信息化觀察網(wǎng)

數(shù)據(jù)中心，簡(jiǎn)單地說，是集中存放計(jì)算機(jī)服務(wù)器的地方，通俗點(diǎn)也可以叫機(jī)房。近幾年，數(shù)據(jù)中心發(fā)展如火如荼，逐漸成為企業(yè)們關(guān)注的焦點(diǎn)。眾所周知，數(shù)據(jù)中心網(wǎng)絡(luò)安全對(duì)企業(yè)業(yè)務(wù)的成功至關(guān)重要，隨著當(dāng)前網(wǎng)絡(luò)安全威脅形勢(shì)的日益復(fù)雜，企業(yè)組織正被迫將安全保護(hù)分層到他們的數(shù)據(jù)中心基礎(chǔ)設(shè)施中。

在本文中，我們就將幫助廣大讀者諸君了解當(dāng)前市場(chǎng)上正在發(fā)生的變化，以及企業(yè)亟待進(jìn)行哪些方面的考察，以便能夠充分利用貴公司數(shù)據(jù)中心的安全保護(hù)。文章中，我們將為您介紹在對(duì)數(shù)據(jù)中心安全產(chǎn)品之間進(jìn)行比較時(shí)，需要考察的五大關(guān)鍵領(lǐng)域。

現(xiàn)如今，應(yīng)用程序經(jīng)濟(jì)已經(jīng)將幾乎每家企業(yè)組織都變成了一家軟件公司，這種轉(zhuǎn)變推動(dòng)運(yùn)行企業(yè)所有軟件的數(shù)據(jù)中心開始擔(dān)任更為關(guān)鍵性的角色。數(shù)據(jù)中心越來越成為企業(yè)業(yè)務(wù)運(yùn)營(yíng)的神經(jīng)中樞。而最終，企業(yè)業(yè)務(wù)的成功則需要取決于數(shù)據(jù)中心的彈性和安全性。

這就是為什么當(dāng)前越來越多的企業(yè)組織為了保護(hù)數(shù)據(jù)中心資產(chǎn)而投入比以往更多的資金并不奇怪的原因所在了。數(shù)據(jù)中心網(wǎng)絡(luò)安全預(yù)算的增長(zhǎng)速度遠(yuǎn)遠(yuǎn)超過了其他IT部門。根據(jù)最近的調(diào)研數(shù)據(jù)顯示，僅在2016年全球數(shù)據(jù)中心安全市場(chǎng)價(jià)值就已經(jīng)達(dá)到61.5億美元，預(yù)計(jì)2022年將達(dá)到約141.1億美元，2017年至2022年期間的復(fù)合年增長(zhǎng)率為14.85%。

由于虛擬化的數(shù)據(jù)中心、混合云和軟件定義的網(wǎng)絡(luò)模糊了現(xiàn)代數(shù)據(jù)中心的界限，使得業(yè)界目前對(duì)于數(shù)據(jù)中心安全性的投資均旨在應(yīng)對(duì)當(dāng)今基礎(chǔ)設(shè)施日益復(fù)雜性的問題。與此同時(shí)，隨著網(wǎng)絡(luò)安全攻擊者不斷調(diào)整其逃避技術(shù)，以避開現(xiàn)有數(shù)據(jù)中心的安全技術(shù)，使得企業(yè)數(shù)據(jù)中心的安全保護(hù)策略始終處于不斷變化之中。

· 2017年，在74個(gè)最常見的漏洞攻擊工具和有效載荷感染路徑中，99%使用了逃避技術(shù)。

· 網(wǎng)絡(luò)安全攻擊者每天發(fā)布新的惡意軟件樣本數(shù)量高達(dá)360,000個(gè)。

· 數(shù)據(jù)泄露總數(shù)超過1.74億，平均違規(guī)成本為360萬美元。

隨著企業(yè)客戶逐漸開始調(diào)查數(shù)據(jù)中心的安全選項(xiàng)，以應(yīng)對(duì)當(dāng)前的這些安全風(fēng)險(xiǎn)，他們需要了解市場(chǎng)中正在發(fā)生的相關(guān)變化。曾經(jīng)構(gòu)成單一產(chǎn)品的功能：如數(shù)據(jù)中心防火墻(DCFW)或數(shù)據(jù)中心IPS(DCIPS)現(xiàn)在已在其他產(chǎn)品中發(fā)現(xiàn)。因此隨著新的子類別的出現(xiàn)，更難對(duì)這些產(chǎn)品進(jìn)行一對(duì)一的比較。因此，企業(yè)采購人員需要明確相關(guān)的事實(shí)和確定的基準(zhǔn)來比較具有類似配置的類似產(chǎn)品，以便能夠?yàn)樗麄兯谄髽I(yè)的具體使用案例挑選最佳產(chǎn)品，并將其用于實(shí)踐過程中的概念驗(yàn)證測(cè)試。

