提升数据中心安全的内在潜力
数据中心用户往往会困惑于如何定义和衡量安全能力?不同阶段的安全战略是什么?有无可以借鉴的实践经验?是否有可以解决这些困扰的参考工具呢?数据中心SAUP(Security Ability Upgrade Program,安全能力提升计划)或许可以成为解决方法之一。数据中心 SAUP基于管理层认知、安全部门地位、安全问题处理、建设成本及改进等内容,将安全能力划分为具有层次和递进关系的5个阶段:不确定期、觉醒期、启蒙期、智慧期和确定期。
在划分安全能力阶段以后,下一步的目标就是将数据中心价值定位与安全能力相对应,然后实现每阶段安全能力的建设和提升。
数据中心价值定位在不断变化,SAUP建议从业务价值和安全需求两个纬度出发,基于有效的安全战略,将核心价值与安全方法进行有效耦合,满足客户的动态、个性化安全需求,实现数据中心安全能力的持续创新与适应。
基础更牢固
·安全基础化
数据中心作为低成本的产品发布和展示平台,这个阶段的用户缺少安全意识和必要的防护手段,处于“不知道会有安全问题”的状态,属于安全能力的不确定期,建议采取基础安全策略,通过部署大容量、高性能的逻辑访问控制和入侵检测等安全组件,实现对业务性能无影响、经济灵活的安全保障。
·安全纵深化
数据中心作为单一业务的承载平台,用户将传统业务Web化提高效率和降低成本,这个阶段用户有一定的安全意识,也会尝试采取一些安全手段,但仍然无法有效缓解安全威胁,处于思考和困惑“安全问题是否一定不能避免”的状态。属于安全能力的觉醒期,建议采取深度安全策略,从业务全流程考虑安全问题,在安全传输和安全处理的基础上,同时实现数据的安全存储。
·安全域划分
基于安全模型进行域划分是保障安全的有效手段,安全域划分需要结合安全规范和行业特点来进行。
·VPN安全接入
VPN技术可以解决数据中心远程维护的安全需求,也可以满足基于互联网的多个分支机构的经济、安全连接。
·终端安全威胁缓解
终端安全威胁的发展速度和危害程度日趋严重,是安全问题发生的主要源头,不但需要提高用户的安全意识,同时需要高度兼容、功能丰富的方案,为终端提供多层次的保护,集中升级和统一管理。
·服务器多层防护
考虑计算资源的重要性和敏感性,服务器面临的安全威胁更加广泛,服务器防护需要考虑兼容性和稳定性,从网络/攻击保护、系统控制和审计/告警方面来保障服务器的安全。
·安全事件审计
通过部署分布式的安全日志系统,实现安全事件的及时监控和审计,使数据中心用户对自己所处的网络环境和安全状态有更清楚的认识。
·数据安全存储
数据中心作为业务发布平台,要求实现数据的安全存储,以及存储系统的扩展性和较高性价比。通过专业的存储设备(磁盘阵列、VTL)以及备份软件,可以提供灵活的存储和备份解决方案。
· 安全协作化
数据中心作为关联业务的承载平台,成为业务的整合平台,这个阶段的用户处于有沟通渠道和有计划地解决安全问题的状态,属于安全能力的启蒙期,建议采取协作安全策略。安全能力建设的重点包括两方面,一是建设符合国际标准的信息安全管理体系,实现安全与管理体系的融合、协作;二是通过多种可订制的备份、灾难恢复服务,实现高可用能力保障与业务的同步。
网络更安全
·与网络技术融合
安全产品包括支持虚拟、高速接口、网络智能特性等功能,实现安全与网络在技术层面的完美融合。
·与网络管理融合
通过统一平台实现安全与网络的管理融合,有效降低数据中心的管理和维护成本,实现安全与网络在管理层面的完美融合。
·漏洞管理及系统加固
数据中心服务器的各种OS、应用的广泛部署以及版本差异,系统级的安全漏洞必然是一个长期的安全威胁,需要尽量减少系统漏洞修复与遭受攻击之前的时间差,通过安全漏洞检查和强制系统加固,实现安全能力与安全标准和策略之间的高度协作。
·信息安全管理体系建设
简单依靠安全技术并不能实现安全能力提升,必须考虑建设符合国际标准的信息安全管理体系,建立国际化、高水准的运营服务管理制度,在安全体系和运维等软环境上向国际规范看齐,为用户提供更好的定制服务。
·数据高可用存储
数据中心作为多种业务集成的整合平台,在安全存储的基础上对于系统可用性提出了更高要求,基于先进的存储技术与丰富的工程实践,通过提供包括多种可订制的备份、灾难恢复服务,用户可以获得高度持续的数据存储服务能力。
·安全可信化
在新经济时代IT是新兴业务的重要驱动力,数据中心开始作为业务创新的承载平台,这个阶段用户的安全改进活动已经融入日常运作中,可以预防绝大部分的安全问题,属于安全能力的智慧期,建议采取可信安全策略。其安全能力建设的重点包括两方面,一是对业务和流量进行深度识别、控制,实现精细化管理;二是部署旁路检测、动态引流的DDoS防护方案,实现数据中心整体SLA保障。
业务更稳定
·业务识别与控制
对业务和流量进行识别、控制是建设可信承载平台的基本能力要求,通过建立“用户-业务-流量” 的对应关系,实现“应用可识别,用户可区分,流量可控制,业务可增值”,充分满足数据中心精细化管理的需求。
·异常流量智能清洗
数据中心直接面对来自互联网的各种异常流量的威胁,尤其是DDoS攻击对SLA造成严重影响,通过部署旁路检测、动态引流和架构分离+功能融合的DDoS综合防护方案,同时满足DDoS防御和业务识别与控制的安全需求,有效降低CAPEX和OPEX。
·电子邮件综合防护
电子邮件在提升沟通效率的同时,也带来了新的安全问题和挑战:邮件内容检测和回溯,以及垃圾邮件。有效的电子邮件安全解决方案需要具备两方面特性,一方面是能够高效发现、抵御以电子邮件为载体的各种恶意攻击,另外一个方面就是保证电子邮件中重要信息的安全、可控传输。
·安全事故级管理通过部署自动化的安全事故管理服务,实现对安全事故的及时识别、优先级制订、闭合响应及持续检测,及时对数据中心网络环境中的安全威胁与事故做出快速响应,协助用户降低安全风险。
· 安全自动化
数据中心 终将成为协助客户获取竞争优势的战略应用平台,这个阶段的用户可以按需来调用安全服务,属于安全能力的确定期,即安全自动化阶段,安全能力成为标准、通用、弹性和共享的战略资源。
安全能力成为按需自动调用的战略资源,与以下三个领域的成熟度有关:
·关键制约解除:平台、网络、存储的异构互连和统一管理;
·基础架构完善:网络、计算、存储和其他IT技术持续发展;
·系统智能发展:SOA、平台整合、资源虚拟和系统模块化。
SAUP作为衡量和建设安全能力的参考方法,目的是帮助数据中心用户识别业务现状与安全能力之间的关系,并基于业界 佳实践对可采取的安全策略和安全方法提出建议,实现数据中心商业价值的提升。