數(shù)據(jù)中心安全防護(hù)亟待突破現(xiàn)狀

用戶訪問數(shù)據(jù)中心，以及數(shù)據(jù)中心直接的訪問流量都會導(dǎo)致南北向流量繼續(xù)增長，導(dǎo)致大型數(shù)據(jù)中心出口帶寬流量會由目前的超過200Gbps，到2015年將接近1Tbps的水平。數(shù)據(jù)中心中的應(yīng)用類型變得越來越多樣化。
    隨著互聯(lián)網(wǎng)及其相關(guān)應(yīng)用產(chǎn)業(yè)的發(fā)展，內(nèi)容更豐富、服務(wù)更深層的網(wǎng)絡(luò)服務(wù)提供商橫空出世。數(shù)據(jù)中心作為一個(gè)重要的網(wǎng)絡(luò)服務(wù)平臺，它通過與骨干網(wǎng)高速連接，借助豐富的網(wǎng)絡(luò)資源向網(wǎng)站企業(yè)和傳統(tǒng)企業(yè)提供大規(guī)模、高質(zhì)量、安全可靠的專業(yè)化服務(wù)器托管等業(yè)務(wù)。
    互聯(lián)網(wǎng)應(yīng)用日益深化，數(shù)據(jù)中心運(yùn)行環(huán)境正從傳統(tǒng)客戶機(jī)/服務(wù)器向網(wǎng)絡(luò)連接的中央服務(wù)器轉(zhuǎn)型。受其影響，基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜。這種復(fù)雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素，一些未實(shí)施正確安全策略的數(shù)據(jù)中心，黑客和蠕蟲將順勢而入。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認(rèn)識到來自網(wǎng)絡(luò)的惡意行為對數(shù)據(jù)中心造成的嚴(yán)重?fù)p害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設(shè)備，但對于日趨成熟和危險(xiǎn)的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯得力不從心。
   高性能和虛擬化仍然是根本要求
    雖然針對數(shù)據(jù)中心的安全服務(wù)遍及各大行業(yè)，甚至很多細(xì)分行業(yè)領(lǐng)域，但是對于數(shù)據(jù)中心的安全建設(shè)要求還是存在一定共性的。Fortinet中國區(qū)首席技術(shù)顧問譚杰認(rèn)為，高性能和虛擬化是當(dāng)前數(shù)據(jù)中心安全防護(hù)解決方案的兩大基礎(chǔ)共性。譚杰進(jìn)一步解釋道，數(shù)據(jù)中心，尤其是云計(jì)算數(shù)據(jù)中心的海量業(yè)務(wù)，對安全系統(tǒng)的吞吐量、延遲和會話能力都提出了極高的要求。關(guān)鍵點(diǎn)在于，數(shù)據(jù)中心中多租戶模式而導(dǎo)致的業(yè)務(wù)種類繁多的特點(diǎn)，很難事前對大小數(shù)據(jù)包的比例進(jìn)行規(guī)劃和設(shè)計(jì)，因此非常需要安全設(shè)備的性能對大小包不敏感，即小包（如64字節(jié)）性能與大包相同。另外，云計(jì)算數(shù)據(jù)中心的虛擬化場景需要安全解決方案的良好配合。例如：為每個(gè)租戶分配不同的虛擬安全設(shè)備及管理賬號，讓其自行管理，這就要求安全設(shè)備的虛擬化是完整的（包括接口、路由、策略、管理員等各種對象）。另外不同租戶的業(yè)務(wù)不同，對安全保護(hù)的要求也各不相同。例如Web服務(wù)商需要IPS，郵件服務(wù)商需要反垃圾郵件，這就要求安全設(shè)備的所有功能都能在虛擬化之后正常工作。