數(shù)據(jù)中心網(wǎng)絡(luò)安全的演進(jìn)

隨著當(dāng)前的網(wǎng)絡(luò)安全威脅形勢(shì)變得越來越復(fù)雜，企業(yè)組織正在被迫將安全保護(hù)分層到他們的數(shù)據(jù)中心基礎(chǔ)設(shè)施中。而DCFW和DCIPS所提供的功能對(duì)此至關(guān)重要。

DCFW的目標(biāo)首先是在兩個(gè)網(wǎng)絡(luò)之間實(shí)施訪問控制策略。防火墻已從早期的數(shù)據(jù)包過濾和電路中繼防火墻發(fā)展到應(yīng)用程序?qū)?基于代理)和動(dòng)態(tài)數(shù)據(jù)包過濾防火墻，但其基本目的是保護(hù)可信網(wǎng)絡(luò)免受不可信網(wǎng)絡(luò)的侵害，同時(shí)允許授權(quán)通信在它們之間傳輸。

而DCIPS的目標(biāo)是識(shí)別和阻止針對(duì)數(shù)據(jù)中心資源(如Web服務(wù)器、應(yīng)用程序服務(wù)器和數(shù)據(jù)庫服務(wù)器)的攻擊。這些產(chǎn)品不斷發(fā)展，以保持捕獲日益復(fù)雜的攻擊的平衡，同時(shí)產(chǎn)生幾乎為零的誤報(bào)，并滿足嚴(yán)格的網(wǎng)絡(luò)性能要求。

鑒于企業(yè)組織以前傾向于采用差異化的單一產(chǎn)品DCFW或DCIPS來提供阻止或過濾功能，現(xiàn)在有些企業(yè)正在尋求一種可以執(zhí)行訪問控制和深度數(shù)據(jù)包檢測(cè)的單一平臺(tái)，以保護(hù)服務(wù)器應(yīng)用程序免受遠(yuǎn)程攻擊。

因此，即使DCFW和DCIPS演進(jìn)到具備下一代的相關(guān)功能，市場(chǎng)上仍然出現(xiàn)了一類名為數(shù)據(jù)中心安全網(wǎng)關(guān)(DCSG)的新產(chǎn)品，這類新產(chǎn)品將DCFW和DCIPS的下一代功能進(jìn)行了結(jié)合。與保護(hù)用戶免受互聯(lián)網(wǎng)干擾的下一代防火墻(NGFW)不同，DCSG通過互聯(lián)網(wǎng)保護(hù)數(shù)據(jù)中心資產(chǎn)資源，例如網(wǎng)絡(luò)服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、應(yīng)用程序服務(wù)器等。

理想情況下，DCSG旨在對(duì)所有數(shù)據(jù)包和端口以及所有協(xié)議執(zhí)行深度數(shù)據(jù)包檢測(cè)，以確定哪些應(yīng)用程序在哪些端口上運(yùn)行，從而有效保護(hù)它們。這應(yīng)該注重性能，提供安全性，同時(shí)保持應(yīng)用程序的平穩(wěn)運(yùn)行。

數(shù)據(jù)中心網(wǎng)絡(luò)安全概述

單一平臺(tái)的部分吸引力在于其可管理性因素——企業(yè)組織可以通過單一平臺(tái)跟蹤和控制應(yīng)用程序的性能和安全性級(jí)別。事實(shí)上，隨著越來越多的企業(yè)組織要求簡(jiǎn)化數(shù)據(jù)中心的安全控制，未來，這一新類別可能會(huì)包含Web應(yīng)用程序防火墻(WAF)功能。

那么問題是，一家企業(yè)組織是否可以取消其DCFW和DCIPS設(shè)備，以支持單個(gè)DCSG呢?在很多情況下，的確是可以的。但這并不一定意味著對(duì)單一功能的數(shù)據(jù)中心安全設(shè)備的需求正在消失。他們將繼續(xù)發(fā)展，以供企業(yè)組織在某些有限的使用情況下的使用。

