淺談數(shù)據(jù)中心的網(wǎng)絡(luò)安全建設(shè)

張軼

天津市城市道路設(shè)施巡查中心 天津 300190

引言

當(dāng)代社會各類信息化應(yīng)用和系統(tǒng)已逐步滲透到我們生活的方方面面，為生產(chǎn)生活的發(fā)展提供著強(qiáng)勁的動力。隨之而來的就是數(shù)據(jù)資源的總量變得越來越龐大，特別是移動互聯(lián)網(wǎng)時(shí)代的到來，對各種數(shù)據(jù)資源的需求更是呈現(xiàn)爆發(fā)式的增長，數(shù)字化經(jīng)濟(jì)、數(shù)字化生活在日常生活中顯得必不可少，作為承載用戶核心業(yè)務(wù)和重要數(shù)據(jù)主體的數(shù)據(jù)中心在其中發(fā)揮著樞紐的作用，儼然成為支撐互聯(lián)網(wǎng)這個復(fù)雜整體的一個個中心節(jié)點(diǎn)，其重要性顯而易見，對數(shù)據(jù)中心的安全性和穩(wěn)定性也就提出了更高的要求，如何保證它的安全運(yùn)行也就顯得至關(guān)重要。由于數(shù)據(jù)中心本身的特性，在其上運(yùn)行的系統(tǒng)離不開網(wǎng)絡(luò)的支持，同時(shí)也只有在網(wǎng)絡(luò)環(huán)境中才能發(fā)揮它處理和存儲的優(yōu)勢，因此做好網(wǎng)絡(luò)安全是進(jìn)行數(shù)據(jù)中心安全建設(shè)的關(guān)鍵。

1 數(shù)據(jù)中心面臨的網(wǎng)絡(luò)安全問題

一是由于數(shù)據(jù)中心上系統(tǒng)進(jìn)行數(shù)據(jù)存儲、處理需要與互聯(lián)網(wǎng)時(shí)刻保持高強(qiáng)度的信息交互，所以網(wǎng)絡(luò)中常見的病毒、蠕蟲、DDoS攻擊等惡意攻擊手段也同樣對數(shù)據(jù)中心造成威脅，不法分子可以通過這些手段竊取用戶的隱私數(shù)據(jù)，繼而使用這些數(shù)據(jù)從事詐騙、賬戶盜刷、內(nèi)部信息買賣等違法活動，從而達(dá)到非法牟利的目的。

二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，移動互聯(lián)網(wǎng)帶來了爆發(fā)增長的用戶數(shù)量和多種多樣的應(yīng)用表現(xiàn)形式，同時(shí)也增加了安全防護(hù)工作的復(fù)雜性，同時(shí)惡意攻擊的頻度和技術(shù)含量也相應(yīng)提升，攻擊的強(qiáng)度不斷提高，手段不斷翻新，不法分子時(shí)刻在尋找著數(shù)據(jù)中心可能存在的漏洞，給安全防護(hù)帶來困難。

三是由于數(shù)據(jù)中心中信息資源的價(jià)值往往較高，在利益或其他目的的驅(qū)使下，也就成為重點(diǎn)攻擊的目標(biāo)，特別是黑客或網(wǎng)絡(luò)恐怖組織可能通過攻擊數(shù)據(jù)中心，破壞涉及政府、軍事、金融、公共管理等領(lǐng)域的重點(diǎn)網(wǎng)站或信息系統(tǒng)，這甚至成為現(xiàn)代社會國家間競爭的一種表現(xiàn)形式，這種攻擊一旦成功對國民生活、國家安全造成的影響和破壞也十分巨大[1]。 四是由于數(shù)據(jù)中心在網(wǎng)絡(luò)中所處的重要位置，對信息處理的時(shí)效性要求相對較高，對數(shù)據(jù)中心的攻擊很可能對它的處理、存儲性能造成影響，更有甚者會拖慢其上運(yùn)行系統(tǒng)的整體速度，造成響應(yīng)延遲、運(yùn)行錯誤等問題，嚴(yán)重影響系統(tǒng)的平衡和穩(wěn)定。

2 數(shù)據(jù)中心網(wǎng)絡(luò)安全架構(gòu)

目前，國際上使用較為廣泛的安全體系結(jié)構(gòu)是由美國國家安全局（NSA）開發(fā)的《信息保障技術(shù)框架》（IATF：Information Assurance Technical Framework）安全體系結(jié)構(gòu)，我國自2002年引進(jìn)國內(nèi)以來，廣泛地適用于各個領(lǐng)域，對信息安全保障體系建設(shè)發(fā)揮了指導(dǎo)和參考作用。