    對于上述觀點(diǎn)，華為安全產(chǎn)品線營銷工程師劉東徽也認(rèn)為，數(shù)據(jù)中心防火墻的性能要基于“真實(shí)流量”來看，而不是簡單的在某一種特定類型數(shù)據(jù)流量環(huán)境下的性能。目前數(shù)據(jù)中心的流量主要集中于東西向（數(shù)據(jù)中心內(nèi)數(shù)據(jù)交換），而南北向（數(shù)據(jù)中心出口）流量較少。但是由于連接請求的基數(shù)很大，因此對于防護(hù)設(shè)備的性能和并發(fā)連接數(shù)的支持都要求相當(dāng)高。我們正處于一個(gè)大數(shù)據(jù)的時(shí)代，80%-90%的數(shù)據(jù)都是近兩年產(chǎn)生的，而到2015年，全球的IP流量將會翻四倍，在線人數(shù)也將沖擊30億人大關(guān)。華為安全產(chǎn)品線營銷工程師石金利補(bǔ)充道，虛擬化的產(chǎn)生，使得服務(wù)器、存儲、帶寬等數(shù)據(jù)中心資源的利用率大幅提升，而產(chǎn)生的影響就是可同時(shí)訪問資源的用戶數(shù)量極大地膨脹，由此導(dǎo)致了數(shù)據(jù)中心防護(hù)設(shè)備對于并發(fā)數(shù)量的支持要求更高。另外，當(dāng)數(shù)據(jù)中心的一臺服務(wù)器宕機(jī)之后，防火墻要能夠?qū)踩呗詣討B(tài)遷移到冗余的服務(wù)器上，實(shí)現(xiàn)自動策略部署。因此，數(shù)據(jù)中心防護(hù)設(shè)備必須要做到高性能、高可靠性、靈活部署和可擴(kuò)展。
    譚杰對于高性能的需求方面也持認(rèn)同態(tài)度。他表示，當(dāng)前的云數(shù)據(jù)中心對安全產(chǎn)品的性能要求達(dá)到了前所未有的高度，吞吐量動輒高達(dá)百G以上，延遲、小包吞吐率 （包轉(zhuǎn)發(fā)率）、會話能力要求也極高。另一方面，機(jī)房空間、能耗等也是制約數(shù)據(jù)中心發(fā)展的重要因素。因此節(jié)能、環(huán)保、綠色也是數(shù)據(jù)中心安全建設(shè)的一大要求。
   完全虛擬化還是部分虛擬化？
    目前，業(yè)界對于云數(shù)據(jù)中心內(nèi)部的虛擬化提出了完全虛擬化（即在虛擬化服務(wù)器上的一個(gè)虛擬機(jī)）和部分虛擬化（即一臺防火墻虛擬多臺防火墻）兩種方式來解決云數(shù)據(jù)中心虛擬機(jī)內(nèi)部流量和虛擬機(jī)之間流量的安全檢查問題。
    譚杰指出，在云計(jì)算時(shí)代，虛擬化的確成了防火墻（包括下一代防火墻、UTM等多功能網(wǎng)關(guān)）的必備功能。安全部署必須無縫貼合云計(jì)算虛擬化的結(jié)構(gòu)。完全獨(dú)立的虛擬化，全功能虛擬化。這兩點(diǎn)看似既簡單又理所應(yīng)當(dāng)，但實(shí)際實(shí)現(xiàn)還是有較高技術(shù)難度的，需要云計(jì)算數(shù)據(jù)中心的注意。
