一起判斷處理。這些新型的攻擊很多時候對性能有較大影響,嚴重的時候引起系統會宕機,有時很難快速分清現象根源,這也是需要專業清洗技術服務的原因。
郭慶還強調,云清洗是DDoS防御最終的發展方向,大規模DDoS清洗方向是運營商主導的云清洗聯盟機制,中小規模DDoS清洗方向是云清洗專業服務商。
今天,以云數據中心為依托提供各種服務的商業模式已日漸明朗。因此,云數據中心自身的可用性一直是業務永續運行的關鍵因素,談云的信息安全威脅,首先要在可用性的前提下才能進一步解決信息的完整性與保密性方面的問題。
譚杰指出,安全邊界的模糊使得內網安全與外網安全同等重要。因此建議數據中心構建者做到如下四件事:第一,能夠嚴格地按區域劃分,不同的租戶,不同的應用劃分至不同的安全域,使用安全產品進行隔離與保護;第二,部署端到端的安全防御手段。例如運行在VM上的安全設備,可以將防御能力部署到每一臺物理服務器上;第三,對網絡訪問行為進行嚴格管理。通過技術和管理手段規范BYOD行為,對僵尸網絡、網絡濫用等進行有效防御;第四,使用多功能安全網關(如下一代防火墻或UTM)來替代傳統防火墻,在保護業務流量時,出于性能考慮,可能只會用到防火墻、IPS等功能,但在保護管理流量時,可啟用二至七層的多種安全功能(防病毒、應用控制、BYOD管理、內容過濾、數據泄漏防護、VPN等)。業務流和管理流劃分至不同的虛擬設備中,保證各自的獨立性。
石金利在采訪最后表示,在大數據發展的驅動下,未來高性能數據中心防火墻會在兩個方面發展。第一,大型數據中心或者云數據中心中,用戶訪問數據中心,以及數據中心直接的訪問流量都會導致南北向流量繼續增長,導致大型數據中心出口帶寬流量會由目前的超過200Gbps,到2015年將接近1Tbps的水平。第二,數據中心中的應用類型變得越來越多樣化。數據中心流量傳輸不僅會在用戶與設備間(如網頁瀏覽),也可能存在于用戶與用戶間(如社交軟件),以及設備與設備(如GPS)之間。接入數據中心的設備類型也變得更加多種多樣。同時,伴隨虛擬化的發展,進一步復雜化了業務模型。作為放置在數據中心出口的防火墻,需要適應在更加復雜的應用流量模型下提供更高的處理性能,以適應大數據發展。