数据中心解决方案安全技术白皮书

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

数据中心解决方案安全技术白皮书1.1前言数据集中是管理集约化、精细化的必然要求,是企业优化业务流程、管理流程的的必要手段。目前,数据集中已经成为国内电子政务、企业信息化建设的发展趋势。数据中心的建设已成为数据大集中趋势下的必然要求。做为网络中数据交换最频繁、资源最密集的地方,数据中心无疑是个充满着巨大的诱惑的数字城堡,任何防护上的疏漏必将会导致不可估量的损失,因此构筑一道安全地防御体系将是这座数字城堡首先面对的问题。1.2数据中心面对的安全挑战随着Internet应用日益深化,数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型,受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显现的力不从心。以下是当前数据中心面对的一些主要安全挑战。1.2.1面向应用层的攻击常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等,最典型的应用攻击莫过于“蠕虫”。蠕虫是指通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪。从本质上讲,蠕虫和病毒的最大的区别在于蠕虫是通过网络进行主动传播的,而病毒需要人的手工干预(如各种外部存储介质的读写)。蠕虫有多种形式,包括系统漏洞型蠕虫、群发邮件型蠕虫、共享型蠕虫、寄生型蠕虫和混和型蠕虫。其中最常见,变种最多的蠕虫是群发邮件型蠕虫,它是通过EMAIL进行传播的,著名的例子包括求职信、网络天空NetSky、雏鹰BBeagle等,2005年11月爆发的Sober蠕虫,是一个非常典型的群发邮件型蠕虫。而传播最快,范围最广、危害最大是系统漏洞型蠕虫,例如利用TCP445端口进行传播的windowsPnP服务漏洞到2006年第一季度还在肆虐它的余威。图1应用协议攻击穿透防火墙应用攻击的共同特点是利用了软件系统在设计上的缺陷,并且他们的传播都基于现有的业务端口,因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检测功能的防火墙。国际计算机安全协会ICSA实验室调查的结果显示,2005年病毒攻击范围提高了39%,重度被感染者提高了18%,造成的经济损失提高了31%,尤为引人注意的是,跨防火墙的应用层(ISO7层)攻击提高了278%,即使在2004年,这一数字也高达249%。摆在我们面前的大量证据表明,针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。造成应用攻击的根本原因在于软件开发人员编写程序时没有充分考虑异常情况的处理过程,当系统处理处理某些特定输入时引起内存溢出或流程异常,因此形成了系统漏洞。黑客利用系统漏洞可以获得对系统非授权资源的访问。来自CERT(计算机紧急事件相应组)报告指出,从1995年开到2004年已有超过12,000个漏洞被报告,而且自1999年以来,每年的数量都翻翻,增长如此迅猛,如下图所示:图文图21995-2005CERT/CC统计发现的漏洞如此多的漏洞,对数据中心意味着什么?系统安全小组必须及时采取行动获得补丁程序、测试、最后将其部署在服务器上,为什么不直接给服务器打补丁呢?因为不能保证补丁对应用系统没有影响,为了以防万一,必须对补丁程序进行测试和验证,然后才允许将其投入生产系统。从补丁程序获得、测试和验证,再到最终的部署,完成这一系列任务需要多长时间?答案是,可能需要几个小时到几天,而在此期间攻击可能已经发生,损失已无法挽回。这也就是所谓的“零时差攻击”。如下表所示,从系统漏洞被发现到产生针对性应用攻击的时间已从以年计算降至以天,以小时计算。试想一下,这是一个何等恐怖的情况,数据中心庞大的服务器群还未来得及做出任何反应即遭到黑客发动的“闪击战”,大量敏感数据被盗用、网络险入瘫痪…|…。因此,数据中心面临的另一个严峻问题是如何应对由应用攻击造成的“零时差”效应。1.2.2面向网络层的攻击除了由于系统漏洞造成的应用攻击外,数据中心还要面对拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)的挑战。DOS/DDOS是一种传统的网络攻击方式,然而其破坏力却十分强劲。据2004美国CSI/FBI的计算机犯罪和安全调研分析,DOS和DDOS攻击已成为对企业损害最大的犯罪行为,超出其他各种犯罪类型两倍。常见的DDOS攻击方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已发现的DOS攻击程序有ICMPSmurf、UDP反弹,而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo和Stacheldraht等。DOS/DDoS攻击大行其道的原因主要是利用了TCP/IP的开放性原则,从任意源地址向任意目标地址都可以发送数据包。DOS/DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源,从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起,在攻击目标的CPU速度不高、内存有限、网络带宽窄的情况下效果是明显的。随着网络和系统性能的大幅提高,CPU的主频已达数G,服务器的内存通常在2G以上,此外网络的吞吐能力已达万兆,单机发起的DoS攻击好比孤狼斗猛虎,没有什么威胁。狼的习性是群居,一只固然势单力薄,但如果群起而攻之,恐怕猛虎也难抵挡,这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话,攻击者使用10台攻击机、100台呢共同发起攻击呢?DDoS就是利用大量的傀儡机来发起攻击,积少成多超过网络和系统的能力的极限,最终击溃高性能的网络和系统。数据中心绝不允许DOS/DDOS垃圾报文肆虐于网络之中,因此如何实施边界安全策略,如何“拒敌于国门之外”将是数据中心面临的又一个挑战。1.2.3对网络基础设施的攻击数据中心象一座拥有巨大财富的城堡,然而坚固的堡垒最容易从内部被攻破,来自数据中心内部的攻击也更具破坏性。