    華為的兩位工程師向記者表示，華為在這兩個(gè)方向的虛擬防火墻解決方案上都在努力。同時(shí)他們也表示，純虛擬化的防火墻在開啟安全檢查的時(shí)候會極大地消耗服務(wù)器的性能，也會帶來更高的管理和維護(hù)成本。其實(shí)，不論是廠商還是用戶都在尋找一個(gè)關(guān)于服務(wù)器上純虛擬化防火墻和出口防火墻部署的平衡點(diǎn)。
    Hillstone首席顧問陳懷臨也向記者表示，目前的安全解決方案在東西向流量上趨于要求低延遲和高吞吐。而防火墻一般只用于檢測南北向的流量。尤其是目前Hadoop以及存儲技術(shù)的發(fā)展，大量的數(shù)據(jù)在多個(gè)數(shù)據(jù)中心之間快速地流通。因此，對于快速轉(zhuǎn)發(fā)提出了很高的要求，也導(dǎo)致了對于東西向的流量不采用防火墻的現(xiàn)象。而根源是目前沒有合適的產(chǎn)品滿足這種高性能需求。他還舉了一個(gè)例子，從數(shù)據(jù)中心的收斂比來看，如果一個(gè)云數(shù)據(jù)中心做五萬個(gè)虛擬機(jī)的安全檢查需要200G的吞吐，而目前并沒有性價(jià)比更好的防火墻。另外虛擬機(jī)之間的安全檢查與以往并無區(qū)別，只是虛擬機(jī)的增加會對安全檢查提出更高的要求。
    然而，陳懷臨對于純虛擬化的防火墻并不認(rèn)同。“受限于服務(wù)器負(fù)載，高端的安全檢查并不能在服務(wù)器內(nèi)部做，還是要將流量牽引出來?！标悜雅R如是說。因此，虛擬化的產(chǎn)生對于真正高端的防火墻有很大的需求，前提是價(jià)格可以接受。他強(qiáng)調(diào)，基于網(wǎng)絡(luò)的安全一定是流量牽引出來檢查的方式，純虛擬化的防火墻是個(gè)偽命題。因此，流量只在虛擬機(jī)內(nèi)部做安全檢查，對于大規(guī)模的數(shù)據(jù)中心很難做，并不只是服務(wù)器本身負(fù)載的問題，IT運(yùn)維一致化也是重點(diǎn)，而現(xiàn)在的數(shù)據(jù)中心恰恰很難做到運(yùn)維一致化。因此，從最佳實(shí)踐的角度來講，純虛擬化防火墻并不適合，流量牽引出來才是王道。
   零日攻擊防范新招數(shù)
    針對系統(tǒng)缺陷的應(yīng)用攻擊已成為數(shù)據(jù)中心面臨的主要威脅。而漏洞發(fā)現(xiàn)到攻擊的時(shí)間跨度越來越短，甚至來不及打補(bǔ)丁。數(shù)據(jù)中心應(yīng)如何應(yīng)對由應(yīng)用漏洞產(chǎn)生的安全威脅呢？譚杰認(rèn)為，零日攻擊的泛濫使得數(shù)據(jù)中心不能依賴單一功能的安全設(shè)備，尤其是僅僅基于特征防御的安全產(chǎn)品。例如WAF（Web應(yīng)用防火墻）同時(shí)通過特征和行為對攻擊進(jìn)行防御，對Web服務(wù)的保護(hù)效果就好于IPS。用戶需要的安全解決方案要集多種安全特性（防火墻、IPS、病毒防御、DLP、內(nèi)容過濾等）于一身，并結(jié)合應(yīng)用層防御技術(shù)（如Web應(yīng)用防護(hù)、數(shù)據(jù)庫安全等），各項(xiàng)安全技術(shù)有機(jī)結(jié)合，互相保護(hù)，時(shí)刻監(jiān)控并防御APT攻擊的各種入侵手段，打造一個(gè)全方位立體安全體系。
