行业背景

随着企业信息化的成熟发展和新技术的广泛引用,政府机构、金融、教育、IT、能源等等各个行业的企业都因需求不断扩大而正在规划和建设各自的数据中心。一方面随着信息爆炸,出于管理集约化、精细化的必然要求,进行数据集中已经成为国内电子政务、企业信息化建设的发展趋势。另一方面数据中心不再是简单的基础通信网络,更是集通信服务、IT服务、管理应用和专业信息化服务于一体的综合性信息服务中心。
随着云计算和大数据的高速发展,技术进步推动了生活、生产方式的改变,网络数据中心的定义也发生了改变,传统的数据中心将形成提供各种数据业务的新一代IDC数据中心。数据中心作为数据处理、存储和交换的中心,是网络中数据交换最频繁、资源最密集的地方,更是存储数据的安全局,它要保证所有数据的安全和完备。相比过去的传统数据中心,云时代的数据中心面临着更巨大的挑战,如新业务模式带来的数据保护风险、虚拟化等新技术引入的新型风险、攻击者不断演进的新型攻击手法等。因此,对于数据中心的安全建设,要考虑多方面因素,任何防护上的疏漏必将会导致不可估量的损失,因此构筑一道安全的防御体系将是这座数字城堡首先面对的问题。

客户需求

随着Internet应用日益深化,尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显现的力不从心。以下是当前数据中心面临的一些主要安全挑战:网络边界接入风险、面向应用层的攻击、虚拟化安全风险、APT攻击风险、数据泄密风险、安全运维的挑战等。

解决方案

按照企业数据中心网络架构,将数据中心划分为:边界接入区(互联网接入区、外联接入区、内部接入区)、网络基础设施区(核心汇聚区、区域接入区)、业务接入区(一般服务区、重要服务区、核心数据区)、运维管理区,根据上述的安全域划分架构,对数据中心进行整体安全设计。

