思科数据中心安全解决方案-200603

保护整合数据中心的集成化、深度防御方式概述整合数据中心资源以实现更高效率的数据中心管理员必须考虑这些改变对安全有何影响。思科系统公司®提供了一种集成化、深度防御数据中心安全策略，使管理员将数据中心划分为安全“分区”，对每个应用执行相应的安全政策，并抑制病毒或蠕虫攻击的潜在影响。此策略利用了业务就绪数据中心架构和思科®网络平台中的集成安全性。挑战对恶意活动来说，数据中心是极具吸引力的目标。未正确保护的数据中心是黑客和蠕虫的攻击对象，会导致大规模、代价昂贵的破坏。不幸的是，在上世纪90年代经济迅猛发展期间快速组建的数据中心，在构建时很少注重安全性，而且因此而引发的许多应用及存储“孤岛”也常成为攻击的漏洞并遭到破坏。互联网蠕虫和病毒繁殖的部分原因就是全球各数据中心的安全技术和过程既不一致，也不充分。为支持保护、优化和发展业务的管理目标，许多IT机构正在整合服务器、存储、网络和应用等数据中心资源。IT和网络管理员必须考虑这些改变对安全状况和应用永续性有何影响。过去，管理员依靠物理应用隔离或外围防御来获得安全性。这对防止资源和应用遭受攻击是远远不够的，因为攻击日趋先进和危险。任何“稍懂程序的人员”都可从一个网站上下载黑客工具，对保护不佳的数据中心造成极大破坏。攻击的进程比以往更快。现在数秒内造成的破坏就比五年前需几天时间造成的破坏还要大。Slammer、Blaster和MyDoom蠕虫只需几分钟就可遍布全球。因此，数据中心需要能提供抵御“零日”攻击的防范措施。来自企业内部的威胁更具破坏性，这是因为黑客可利用对机构的具体了解，有意、无意地造成严重的财务损失。这些黑客可能包括员工、临时工人和顾问。为保护应用，数据中心管理员必须使用现代化技术来限制用户，使之仅能访问他们工作中所需的那些资源。重要的是安全管理员和网络管理员能携手合作，了解数据中心资源的特定安全漏洞和威胁，以便他们可开发一个强大的网络安全架构。安全漏洞和威胁可阻止用户访问关键任务应用，直接干扰应用运行，或破坏保密和重要信息。威胁可包括以下内容：z通过缓冲溢出、恶意蠕虫、病毒和管理访问违规，对关键任务应用、应用服务器、数据库、数据库服务器和存储资源进行攻击z因系统误配置、过期或错误的软件导致的安全漏洞，使IT管理员需进行耗时的操作系统和修补程序更新，导致系统停运和工作效率下降z通过违规访问，攻击网络系统和路由器、交换机和防火墙等设备z通过分布式拒绝服务(DDoS)和同步溢流攻击，对网络基础设施造成威胁思科业务就绪数据中心——数据中心安全解决方案解决方案思科业务就绪数据中心——数据中心安全解决方案思科业务就绪数据中心思科业务就绪数据中心是一种功能一致的网络架构，支持数据中心对整合、业务持续性和安全的快速实施需求，并为采用新兴的、面向服务的技术和应用计算技术，如刀片服务器、虚拟化、Web服务和GRID等奠定了基础。通过此架构，数据中心联网领域的世界领先厂商，思科系统公司，为IT和网络管理员提供了他们为防止或承受数据中心攻击所需的端到端、深度防御的安全策略及解决方案。在智能网络基础之上，思科业务就绪数据中心可防范当前的安全威胁，并为实现自防御网络等高级网络系统提供发展途径。借助这种经过测试和验证的参考架构、成熟的设计最佳实践，以及通用和合作伙伴专用配置模板，思科帮助IT管理员降低了风险和投资，并缩短了部署时间。其灵活性使企业能部署支持其业务目标、并可更高效地实施新服务及应用的，最好的计算、存储和软件技术。通过实施此可调整的数据中心网络架构，IT部门获得了出色定位，可实现保护、优化和发展业务的高级管理目标。它可保护关键应用和保密数据；增强数据中心的运营效率，并迅速创建新的安全应用环境来支持新的业务流程。通过拥有一个高度永续、有效、可调整的数据中心网络，企业可缓解竞争压力、拓展市场范围、加速新服务的面世，为未来的发展而重新分配资源。