思科业务就绪数据中心——数据中心安全解决方案.pdf

保护整合数据中心的集成化、深度防御方式 概述 整合数据中心资源以实现更高效率的数据中心管理员必须考虑这些改变对安全有何影响。 思科系统 公司 提供了一种集成化、深度防御数据中心安全策略，使管理员将数据中心划分为安全“分区” ， 对每个应用执行相应的安全政策，并抑制病毒或蠕虫攻击的潜在影响。此策略利用了业务就绪数据 中心架构和思科网络平台中的集成安全性。 挑战 对恶意活动来说， 数据中心是极具吸引力的目标。 未正确保护的数据中心是黑客和蠕虫的攻击对象， 会导致大规模、代价昂贵的破坏。不幸的是，在上世纪 90 年代经济迅猛发展期间快速组建的数据 中心，在构建时很少注重安全性，而且因此而引发的许多应用及存储“孤岛”也常成为攻击的漏洞 并遭到破坏。互联网蠕虫和病毒繁殖的部分原因就是全球各数据中心的安全技术和过程既不一致， 也不充分。 为支持保护、优化和发展业务的管理目标，许多 IT 机构正在整合服务器、存储、网络和应用等数 据中心资源。IT 和网络管理员必须考虑这些改变对安全状况和应用永续性有何影响。过去，管理员 依靠物理应用隔离或外围防御来获得安全性。这对防止资源和应用遭受攻击是远远不够的，因为攻 击日趋先进和危险。任何“稍懂程序的人员”都可从一个网站上下载黑客工具，对保护不佳的数据 中心造成极大破坏。攻击的进程比以往更快。现在数秒内造成的破坏就比五年前需几天时间造成的 破坏还要大。Slammer、 Blaster 和 MyDoom 蠕虫只需几分钟就可遍布全球。因此，数据中心需要 能提供抵御“零日”攻击的防范措施。 来自企业内部的威胁更具破坏性，这是因为黑客可利用对机构的具体了解，有意、无意地造成严重 的财务损失。这些黑客可能包括员工、临时工人和顾问。为保护应用，数据中心管理员必须使用现 代化技术来限制用户，使之仅能访问他们工作中所需的那些资源。 重要的是安全管理员和网络管理员能携手合作，了解数据中心资源的特定安全漏洞和威胁，以便他 们可开发一个强大的网络安全架构。安全漏洞和威胁可阻止用户访问关键任务应用，直接干扰应用 运行，或破坏保密和重要信息。威胁可包括以下内容： ? 通过缓冲溢出、恶意蠕虫、病毒和管理访问违规，对关键任务应用、应用服务器、数据库、数 据库服务器和存储资源进行攻击 ? 因系统误配置、过期或错误的软件导致的安全漏洞，使 IT 管理员需进行耗时的操作系统和修 补程序更新，导致系统停运和工作效率下降 ? 通过违规访问，攻击网络系统和路由器、交换机和防火墙等设备 ? 通过分布式拒绝服务(DDoS)和同步溢流攻击，对网络基础设施造成威胁 思科业务就绪数据中心思科业务就绪数据中心数据中心安全解决方案数据中心安全解决方案 解决方案 思科业务就绪数据中心思科业务就绪数据中心数据中心安全解决方案数据中心安全解决方案 思科业务就绪数据中心 思科业务就绪数据中心是一种功能一致的网络架构，支持数据中心对整合、业务持续性和安全的快 速实施需求，并为采用新兴的、面向服务的技术和应用计算技术，如刀片服务器、虚拟化、Web 服 务和 GRID 等奠定了基础。通过此架构，数据中心联网领域的世界领先厂商，思科系统公司，为 IT 和网络管理员提供了他们为防止或承受数据中心攻击所需的端到端、 深度防御的安全策略及解决方 案。在智能网络基础之上，思科业务就绪数据中心可防范当前的安全威胁，并为实现自防御网络等 高级网络系统提供发展途径。借助这种经过测试和验证的参考架构、成熟的设计最佳实践，以及通 用和合作伙伴专用配置模板，思科帮助 IT 管理员降低了风险和投资，并缩短了部署时间。其灵活 性使企业能部署支持其业务目标、并可更高效地实施新服务及应用的，最好的计算、存储和软件技 术。通过实施此可调整的数据中心网络架构，IT 部门获得了出色定位，可实现保护、优化和发展业 务的高级管理目标。它可保护关键应用和保密数据；增强数据中心的运营效率，并迅速创建新的安 全应用环境来支持新的业务流程。