例如，一些企業(yè)組織可能會(huì)用位于其數(shù)據(jù)中心邊緣的融合多功能DCSG取代單功能DCFW和DCIPS。然而，他們也可能選擇在數(shù)據(jù)中心周邊背后部署DCIPS(即，作為“線路中的碰撞”)，以實(shí)現(xiàn)細(xì)分和深度檢查功能，而不會(huì)帶來路由防火墻的復(fù)雜性。

這些新的DCSG產(chǎn)品要求那些負(fù)責(zé)獲取數(shù)據(jù)中心保護(hù)技術(shù)的人員為其評(píng)估過程帶來新的紀(jì)律。企業(yè)采購人員需要了解獨(dú)立產(chǎn)品與新融合DCSG產(chǎn)品之間的差異，以便有效評(píng)估產(chǎn)品，并確定適合其所在企業(yè)組織的合適性。

充分利用數(shù)據(jù)中心安全保護(hù)

數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)備可處理正在訪問服務(wù)器場(chǎng)中大型應(yīng)用程序的數(shù)十萬用戶的流量。應(yīng)用程序流量為每個(gè)請(qǐng)求生成很多連接和事務(wù)，這對(duì)網(wǎng)絡(luò)安全設(shè)備快速建立多個(gè)連接，保持許多連接打開，并實(shí)現(xiàn)高吞吐率的能力提出了很高的要求。

最終，企業(yè)組織需要獲得充分的可視性和控制，不僅僅是周邊的數(shù)據(jù)，而是在整個(gè)數(shù)據(jù)中心邊界上流動(dòng)的數(shù)據(jù)。

DCSG必須能夠執(zhí)行訪問控制和深度數(shù)據(jù)包檢測(cè)，以保護(hù)服務(wù)器應(yīng)用程序免受遠(yuǎn)程攻擊，并且他們應(yīng)該了解網(wǎng)絡(luò)分段需求。他們還必須抵制真實(shí)的攻擊者繞過安全技術(shù)的回避技術(shù)。

同時(shí)，這些保護(hù)措施必須在不影響數(shù)據(jù)中心運(yùn)行的服務(wù)器和應(yīng)用程序的情況下實(shí)現(xiàn)交付。由于受DCSG保護(hù)的服務(wù)器和應(yīng)用程序的性質(zhì)，高可用性，低延遲和容錯(cuò)性是關(guān)鍵性的任務(wù)。

一對(duì)一的比較：衡量數(shù)據(jù)中心安全產(chǎn)品

安全產(chǎn)品的評(píng)估應(yīng)始終基于具有類似配置的類似產(chǎn)品類別。當(dāng)企業(yè)的采購人員評(píng)估數(shù)據(jù)中心網(wǎng)絡(luò)安全產(chǎn)品時(shí)，他們必須確保他們所選擇的DCSG產(chǎn)品能夠相互融合(即DCFW產(chǎn)品應(yīng)與DCFW產(chǎn)品進(jìn)行比較，DCIPS產(chǎn)品應(yīng)與DCIPS產(chǎn)品進(jìn)行比較)，并且所有產(chǎn)品的設(shè)置均是一致的。

例如，如果安全旁路模式默認(rèn)情況下在一個(gè)產(chǎn)品上啟用，而不是在另一個(gè)產(chǎn)品啟用，其可以提供增強(qiáng)的性能統(tǒng)計(jì)信息，但代價(jià)是允許未經(jīng)檢查的流量進(jìn)入網(wǎng)絡(luò)，而管理員對(duì)此并不知道。

這可能會(huì)在POC期間歪曲比較。這個(gè)例子強(qiáng)調(diào)了安全有效性和性能之間的動(dòng)態(tài)關(guān)系，在評(píng)估任何安全產(chǎn)品時(shí)必須牢記這一點(diǎn)。

企業(yè)組織評(píng)估數(shù)據(jù)中心安全產(chǎn)品時(shí)，應(yīng)該嘗試使用以下5個(gè)類別中的某些基準(zhǔn)測(cè)試，并對(duì)產(chǎn)品評(píng)分(以DCSG為例)。這樣做將建立一個(gè)強(qiáng)有力的比較矩陣，以決定為POC提供哪些產(chǎn)品。

安全有效性

DCSG產(chǎn)品應(yīng)在防火墻策略執(zhí)行和IPS流量檢查中進(jìn)行安全有效性評(píng)估，同時(shí)牢記各種條件下的穩(wěn)定性和可靠性。

