数据中心网络安全建设的思路.doc

由于数据中心承载着用户的核心业务和机密数据，同时为内部、外部以及合作伙伴等客户提供业务交互和数据交换，因此在新一代的数据中心建设过程中，安全体系建设成为重点的主题。数据中心安全围绕数据为核心，从数据的访问、使用、破坏、修改、丢失、泄漏等多方面维度展开，一般来说包括以下几个方面： 物理安全：主要指数据中心机房的安全，包括机房的选址，机房场地安全，防电磁辐射泄漏，防静电，防火等内容； 网络安全：指数据中心网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段，如防火墙，IPS，安全审计等； 系统安全：包括服务器操作系统，数据库，中间件等在内的系统安全，以及为提高这些系统的安全性而使用安全评估管理工具所进行的系统安全分析和加固； 数据安全：数据的保存以及备份和恢复设计； 信息安全：完整的用户身份认证以及安全日志审计跟踪，以及对安全日志和事件的统一分析和记录；抛开物理安全的考虑，网络是数据中心所有系统的基础平台，网络安全从而成为数据中心安全的基础支持。因此合理的网络安全体系设计、构建安全可靠的数据中心基础网络平台是进行数据中心安全建设的基本内容。数据中心网络安全建设原则网络是数据传输的载体，数据中心网络安全建设一般要考虑以下三个方面： 合理规划网络的安全区域以及不同区域之间的访问权限，保证针对用户或客户机进行通信提供正确的授权许可，防止非法的访问以及恶性的攻击入侵和破坏； 建立高可靠的网络平台，为数据在网络中传输提供高可用的传输通道，避免数据的丢失，并且提供相关的安全技术防止数据在传输过程中被读取和改变； 提供对网络平台支撑平台自身的安全保护，保证网络平台能够持续的高可靠运行；综合以上几点，数据中心的网络安全建设可以参考以下原则：l 整体性原则：“木桶原理”，单纯一种安全手段不可能解决全部安全问题 ；l 多重保护原则：不把整个系统的安全寄托在单一安全措施或安全产品上；l 性能保障原则：安全产品的性能不能成为影响整个网络传输的瓶颈；l 平衡性原则：制定规范措施，实现保护成本与被保护信息的价值平衡 ；l 可管理、易操作原则：尽量采用最新的安全技术，实现安全管理的自动化，以减轻安全管理的负担，同时减小因为管理上的疏漏而对系统安全造成的威胁；l 适应性、灵活性原则：充分考虑今后业务和网络安全协调发展的需求，避免因只满足了系统安全要求，而给业务发展带来障碍的情况发生 ；l 高可用原则：安全方案、安全产品也要遵循网络高可用性原则；l 技术与管理并重原则： “三分技术，七分管理”，从技术角度出发的安全方案的设计必须有与之相适应的管理制度同步制定，并从管理的角度评估安全设计方案的可操作性l 投资保护原则：要充分发挥现有设备的潜能，避免投资的浪费；数据中心网络安全体系设计n 模块化功能分区为了进行合理的网络安全设计，首先要求对数据中心的基础网络，采用模块化的设计方法，根据数据中心服务器上所部署的应用的用户访问特性和应用的核心功能，将数据中心划分为不同的功能区域。采用模块化的架构设计方法可以在数据中心中清晰区分不同的功能区域，并针对不同功能区域的安全防护要求来进行相应的网络安全设计。这样的架构设计具有很好的伸缩性，根据未来业务发展的需要，可以非常容易的增加新的区域，而不需要对整个架构进行大的修改，具备更好的可扩展性。因为每个区域的安全功能是根据每个区域的特性进行定义，因此可以在不影响其他应用或者整个区域的情况下单独进行安全部署，对于一次性建设投资或分阶段建设的情况下都可以很好进行网络安全的布局。n “核心-边缘“安全边界定义 采用模块化的架构设计方法将数据中心分为多个功能区域后，由于不同功能区域之间会有相互通讯的需求，因此整个网络架构形成“核心-边缘”的结构特性，如图1所示，以数据中心核心区为中心，其他功能区域与核心区相连，成为数据中心网络的边缘区域。为了更好的保证数据中心的网络性能，数据中心核心区一般只提供高速的数据转发功能，不做安全控制的部署，在这个区域需要重点规划的是核心区的高可靠和高性能保证。图1 “核心-边缘”安全边界在这种“核心-边缘”的结构特性下，各功能区域同核心区域相连的接口成为该区域的网络安全边界。从业务和安全控制的角度出发，在各功能区域的边界需要采用一定的技术手段（通常部署防火墙硬件设备）定义成独立的安全区域。不同安全区域之间的网络如果需要相互访问，应该遵从有限互通的原则，按照不同功能区域之间安全信任级别的不同，在安全边界上部署不同的访问控制策略，禁止不同区域之间的网络在不采取任何安全访问控制的前提下直接互通。n “点、线、面”安全布局安全边界的定义实现了对不同区域之间相互访问的控制，而各个功能区域内根据安全保护等级的要求以及安全访问的特性，需要分别设计各自的网络安全布局。