數(shù)據(jù)中心安全服務(wù)包括用于保護(hù)數(shù)據(jù)中心資產(chǎn)和資源的技術(shù)和物理措施。這包括保護(hù)它免受內(nèi)部和外部威脅。數(shù)據(jù)中心的所有方面,包括網(wǎng)絡(luò)、服務(wù)器、電力系統(tǒng)以及它們支持的數(shù)據(jù)和流程,都包含在全面的安全計(jì)劃中。此外,必須解決特定的數(shù)據(jù)中心安全威脅,因?yàn)閿?shù)據(jù)中心是尋找漏洞的威脅參與者的誘人目標(biāo)。
為什么數(shù)據(jù)中心安全很重要?
為什么首先需要數(shù)據(jù)中心安全性?無(wú)論數(shù)據(jù)中心主要用于存儲(chǔ)、災(zāi)難恢復(fù)還是支持應(yīng)用程序,其計(jì)算工作負(fù)載都是其所服務(wù)業(yè)務(wù)的支柱。此外,公司的敏感信息和關(guān)鍵業(yè)務(wù)應(yīng)用程序是黑客和其他威脅的寶庫(kù)。
數(shù)據(jù)中心是組織基礎(chǔ)設(shè)施中值得信賴的組成部分。許多公司依靠其數(shù)據(jù)中心資產(chǎn)在其他一切都出錯(cuò)時(shí)提供安全網(wǎng)。通過(guò)這種方式,安全的數(shù)據(jù)中心可確保業(yè)務(wù)連續(xù)性,并讓用戶相信他們可以專注于發(fā)展業(yè)務(wù),而不必?fù)?dān)心數(shù)字資產(chǎn)的安全。
如何保護(hù)數(shù)據(jù)中心
數(shù)據(jù)中心由一組網(wǎng)絡(luò)和計(jì)算設(shè)備組成,這些設(shè)備在中央位置處理和存儲(chǔ)企業(yè)信息。為了確保數(shù)據(jù)中心的安全,企業(yè)必須同時(shí)采用旨在保護(hù)數(shù)據(jù)中心的虛擬和物理系統(tǒng)。除了保護(hù)組織的計(jì)算資產(chǎn)外,還必須實(shí)施特定的網(wǎng)絡(luò)安全措施,以防止惡意軟件攻擊和其他威脅滲透到數(shù)據(jù)中心。
物理安全
選擇正確的位置應(yīng)該是構(gòu)建數(shù)據(jù)中心時(shí)的首要重點(diǎn)。必須避免某些區(qū)域,因?yàn)樗鼈兇嬖诳赡軐?dǎo)致服務(wù)中斷或完全故障的安全風(fēng)險(xiǎn)。這些包括:
- 發(fā)電廠
- 地震斷層線內(nèi)的區(qū)域
- 飛機(jī)降落時(shí)經(jīng)過(guò)的區(qū)域
- 靠近化學(xué)設(shè)施的地方
- 颶風(fēng)常見(jiàn)的地點(diǎn)
- 可能發(fā)生龍卷風(fēng)的地方
- 容易發(fā)生季節(jié)性野火的地區(qū)
- 易受洪水影響的地區(qū)
除了在洪水平面上方建造建筑外,使用厚混凝土墻還可以提供額外的物理安全層。一英尺厚或更厚的混凝土墻有助于防止自然災(zāi)害甚至爆炸影響數(shù)據(jù)中心的物理安全。
虛擬或軟件安全
虛擬化技術(shù)在數(shù)據(jù)中心技術(shù)中很常見(jiàn)。通過(guò)虛擬化,企業(yè)可以獲得支持或模仿其主要系統(tǒng)的數(shù)字基礎(chǔ)設(shè)施。這使管理員能夠從遠(yuǎn)程位置管理數(shù)據(jù)中心的服務(wù)。它還允許更大的靈活性,因?yàn)檐浖捎糜诠芾頂?shù)據(jù)中心的安全性和工作流。
一些數(shù)據(jù)中心利用虛擬化來(lái)設(shè)置對(duì)公共云服務(wù)的訪問(wèn),而其他數(shù)據(jù)中心則將其納入其內(nèi)部數(shù)據(jù)中心。雖然使用 SoftLayer 和 Amazon Web Services (AWS) 等軟件和云解決方案為管理員提供了更大的靈活性,但它也使數(shù)據(jù)中心的資產(chǎn)和系統(tǒng)面臨網(wǎng)絡(luò)威脅。
