数据中心安全技术

1数据中心安全数据中心安全建立在一套行之有效的安全策略的基础上。这套策略应当准确地定义您的数据中心的接入和连接要求。在制定了一套正确的安全策略之后，您就可以利用多种先进的思科技术和产品防止您的数据中心遭受内部和外部威胁，确保数据的保密性和完整性。思科提供了一组功能强大的网络安全技术，如下图所示。图1-1数据中心安全和数据中心网络1.1数据中心安全拓扑一直以来，内联网数据中心都是一个安全措施严重不足的区域。根据客户调查、层出不穷的安全威胁和日益增长的专利信息保护需求，企业必须为数据中心提供足够的安全保障，防止来自内部的攻击――无论是有意还是无意导致。图2-1提供了一个大规模企业网络的结构图。图2-1还显示了内联网数据中心在网络中的位置。在这个拓扑中，内联网数据中心汇聚交换机被直接连接到园区核心交换机。数据中心交换机和园区核心之间没有部署防火墙或者IDS设备。拓扑设计的目的是为位于内联网中心的网络设备和应用创建安全周边和区域，以提供与外部（互联网）设备和系统类似的安全保障。图2-1企业网络和内联网数据中心存储网络多层应用Web服务器IP网络基础设施安全应用优化第二/三层防火墙缓存内容交换机应用服务器磁带DB服务器大型机IP通信运营PDFcreatedwithpdfFactoryProtrialversion分组过滤：汇聚层分组过滤为拦截来自外部或者内部的恶意网络和应用流量提供了一种重要的方法。可以在内联网数据中心汇聚层部署的分组过滤服务包括ACL、独立防火墙设备和基于集成化的防火墙模块。图2-2显示了数据中心汇聚层的位置。图2-2内联网数据中心汇聚层园区核心数据中心汇聚层前端层应用层PDFcreatedwithpdfFactoryProtrialversion有助于通过基本的第三层和第四层分组过滤限制对设备的访问（例如子网隔离）。通过设置，ACL可以按照端口进行过滤，但是在大部分情况下不能提供上层应用检测。这在一定程度上是因为ACL不能支持状态分组检测，而这正是ACL和防火墙之间的关键区别。状态分组检测让防火墙可以对面向连接的请求进行基于分组的检测，拒绝不完整的或者异常的请求。1.2.2防火墙防护在采用防火墙装置的典型设计中，防火墙可以部署在数据中心汇聚层和核心交换机之间。这种内嵌式拓扑有时被用于连接互联网的数据中心设计图2-3防火墙设备部署对于那些希望部署灾难恢复或者业务连续性的企业，内容交换模块（CSM）的路由健康注入（RHI）功能在内部网络中扮演着一个重要的角色。这项功能让CSM可以为多层交换功能卡（MSFC）中的虚拟IP地址（VIP）设置一个主路由。该路由随后将通过内部路由协议广播到整个网络。数据库层园区核心PDFcreatedwithpdfFactoryProtrialversion部署在数据中心服务交换机的防火墙当数据中心汇聚交换机收到输入流量时，一个静态路由将这些流量通过第二层发送到服务交换机。图2-4显示了服务交换机的位置和连接，以及它们与防火墙的物理连接。服务交换机拥有两个第二层中继链路，其中主链路被连接到第二层主汇聚交换机，而从链路（拦截）被连接到从第二层汇聚交换机。在流量到达服务交换机时，它会被转发到交换机的外部接口。防火墙随后会将内部接口之外的流量拦截或者转发到服务交换机。因为防火墙的外部和内部接口都连接到同一台交换机，所以常常会导致安全问题。最主要的问题之一是可能会发生“VLAN跳跃”。VLAN跳跃是指攻击者能够跳过VLAN，从而绕过防火墙。集成化防火墙部署防火墙服务模块（FWSM）是Catalyst6000系列交换机的一种集成化防火墙。FWSM的配置类似于PIX防火墙，因而可以对内部、外部流量和服务器间通信进行状态分组检测。该模块能够以5Gb的吞吐率提供分组检测和支持OSPF动态路由协议。图2-5显示了配有一对FWSM的内联网数据中心汇聚交换机。园区核心PDFcreatedwithpdfFactoryProtrialversion的数据中心汇聚交换机上述功能和下面将要介绍的一些功能（例如虚拟防火墙）让FWSM成为为数据中心重新设计安全方案的一个重要考虑因素。它的一个特殊应用是为多层服务器群设计和部署安全策略。利用FWSM，多层服务器可以变得更加简洁和便于管理，如2-6所示，FWSM可以与MSFC部署在同一个机箱中，并且可以部署在MSFC内侧或者外侧。图2-6中还显示了CSM的位置。图2-6FWSM、MSFC和CSM的逻辑结构图（FWSM位于MSFC内侧和外侧）为了防止因为VLAN配置错误而导致流量绕过FWSM，须密切注意FWSM的外侧和内侧接口上设置了哪些VLAN。