IATF的前身是《網(wǎng)絡(luò)安全框架》（NSF：Network Security Framework），于1998年發(fā)布第一版；1999年，NSA將NSF更名為IATF，并發(fā)布IATF2.0。隨著信息安全技術(shù)的不斷發(fā)展，IAFT也在不斷修補(bǔ)和完善，內(nèi)容的深度和廣度也在不斷深化。

IATF的核心思想就是縱深防御戰(zhàn)略，也稱深層防護(hù)戰(zhàn)略（Defense-in-Depth），即通過多層次、層疊的防御措施為信息提供深層的安全保障。整個防御過程，需要人、技術(shù)和操作做到三位一體，共同組織實(shí)現(xiàn)信息系統(tǒng)的管理，這三點(diǎn)也是IAFT規(guī)劃的信息保障體系的核心因素。其中，人作為主體，包含培訓(xùn)和意識、組織管理、人員安全、設(shè)施對策等方面；操作也叫運(yùn)行，是主動防御的體現(xiàn)，包含備用評估、安全監(jiān)控、安全策略、響應(yīng)恢復(fù)等方面，這兩個要素都可以通過加強(qiáng)安全管理來予以強(qiáng)化，而作為安全的基礎(chǔ)保障的技術(shù)因素則是實(shí)現(xiàn)信息保障的重要手段，各項(xiàng)安全服務(wù)都是通過技術(shù)手段來實(shí)現(xiàn)的，也是我們在安全建設(shè)過程需要重點(diǎn)考慮的問題。

在技術(shù)層面，IATF提出了4層的通用技術(shù)框架，分為：本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施區(qū)域，區(qū)域間形成逐層遞進(jìn)的縱深防御體系，確保了信息資源的安全可靠。如果考慮網(wǎng)絡(luò)安全的話，主要還是聚焦在區(qū)域邊界和網(wǎng)絡(luò)及基礎(chǔ)設(shè)施兩個方面。

區(qū)域邊界保護(hù)是指在當(dāng)業(yè)務(wù)、系統(tǒng)依據(jù)功能和重要性等因素劃分為不同區(qū)域時(shí)，對進(jìn)出這些區(qū)域的信息、數(shù)據(jù)進(jìn)行有效的控制和監(jiān)視，在保障可用性的前提下，保護(hù)區(qū)域邊界設(shè)施的安全，典型的技術(shù)和應(yīng)用主要包括防火墻、VPN、邊界共享交換、遠(yuǎn)程訪問、多域方案、移動代碼、安全隔離等。

網(wǎng)絡(luò)及基礎(chǔ)設(shè)施保護(hù)是信息系統(tǒng)安全的基礎(chǔ)，網(wǎng)絡(luò)及其基礎(chǔ)設(shè)施作為保障用戶數(shù)據(jù)傳輸和信息系統(tǒng)運(yùn)行的中樞，必須保障在無故障、不受外界影響的條件下穩(wěn)定可靠地運(yùn)行，保證信息不會泄露給未授權(quán)的訪問者，防御拒絕服務(wù)攻擊，避免信息傳輸時(shí)發(fā)生更改、延時(shí)或發(fā)送失敗等，典型的技術(shù)和應(yīng)用主要包括交換機(jī)和路由器安全、無線網(wǎng)絡(luò)安全等[2]。

3 數(shù)據(jù)中心網(wǎng)絡(luò)安全的具體實(shí)施

為達(dá)到縱深防御的效果，可以從網(wǎng)絡(luò)、設(shè)備、主動防御三個方面提供相應(yīng)的安全防護(hù)手段，保障數(shù)據(jù)中心的網(wǎng)絡(luò)安全，下面將就幾種常見的防護(hù)方式或類型進(jìn)行介紹。

3.1 訪問控制與隔離

訪問控制與隔離一般指通過安全策略，管理對受保護(hù)資源的訪問行為，繼而隔絕非法的訪問請求，保障數(shù)據(jù)資源的合法使用和安全的技術(shù)。為達(dá)到控制目的，需要先識別和確認(rèn)訪問的用戶、并決定該用戶可以對哪些資源進(jìn)行何種類型的訪問。訪問控制是保障系統(tǒng)保密性、完整性、可用性及合法性的重要基礎(chǔ)，是網(wǎng)絡(luò)安全和資源保護(hù)的關(guān)鍵策略。按照區(qū)域邊界防護(hù)的要求，需要針對不同安全級別的網(wǎng)絡(luò)進(jìn)行訪問控制和隔離，一般通過防火墻技術(shù)進(jìn)行隔離。