在一些數(shù)據(jù)中心,安全是提供給它們所服務(wù)的企業(yè)的服務(wù)的一部分。一些常見(jiàn)措施包括入侵防御和檢測(cè)系統(tǒng)、防火墻和下一代防火墻 (NGFW)。組織的 IT 管理員可以使用這些措施來(lái)決定誰(shuí)可以訪問(wèn)數(shù)據(jù)中心的一般資源,或者誰(shuí)可以訪問(wèn)網(wǎng)絡(luò)的某些部分。
雙因素身份驗(yàn)證 (2FA)還可以幫助組織保護(hù)其數(shù)據(jù)中心資源。這涉及用戶通過(guò)使用他們知道的東西(如密碼)結(jié)合他們實(shí)際擁有的東西(如電話或閃存驅(qū)動(dòng)器)來(lái)證明他們的訪問(wèn)權(quán)限。
數(shù)據(jù)中心安全技術(shù)
只有最新的技術(shù)才足以維護(hù)數(shù)據(jù)中心的安全。由于其中的許多(如果不是全部)資產(chǎn)可能對(duì)企業(yè)運(yùn)營(yíng)至關(guān)重要,因此您需要最新的安全措施來(lái)保護(hù)它們免受不斷變化的威脅形勢(shì)的影響。
多重身份驗(yàn)證
使用多因素身份驗(yàn)證 (MFA),您會(huì)自動(dòng)獲得額外的安全層,特別是因?yàn)橹辽儆袃蓚€(gè)元素用于驗(yàn)證訪問(wèn)權(quán)限。如果攻擊者要獲得一種身份驗(yàn)證措施,他們?nèi)匀恍枰业揭环N方法來(lái)獲得第二種身份驗(yàn)證措施,以免時(shí)間過(guò)長(zhǎng)導(dǎo)致登錄會(huì)話超時(shí)或生成安全警報(bào)。
雖然這在各種情況下保護(hù)數(shù)字資產(chǎn)時(shí)很常見(jiàn),但它也是一種強(qiáng)大的安全解決方案,可確保只有授權(quán)的個(gè)人才能訪問(wèn)數(shù)據(jù)中心的物理區(qū)域。訪問(wèn)數(shù)據(jù)中心設(shè)備的一些要求包括:
- 需要政府簽發(fā)的身份證明的全面登記流程
- 訪客專用徽章
- 指紋識(shí)別
- 可以訪問(wèn)設(shè)備運(yùn)行或存儲(chǔ)區(qū)域的物理鑰匙
- 徽章鑰匙卡,可以在通過(guò)敏感區(qū)域之間的門(mén)之前進(jìn)行驗(yàn)證
- 視網(wǎng)膜或面部掃描
監(jiān)控監(jiān)控系統(tǒng)
出于幾個(gè)不同的原因,監(jiān)視監(jiān)視可確保高度安全。首先,您可以記錄誰(shuí)進(jìn)入了哪些區(qū)域,以及他們進(jìn)入后做了什么。如果存在漏洞以追蹤攻擊者,可以查看此信息。其次,安全監(jiān)控系統(tǒng)的存在可以對(duì)攻擊者產(chǎn)生強(qiáng)大的威懾作用。知道他們必須找到繞過(guò)攝像頭系統(tǒng)的方法就足以鼓勵(lì)他們轉(zhuǎn)向更柔和的目標(biāo)。
當(dāng)監(jiān)控系統(tǒng)由人員操作時(shí),它是一項(xiàng)更強(qiáng)大的資產(chǎn)。雖然始終在線的數(shù)字系統(tǒng)在某些情況下可能是有效的,但運(yùn)行監(jiān)視系統(tǒng)的人可能是更強(qiáng)大的障礙。此外,安全專業(yè)人員可以就如何最大限度地提高監(jiān)控系統(tǒng)的有效性提供建議。此外,系統(tǒng)有時(shí)可能需要改進(jìn),而個(gè)人確定改進(jìn)領(lǐng)域的能力可能是無(wú)價(jià)的。
冗余
冗余是數(shù)據(jù)中心彈性的關(guān)鍵組成部分。有了冗余元素,如果主要組件發(fā)生故障或完全損壞,可以自動(dòng)或手動(dòng)激活次要組件,并且關(guān)鍵系統(tǒng)可以保持其功能。
例如,電力系統(tǒng)需要有冗余備份,其他關(guān)鍵部件也是如此。這些可能包括:
- 冷卻系統(tǒng),防止服務(wù)器在處理數(shù)據(jù)時(shí)過(guò)熱
- 用于為數(shù)據(jù)中心的特定區(qū)域供電的電力,例如那些容納服務(wù)器或關(guān)鍵網(wǎng)絡(luò)組件的區(qū)域
- 為關(guān)鍵業(yè)務(wù)系統(tǒng)提供信息吞吐量的網(wǎng)絡(luò)連接
