數據中心是數據大集中而形成的集成IT應用環境,它是各種IT應用服務的提供中心,是數據計算、網絡、存儲的中心。隨著企業的高速發展和經營對數據依賴性的增長,數據中心向著更大容量、更高能力、超大規模、多種業務模式和運營模式共存的方向發展,數據中心網絡安全面臨嚴峻的挑戰,對數據安全提出了更高的要求,如何應對IT 中心這樣集中的風險,已成為備受關注的重點。
DDoS攻擊
當前,DDoS攻擊已經成為數據中心面臨的最大威脅。目前DDos攻擊越來越智能,能夠模擬各種正常的上網行為。傳統的網絡安全設備難以防範,導致企業重要的業務中斷,造成嚴重損失。如果防火牆一旦開啟DDoS防護功能,可能會對防火牆的基本轉發,甚至會話表等資源造成巨大的消耗,造成性能極大下降直至宕機。例如近半個月,2016 年 10 月 21 日北京時間 19 點 11 分,美國 DNS 服務提供商 Dyn 遭受大規模 DDoS 攻擊,導致諸多網站停止服務,最終影響了小半個美國互聯網。
黑客入侵
隨著互聯網的發展,黑客入侵行為越來越多。數據中心存儲了企業的關鍵信息資產,成為黑客攻擊的重點。由於服務器上安裝的軟件系統規模越來越大、複雜度越來越高,大量的漏洞不斷湧現。黑客攻擊、蠕蟲病毒、木馬後門、間諜軟件等威脅氾濫,企業的機密數據被盜竊,重要數據被篡改、破壞,遭受了嚴重的經濟損失。
安全隔離
數據中心業務複雜,各區域的安全需求和保護等級各不相同。數據中心需要對自身的網絡資源進行有效的安全區域、等級劃分。安全區域是指在網絡中擁有相同網絡資源訪問權限的主機集合,安全區域的劃分與安全隔離才能保障網絡安全運行,更好的保證數據集中心正常運作。
網絡性能瓶頸
數據集中為數據中心帶來了更大的性能壓力。一方面,所有的企業用戶訪問集中的數據中心,邊界的網絡流量激增;另一方面,計算、存儲、網絡資源的統一融合使數據中心內部的流量大大增加。無論是邊界網絡還是內部網絡都面臨性能瓶頸問題。
數據中心全面的安全防護主要包括:
(1)防禦來自網絡外部的DDoS攻擊,保障數據中心的可用性;
(2)對應用層攻擊進行預防和阻止,不僅能夠檢測入侵的發生,還要能通過一定的響應方式,實時地中止入侵行為的發生和發展,保護信息系統不受實質性的攻擊;
(3)攻擊防範及訪問控制,抵禦來自外部的各種攻擊;在企業內部根據部門的不同安全區域、級別進行隔離;
(4)高密度部署,具備虛擬化能力,低成本地滿足企業各部門專屬安全防護的需要;
(5)高性能,適應數據中心大網絡流量的特點;
(6)高可靠,增加網絡的可靠性。
解決方案:
為了應對以上的問題,數據中心可採取以下防禦解決方案,總共分為四層防護:
第一層防護:DDoS防護——從網絡層到應用層全面防護DDoS攻擊;
第二層防護:網絡邊界應用識別和過濾——配合下一代防火牆對進入數據中心的應用進行識別、過濾和控制,尤其是過濾隱藏在應用數據中的APT攻擊;
第三層防護:數據中心內部應用識別和過濾——企業的應用一般都分為前端服務器,中間件及後端數據庫三個層次, 通過Web應用防火牆和漏洞檢測設備發現和過濾威脅;
第四層防護:虛擬環境防護——雲和虛擬化是的數據中心內部變成了一個龐大的網,裡面包含了無數運行著不同系統和應用的虛擬設備。這些虛擬設備之間的防護至關重要。

相 關 產 品