3.1.1 劃分安全域。既然要進(jìn)行隔離，就要在對業(yè)務(wù)資源進(jìn)行分析的基礎(chǔ)上，合理地設(shè)定安全域。劃分的主要原則是同一業(yè)務(wù)或同一系統(tǒng)中具有相同的安全需求，互相信任，并具有相同的安全訪問控制和邊界控制策略的部分應(yīng)劃分為一個安全域，域內(nèi)共享相同的安全策略，從而保障業(yè)務(wù)運(yùn)行順暢。對敏感的網(wǎng)絡(luò)區(qū)域或者需要進(jìn)行訪問控制的區(qū)域應(yīng)用單獨(dú)的安全域進(jìn)行劃分，方便進(jìn)行安全控制；大型的網(wǎng)絡(luò)還可在一個安全域的基礎(chǔ)上劃分小的子域，但劃分不應(yīng)過細(xì)。一般常見的幾種劃分方式有：OA區(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)區(qū)；遠(yuǎn)程網(wǎng)絡(luò)、公共網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)；互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)部網(wǎng)絡(luò)區(qū)等等。

劃分安全域時(shí)，需要明確各個區(qū)域的安全定義，如果劃分邏輯模糊，劃分形成的各個安全域也就無法形成層次清晰的縱深防御體系。傳統(tǒng)的劃分方法多數(shù)是通過將不同的安全需求和所處的物理區(qū)域綜合進(jìn)行考慮，劃分出合適的安全域，在中小型的網(wǎng)絡(luò)環(huán)境中，這種方法得到了廣泛的應(yīng)用；而在大型的企業(yè)或數(shù)據(jù)中心中，這種方法忽視了同一系統(tǒng)中不同網(wǎng)絡(luò)層次服務(wù)所需安全等級的差別，由于不同層次服務(wù)間安全級別差異較大而且重要性也不盡相同，面臨的風(fēng)險(xiǎn)更是千差萬別，因此須將這些因素也考慮進(jìn)去，進(jìn)一步劃分安全域，才能滿足實(shí)際需要。

3.1.2 部署防火墻。各個安全域既要進(jìn)行互訪，又要進(jìn)行隔離，這一切的控制管理多數(shù)是通過防火墻來進(jìn)行的。防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的唯一出入口，能根據(jù)安全策略控制進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)流，并且本身具有抗攻擊能力。由于同一安全域的安全需求相同，所以可以在安全域的邊界區(qū)域?qū)Ψ阑饓υO(shè)置統(tǒng)一的進(jìn)出策略，就可以達(dá)到對不同區(qū)域間通信進(jìn)行管理的目的。

3.2 DoS攻擊的防御

DoS攻擊，即拒絕服務(wù)攻擊，包括它的進(jìn)化型DDoS、DRDoS攻擊，是現(xiàn)在網(wǎng)絡(luò)上十分常見的攻擊類型，通過利用網(wǎng)絡(luò)協(xié)議的漏洞或野蠻的發(fā)送大量請求等形式，惡意耗盡被攻擊對象的資源，造成設(shè)備或網(wǎng)絡(luò)無法正常提供服務(wù)或訪問資源，進(jìn)而使網(wǎng)絡(luò)或服務(wù)器崩潰。由于DoS攻擊是基于TCP/IP協(xié)議的攻擊模式下，無論計(jì)算機(jī)的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的多高，只要使用該協(xié)議的網(wǎng)絡(luò)就難以避免被攻擊所影響。常見的DoS攻擊有以下幾種：SYN Flood攻擊、Smurf攻擊、Ping of Death、淚滴攻擊、DRDOS等。

至于DoS攻擊的防護(hù)，我們可以從以下幾個方面著手：①對網(wǎng)絡(luò)設(shè)備定期進(jìn)行檢查，掃描安全漏洞，更新系統(tǒng)補(bǔ)丁，升級軟件版本，關(guān)閉不必要的服務(wù)；②合理配置網(wǎng)絡(luò)設(shè)備，目前防火墻等設(shè)備多數(shù)支持DoS的防御，正確啟用相關(guān)功能，充分利用IDS設(shè)備、系統(tǒng)日志，了解設(shè)備狀態(tài)，對可疑的IP予以限制；③通過uRPF（Unicast Reverse Path Forwarding，單播反向路由查找）技術(shù)，對轉(zhuǎn)發(fā)包的源地址進(jìn)行檢查，如果發(fā)現(xiàn)為假IP，則予以屏蔽；④通過核心路由器等網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)硬件層面的流量控制功能，限制SYN數(shù)據(jù)包流量速率，設(shè)置管制閾值，防止對資源的占用。

