数据中心安全防护之道
随着互联网及其相关应用产业的发展,内容更丰富、服务更深层的网络服务提供商横空出世。数据中心作为一个重要的网络服务平台,它通过与骨干网高速连接,借助丰富的网络资源向网站企业和传统企业提供大规模
,必须要使用专用的Anti-DDoS设备或者专门的板卡。对于满带宽的DDoS攻击,在链路上游对于流量的清洗是DDoS防御最为有效的方式。然而,从统计数据来看,数据中心发生的攻击90%以上不足以造成数据中心出口带宽拥塞,基本是以业务瘫痪型攻击为主,只有10%不到的攻击是将数据中心的链路完全拥塞的。因此,如果是应用型的DDoS攻击,由于流量在本地带宽控制以内,所以本地清洗即可,一旦遇到针对基础设施的大流量拥塞型泛洪攻击,在链路上游的清洗还是必要手段。最完美的方式是将数据中心侧和运营商侧进行联动,实现分层防御。即运营商侧管道拥塞型攻击,数据中心侧防范业务瘫痪型DDoS攻击。华为的Anti-DDoS解决方案目前在运营商侧有广泛应用,结合数据中心侧的Anti-DDoS可以实现全网联动的“云清洗”战略。
随着黑客技术发展、网络带宽的普遍增加、僵尸主机数量的不断扩大,现在的业务瘫痪型攻击也不再是以前的百兆级别的了。在2012年,发现数起千兆级别的CC攻击,因此高性能是数据中心DDoS防护方案的重点。同时,对于攻击防护的设备精准度也必不可少。一方面,能够精准识别每一次攻击;另一方面,误判更是客户不能容忍的。现在,智能终端的普遍应用会给传统的防护设备带来更多的挑战,如何保证智能终端访问不受影响成为新的课题。
郭庆认为,虽然造成链路瘫痪的攻击数量上少于出口带宽,但正是这种DDoS攻击对数据中心系统,甚至整个数据中心造成致命伤害。这时,数据中心需要考虑投入产出比,虽然不能一味地增加对于DDoS防护的投入。当问及数据中心在DDoS防护上的投入应该如何做预算时,郭庆说道:“数据中心一年受到DDoS大面积影响的总小时数期间损失利润的20%-30%作为流量清洗投资的预算较为合适。”
他谈到在大规模DDoS攻击发生时,整个网络的上下游均出现故障,实现最佳的防御效果需要三个条件:1. 有经验和技能的清洗专家; 2. 与上游运营商的热线机制; 3. 快速检测攻击变化与应急灾备能力。云清洗是DDoS防护的大趋势,厉害的DDoS攻击者手法多,变化快,时常需要定制正则语法来清洗,大规模攻击的清洗位置越靠近上游越好。云清洗服务商需要具备自治域AS号进行BGP路由调度控制与DNS全网策略控制能力,才能带给客户良好的网络服务品质。
他进一步阐述道:页面被篡改,数据泄露这种事情客户是不会找运营商的,一般是自己关起门来商量对策。所以运营商在上游只需清洗大流量攻击,清洗开通后的关键是防止误杀正常业务,这方面运营商需要专业的清洗技术服务。不过最近一些新型的攻击导致客户系统提供不了服务,如访问出错、页面访问缓慢,客户也会找到运营商一起判断处理。这些新型的攻击很多时候对性能有较大影响,严重的时候引起系统会宕机,有时很难快速分清现象根源,这也是需要专业清洗技术服务的原因。
郭庆还强调,云清洗是DDoS防御最终的发展方向,大规模DDoS清洗方向是运营商主导的云清洗联盟机制,中小规模DDoS清洗方向是云清洗专业服务商。
今天,以云数据中心为依托提供各种服务的商业模式已日渐明朗。因此,云数据中心自身的可用性一直是业务永续运行的关键因素,谈云的信息安全威胁,首先要在可用性的前提下才能进一步解决信息的完整性与保密性方面的问题。
谭杰指出,安全边界的模糊使得内网安全与外网安全同等重要。因此建议数据中心构建者做到如下四件事:第一,能够严格地按区域划分,不同的租户,不同的应用划分至不同的安全域,使用安全产品进行隔离与保护;第二,部署端到端的安全防御手段。例如运行在VM上的安全设备,可以将防御能力部署到每一台物理服务器上;第三,对网络访问行为进行严格管理。通过技术和管理手段规范BYOD行为,对僵尸网络、网络滥用等进行有效防御;第四,使用多功能安全网关(如下一代防火墙或UTM)来替代传统防火墙,在保护业务流量时,出于性能考虑,可能只会用到防火墙、IPS等功能,但在保护管理流量时,可启用二至七层的多种安全功能(防病毒、应用控制、BYOD管理、内容过滤、数据泄漏防护、VPN等)。业务流和管理流划分至不同的虚拟设备中,保证各自的独立性。
石金利在采访最后表示,在大数据发展的驱动下,未来高性能数据中心
责任编辑:和硕涵
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络