通过拥有一个高度永续、有效、可调整的数据中心网络，企业可 缓解竞争压力、拓展市场范围、加速新服务的面世，为未来的发展而重新分配资源。 思科业务就绪数据中心架构由三个级别组成（图 1） ： ? 基本的基础设施包括智能 IP 网络基础设施、智能存储网络和数据中心互联 ? 网络系统智能包括安全性、供应优化、可管理性和可用性 ? 内嵌应用和存储服务包括存储虚拟化、数据复制和分布，以及先进的应用服务 深度防御的数据中心安全策略 思科数据中心安全策略认为， 安全是一个持续过程， 应与数据中心的运营相集成、 传播至用户群体， 并融入机构的文化和处理业务的方式之中。成功的安全策略采用深度防御理念，该理念使用多个层 次和补充性功能来解决数据中心中的威胁问题。 安全策略都是从一项安全政策开始的，它将业务需求和安全目标协调一致，且定义了如何通过流程 和技术实现这些目标。安全政策的组件必须满足数据中心的特定需求及具体应用要求，并对每个应 用进行用户组验证和授权许可。有效的安全政策来自于数据中心各方的出色协作，这其中包括数据 图图 1 安全：业务就绪数据 中心架构中不可缺少 的部分 内嵌应用和 存储服务 内嵌应用和 存储服务 网络系统 智能 网络系统 智能 基本的基本的 基础设施基础设施 数据复制和分布 虚拟化服务 智能应用服务 安全 供应优化 可管理性 可用性 智能存储 网络 智能 IP 网络 基础设施 存储资源 计算资源 用户 思科业务就绪数据中心思科业务就绪数据中心数据中心安全解决方案数据中心安全解决方案 中心的管理团队、执行委员会和机构中的用户组。政策中也确定了能使之实施的安全设计、管理流 程和技术。政策不是静止不变的，它应随安全状况的变化而调整和优化。 安全状况评估可发现当前环境中的具体安全漏洞和风险，并为它们的防范提出建议。这些建议应采 纳到安全政策中， 得到一致实施。 网络是安全状况评估的一个重要组件， 因为它连接着应用和用户。 网络应提供稳固的初步防御层，对操作系统和应用级安全构成补充。在数据中心中，网络不仅在外 围而且在安全分区中创建了安全环境。将网络划分为虚拟分区，使安全管理员能经济有效地整合资 源并控制用户对每个应用的访问。 思科业务就绪数据中心将安全直接集成入网络基础设施，实现了最优的端到端安全、性能和可管理 性。它采用了 Cisco Catalyst交换和 Cisco MDS 智能存储网络平台中先进的集成安全功能。Cisco Catalyst 6500 系列交换机的集成安全软件和服务模块，以带宽密集型数据中心环境所需的较高性能 水平，提供了防火墙、入侵检测系统(IDS)、安全套接字层(SSL)和 IP 安全(IPSec)虚拟专用网(VPN) 服务。在存储网络中，Cisco MDS 9000 系列多层管理器交换机提供了虚拟存储局域网(VSAN)和先 进的安全服务。 以下各类中的各种辅助安全技术对上述集成安全产品构成了补充： ? 威胁防御监视网络中的不正确行为，如防火墙和入侵检测/防止系统(IDS/IPS) 等 ? 信任和身份管理根据政策许可或拒绝对于设备和用户的服务，如 RADIUS 访问控制服务器 等 ? 安全连接在链路上提供保密性，如带加密的 VPN 这些解决方案在下面的“思科安全解决方案”部分中具体介绍。 解决方案优势 思科针对数据中心的安全策略具有以下业务优势： ? 深度防御在多个层次防范已知和未知风险 ? 安全整合将整合基础设施划分为安全分区，可抑制攻击的传播并提供强大的访问控制 ? 防范零日攻击通过寻找和中止可疑行为而实现 ? 更高服务完整性保护和验证服务器和存储设备上的保密数据 ? 更方便的管理和更低拥有成本通过自动执行配置和监控的集中管理工具，在数据中心中实现 了一致的技术部署，并实施了安全政策 ? 灵活性可迅速根据不断变化的威胁而进行调整 ? 更低投资凭借整合和更少物理设备上的安全功能虚拟化而实现 安全架构 出于成本原因，要实施数据中心安全性，需管理人员对安全目标进行优先级划分。