思科业务就绪数据中心架构由三个级别组成（图1）：z基本的基础设施包括智能IP网络基础设施、智能存储网络和数据中心互联z网络系统智能包括安全性、供应优化、可管理性和可用性z内嵌应用和存储服务包括存储虚拟化、数据复制和分布，以及先进的应用服务深度防御的数据中心安全策略思科数据中心安全策略认为，安全是一个持续过程，应与数据中心的运营相集成、传播至用户群体，并融入机构的文化和处理业务的方式之中。成功的安全策略采用深度防御理念，该理念使用多个层次和补充性功能来解决数据中心中的威胁问题。安全策略都是从一项安全政策开始的，它将业务需求和安全目标协调一致，且定义了如何通过流程和技术实现这些目标。安全政策的组件必须满足数据中心的特定需求及具体应用要求，并对每个应用进行用户组验证和授权许可。有效的安全政策来自于数据中心各方的出色协作，这其中包括数据图1安全：业务就绪数据中心架构中不可缺少的部分内嵌应用和存储服务网络系统智能基本的基础设施数据复制和分布虚拟化服务智能应用服务安全供应优化可管理性可用性智能存储网络智能IP网络基础设施存储资源计算资源用户思科业务就绪数据中心——数据中心安全解决方案中心的管理团队、执行委员会和机构中的用户组。政策中也确定了能使之实施的安全设计、管理流程和技术。政策不是静止不变的，它应随安全状况的变化而调整和优化。安全状况评估可发现当前环境中的具体安全漏洞和风险，并为它们的防范提出建议。这些建议应采纳到安全政策中，得到一致实施。网络是安全状况评估的一个重要组件，因为它连接着应用和用户。网络应提供稳固的初步防御层，对操作系统和应用级安全构成补充。在数据中心中，网络不仅在外围而且在安全分区中创建了安全环境。将网络划分为虚拟分区，使安全管理员能经济有效地整合资源并控制用户对每个应用的访问。思科业务就绪数据中心将安全直接集成入网络基础设施，实现了最优的端到端安全、性能和可管理性。它采用了CiscoCatalyst®交换和CiscoMDS智能存储网络平台中先进的集成安全功能。CiscoCatalyst6500系列交换机的集成安全软件和服务模块，以带宽密集型数据中心环境所需的较高性能水平，提供了防火墙、入侵检测系统(IDS)、安全套接字层(SSL)和IP安全(IPSec)虚拟专用网(VPN)服务。在存储网络中，CiscoMDS9000系列多层管理器交换机提供了虚拟存储局域网(VSAN)和先进的安全服务。以下各类中的各种辅助安全技术对上述集成安全产品构成了补充：z威胁防御—监视网络中的不正确行为，如防火墙和入侵检测/防止系统(IDS/IPS)等z信任和身份管理—根据政策许可或拒绝对于设备和用户的服务，如RADIUS访问控制服务器等z安全连接—在链路上提供保密性，如带加密的VPN这些解决方案在下面的“思科安全解决方案”部分中具体介绍。解决方案优势思科针对数据中心的安全策略具有以下业务优势：z深度防御—在多个层次防范已知和未知风险z安全整合—将整合基础设施划分为安全分区，可抑制攻击的传播并提供强大的访问控制z防范零日攻击—通过寻找和中止可疑行为而实现z更高服务完整性—保护和验证服务器和存储设备上的保密数据z更方便的管理和更低拥有成本—通过自动执行配置和监控的集中管理工具，在数据中心中实现了一致的技术部署，并实施了安全政策z灵活性—可迅速根据不断变化的威胁而进行调整z更低投资—凭借整合和更少物理设备上的安全功能虚拟化而实现安全架构出于成本原因，要实施数据中心安全性，需管理人员对安全目标进行优先级划分。通过一个明确定义的安全政策，安全管理员和数据中心及网络管理员可进行合作，为保护整合的数据中心提供安全架构。为使用集成安全服务模块实现最优数据中心设计，思科建议数据中心管理员在访问和核心层间部署一个专用“服务”层，以最为经济有效的高性能方式提供分布式安全服务。思科业务就绪数据中心——数据中心安全解决方案实施数据中心安全性制订了一个将资产保护与业务目标协调一致的安全政策后，思科建议安全管理员采取以下步骤来保护数据中心：z定义安全分区并为每个分区设置安全级别—将数据中心划分为逻辑上相互独立的区域，可把攻击的影响限制在最小范围之内。