网络安全
solution
- 数据中心安全
- 高级威胁防护
数据中心物理安全
美国通信工业学会(TIA)TR-42.2委员分会制定、由美国国家标准学会(ANSI)和美国通信工业协会(TIA)于2005年4月12日首次颁布的《ANSI/TIA-942-2005数据中心通信基础设施标准》。该标准是一部以数据中心为对象的技术规范,为数据中心设计提出了新的设计理念、系统架构与技术标准,成为当今商业建筑建设过程中通用的遵循标准之一。该标准规范了数据中心机房场地、供电、冷却、安防、地面承载、接地、电气保护以及其他工程和建筑上需要满足的条件,为数据中心机房的设计和安装提供要求和指南。
数据中心机房设施功能分类的主要依据是可用性。The Uptime Institute依据工程需求与实践,提出了场地基础设施的分类等级的体系框架,针对数据中心基础设施期望达到“五个九”即99.999%的系统应用可用性的需求,提出了与之相匹配的机房场地基础设施(供电、空调制冷以及其他的相关系统)的可用性等级指标,并将数据中心分为四个等级,由“T1”没有冗余部件组成的系统(可提供99.671%的可用性),到“T4”有冗余部件(能够故障容错)和实现不间断维修的系统。四个不同的等级包含了对建筑结构、安全性、电气、制冷、接地、防火等不同的要求。
Grade Feature
Tier1
Tier2
Tier3
Tier4
Dual Utility Pover Feed
Single
Single
√
√
Dual Route Utility Pover Supply
Single
Single
√
√
UPS System
N
N+1
N+1
2N
UPS Runtime of Minimum Full Load
5min
10min
15min
15min
Dual Pover Supply PDU
Single
Single
√
√
Dual Independence Pover Supply Path
Single
Single
√
√
CRAC-N+1 Redundant Facilities
N
N
N+1
N+1
Automatic & Monitoring System
√
√
√
√
7*24 Facility Operator Coverage
√
√
√
√
Real-time Maintenance of Mechanical Systems
√
√
√
√
Real-time Maintenance of Electrical Systems
√
√
√
√
数据中心架构安全
数据中心架构安全防护主要有网络安全和系统安全两方面。
网络安全:指数据中心网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段,如防火墙,IPS,安全审计等;
系统安全:包括服务器操作系统,数据库,中间件等在内的系统安全,以及为提高这些系统的安全性而使用安全评估管理工具所进行的系统安全分析和加固;
总体分析,数据中心所面临的安全威胁主要来自3个方面,一是面向应用层的攻击,二是面向网络层的攻击,三是面向基础设施的攻击(这里的基础设施是指网络、主机等信息系统硬件设施)。因此传统数据中心的信息安全防护体系一般按照“多层防护、分区规划、分层部署”的原则来进行。
多层防护
多层防护大体上分为3层,第一层是高性能硬件防火墙,第二层是具有高性能检测引擎的IDS甚至是IPS,第三层是具有丰富安全功能的路由器和交换机。这种分层方式比较宏观,从更微观的角度来看,根据0SI七层模型,数据中心还建立了从链路层到应用层的非常具体的信息安全防护体系,例如防病毒网关、数据防泄漏等防护手段和防护设备。
分区规划、分层部署
数据中心存在不同价值和易受攻击程度不同的设备,按照这些设备的情况制定不同的安全策略和信任模型,将数据中心划分为不同区域,这就是分区规划。通常,数据中心根据不同的信任级别可以划分为远程接入区、Internet服务器区、局域网外部服务器区、局域网内部服务器区、管理区、核心区等。
安全防护技术
根据传统数据中心的信息安全架构,有多种安全防护技术对其进行支撑。安全防护技术同样分为3个层次。第一层是数据中心网络基础设施防护技术,包括基于VLAN的端口隔离、端口安全。第二层是数据中心边界防护技术,包括防火墙的使用和管理等。第三层是数据中心应用安全防护技术,包括病毒防护、数据泄漏防护、数据存储防护等。
数据中心数据备份和容灾