企業(yè)數(shù)據(jù)中心應(yīng)測(cè)試防火墻的功能，以查看設(shè)備如何在不同信任級(jí)別的不同區(qū)域之間執(zhí)行策略。還應(yīng)該測(cè)試IPS功能，以查看設(shè)備使用調(diào)整策略阻止惡意流量的情況，但是測(cè)試時(shí)公眾可以使用簽名。

防火墻有效性測(cè)試

至少，防火墻必須提供可信的內(nèi)部接口和不可信的外部/互聯(lián)網(wǎng)接口。

企業(yè)通常會(huì)制定相關(guān)的策略以允許或拒絕來自以下一個(gè)或兩個(gè)區(qū)域的網(wǎng)絡(luò)流量：

· 不受信任——通常是外部網(wǎng)絡(luò)，并且被視為未知且不安全?；ヂ?lián)網(wǎng)就是一個(gè)不可信網(wǎng)絡(luò)的例子。

· 可信任——通常是企業(yè)內(nèi)部網(wǎng)絡(luò);即被認(rèn)為是安全和受保護(hù)的網(wǎng)絡(luò)。

理想情況下，測(cè)試應(yīng)驗(yàn)證執(zhí)行策略的性能和能力，以執(zhí)行從受信任區(qū)域到不受信任區(qū)域，以及從不受信任區(qū)域到受信任區(qū)域的流量策略。

IPS有效性測(cè)試

在典型的企業(yè)中，安全工程師們通常會(huì)調(diào)整IPS，以確保其保護(hù)范圍與其所處環(huán)境的需求相匹配。因此，應(yīng)該使用調(diào)整后的政策來測(cè)試安全有效性。

IPS的有效性應(yīng)該基于產(chǎn)品阻斷現(xiàn)實(shí)世界的能力來進(jìn)行測(cè)試。這包括一系列的漏洞和有效載荷，其中包括：

· 返回一個(gè)反向shell

· 在目標(biāo)上打開綁定shell，允許攻擊者執(zhí)行任意命令

· 執(zhí)行任意代碼

· 安裝了惡意負(fù)載

· 系統(tǒng)無響應(yīng)

使用一系列的漏洞和有效載荷，你企業(yè)的測(cè)試應(yīng)該建立一個(gè)比較產(chǎn)品的整體阻止率 (Block Rate)。

由于許多較早的應(yīng)用程序、操作系統(tǒng)和攻擊仍然在流通并保持相關(guān)性，因此使用面向較舊漏洞的攻擊測(cè)試IPS有效性，并根據(jù)漏洞年份來衡量漏洞可能很有價(jià)值。

此外，根據(jù)漏洞攻擊的影響來衡量IPS覆蓋率可能很有價(jià)值：

· 最嚴(yán)重的漏洞攻擊是導(dǎo)致遠(yuǎn)程系統(tǒng)泄密的漏洞，為攻擊者提供執(zhí)行任意系統(tǒng)級(jí)命令的能力。

· 稍微不那么嚴(yán)重的攻擊會(huì)導(dǎo)致單個(gè)服務(wù)的破壞，但不會(huì)導(dǎo)致任意的系統(tǒng)級(jí)命令執(zhí)行。

· 最后，導(dǎo)致系統(tǒng)或服務(wù)級(jí)別故障的攻擊會(huì)導(dǎo)致目標(biāo)服務(wù)或應(yīng)用程序崩潰，并需要管理操作來重新啟動(dòng)服務(wù)或重新引導(dǎo)系統(tǒng)。

根據(jù)漏洞利用效果比較有效性可以提供有關(guān)設(shè)備安全功能的寶貴信息。

穩(wěn)定性和可靠性

當(dāng)組織評(píng)估DCSG時(shí)，他們應(yīng)該考慮這些設(shè)備在正常工作負(fù)載下如何保持長(zhǎng)期穩(wěn)定性，以及它們?nèi)绾翁幚硖厥馇闆r(如電源故障)和擴(kuò)展攻擊，如分布式拒絕服務(wù)(DDoS)攻擊。不應(yīng)考慮在惡意攻擊時(shí)無法維持合法流量(或崩潰)的產(chǎn)品。

DCSG的整體有效性應(yīng)該使用一個(gè)公式來結(jié)合產(chǎn)品的防火墻有效性得分，IPS有效性以及穩(wěn)定性和可靠性得分。

回避技術(shù)