    陳懷臨也提出了自己的看法。他認(rèn)為，傳統(tǒng)基于簽名的檢測方法對于零日攻擊的防護(hù)并沒有起到很好的效果。現(xiàn)在大家普遍使用Sandbox（沙盒）來進(jìn)行模擬，通過虛擬現(xiàn)實(shí)的環(huán)境來檢查未知惡意軟件，對于未知威脅或者零日攻擊的防護(hù)，借用大數(shù)據(jù)分析的方式，對行為進(jìn)行主動識別，將是下一個(gè)發(fā)展方向。大數(shù)據(jù)與網(wǎng)絡(luò)安全的結(jié)合也將是網(wǎng)絡(luò)安全的下一個(gè)春天。當(dāng)然，如果要將全部的判斷都基于行為是否異常來進(jìn)行，在建模和大數(shù)據(jù)的分析上都是難點(diǎn)。另外，由于防火墻必須是在主干路上的，因此對于性能和穩(wěn)定性的要求都很高。雖然對于硬件平臺也提出了新的挑戰(zhàn)，但卻是一個(gè)可行的方向，而Hillstone希望引領(lǐng)這個(gè)潮流。 事實(shí)上，一些安全軟件廠商已經(jīng)將基于行為的分析用作對于未知惡意軟件的安全檢查之中，并且效果很好。然而，由于大數(shù)據(jù)也只是新興概念，基于大數(shù)據(jù)的行為分析究竟價(jià)值幾何，還需要時(shí)間的驗(yàn)證。
  本地防御和云清洗搭建DDoS防御網(wǎng)
    目前市場上很多廠商的防火墻中都含有Anti-DDoS功能，然而，防火墻和IPS是否可以有效保護(hù)網(wǎng)絡(luò)設(shè)施免受DDoS侵害呢？石金利認(rèn)為，如果防火墻中的Anti-DDoS功能不是單獨(dú)的板卡，是不能防御DDoS攻擊的。對于DDoS的防護(hù)，必須要使用專用的Anti-DDoS設(shè)備。作為電信運(yùn)營商流量清洗業(yè)務(wù)的合作伙伴，合泰云天創(chuàng)始人郭慶表示，防火墻與入侵檢測IPS通常串行部署在網(wǎng)絡(luò)下游的網(wǎng)關(guān)位置，是基于狀態(tài)檢測的訪問控制系統(tǒng)，本身就是 DDoS的一個(gè)攻擊目標(biāo)，在設(shè)備新建連接與狀態(tài)連接耗盡時(shí)成為網(wǎng)絡(luò)瓶頸。DDoS防護(hù)的最佳實(shí)踐應(yīng)該是：流量清洗中心與運(yùn)營商BGP路由調(diào)度控制。
    石金利認(rèn)為，如果防火墻中的Anti-DDoS功能不是單獨(dú)的板卡，一旦開啟DDoS防護(hù)功能，可能會對防火墻的基本轉(zhuǎn)發(fā)，甚至?xí)挶淼荣Y源造成巨大的消耗，造成性能極大下降。對于DDoS的防護(hù)，必須要使用專用的Anti-DDoS設(shè)備或者專門的板卡。對于滿帶寬的DDoS攻擊，在鏈路上游對于流量的清洗是DDoS防御最為有效的方式。然而，從統(tǒng)計(jì)數(shù)據(jù)來看，數(shù)據(jù)中心發(fā)生的攻擊90%以上不足以造成數(shù)據(jù)中心出口帶寬擁塞，基本是以業(yè)務(wù)癱瘓型攻擊為主，只有10%不到的攻擊是將數(shù)據(jù)中心的鏈路完全擁塞的。
    因此，如果是應(yīng)用型的DDoS攻擊，由于流量在本地帶寬控制以內(nèi)，所以本地清洗即可，一旦遇到針對基礎(chǔ)設(shè)施的大流量擁塞型泛洪攻擊，在鏈路上游的清洗還是必要手段。最完美的方式是將數(shù)據(jù)中心側(cè)和運(yùn)營商側(cè)進(jìn)行聯(lián)動，實(shí)現(xiàn)分層防御。即運(yùn)營商側(cè)管道擁塞型攻擊，數(shù)據(jù)中心側(cè)防范業(yè)務(wù)癱瘓型DDoS攻擊。華為的 Anti-DDoS解決方案目前在運(yùn)營商側(cè)有廣泛應(yīng)用，結(jié)合數(shù)據(jù)中心側(cè)的Anti-DDoS可以實(shí)現(xiàn)全網(wǎng)聯(lián)動的“云清洗”戰(zhàn)略。