(一) 方案内容

1.互联网接入区
互联网接入区主要面临来自互联网的安全威胁,对于互联网接入区的安全设计主要从以下两方面考虑:
 部防范DDoS攻击(分布式拒绝服务攻击)。DDOS攻击分为带宽消耗型攻击(大流量攻击)和主机资源消耗型攻击,带宽消耗型攻击会对数据出口造成流量压力,极大浪费宝贵的带宽资源,严重增加核心设备的工作负荷,造成关键业务的中断或网络服务质量的大幅降低。主机资源消耗型攻击使服务器处理大量并发攻击请求,严重影响服务器内存、数据库、CPU的处理性能。 DDoS攻击会造成门户网站、网络设备、虚拟服务器等性能均急剧下降,可能导致无法正常处理用户的正常访问请求,造成客户访问失败。
 未知威胁检测与响应。互联网边界是威胁的重要入口之一,同时也是数据泄露的主要出口之一。尤其是当前APT攻击盛行,各类未知威胁对核心数据安全造成巨大的危害。网关层面应当具备对未知威胁的检测能力,并能实现联动响应机制,拦截掉威胁进出的路径。
本区域安全设计如下:
 在互联网边界部署抗DDoS系统,对来自外部的DDoS攻击进行实时的阻断。
 部署网神下一代智慧防火墙,实现高性能的应用层安全防护,以及与安全运营平台进行联动,实现网关处的未知威胁处置。
2.外联接入区
外联接入区主要面临的威胁来自于外联机构,通常外联机构使用专线或者VPN连接到数据中心,访问特定的业务系统。对于外联接入区的安全设计主要从访问控制方面重点考虑。
本区域安全设计如下:
 部署网神下一代智慧防火墙,实现端口级的访问控制,并开启应用层防护功能,对来自外部机构的恶意代码、高级威胁等进行检测和拦截。
3.内部接入区
内部接入区主要面临的威胁来自于远程接入带来的风险,如传输过程的信道监听、员工远程接入后的权限滥用等。内部接入区的安全设计主要考虑远程安全接入中的访问控制、权限管理、传输加密等方面。
本区域安全设计如下:
 部署VPN接入网关,实现对分支机构接入的访问控制、权限管理,并且采用链路加密技术保证敏感信息的传输安全。
 部署网神下一代智慧防火墙,支持对穿过防火墙的SSL协议进行解密,并对解密后的数据提供防护过滤,如攻击防护、入侵检测、病毒防护、内容过滤等。
4.核心汇聚区
核心汇聚区的安全设计主要考虑从全网流量中对各类威胁进行识别检测,及时发现攻击行为并向安全运营中心进行告警。
本区域安全设计如下:
 在核心交换机上旁路部署天眼网络威胁传感器。通过流量镜像接收全网通信数据流,对各类网络行为进行还原,从中识别各类已知威胁生成告警;还可通过与威胁情报中心下发到本地的威胁情报进行比对,识别未知威胁;同时全量网络数据存储在本地大数据分析平台,可对威胁进行溯源。
 部署天眼文件威胁鉴定器。网络威胁传感器识别到网络流量中的文件传输行为后,会将文件还原并发送至文件威胁鉴定器,进行深度分析。文件威胁鉴定器会对PE文件、脚本文件等进行模拟运行,通过文件运行过程中执行的操作行为进一步识别潜在的威胁。
5.一般服务区
一般服务区通常承载了对外的Web类应用,主要面临的威胁有以下两方面:
 应用安全风险;主要由于应用软件的漏洞造成。任何一种软件或多或少存在一定脆弱性,安全漏洞可视作已知系统脆弱性。这种安全漏洞可分为两种:一种是由于操作系统本身设计缺陷带来的漏洞,它将被运行在这个系统上的应用程序所继承,另一种是应用软件程序安全漏洞,很常见,更要引起广泛关注。
 主机安全风险;包括两方面:一是物理机与虚拟机操作系统的恶意代码防范。二是由于服务器虚拟化技术带来的新型风险,如东西向流量的访问控制、虚拟机逃逸漏洞、虚拟机漂移导致安全策略失效等。
本区域安全设计如下:
 在一般服务区边界部署Web应用防火墙,用对应用层的攻击行为进行实时防护。
 在一般服务区的接入交换机旁路部署Web漏洞智能监测系统,一方面能够从进出站流量中识别出应用系统存在的漏洞和针对Web应用的攻击行为;另一方面能够对站点中存在的暗链、后门的访问行为进行识别,发现潜在的安全风险。
 在物理机和虚拟机操作系统上部署天擎虚拟化安全客户端,主要功能包括恶意代码防护、主机防火墙、主机入侵防御,并可以对虚拟机与物理机操作系统进行统一管理。客户端与部署在运维管理区的虚拟化安全控制中心进行通信,进行病毒库更新、安全策略更新、日志告警上传等。
 在服务器虚拟化管理层部署宿主机防护代理客户端,用于防范利用虚拟机逃逸漏洞对宿主机进行穿透攻击的行为,保证宿主机上所有虚拟机的安全运行。
6.重要服务区
重要服务区主要面临的威胁来自于主机操作系统层,包括两方面:一是物理机与虚拟机操作系统的恶意代码防范。二是由于服务器虚拟化技术带来的新型风险,如东西向流量的访问控制、虚拟机逃逸漏洞、虚拟机漂移导致安全策略失效等。
本区域安全设计如下:
 在物理机和虚拟机操作系统上部署天擎虚拟化安全客户端,主要功能包括恶意代码防护、主机防火墙、主机入侵防御,并可以对虚拟机与物理机操作系统进行统一管理。客户端与部署在运维管理区的虚拟化安全控制中心进行通信,进行病毒库更新、安全策略更新、日志告警上传等。
 在服务器虚拟化管理层部署宿主机防护代理客户端,用于防范利用虚拟机逃逸漏洞对宿主机进行穿透攻击的行为,保证宿主机上所有虚拟机的安全运行。
7.核心数据区
核心数据区主要面临的威胁来自于对数据安全方面,如敏感数据泄露、对数据库的越权访问、数据库配置缺陷等。
本区域安全设计如下:
 在核心数据区旁路部署数据库审计系统,监视并记录对数据库服务器的各类操作行为,并可以支持操作回放。还可以通过建立行为模型来发现违规的数据库访问行为,并能够进行溯源,定位到责任人。
8.安全运维区
安全运维区是整个安全体系的重中之重,过去安全运维的价值难以得到体现,主要有以下原因:如安全管理割裂、学习成本高、对运维人员水平要求较高、安全管理成果缺少可视化呈现手段等。本方案要做到的不仅仅是实现安全防护目标,同时要尽可能的提升安全运维的效率和体验,降低人为错误带来的风险。通过集中化、自动化、智能化的管理工具,实现覆盖威胁检测、响应、溯源,形成安全运营闭环。
本区域安全设计如下:
 部署态势感知及安全运营平台。基于威胁情报和本地大数据技术的对用户本地的安全数据进行快速、自动化的关联分析,及时发现本地的威胁和异常,同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势展现给用户。同时平台可以导入云端高价值的威胁情报,对未知威胁和APT攻击进行有效检测,并且可以通过与网神下一代智慧防火墙进行联动,在网关处进行未知威胁的拦截。
 部署虚拟化安全控制中心。对所有的服务器及终端进行统一管理、病毒库更新、安全策略下发。支持物理机与虚拟机的统一管理。
 部署运维审计系统(堡垒机)。对所有的运维操作进行统一的账户授权管理、身份认证、操作行为审计,降低组织内部的运维安全风险。
 将数据中心内的网站,通过网站云监测平台进行集中监控,监控指标包括网站可用性、网站漏洞、篡改、挂马、暗链、钓鱼网站等。

客户价值

 云、管、端全面覆盖,安全防护系统间智能联动,共享威胁情报,有效阻断攻击链。
 针对云数据中心虚拟化安全的特殊需求定制的防护体系。
 通过本地+云端大数据分析的组合,提高系统识别安全威胁的准确性和及时性,有效应对日益复杂的网络空间安全环境。
 强化安全运营的闭环管理,安全态势的可视化。
 方案模块化,扩展性强,能有效匹配不同的系统规模,适应未来的变化。

应用场景

企业级数据中心部署方案