数据备份的任务与意义就在于,当事故发生后,通过备份的数据完整、快速、简捷、可靠地恢复原有系统,而备份数据可用性的高低是企业灾难恢复的根本。数据备份仅仅是容灾的基础,备份的数据可以还会有其他因素造成的数据损坏,如地震、火灾等目前来看,主要的数据备份方式如下:
定期磁带备份:包括远程磁带库、光盘库备份和远程关键数据+磁带备份。
数据库备份:就是在与主数据库所在生产机相分离的备份机上建立主数据库的一个拷贝。
网络数据:这种方式是对生产系统的数据库数据和所需跟踪的重要目标文件的更新进行监控与跟踪,并将更新日志实时通过网络传送到备份系统,备份系统则根据日志对磁盘进行更新。
远程镜像:通过高速光纤通道线路和磁盘控制技术将镜像磁盘延伸到远离生产机的地方,镜像磁盘数据与主磁盘数据完全一致,更新方式为同步或异步。
这些措施能够在系统发生故障后进行系统恢复。但是这些措施一般只能处理计算机单点故障,对区域性、毁灭性灾难则束手无策,也不具备灾难恢复能力。所以我们就需要建立异地容灾中心,做数据的远程备份,在灾难发生之后要确保原有的数据不会丢失或者遭到破坏。建立的异地容灾中心可以简单地把它理解成一个远程的数据备份中心。数据容灾的恢复时间比较长,但是相比其他容灾级别来讲它的费用比较低,而且构建实施也相对简单。主要的实施方法如下:
实时复制:当主中心的数据库内容被修改时,备份中心的数据库内容实时地被修改,此种复制方式对网络可靠性要求高。
定时复制:当主中心的数据库内容被修改时,备份中心的数据库内容会按照时间间隔,周期性地按照主中心的更新情况进行刷新,时间间隔可长(几天或几个月)可短(几分钟或几秒钟)。
存储转发复制:当主中心的数据库内容被修改时,主中心的数据库服务器会先将修改操作Log存储于本地,待时机成熟再转发给备份中心。
基于在灾备领域的长期积累,联诺信息致力于为客户构建从底层数据到上层应用,从单数据中心到跨多个数据中心的多层次全方位容灾解决方案,全面满足各行业的灾备系统建设要求,有效保障业务连续性。
业务挑战
网络攻击者经常使用复杂的恶意软件来危害网络和计算机,以窃取企业的敏感信息。使用IDS、防火墙、防病毒等常规安全防护系统,乃至于安全信息和事件管理系统(SIEM)都较难应对隐形攻击(又称先进的持续威胁)。
什么是APT ?
高级持续性威胁(advanced persistent threat,APT)是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。
●高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。
●长期暗指某个外部力量会持续监控特定目标,并从其获取数据。
●威胁则指人为参与策划的攻击。
APT 攻击周期
初始入侵 – 使用社会工程学、钓鱼式攻击、零日攻击,通过邮件进行。在受害者常去的网站上植入恶意软件(挂马)也是一种常用的方法。
站稳脚跟 – 在受害者的网络中植入远程访问工具,打开网络后门,实现隐蔽访问。
提升特权 – 通过利用漏洞及破解密码,获取受害者电脑的管理员特权,并可能试图获取Windows域管理员特权。
内部勘查 – 收集周遭设施、安全信任关系、域结构的信息。
横向发展 – 将控制权扩展到其他工作站、服务器及设施,收集数据。
保持现状 – 确保继续掌控之前获取到的访问权限和凭据。
任务完成 – 从受害者的网络中传出窃取到的数据。
APT特点
组织特点
●从APT攻击事件分析来看,APT攻击已突破传统黑客小团队“作坊级协同”模式,上升为一种国家层面“组织级联合”模式,攻击数量、持续性和复杂性不断增加
●攻击目标指向高价值资产或物理系统
攻击特点
以“低和慢”模式运行,同时使用用户凭据或零日漏洞,其巨大的复杂性和逃避检测能力,困扰着众多安全领域专家。
●“低模式”即网络中保持低调
●“慢模式”即执行过程长。
解决方案描述:
联诺信息建议采用多重模式相结合的方式,抵御APT攻击。
模式1——使用网络流量分析技术,确定标准流量模式的基准线(例如异常的DNS流量说明可能有僵尸网络流量),并对异常模式进行标注,代表着一个被入侵的环境。
模式2——网络取证通常提供“网络流量的全包捕获和存储”,分析和报告工具对先进威胁事件的响应。
模式3——有效负载分析,可使用沙箱技术近实时地检测攻击目标
模式4——终端行为分析,在应用程序容器中,通过把虚拟容器中的应用程序和文件进行分离,来保护端点安全。
模式5——端点取证,涉及到了事件响应工具。
解决方案价值:
●防御高级威胁的高级安全功能 - 抵御各种已知威胁和未知威胁
●涵盖攻击前、攻击中和攻击后的全程保护
●出众的可视性和可控性 - 查看更多详细信息并设置精确的策略
●灵活性和选择性 - 随时随地根据需要部署