    隨著黑客技術(shù)發(fā)展、網(wǎng)絡(luò)帶寬的普遍增加、僵尸主機(jī)數(shù)量的不斷擴(kuò)大，現(xiàn)在的業(yè)務(wù)癱瘓型攻擊也不再是以前的百兆級別的了。在2012年，發(fā)現(xiàn)數(shù)起千兆級別的 CC攻擊，因此高性能是數(shù)據(jù)中心DDoS防護(hù)方案的重點(diǎn)。同時(shí)，對于攻擊防護(hù)的設(shè)備精準(zhǔn)度也必不可少。一方面，能夠精準(zhǔn)識別每一次攻擊；另一方面，誤判更是客戶不能容忍的?，F(xiàn)在，智能終端的普遍應(yīng)用會給傳統(tǒng)的防護(hù)設(shè)備帶來更多的挑戰(zhàn)，如何保證智能終端訪問不受影響成為新的課題。
    郭慶認(rèn)為，雖然造成鏈路癱瘓的攻擊數(shù)量上少于出口帶寬，但正是這種DDoS攻擊對數(shù)據(jù)中心系統(tǒng)，甚至整個(gè)數(shù)據(jù)中心造成致命傷害。這時(shí)，數(shù)據(jù)中心需要考慮投入產(chǎn)出比，雖然不能一味地增加對于DDoS防護(hù)的投入。當(dāng)問及數(shù)據(jù)中心在DDoS防護(hù)上的投入應(yīng)該如何做預(yù)算時(shí)，郭慶說道：“數(shù)據(jù)中心一年受到DDoS大面積影響的總小時(shí)數(shù)期間損失利潤的20%-30%作為流量清洗投資的預(yù)算較為合適?！?br />     他談到在大規(guī)模DDoS攻擊發(fā)生時(shí)，整個(gè)網(wǎng)絡(luò)的上下游均出現(xiàn)故障，實(shí)現(xiàn)最佳的防御效果需要三個(gè)條件：1. 有經(jīng)驗(yàn)和技能的清洗專家； 2. 與上游運(yùn)營商的熱線機(jī)制； 3. 快速檢測攻擊變化與應(yīng)急災(zāi)備能力。云清洗是DDoS防護(hù)的大趨勢，厲害的DDoS攻擊者手法多，變化快，時(shí)常需要定制正則語法來清洗，大規(guī)模攻擊的清洗位置越靠近上游越好。云清洗服務(wù)商需要具備自治域AS號進(jìn)行BGP路由調(diào)度控制與DNS全網(wǎng)策略控制能力，才能帶給客戶良好的網(wǎng)絡(luò)服務(wù)品質(zhì)。
    他進(jìn)一步闡述道：頁面被篡改，數(shù)據(jù)泄露這種事情客戶是不會找運(yùn)營商的，一般是自己關(guān)起門來商量對策。所以運(yùn)營商在上游只需清洗大流量攻擊，清洗開通后的關(guān)鍵是防止誤殺正常業(yè)務(wù)，這方面運(yùn)營商需要專業(yè)的清洗技術(shù)服務(wù)。不過最近一些新型的攻擊導(dǎo)致客戶系統(tǒng)提供不了服務(wù)，如訪問出錯(cuò)、頁面訪問緩慢，客戶也會找到運(yùn)營商一起判斷處理。這些新型的攻擊很多時(shí)候?qū)π阅苡休^大影響，嚴(yán)重的時(shí)候引起系統(tǒng)會宕機(jī)，有時(shí)很難快速分清現(xiàn)象根源，這也是需要專業(yè)清洗技術(shù)服務(wù)的原因。