數據中心架構不同層次安全策略
首先數據中心安全是一個層次化的,這是一個傳統的數據中心的層次圖,先基于這個來說明一下我們在安全方面的考慮。包括互聯網接入層、匯聚層、業務接入層和運維管理層。針對不同的安全問題,不同的層次會也不同的安全策略。
對于互聯網接入層來說,我們認為主要的威脅是DDoS攻擊,DDoS攻擊主要的問題是將帶寬耗盡。針對這個問題的主要措施也比較成熟的技術,就是流量清洗,會在數據中心出口部署流量清洗。目前我們已經在骨干網的互聯出口,還有省網和骨干網的出口部署了流量清洗系統,下一步隨著數據中心的建設,在數據中心的出口也布局流量清洗系統。
對于業務接入層的安全,主要是針對主機資源。一方面進行病毒防護,建立集中的病毒庫、病毒引擎,周期性的來對主機進行殺毒和清洗;另一方面進行周期的安全評估,根據安全評估的結果,需要不斷的更新防護手段。最后對主機本身進行安全加固。
匯聚層方面,一是訪問控制,針對可信不可信的訪問進行有效的隔離了防護,另一方面對入侵系統進行有效的補充,最后對網絡設備,也就是承載層面的設備進行安全加固,包括嚴格的控制訪問權限,包括對網絡設備本身的開放服務進行限制。
用戶終端管理,包括對終端安全方面的評估,包括根據安全評估結果允許他的接入。另外一方面對用戶的行為以及用戶的終端進行周期性的審計,根據一個長期的統計分析,需要對用戶的使用習慣做一個安全方面的分析,從而高安全防護的能力。
運維管理層的安全,分為兩個層面,一個層面是對遠程接入的形式的安全防護,另一個層面是針對本地運維人員的安全防護。對于遠程接入方式的運維管理方面的防護,方面是通過設置安全控制網關,嚴格對用戶的接入權限、接入能力、接入帶寬進行控制;另一方面,對遠程的VPN的方式,包括SSLVPN,針對不同的需求有不同的形式。暗物
最后是對應前面引入的新技術,在安全方面的考慮。針對云計算,主要包括虛擬化的安全防護,針對存儲的安全防護,還有網絡方面的安全防護。針對CDN,主要是保護服務器避免受到DDoS攻擊,提高服務器的高可靠性。
在P2P方面,目前安全方面,因為P2P由于節點數量、用戶規模比較難以控制,在這方面我們也在逐步的進行探索。主要是要劃分可信、不可信節點,對不同的節點加入到P2P的服務域里面進行嚴格的控制,同時還會對它的行為以及能力進行一些評估。
綠色節能方面,主要是考慮物理方面的安全,包括高可靠的系統,包括一些安全要求。
【編輯推薦】