冗余還可以在確保減少服務(wù)器故障時(shí)的停機(jī)時(shí)間甚至維持虛擬系統(tǒng)的正常運(yùn)行時(shí)間方面發(fā)揮關(guān)鍵作用。例如,一個(gè)數(shù)據(jù)中心,對(duì)于某些進(jìn)程,可能會(huì)并行運(yùn)行兩臺(tái)服務(wù)器,它們都使用相同的操作系統(tǒng)、安全措施和軟件。如果一個(gè)要關(guān)閉,另一個(gè)可以自動(dòng)打開(kāi),最大限度地延長(zhǎng)用戶的正常運(yùn)行時(shí)間。
冗余也可用于加強(qiáng)數(shù)據(jù)中心的數(shù)字安全。在許多情況下,當(dāng)有兩個(gè)組件協(xié)同工作以實(shí)現(xiàn)數(shù)字安全時(shí),它們既是冗余又是互補(bǔ)的。例如,可以在網(wǎng)絡(luò)內(nèi)的不同點(diǎn)設(shè)置多個(gè)防火墻,一個(gè)在外邊緣,另一個(gè)在邊緣和服務(wù)器之間。這兩個(gè)防火墻是冗余的,因?yàn)樗鼈兛赡軙?huì)捕獲許多或所有相同的威脅。但是,您可以使用邊緣防火墻來(lái)檢查通過(guò)內(nèi)部服務(wù)器前面的防火墻的傳出流量。通過(guò)這些數(shù)據(jù),您可以深入了解內(nèi)部漏洞的存在,以及利用這些漏洞的威脅的行為方式。
當(dāng)涉及到數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)設(shè)施時(shí),冗余也是一種有價(jià)值的策略。數(shù)據(jù)中心可以利用兩個(gè)互聯(lián)網(wǎng)服務(wù)提供商 (ISP),例如,只有在另一個(gè)出現(xiàn)故障時(shí)才使用一個(gè)。來(lái)自兩個(gè) ISP 的流量可以通過(guò)高吞吐量防火墻運(yùn)行,以確保在主要提供商的信號(hào)出現(xiàn)故障或由于安全漏洞而不得不關(guān)閉時(shí)的連續(xù)性。
數(shù)據(jù)中心漏洞
攻擊者采用各種技術(shù)和工具來(lái)滲透數(shù)據(jù)中心及其安全系統(tǒng)。他們可能會(huì)針對(duì)特定的用戶群體進(jìn)行社會(huì)工程攻擊,以欺騙他們泄露密碼或?yàn)槿肭终咛峁┮粋€(gè)訪問(wèn)點(diǎn)以繞過(guò)數(shù)據(jù)中心的安全系統(tǒng)。如果用戶下載惡意軟件,它可用于獲取密碼和其他登錄憑據(jù)。此外,如果使用勒索軟件,攻擊者可以捕獲并控制關(guān)鍵計(jì)算機(jī),迫使管理員支付贖金以再次獲得訪問(wèn)權(quán)限。
攻擊者還傾向于以弱密碼為目標(biāo)。這些通常是用戶重復(fù)使用他們?cè)谄渌麕羯鲜褂玫拿艽a的結(jié)果,因?yàn)樗鼈兒苋菀子涀 <词姑艽a比較難猜,但如果在多個(gè)賬戶上使用,也是很弱的。攻擊者可以在不同的應(yīng)用程序中破解用戶的密碼,并且因?yàn)樗糜谠L問(wèn)數(shù)據(jù)中心資源,所以攻擊者現(xiàn)在也擁有了進(jìn)入那里所需的東西。這進(jìn)一步強(qiáng)調(diào)了 MFA 的必要性,它至少涉及用戶可以持有的一件事和他們知道的一件事。
因此,對(duì)于 IT 經(jīng)理來(lái)說(shuō),重要的是為用戶提供有關(guān)良好密碼和憑證管理的培訓(xùn),以及即使是很小的失誤也可能導(dǎo)致的危險(xiǎn)。教育還應(yīng)包括威脅的外觀、行為方式以及最有可能引起惡意行為者注意的攻擊面。教育是減少人為脆弱性的最有效方法之一。
除了用戶之外,數(shù)據(jù)中心還可能存在由未正確配置、過(guò)時(shí)或使用不充分的安全工具的網(wǎng)絡(luò)引起的漏洞。由于網(wǎng)絡(luò)犯罪分子不斷尋找新的攻擊方法,因此只能使用最新的安全協(xié)議和工具。自動(dòng)更新軟件,包括使用威脅情報(bào)的軟件,可以使數(shù)據(jù)中心領(lǐng)先于最新的威脅一步。
