在虛擬化和云計算時代，管理員需要一個更全面的方法來確保數(shù)據(jù)中心更安全。

隨著云計算的出現(xiàn)、廣泛的互聯(lián)網(wǎng)應(yīng)用、面向服務(wù)的架構(gòu)，以及虛擬化，數(shù)據(jù)中心變得更有活力。不過，轉(zhuǎn)向一個新的計算環(huán)境增加了數(shù)據(jù)層的復(fù)雜性，也增大了IT經(jīng)理保護數(shù)據(jù)中心的難度。

美國國防信息系統(tǒng)局（DISA）技術(shù)項目總監(jiān)Henry Sienkiewicz表示企業(yè)應(yīng)該在設(shè)計數(shù)據(jù)中心時就考慮到數(shù)據(jù)中心的安全性。

“數(shù)據(jù)中心是一個完整的生態(tài)圈，必須從整體角度來看” Henry Sienkiewicz說。 “如果我們不這樣做，我們就會漏掉一些東西。”

Apptis技術(shù)公司的數(shù)據(jù)中心經(jīng)理Jim Smid表示IT經(jīng)理們越來越多地希望可以確保通信的絕對安全，這意味著從桌面安全到網(wǎng)絡(luò)應(yīng)用程序到存儲都必須是安全的。過去，網(wǎng)絡(luò)支持團隊只需要確保網(wǎng)絡(luò)的安全；應(yīng)用小組只需處理數(shù)據(jù)加密……但當前的環(huán)境和新出現(xiàn)的技術(shù)都對安全策略提出了新要求，所以需要采用新的方法來應(yīng)對，Smid表示，企業(yè)需要監(jiān)控數(shù)據(jù)中心所有的業(yè)務(wù)交互是否正確，并確保數(shù)據(jù)中心的每個組成部分都是安全的。

除此之外，數(shù)據(jù)中心的安全管理人員和行業(yè)專家表示企業(yè)必須管理法規(guī)、政策、人員和技術(shù)，需要確保動態(tài)安全乃至整個數(shù)據(jù)中心的安全。每一層的安全都是很重要的，很難說哪一個更重要。

一些組織如云安全聯(lián)盟是一個全球安全專家協(xié)會和行業(yè)領(lǐng)導者聯(lián)盟。該聯(lián)盟公布了云計算知識和使用云計算的最佳實踐指導。這個指導手冊覆蓋了十五個安全領(lǐng)域，從計算架構(gòu)到虛擬化，都是企業(yè)應(yīng)該應(yīng)用到數(shù)據(jù)中心的安全措施。

在與一些數(shù)據(jù)中心安全管理員和行業(yè)專家對話的基礎(chǔ)上，我們列出了確保數(shù)據(jù)中心安全的五要素。

1. 確保物理安全

對于有些公司來說， 首先需要考慮的是繼續(xù)自己維護自建的數(shù)據(jù)中心還是將其外包？Smid說。 另外一些數(shù)據(jù)中心經(jīng)理可能要從更艱難的任務(wù)入手，如控制對每個系統(tǒng)或網(wǎng)絡(luò)層的訪問。下面讓我們看一個例子。

NASA美國宇航局噴氣推進實驗室（JPL）IT集團經(jīng)理Corbin Miller更愿意從數(shù)據(jù)中心物理安全入手。

在位于Oklahoma的美國聯(lián)邦航空局（FAA）數(shù)據(jù)中心，分層的安全越來越受歡迎，前美國聯(lián)邦航空局企業(yè)服務(wù)中心IT主管邁克梅爾斯表示。在該中心，物理安全包括以下要素：一個隔開的校園、進入主體建筑和數(shù)據(jù)中心需要證件、由一名警衛(wèi)員護送每位來訪者、進入房間需要密碼卡、數(shù)據(jù)中心裝有視頻監(jiān)控，以及根據(jù)數(shù)據(jù)的敏感性鎖定的服務(wù)器。

米勒正通過在實驗室的數(shù)據(jù)中心建立物理安全層來劃分測試、開發(fā)和生產(chǎn)領(lǐng)域。

該中心的經(jīng)理要在數(shù)據(jù)中心設(shè)立一個開發(fā)實驗室，但米勒希望把它和生產(chǎn)區(qū)域分開，以保持JPL的操作正常運行。

“我想要把生產(chǎn)區(qū)作為最高級別的安全區(qū)”，只允許該地區(qū)授權(quán)的系統(tǒng)管理員進入，他說，“所以我設(shè)想在數(shù)據(jù)中心開設(shè)三個區(qū)。” 一個區(qū)將用于研究人員測試的設(shè)備；一個區(qū)在系統(tǒng)和應(yīng)用開發(fā)進入生產(chǎn)之前，給他們提供更多的控制；最后一個區(qū)是生產(chǎn)區(qū)，只有核心系統(tǒng)管理員可以進入。