“点、线、面”安全布局的核心思想是以对不同安全区域被访问主体的访问控制管理为安全防御主线，结合不同区域的安全级别和应用要求，在安全访问“线路”上部署不同的安全“点”设备，并且对整个数据中心区域规划统一的安全事件发现、收集、分析、处理的机制和技术实现，实现安全“面”的统一管理。这里以互联网模块区对外业务服务器的安全布局为例来说明“点、线、面”的安全布局方法。图2 互联网业务区对外业务服务器区域需要同Internet互联来提供单位的网上交互业务（如金融单位的网银业务，政府的网上报税业务，企业的电子商务业务等），基本的网络结构如图2所示，通过路由器与Internet相连（一般考虑到业务连接的可靠性，会部署多条出口线路），区域的核心交换机分别连接WEB、APP和DB服务器，并且同数据中心核心区交换机互联。在这个区域的安全部署考虑如下： 确认对该安全区域内不同服务器的访问控制策略：Web服务器允许被互联网用户访问，同时也允许被内网用户和内网服务器访问；Web服务器允许访问APP服务器，但是不允许访问DB服务器；APP服务器智能被WEB服务器访问，并且允许访问DB服务器；DB服务器只能被APP服务器访问。 分析不同访问路线上需要关注的安全加固“点”和设备部署考虑，内容如表1：分析条目安全加固要求安全设备部署互联网接口链路分担设备（可作为DNS服务器提供不同运营商的地址解析）链路负载均衡设备对来自互联网的DDOS攻击进行防御DDOS流量清洗设备部署访问控制策略，提供二到四层的网络攻击防护防火墙（外网边界防火墙）提供四到七层的应用层安全攻击防护IPS提供应用层防护WEB服务器部署安全访问控制策略防火墙对服务器的访问实现负载分担服务器负载均衡设备 SSL加速卸载，优化HTTPs相应速度SSL VPN网关APP服务器部署安全访问控制策略防火墙对服务器的访问实现负载分担服务器负载均衡设备DB层服务器部署安全访问控制策略防火墙安全关注点对外业务区内网边界部署防火墙，内外网防火墙异构；防火墙对外业务区内部流量分析，审计网流分析网关表1 互联网业务区安全布局分析基于上述的分析，整个对外业务区的安全部署结构可如图3所示，在区域内不同位置部署所需要的安全设备，形成功能区域内的网络安全布局。图3 互联网业务区安全布局前面通过对安全“线路”进行分析，进行安全设备“点”的部署，实现了互联网业务区的网络安全布局，同时，考虑到整个数据中心“面”上的安全统一管理，在综合管理区部署安全管理中心设备，负责统计、关联分析内网各类网络事件，从全局角度帮助数据中心网络管理人员掌握整个网络中的安全事件，从而实现对数据中心安全访问“线路”上的安全加固“点”进行更加合理的布局和后续升级。网络的安全虚拟化“点、线、面”的安全布局方式为了实现安全“点”的全面加固，需要部署大量的安全设备，从而会大大增加网络结构上单点故障的机率；同时为了保证网络结构的可靠性，所部署的安全设备要都要做可靠性考虑和相关协议的设置，使网络部署的复杂度大幅增加，同时增大由于错误配置导致网络可靠性降低的可能。业界目前的数据中心交换机在设计上支持丰富类型的安全业务板卡，可以将多种安全设备以板卡的形式安装在网络中的节点交换机上，实现网络的安全虚拟化部署。n N:1的虚拟化部署图4 N:1安全虚拟化应用采用在数据中心网络节点的交换机上部署安全业务板卡的方式，改变了过去在一条线路上部署多个安全设备（就像糖葫芦串一样）的物理结构，将多个安全设备（N）集成在一台数据中心交换机上，使得整个网络线路得到大大的简化，这种部署方式具有以下技术优势： 大大简化了网络安全区域的拓扑结构； 降低了由于安全设备单点故障对数据中心网络可用性的影响，如果某块安全业务板卡出现故障问题，交换机会进行数据转发层面的二层回退，即数据流不再必经通过出现故障的安全板卡进行处理，而是直接由交换机进行正常的数据转发，保证整个业务的不中断； 一般独立的安全设备无法提供设备本身的高可靠保证，而这种部署方式，借助网络交换机本身的设备可靠性保障（引擎冗余，电源冗余，风扇冗余等），大大提高了安全设备的可靠性运行保证； 由于独立的安全设备无法进行性能升级，随着数据中心网络性能的提升，安全设备往往会成为整个网络性能的瓶颈，采用业务板卡的部署方式，可以在一台交换机上叠加多块安全板卡，通过增加板卡的数量提升安全防护的性能，有效的保护已有投资，并且适应网络的性能发展。基于N:1安全虚拟化的方式，前面举例的对外业务区的网络安全布局可以简化为图5所示，安全加固“点”的设备都集成在网络节点交换机上，整个对外业务区的网络安全拓扑结构得到大大的简化。图5 N:1虚拟化对网络安全布局的优化n 1:N的虚拟化应用 图6 1:N安全虚拟化应用如图6所示，利用安全板卡的虚拟化特性，可以在一块物理板卡上逻辑虚拟出来多个安全板卡的实例，并可以将不同的实例分配给不同的服务器连接线路，并单独设定每个实例的安全配置属性。在配置了安全板卡后，交换机的每一个业务接口都可以看成为安全板卡的业务接口，因此基于这种1:N的虚拟化特性和实现机制可以扩大交换机的安全防范范围，便于更细致的安全