3.3 DHCP攻擊的防御

DHCP攻擊是針對網(wǎng)絡(luò)中存在的DHCP服務(wù)器的攻擊行為，原理就是通過耗盡DHCP服務(wù)器所掌握的地址池內(nèi)的IP地址資源，使DHCP服務(wù)器無法正常提供服務(wù)，然后以私自架設(shè)的虛假DHCP服務(wù)器頂替原服務(wù)器的作用，進(jìn)行地址分配，達(dá)到攻擊目的。由于DHCP服務(wù)器的特性，它不具備相關(guān)的認(rèn)證機(jī)制，所以在使用DHCP進(jìn)行地址分配時(shí)會面臨幾種與DHCP服務(wù)相關(guān)的攻擊方式，主要包括：冒用DHCP服務(wù)器：當(dāng)惡意用戶在同一網(wǎng)段內(nèi)私自架設(shè)一臺DHCP 服務(wù)器時(shí)，根據(jù)位置PC可能會先得到由這個DHCP服務(wù)器分配的IP地址，導(dǎo)致地址錯誤不能上網(wǎng)。大量DHCP請求的DDos攻擊：惡意客戶端發(fā)起大量DHCP請求，大量的DHCP Discover報(bào)文形成的DDos 攻擊會將DHCP服務(wù)器的性能耗盡，導(dǎo)致CPU利用率不斷升高，甚至癱瘓DHCP服務(wù)器。偽造MAC地址耗盡IP地址池：惡意客戶端偽造大量的MAC地址，并用來請求IP地址，導(dǎo)致DHCP服務(wù)器中地址池內(nèi)的IP地址被耗盡。

可采用如下技術(shù)應(yīng)對以上常見攻擊：

防DHCP服務(wù)器冒用：接入交換機(jī)使用DHCP Snooping技術(shù)，只允許指定DHCP服務(wù)器的報(bào)文通過，其它的DHCP報(bào)文不能通過交換機(jī)。

防御大量DHCP請求的DDos攻擊：接入交換機(jī)對DHCP請求進(jìn)行流量限速，防止惡意客戶端發(fā)起大量DHCP請求的DDos 攻擊，防止DHCP服務(wù)器的CPU利用率升高。

防御偽造MAC地址耗盡IP地址池：接入交換機(jī)可以截?cái)嗫蛻舳说腄HCP請求，插入交換機(jī)的標(biāo)識、接口的標(biāo)識等發(fā)送給DHCP服務(wù)器；另外DHCP服務(wù)軟件應(yīng)支持針對此標(biāo)識來的請求進(jìn)行限量的IP地址分配，或者其它附加的安全分配策略和條件。

3.4 智能主動防御

前面說到，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，惡意攻擊的復(fù)雜性也在不斷提高，傳統(tǒng)的通過特征碼對病毒進(jìn)行判斷、通過補(bǔ)丁對系統(tǒng)進(jìn)行防護(hù)的方式，越來越難滿足安全防御的需求，此時(shí)就需要系統(tǒng)能在病毒入侵造成影響前，通過對行為的智能分析，主動進(jìn)行預(yù)警或通過安全設(shè)備予以處理，控制或減小可能造成的危害。智能主動防御主要包括以下幾方面的功能：基于用戶行為的自主感知和分析；基于網(wǎng)絡(luò)安全形勢的動態(tài)感知以及態(tài)勢分析；基于攻擊特性的攔截處理；基于系統(tǒng)各類信息的綜合分析；基于防御規(guī)則的主動恢復(fù)等。為實(shí)現(xiàn)這些功能，大型數(shù)據(jù)中心往往采用安全監(jiān)控、分析和威脅響應(yīng)系統(tǒng)（MARS），作為控制系統(tǒng)對各類安全設(shè)備的信息進(jìn)行匯總分析，識別攻擊方式，隔離被攻擊組件，進(jìn)行智能修復(fù)；規(guī)模較小的數(shù)據(jù)中心考慮成本等因素，可以使用智能防火墻和IPS/IDS相互配合的解決方案，但管理成本也就相應(yīng)提高。