對于內(nèi)層，并非一定需要證件進入，但有些類型的訪問控制（如服務(wù)器機架上鎖）對于生產(chǎn)系統(tǒng)是很有必要的，米勒說：“我只是不希望突然實驗室的人員說，‘我需要電力，讓我把設(shè)備插在這兒吧’，這種操作會給生產(chǎn)系統(tǒng)造成問題”他說。

2. 建立網(wǎng)絡(luò)安全區(qū)

在確保物理安全之后，艱難的網(wǎng)絡(luò)安全工作開始了。

“我會把分區(qū)集中到網(wǎng)絡(luò)層，”米勒說， 在JPL“第一個區(qū)域是略顯寬松的環(huán)境，因為它是一個開發(fā)領(lǐng)域。下一個是子網(wǎng)的測試，它和開發(fā)區(qū)是分開的，是一個比生產(chǎn)區(qū)更寬松的環(huán)境。”

第三區(qū)是生產(chǎn)或支持子網(wǎng)的區(qū)域，也是系統(tǒng)管理員花費大量的時間和精力的地方。該區(qū)只有生產(chǎn)設(shè)備，因此管理員必須以受控的方式給生產(chǎn)網(wǎng)絡(luò)部署新系統(tǒng)，米勒說。

在JPL，管理員可以給虛擬局域網(wǎng)的子網(wǎng)絡(luò)部署系統(tǒng)，并給流量設(shè)立嚴格的規(guī)則。例如，管理員可以把郵件服務(wù)器部署在端口25或端口80，原則是這個部署并不會影響那個區(qū)本來的流量。

米勒表示數(shù)據(jù)中心管理人員需要考慮倒企業(yè)子網(wǎng)絡(luò)處理的業(yè)務(wù)類型。如電子郵件應(yīng)用和一些數(shù)據(jù)庫監(jiān)測應(yīng)用需要連接到外網(wǎng)，但這些生產(chǎn)機不應(yīng)該連到CNN.com、ESPN.com，或雅虎新聞之類的網(wǎng)站。在管理員設(shè)置相應(yīng)的規(guī)則后，他們可以更好地檢測異�；顒�，米勒說。

米勒表示一臺機器轉(zhuǎn)移到生產(chǎn)網(wǎng)絡(luò)的時候，你應(yīng)該知道它正在運行什么、誰可以訪問操作系統(tǒng)層、它在通過網(wǎng)絡(luò)與哪些系統(tǒng)通信？

“現(xiàn)在你可以更好的了解你的安全監(jiān)控和數(shù)據(jù)泄漏以及預(yù)防監(jiān)測程序應(yīng)該放在哪里”他強調(diào)， “如果我知道只有三臺機器在網(wǎng)絡(luò)上時，我可以很清楚的看清流量和其他細節(jié)。”

米勒表示盡管無線網(wǎng)絡(luò)很受歡迎，但無線接入點在數(shù)據(jù)中心并沒有必要，因為他們很難控制。

DISA采取三管齊下的方法保證數(shù)據(jù)中心的安全性，Sienkiewicz說。第一部分是NetOps，確保國防部的全球信息網(wǎng)格的業(yè)務(wù)框架是可用的，而且它還提供安全保護和完整性。 二是技術(shù)保護。最后一部分是應(yīng)用的許可和認證。

Sienkiewicz介紹，NetOps包括GIG Enterprise Management， GIG Network Assurance，以及 GIG Content Management三個部門。 DISA投入了特定的人員、政策、流程和業(yè)務(wù)支持功能來運營NetOps.

在技術(shù)方面，美國國防部非軍事區(qū)是一個焦點。 所有的國防企業(yè)計算中心的流量都集中通過DOD和DISA非軍事區(qū)。

因此，必須檢查和管理連接國防部Web服務(wù)器的所有主機。 此外，在網(wǎng)絡(luò)訪問架構(gòu)和其他DECC架構(gòu)之間有一個隔離，在用戶和服務(wù)器類型之間也有一個邏輯分離。

由于這些設(shè)置，DISA可以限制訪問點、管理指令和控制，并跨環(huán)境提供集中安全和負載平衡。

此外，“我們使用帶外網(wǎng)絡(luò)，生產(chǎn)流量并不級聯(lián)到我們管理架構(gòu)的方法中。” Sienkiewicz說。 通過虛擬專用網(wǎng)絡(luò)連接，用戶可以管理他們自己的環(huán)境。VPN連接為生產(chǎn)主機提供路徑來發(fā)送和接收企業(yè)系統(tǒng)管理。

3. 鎖定服務(wù)器和主機

在俄克拉何馬聯(lián)邦航空局設(shè)施，所有服務(wù)器都在數(shù)據(jù)庫中登記，這個數(shù)據(jù)庫包含服務(wù)器是否包含隱私信息和細節(jié)。數(shù)據(jù)庫的大部分是手動維護的，但這個過程可以通過自動化提高，邁爾斯說。在問題地區(qū)已變更并配置管理，這些進程有些是自動化的，有些是手動的。美國聯(lián)邦航空局正在提高軟件自動化。