分区可支持单个应用或应用层、服务器组、数据库服务器、Web服务器、电子商务分区和存储资源（图2）。用户的访问可仅限于Web服务器，使应用和数据库层免遭偶发或恶意的损害。应用间的通信可限制在应用集成、数据仓库和Web服务所需的特定流量范围之内。分区能在一个可扩展的整合存储网络上提供对每个应用的存储环境的逻辑划分。为高效地实现这一目的，可集成并虚拟化防火墙，以在应用和服务器环境间提供安全连接（图2）。z安全状况评估可按主机、操作系统、应用、数据、网络设备和链路的具体类别来确认安全漏洞和风险。此评估为确定每个资产的相应风险、及为保持每个资产的安全级别所需的维护要求提供了重要信息，应采纳入安全政策。z为关键服务器和主机实施端点保护。此功能可发现正在进行之中的攻击，保护操作系统和应用，当发现攻击时向管理控制台发送报警。思科安全代理即是一款基于行为的端点保护解决方案，可成功地中止Slammer和Blaster蠕虫。z为关键网段实施网络IDS，分析流量来发现和阻止DDoS和黑客行为等攻击。当发现攻击时，系统会提示管理控制台和/或在网络基础设施中启动自动响应，“规避”或阻止攻击。IDS也可动态地命令防火墙或路由器阻止来自已识别恶意来源的分组，减少对于防范攻击的投入。z通过防火墙和路由器控制分区间的访问。防火墙提供了外围控制，对进出数据中心的连接进行状态检测，并通过入口和出口过滤阻止对于非公共服务和主机的访问。路由器提供了分区间的第三层划分、VLAN间路由、带宽限速和流量分析。z通过交换机上的专用VLAN实现攻击抑制。当每个主机或网段有自己的VLAN时，安全管理员可隔离攻击，防止其传播到其他主机；每个VLAN上的主机仅可与缺省网关通信，不可与其图2带集成和虚拟化防火墙的安全分区可确保整合基础设施上的应用受到保护互联网外围安全性企业园区网络核心互联网服务器群访问安全性Web应用数据库ERPHRFinE-MailWebDWSCM带整合基础设施的企业数据中心安全分区（虚拟LAN和虚拟SAN）水平和垂直分区间安全集成防火墙及IDSWeb应用数据库思科业务就绪数据中心——数据中心安全解决方案他主机通信。CiscoCatalyst集成安全特性提供了全面的保护，可防范试图通过误定址机制来访问未授权VLAN的黑客。z保护存储网络—传统存储环境一直被认为是安全的，因为它们是它们所服务的计算系统的专用扩展。随着专用存储和小型SAN整合为大型SAN，存储管理员不能再通过隔离实现安全了。当存储网络扩展到了数据中心环境之外，还需在城域网和广域网上实现安全性。管理员必须从四个角度考虑SAN安全：−保护SAN免遭外部威胁，如黑客和有恶意企图的人士−保护SAN免遭内部威胁，如未授权员工和已遭破坏的设备−保护SAN免遭授权用户的非故意威胁，如误配置和人工错误−保护每个存储环境并使其与其他存储环境隔离，即使这些存储环境位于同一物理网络上也是如此z部署信任和身份管理服务，仅允许授权用户和管理员访问数据中心资源。z使用高效管理和监控工具进行安全组件和CiscoIOS®软件特性的集中政策配置、监控和故障排除。此解决方案应包括事件监控和关联，来过滤发送到管理控制台的报警。与数据中心网络设备的通信在使用带外网络或通过专用管理VLAN进行时最为安全。思科建议用SSL、简单网络管理协议(SNMP)版本3或SSH技术对管理流量加密。思科安全解决方案思科安全解决方案采用集成、系统的方法来实现企业数据中心安全，保护机构的业务流程和资产。思科将其安全产品划分为三个类型：威胁防御、信任和身份管理，以及安全连接。大多数功能可通过CiscoIOS软件、用于CiscoCatalyst6500平台的集成安全服务模块，和CiscoMDS9000系列交换机上的集成安全性实现。以下是部分与保护数据中心最为相关的思科安全产品列表。用于CiscoCatalyst6500平台的安全硬件模块在不影响性能的情况下为网络添加了一些必需的安全服务。先