通过一个明确定 义的安全政策，安全管理员和数据中心及网络管理员可进行合作，为保护整合的数据中心提供安全 架构。 为使用集成安全服务模块实现最优数据中心设计， 思科建议数据中心管理员在访问和核心层间部署 一个专用“服务”层，以最为经济有效的高性能方式提供分布式安全服务。 思科业务就绪数据中心思科业务就绪数据中心数据中心安全解决方案数据中心安全解决方案 实施数据中心安全性 制订了一个将资产保护与业务目标协调一致的安全政策后， 思科建议安全管理员采取以下步骤来保 护数据中心： ? 定义安全分区并为每个分区设置安全级别将数据中心划分为逻辑上相互独立的区域，可把攻 击的影响限制在最小范围之内。分区可支持单个应用或应用层、服务器组、数据库服务器、 Web 服务器、电子商务分区和存储资源（图 2） 。用户的访问可仅限于 Web 服务器，使应用和 数据库层免遭偶发或恶意的损害。应用间的通信可限制在应用集成、数据仓库和 Web 服务所 需的特定流量范围之内。 分区能在一个可扩展的整合存储网络上提供对每个应用的存储环境的 逻辑划分。为高效地实现这一目的，可集成并虚拟化防火墙，以在应用和服务器环境间提供安 全连接（图 2） 。 ? 安全状况评估可按主机、操作系统、应用、数据、网络设备和链路的具体类别来确认安全漏洞 和风险。此评估为确定每个资产的相应风险、及为保持每个资产的安全级别所需的维护要求提 供了重要信息，应采纳入安全政策。 ? 为关键服务器和主机实施端点保护。 此功能可发现正在进行之中的攻击， 保护操作系统和应用， 当发现攻击时向管理控制台发送报警。思科安全代理即是一款基于行为的端点保护解决方案， 可成功地中止 Slammer 和 Blaster 蠕虫。 ? 为关键网段实施网络 IDS，分析流量来发现和阻止 DDoS 和黑客行为等攻击。当发现攻击时， 系统会提示管理控制台和/或在网络基础设施中启动自动响应， “规避”或阻止攻击。IDS 也可 动态地命令防火墙或路由器阻止来自已识别恶意来源的分组，减少对于防范攻击的投入。 ? 通过防火墙和路由器控制分区间的访问。防火墙提供了外围控制，对进出数据中心的连接进行 状态检测，并通过入口和出口过滤阻止对于非公共服务和主机的访问。路由器提供了分区间的 第三层划分、VLAN 间路由、带宽限速和流量分析。 ? 通过交换机上的专用 VLAN 实现攻击抑制。当每个主机或网段有自己的 VLAN 时， 安全管理 员可隔离攻击，防止其传播到其他主机；每个 VLAN 上的主机仅可与缺省网关通信，不可与其 图图 2 带集成和虚拟化防火墙 的安全分区可确保整合 基础设施上的应用受到 保护 互联网 外围 安全性 企业园区企业园区 网络核心 互联网服务器群 网络核心 互联网服务器群 访问 安全性 Web 应用 数据库 ERP HR Fin E-Mail Web DW SCM 带整合基础设施的企业数据中心带整合基础设施的企业数据中心 安全分区 （虚拟 LAN 和虚拟 SAN） 水平和垂直分区 间安全集成 防火墙及 IDS Web 应用 数据库 思科业务就绪数据中心思科业务就绪数据中心数据中心安全解决方案数据中心安全解决方案 他主机通信。 Cisco Catalyst 集成安全特性提供了全面的保护， 可防范试图通过误定址机制来访 问未授权 VLAN 的黑客。 ? 保护存储网络传统存储环境一直被认为是安全的， 因为它们是它们所服务的计算系统的专用 扩展。随着专用存储和小型 SAN 整合为大型 SAN，存储管理员不能再通过隔离实现安全了。 当存储网络扩展到了数据中心环境之外，还需在城域网和广域网上实现安全性。管理员必须从 四个角度考虑 SAN 安全： 保护 SAN 免遭外部威胁，如黑客和有恶意企图的人士 保护 SAN 免遭内部威胁，如未授权员工和已遭破坏的设备 保护 SAN 免遭授权用户的非故意威胁，如误配置和人工错误 保护每个存储环境并使其与其他存储环境隔离， 即使这些存储环境位于同一物理网络上也 是如此 ? 部署信任和身份管理服务，仅允许授权用户和管理员访问数据中心资源。 ? 