此外，美國聯(lián)邦航空局正在執(zhí)行修補程序，至少每月跟蹤并掃描他們服務(wù)器上的漏洞。

美國聯(lián)邦航空局分開處理數(shù)據(jù)的安全性和服務(wù)器的安全性。美國聯(lián)邦航空局的應(yīng)用加密多于軟件加密，這樣太局限，而且產(chǎn)生了系統(tǒng)兼容問題。該機構(gòu)設(shè)立了防火墻來把政府的數(shù)據(jù)和私人數(shù)據(jù)分開。 聯(lián)邦航空局還使用掃描技術(shù)來監(jiān)測潛在的外泄活動數(shù)據(jù)。 該掃描技術(shù)旨在確保數(shù)據(jù)進入正確的收件人，并且得到適當加密，邁爾斯說。

在DISA，數(shù)據(jù)中心經(jīng)理正在努力解決服務(wù)器虛擬化造成的安全問題。 “當我們看虛擬化的時候，即我們?nèi)绾翁岣叻⻊?wù)器虛擬化，并解決由服務(wù)器虛擬化所帶來的新的安全問題。” Sienkiewicz說。

DISA的安全管理人員必須回答的一些問題是“我們?nèi)绾未_保管理程序被鎖定？我們?nèi)绾未_保添加，刪除和遷移得到適當?shù)谋Ｗo？ ”他說。

“我們使用虛擬化的最大問題是分開和孤立，” Sienkiewicz說。“我們努力把應(yīng)用程序，Web服務(wù)，應(yīng)用服務(wù)和數(shù)據(jù)庫服務(wù)和物理單獨的機架分開，因此在這個環(huán)境中數(shù)據(jù)不會發(fā)生鏈接或遺漏，同時我們也強化了環(huán)境的其他部分。”

和美國聯(lián)邦航空局一樣，DISA也在一張名單上登記了主機，該機構(gòu)還安裝了基于主機的安全系統(tǒng)，監(jiān)測和檢測惡意活動。他還是用公鑰為DOD管理物理安全，用戶必須使用通用訪問卡登錄到系統(tǒng)，這樣就提供了雙重認證。

4. 應(yīng)用程序漏洞掃描

應(yīng)用掃描和代碼掃描工具是非常重要的，美國宇航局的米勒說。

在JPL，如果有人想部署一個應(yīng)用程序，在進入生產(chǎn)環(huán)境之前，它必須經(jīng)過管理員的掃描。 米勒使用的IBM Rational AppScan等掃描Web應(yīng)用程序。 AppScan測試了黑客可以輕易地利用的安全漏洞，并提供修復(fù)能力、安全性指標以及關(guān)鍵的報告。

另一方面，寫代碼的開發(fā)人員必須通過代碼掃描器運行它，這個代碼掃描可能是一個Perl腳本，可以掃除緩沖區(qū)或其他漏洞的代碼，米勒表示。

5. 協(xié)調(diào)溝通可視數(shù)據(jù)流設(shè)備的安全性

使用云計算，機構(gòu)需要改變他們的整體方法，以確保數(shù)據(jù)中心的安全，Juniper網(wǎng)絡(luò)公司系統(tǒng)工程總監(jiān)Tim LeMaster表示。

“在云計算，主要是保護數(shù)據(jù)中心、用戶系統(tǒng)之間以及數(shù)據(jù)中心內(nèi)虛擬機的安全。”LeMaster說。 因此，應(yīng)用程序的可視性變得非常重要。

“你必須可以觀察到這些通道，而不是惡意軟件，因為很多惡意通道試圖掩蓋他們。” 很多通道使用88端口或通道來加密。 網(wǎng)絡(luò)管理員必須具備識別這些流量的知識和應(yīng)用，他解釋說。

Juniper網(wǎng)絡(luò)公司開發(fā)的應(yīng)用程序識別技術(shù)，除了端口協(xié)議外連接到數(shù)據(jù)的內(nèi)容，并努力申請簽名，這樣幫助決定這個應(yīng)用是否是一個真正的共享程序或?qū)Φ染W(wǎng)絡(luò)程序。

Juniper公司的技術(shù)還側(cè)重于應(yīng)用的拒絕服務(wù)攻擊。拒絕服務(wù)攻擊并不新鮮，但傳統(tǒng)的方法來對付攻擊是“黑洞”的通道。 這種做法幫助拒絕服務(wù)攻擊完成它所原本要做的，然后再拒絕服務(wù)。因為網(wǎng)絡(luò)管理員必須刪除所有服務(wù)器受攻擊的流量和通道。

應(yīng)用的拒絕服務(wù)防范軟件為管理員提供了分析能力，以確定通道是否合法。有了這些工具，管理員可以觀察其他數(shù)據(jù)流客戶端，并把它們和現(xiàn)有的其他數(shù)據(jù)中心的對比。協(xié)調(diào)網(wǎng)絡(luò)設(shè)備、防火墻、SSL的設(shè)備和入侵防護解決方案在云計算基礎(chǔ)設(shè)施中都很有用。