数据中心安全防护亟待突破近况

    用户访问数据中心，以及数据中心直接的访问流量都会导致南北向流量继续增长，导致大型数据中心出口带宽流量会由目前的超过200Gbps，到2015年将接近1Tbps的水平。数据中心中的应用类型变得越来越多样化。

    随着互联网及其相关应用产业的发展，内容更丰富、服务更深层的网络服务提供商横空出世。数据中心作为一个重要的网络服务平台，它通过与骨干网高速连接，借助丰富的网络资源向网站企业和传统企业提供大规模、高质量、安全可靠的专业化服务器托管等业务。

    互联网应用日益深化，数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型。受其影响，基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素，一些未实施正确安全策略的数据中心，黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害，而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备，但对于日趋成熟和危险的各类攻击手段，这些传统的防御措施仍然显得力不从心。

    高性能和虚拟化仍然是根本要求

    虽然针对数据中心的安全服务遍及各大行业，甚至很多细分行业领域，但是对于数据中心的安全建设要求还是存在一定共性的。Fortinet中国区首席技术顾问谭杰认为，高性能和虚拟化是当前数据中心安全防护解决方案的两大基础共性。谭杰进一步解释道，数据中心，尤其是云计算数据中心的海量业务，对安全系统的吞吐量、延迟和会话能力都提出了极高的要求。关键点在于，数据中心中多租户模式而导致的业务种类繁多的特点，很难事前对大小数据包的比例进行规划和设计，因此非常需要安全设备的性能对大小包不敏感，即小包（如64字节）性能与大包相同。另外，云计算数据中心的虚拟化场景需要安全解决方案的良好配合。例如：为每个租户分配不同的虚拟安全设备及管理账号，让其自行管理，这就要求安全设备的虚拟化是完整的（包括接口、路由、策略、管理员等各种对象）。另外不同租户的业务不同，对安全保护的要求也各不相同。例如Web服务商需要IPS，邮件服务商需要反垃圾邮件，这就要求安全设备的所有功能都能在虚拟化之后正常工作。

    对于上述观点，华为安全产品线营销工程师刘东徽也认为，数据中心防火墙的性能要基于“真实流量”来看，而不是简单的在某一种特定类型数据流量环境下的性能。目前数据中心的流量主要集中于东西向（数据中心内数据交换），而南北向（数据中心出口）流量较少。但是由于连接请求的基数很大，因此对于防护设备的性能和并发连接数的支持都要求相当高。我们正处于一个大数据的时代，80%-90%的数据都是近两年产生的，而到2015年，全球的IP流量将会翻四倍，在线人数也将冲击30亿人大关。华为安全产品线营销工程师石金利补充道，虚拟化的产生，使得服务器、存储、带宽等数据中心资源的利用率大幅提升，而产生的影响就是可同时访问资源的用户数量极大地膨胀，由此导致了数据中心防护设备对于并发数量的支持要求更高。另外，当数据中心的一台服务器宕机之后，防火墙要能够将安全策略动态迁移到冗余的服务器上，实现自动策略部署。因此，数据中心防护设备必须要做到高性能、高可靠性、灵活部署和可扩展。

    谭杰对于高性能的需求方面也持认同态度。他表示，当前的云数据中心对安全产品的性能要求达到了前所未有的高度，吞吐量动辄高达百G以上，延迟、小包吞吐率 （包转发率）、会话能力要求也极高。另一方面，机房空间、能耗等也是制约数据中心发展的重要因素。因此节能、环保、绿色也是数据中心安全建设的一大要求。

[page]    完全虚拟化还是部分虚拟化？

    目前，业界对于云数据中心内部的虚拟化提出了完全虚拟化（即在虚拟化服务器上的一个虚拟机）和部分虚拟化（即一台防火墙虚拟多台防火墙）两种方式来解决云数据中心虚拟机内部流量和虚拟机之间流量的安全检查问题。

    谭杰指出，在云计算时代，虚拟化的确成了防火墙（包括下一代防火墙、UTM等多功能网关）的必备功能。安全部署必须无缝贴合云计算虚拟化的结构。完全独立的虚拟化，全功能虚拟化。这两点看似既简单又理所应当，但实际实现还是有较高技术难度的，需要云计算数据中心的注意。

    华为的两位工程师向记者表示，华为在这两个方向的虚拟防火墙解决方案上都在努力。同时他们也表示，纯虚拟化的防火墙在开启安全检查的时候会极大地消耗服务器的性能，也会带来更高的管理和维护成本。其实，不论是厂商还是用户都在寻找一个关于服务器上纯虚拟化防火墙和出口防火墙部署的平衡点。

    Hillstone首席顾问陈怀临也向记者表示，目前的安全解决方案在东西向流量上趋于要求低延迟和高吞吐。而防火墙一般只用于检测南北向的流量。尤其是目前Hadoop以及存储技术的发展，大量的数据在多个数据中心之间快速地流通。因此，对于快速转发提出了很高的要求，也导致了对于东西向的流量不采用防火墙的现象。而根源是目前没有合适的产品满足这种高性能需求。他还举了一个例子，从数据中心的收敛比来看，如果一个云数据中心做五万个虚拟机的安全检查需要200G的吞吐，而目前并没有性价比更好的防火墙。另外虚拟机之间的安全检查与以往并无区别，只是虚拟机的增加会对安全检查提出更高的要求。

    然而，陈怀临对于纯虚拟化的防火墙并不认同。“受限于服务器负载，高端的安全检查并不能在服务器内部做，还是要将流量牵引出来。”陈怀临如是说。因此，虚拟化的产生对于真正高端的防火墙有很大的需求，前提是价格可以接受。他强调，基于网络的安全一定是流量牵引出来检查的方式，纯虚拟化的防火墙是个伪命题。因此，流量只在虚拟机内部做安全检查，对于大规模的数据中心很难做，并不只是服务器本身负载的问题，IT运维一致化也是重点，而现在的数据中心恰恰很难做到运维一致化。因此，从最佳实践的角度来讲，纯虚拟化防火墙并不适合，流量牵引出来才是王道。

    零日攻击防范新招数

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!