企業(yè)必須能夠依靠其DCSG來預(yù)測(cè)和識(shí)別專門設(shè)計(jì)用于逃避檢測(cè)的惡意活動(dòng)。

回避技術(shù)是在交付時(shí)偽裝和修改攻擊的手段，以避免被安全產(chǎn)品檢測(cè)和阻止。安全設(shè)備未能正確識(shí)別特定類型的規(guī)避可能會(huì)允許攻擊者使用設(shè)備假定具有保護(hù)功能的整個(gè)類別的漏洞。這意味著DCSG應(yīng)該通過一系列的測(cè)試，使他們受到一系列通用規(guī)避技術(shù)的影響。在不充分考慮逃稅的情況下提供保護(hù)結(jié)果可能會(huì)產(chǎn)生誤導(dǎo)。

漏掉的類別越多(例如IP數(shù)據(jù)包碎片、流分段、RPC碎片、URL混淆和FTP回避)，設(shè)備的效率越低。例如，最好是錯(cuò)過一個(gè)逃避類別中的所有技術(shù)，比如FTP逃避，而不是每個(gè)類別中的一種技術(shù)，這會(huì)導(dǎo)致更廣泛的攻擊面。

出于這個(gè)原因，在總體安全有效性評(píng)分中包含防規(guī)避結(jié)果是至關(guān)重要的。

性能

企業(yè)組織需要知道他們的DCSG是否能夠在支持關(guān)鍵業(yè)務(wù)應(yīng)用程序所需的性能閾值內(nèi)進(jìn)行風(fēng)險(xiǎn)管理。因此，他們應(yīng)該尋找與安全有效性指標(biāo)并行測(cè)試的性能指標(biāo)。這包括測(cè)量諸如原始數(shù)據(jù)包處理，延遲和最大容量等領(lǐng)域的性能。

總體擁有成本

負(fù)責(zé)DCSG采購的決策者必須考慮可能影響設(shè)備總體成本的四個(gè)因素。

· 產(chǎn)品購買：購買產(chǎn)品需要多少成本?

· 產(chǎn)品維護(hù)：一旦采購了產(chǎn)品之后，供應(yīng)商會(huì)如何收取維護(hù)、支持和更新費(fèi)用

· 安裝：買方承諾部署產(chǎn)品的一次性資源是多少?

· 維護(hù)：從供應(yīng)商處獲得更新和補(bǔ)丁需要哪些資源?

在POC期間尋找什么

顯然，即使是數(shù)據(jù)中心安全產(chǎn)品評(píng)估的早期階段，也需要深入了解設(shè)備功效所有領(lǐng)域的指標(biāo)。市場(chǎng)上有相應(yīng)的服務(wù)機(jī)構(gòu)可以為企業(yè)采購人員們提供實(shí)踐性的測(cè)試，比較類似測(cè)試條件下的產(chǎn)品性能，并使用類似的產(chǎn)品配置。

從實(shí)踐測(cè)試階段開始，企業(yè)的評(píng)估人員可以快速挑選候選產(chǎn)品，并在需要深入分析或?qū)ｉT針對(duì)其環(huán)境定制的測(cè)試領(lǐng)域啟動(dòng)更為密集的POC評(píng)估。隨著企業(yè)客戶將候選產(chǎn)品名單提交給POC，他們應(yīng)該將重點(diǎn)放在若干領(lǐng)域。例如，當(dāng)談到測(cè)試DCSG的防火墻功能時(shí)，他們應(yīng)該進(jìn)一步深入定制的數(shù)據(jù)中心訪問配置和內(nèi)部網(wǎng)絡(luò)區(qū)域的部分分段。

關(guān)于IPS功能，他們應(yīng)該測(cè)試產(chǎn)品如何處理內(nèi)部攻擊行為和橫向移動(dòng)技術(shù)。

此外，企業(yè)客戶可能會(huì)使用POC來評(píng)估基于其更先進(jìn)功能的設(shè)備的未來發(fā)展。 對(duì)于某些情況，這可能包括應(yīng)用程序服務(wù)器保護(hù)或WAF保護(hù)，以防止防火墻或IPS功能帶來太多延遲以適應(yīng)應(yīng)用程序(如在線交易)。 對(duì)于其他一些企業(yè)而言，其可能是使用服務(wù)提供的云平臺(tái)測(cè)試企業(yè)在場(chǎng)外的功能。

（原標(biāo)題：數(shù)據(jù)中心網(wǎng)絡(luò)安全演變：下一步趨勢(shì)是什么？）