使用高效管理和监控工具进行安全组件和 Cisco IOS软件特性的集中政策配置、 监控和故障排 除。此解决方案应包括事件监控和关联，来过滤发送到管理控制台的报警。与数据中心网络设 备的通信在使用带外网络或通过专用管理 VLAN 进行时最为安全。 思科建议用 SSL、 简单网络 管理协议(SNMP)版本 3 或 SSH 技术对管理流量加密。 思科安全解决方案 思科安全解决方案采用集成、系统的方法来实现企业数据中心安全，保护机构的业务流程和资产。 思科将其安全产品划分为三个类型：威胁防御、信任和身份管理，以及安全连接。大多数功能可通 过 Cisco IOS 软件、用于 Cisco Catalyst 6500 平台的集成安全服务模块，和 Cisco MDS 9000 系列交 换机上的集成安全性实现。以下是部分与保护数据中心最为相关的思科安全产品列表。 用于 Cisco Catalyst 6500 平台的安全硬件模块在不影响性能的情况下为网络添加了一些必需的安全 服务。先进网络服务的集成与多个独立设施相比，具有多种优势。因为集成到 Catalyst 机箱之中， 节约了机架空间，将所需互联的数目降至最低，简化了部署。模块一般能比其相应的独立设施提供 更优的性能和更多的端口，增加了可扩展性。与独立设施不同，集成模块可使用本地 Cisco IOS 软 件和 Catalyst 智能特性，如 VLAN 和服务质量 (QoS)，可更紧密地集成先进网络服务，实现高效、 具出色响应能力的基础设施。 威胁防御 威胁防御安全解决方案可防范由病毒、蠕虫、DDoS 攻击和其他恶意网络流量引起的网络和主机攻 击。在数据中心中部署这些解决方案可隔离和阻止入侵者、恶意应用和其他不需要的流量。其中部 分产品包括： ? Cisco Catalyst 6500 系列防火墙服务模块(FWSM)FWSM 以 Cisco PIX 防火墙技术为基 础，以业界领先的防火墙数据传输速率提供了安全性、可靠性和出色性能：5-Gbps 吞吐率、 100,000 条连接/秒、多达 100 万条同时连接。单一机箱中最多可安装 4 个 FWSM，提供了每机 箱高达 20 Gbps 的可扩展性。 ? Catalyst 6500 系列入侵检测系统(IDSM-2) 服务模块一款重要的入侵保护解决方案，保护 机构免遭代价昂贵、耗费人力的网络违规的影响，这些违规一般由恶意互联网蠕虫、DoS 攻 击和电子商务应用攻击引起。Cisco IDSM-2 与其他集成组件共用，提高了入侵保护的运行效 率，从而更好地保护数据中心网络。 ? 思科安全代理通过基于行为的入侵检测来防止主机遭受系统级攻击，由此来保护端点。 信任和身份管理 这些解决方案支持授权用户、管理员和应用对网络服务及数据中心资源的访问，例子包括： 思科业务就绪数据中心思科业务就绪数据中心数据中心安全解决方案数据中心安全解决方案 ? 内嵌 Cisco IOS 软件技术大量特性可实现相应的访问控制和其他安全功能。 ? 思科安全访问控制服务器(ACS)实现用户验证、授权和记帐(AAA)服务的集中管理。ACS 也是即将推出的网络管理准入控制解决方案的集中管理点。 ? 思科网络准入控制 (NAC)思科通过 NAC 大大增强了思科安全代理的零日防病毒和防蠕虫 功能。NAC 将于 2004 年中期面世，使企业可发现申请访问数据中心的用户设备的操作系统 修补、防病毒和热修复状态。它将不符合安全政策、有潜在安全漏洞的系统转变为限制网络 访问或不许可网络访问的环境。企业可拒绝不符合安全策略的端点访问资源、将其隔离、或 限制它们对计算资源的访问，或者也可允许对其升级和修补以符合安全政策。 安全连接 这些解决方案保护数据中心内部和之间的连接，提供基于标准的 VPN 和加密技术来确保数据完整 性。它们适于多个数据中心间的光传输连接或到异地数据存储设施的连接。以下是几个安全产品的 例子： ? Cisco Catalyst 6500 SSL 服务模块极大地加速了性能和增强了 Web 应用的安全性，在保 证一致的客户体验的同时提供了全面、安全的内容网络。 ? Cisco IPSec VPN 服务模块一个用于 Cisco Catalyst 6500 系列交换机的高速模块， 将 IPSec VPN 服务集成入基础设施，满足对数据中心间更高带宽的安全连接的需要。 ? VSAN与 VLAN 类似，VSAN 允许存储管理员在一个通用物理基础设施上创建多个逻辑 SAN 。每个 VSAN 运行自己的网络服务集，实现虚拟网络矩阵间的绝对分区。这只是 Cisco MDS 9000 系列的安全特性之一。 数据中心安全管理 安全管理对在造成损害前确定并阻止违规十分重要。 当安全违规破坏数据完整性或关闭应用或服务 器时，由此带来的用户对于数据中心资源信任的影响和机构损失是无法估量的。因此，安全管理员 必须达到易用性、自动化、数据处理以及迅速、正确响应等方面的最高标准。 有效配置非常重要，这是因为它引导设备如何发现潜在入侵并对其响应、消除安全漏洞。变更管理 应简单易行，为安全管理员提供自动工具，来升级用于监控威胁的设备。监控是安全管理的核心， 管理员需能处理安全组件生成的大量数据的工具、确认可疑行为，并主动对威胁作出响应。故障排 除是使多个安全级别有效协作的必备特性。 CiscoWorks 提供了基于职务的安全管理服务，具有工作流自动化和未来服务虚拟化功能，可准确 地加速并简化管理活动。CiscoWorks 基于标准的 API 可与第三方管理及计费应用集成。 CiscoWorks 为数据中心管理员提供了两个强大的安全管理应用： ? CiscoWorks VPN/安全管理解决方案 (VMS) 结合了多种基于 Web、用于配置、监控 VPN、防 火墙以及基于网络和基于主机的 IDS 并对其排障的工具， 保护了机构的效率。 CiscoWorks VMS 也具备网络设备库存、变更管理和软件分发特性。 ? CiscoWorks 安全信息管理解决方案(SIMS)可收集、分析和关联企业中的安全事件数据，以便 安全管理员能在发生可疑事件时发现它们并对其作出响应。在屡获大奖的 netForensics 3.1 软 件的基础之上，SIMS 提供了多供应商安全环境中的全面事件监控、可发现已知和未知威胁的 实时事件关联、用于快速、直观安全监控的先进可视化功能、用来了解企业中任意特定资产的 总体易攻击性的集成风险评估，以及对于所有安全运行级别的综合报告。 思科业务就绪数据中心思科业务就绪数据中心数据中心安全解决方案数据中心安全解决方案 ? 用于 Cisco Catalyst 6500 系列交换机的 CiscoView Device Manager 驻留在交换机中，管理单一 机箱的多个第二层和第三层特性。作为一种基于任务的工具， CiscoView Device Manager 通过 提供基于推荐实践的配置模板，简化了模块上端到端服务的初始设置和部署。 安全领域的合作关系 面向数据中心的思科网络解决方案构成了一个坚实基础，使企业可将数据中心转变为战略性资产。 思科智能网络和存储技术为领先数据中心供应商的解决方案提供了基础。 思科也与安全业领先企业 合作， 平稳、 集成化地提供安全数据中心基础设施， 以便企业现在可根据自己的独特需求对其定制， 并随业务的发展和变化而在未来方便地调整。这些合作关系使数据中心管理员可获得必需的资源， 来设计、部署和维护能有效支持其业务目标、灵活、安全的数据中心。 思科值得信赖的数据中心安全领域领先厂商 企业数据中心是企业网络的核心，因为它包含用于开展业务的数据、应用和其他资源。保护并确保 这些资源的持续可用性对机构的成功至关重要。客户、合作伙伴和内部用户需确信保密信息可靠、 专用。保持网络及其所连资源的完整性十分关键。 作为网络和安全业的市场领先厂商，思科在思科业务就绪数据中心中提供了企业级的安全解决方 案，包括设计指南和最佳实践，如思科 SAFE 蓝图中所介绍的内容等。思科及其合作伙伴也提供了 广泛的安全专业服务，来帮助客户确