隐藏在企业内部的黑客不仅可以通过应用攻击技术绕过防火墙,对数据中心的网络造成损害,还可以凭借其网络构架的充分了解,通过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段,访问非授权资源,这些行将对企业造成更大的损失。“木桶的装水量取决于最短的木板”,涉及内网安全防护的部件产品非常多,从接入层设备到汇聚层设备再到核心层设备,从服务器到交换机到路由器、防火墙,几乎每台网络设备都将参与到系统安全的建设中,任何部署点安全策略的疏漏都将成为整个安全体系的短木板。“木桶的装水量还取决于木板间的紧密程度”,一个网络的安全不仅依赖于单个部件产品的安全特性,也依赖于各安全部件之间的紧密协作。一个融合不同工作模式的安全部件产品的无缝安全体系必须可以进行全面、集中的安全监管与维护。因此,数据中心的安全防护体系不能仅依靠单独的某个安全产品,还要依托整个网络中各部件的安全特性。2技术特色2.1三重保护,多层防御图3数据中心三重安全保护以数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性的交换机构成数据中心网络的第一重保护;以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS提供对网络报文深度检测,构成对数据中心网络的第二重保护;第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。用一个形象的比喻来说明数据的三重保护。数据中心就像一个欣欣向荣的国家,来往的商客就像访问数据中心的报文;防火墙是驻守在国境线上的军队,一方面担负着守卫国土防御外族攻击(DDOS)的重任,另一方面负责检查来往商客的身份(访问控制);IPS是国家的警察,随时准备捉拿虽然拥有合法身份,但仍在从事违法乱纪活动的商客(蠕虫病毒),以保卫社会秩序;具有各种安全特性的交换机就像商铺雇佣的保安,提供最基本的安全监管,时刻提防由内部人员造成的破坏(STP攻击)。图文图4数据中心多层安全防御三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系,如图。交换机提供的安全特性构成安全数据中心的网络基础,提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上,通过状态防火墙可以把安全信任网络和非安全网络进行隔离,并提供对DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络应用层的保护。2.2分区规划,分层部署在网络中存在不同价值和易受攻击程度不同的设备,按照这些设备的情况制定不同的安全策略和信任模型,将网络划分为不同区域,这就是所谓的分区思想。数据中心网络根据不同的信任级别可以划分为:远程接入区、园区网、Internet服务器区、Extranet服务器区、Intranet服务器区、管理区、核心区,如图。图5数据中心分区规划思想所谓多层思想(n-Tier)不仅体现在传统的网络三层部署(接入-汇聚-核心)上,更应该关注数据中心服务器区(ServerFarm)的设计部署上。服务器资源是数据中心的核心,多层架构把应用服务器分解成可管理的、安全的层次。“多层”指数据中心可以有任意数据的层次,但通常是3层。按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐患,增强了扩展性和高可用性。如图,第一层,Web服务器层,直接与接入设备相连,提供面向客户的应用;第二层,即应用层,用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器;第三层,即数据库层,包含了所有的数据库、存储和被不同应用程序共享的原始数据。图6数据中心分层部署思想3关键技术说明本节将按照“三重保护、多层防御”的思想,详细说明每种安全技术的应用模式。本节的最后还将介绍另一个不容忽视的问题-“数据中心网络管理安全技术”。图7数据中心基础架构安全相关架构1.基于VLAN的端口隔离交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的服务器之间完全没有互访要求时,可以设置各自连接的端口为隔离端口,如图。这样可以更好的保证相同安全区域内的服务器之间的安全:?即使非法用户利用后门控制了其中一台服务器,但也无法利用该服务器作为跳板攻击该安全区域内的其他服务器。?可以有效的隔离蠕虫病毒的传播,减小受感染服务器可能造成的危害。比如:如果Web服务器遭到了Code-Red红色代码的破坏,即使其它Web服务器也在这个网段中,也不会被感染。图8交换机IsolatedVlan技术2.STPRoot/BPDUGuard基于Root/BPDUGuard方式的二层连接保护保证STP/RSTP稳定,防止攻击,保障可靠的二层连接。如图。图9交换机RootGuard/BPDUGuard技术lBPDUGuard对于接入层设备,接入端口一般直接与用户终端(如PC机)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移;当这些端口接受到配置消息(BPDU报文)时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑的震荡。这些端口正常情况下应该不会收到生成树协议的配置消息的。如果有人伪造配置消息恶意攻击交换机,就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后,如果边缘端口收到了配置消息,系统就将这些端口shutdown,同时通知网管。被shutdown的端口只能由网络管理人员恢复。推荐用户在配置了边缘端口的交换机上配置BPDU保护功能。lROOTGuard由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根交换机有可能会收到优先级更高的配置消息,这样当前根交换机会失去根交换机的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导

1 / 26
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功