在MSFC的哪一侧放置FWSM取决于您希望采用的配置类型。1.3分组过滤：接入层通过在接入层部署PVLAN和IOSACL或者VLANACL（VACL），限制服务器群中的园区核心MSFC外侧MSFC内侧数据中心汇聚交换机数据中心汇聚交换机PDFcreatedwithpdfFactoryProtrialversion服务器与其他设备或者服务器之间的通信。PVLAN的概念非常简单：PVLAN为在同一个服务器群中的服务器之间进行第二层隔离提供了一种重要的方法。所有进入服务器群的流量都将通过一个主VLAN。这个主VLAN会被镜像到一个或者多个从VLAN。从VLAN可以被设置为独立的或者共同的VLAN。安放在独立VLAN中的服务器不能与服务器群中的任何其他服务器通信。位于共同VLAN中的服务器则只能与共同VLAN中的其他服务器通信。图2-7PVLAN限制服务器通信因为PVLAN只能在服务器之间提供第二层隔离，所以您必须在CiscoIOS或者思科防火墙上设置ACL，以拒绝任何第三层访问。如果流量的源地址是服务器群中的某个设备，那么它的目的地地址就不能是服务器群中的另外一个设备。如果没有采用这种过滤措施，分组可能会从第三层路由到目的地服务器，从而绕过第二层隔离。PVLAN具有很多优点。如果数据中心的服务器存在敏感资料，那么就可以将每台路由器置于一个独立的VLAN中，同时不会浪费IP地址。PVLAN还有助于提供安全保障：如果数据中心的一台服务器受到攻击，攻击者无法通过第二层或者第三层访问其他的服务器。1.4数据中心多层服务器群的安全保护多层（常被称为N层）服务器群主要包含三个层次：表示层、应用层和数据库层。根据所部署的应用，Web层和应用层可能会位于同一个物理服务器或者不同的服务器。大部分供应商都提供了一种三层物理模式，即Web层和应用层分别位于不同的服务器。这种多层架构大大提高了数据中心网络架构的复杂性。在多层架构中，用户通常需要为每个层次部署安全措施。过滤是一种相当有效的安全措施，应当在表示层前端，表示层和应用层之间，以及应用层和物理层之间执行。分组过滤也经常在位于同一个层次的不同服务器之间进行。推荐的分组过滤方式取决于所部署的架构类型。对于上面所介绍的物理多层服务器群，思科建议您在每个层次进行过滤，以便为服务器群提供最大限度的安全性。如果使用传统的、基于装置的防火墙，每层的过滤至少需要为每个层次部署两个防火墙。这提高了物理连接、管理和可靠性保障的复杂性。图2-8显示了一个典型的多层服务器群架构，其中每个层次都部署了基于装置的防火墙。主VLAN主VLAN独立共同独立共同PDFcreatedwithpdfFactoryProtrialversion防火墙模块为降低在多层架构中部署安全措施的复杂性提供了一个重要的方法。通过将防火墙整合到中央地点，可以大幅度降低管理和物理连接的复杂性。您可以通过在每层之间进行路由和分组过滤在FWSM上为每个层次提供不同的VLAN。这使得VLAN之间的所有流量都可以穿越FWSM，从而将分组过滤服务集中到一对物理防火墙上。FWSM支持“虚拟防火墙功能”。这种功能让单个FWSM可以“虚拟化”为多个逻辑防火墙。这种虚拟化可以在每层创建多个独立的逻辑防火墙。在必要情况下，甚至可以为每个客户建立多个防火墙。图2-9显示了采用FWSM的多层服务器群。图2-9FWSM为多层服务器群提供安全保障园区核心第一层Web层第二层第三层应用层服务器层园区核心采用多防火墙虚拟技术的FWSMWeb层应用层数据库层PDFcreatedwithpdfFactoryProtrialversion：汇聚层网络IDS设备应当被部署在数据中心的汇聚交换机中，以便为数据中心网络设备提供全面的保护并为服务器群组件提供第一道防线。这些网络IDS传感器可以通过逻辑配置，放置在汇聚交换机中部署的其他防火墙模块之后。这使得传感器可以阻止未经过滤的、穿越防火墙的攻击。在将IDS设备部署于汇聚交换机中时，您应当设置网络IDS传感器，使其监控同步流量。这让传感器只需获得流量的一侧数据，就可以监控流量的两个部分，从而减少传感器的误报和漏报。网络IDS设备能够通过主动调整ACL抵御网络攻击。在网络行为违反了预定的策略，而且符合攻击特征时，IDS设备就会动态设置ACL，及时抵御网络攻击――在它威胁到任何服务器或者设备之前。图2-10显示了在数据中心部署网络IDS的结构图。PDFcreatedwithpdfFactoryProtrialversion因为可能会有大量的流量流经数据中心，思科建议您部署一个支持千兆吞吐率的IDS设备。支持千兆吞吐率的IDS能够监控更多流经数据中心的流量，从而提高安全性。目前，思科提供的IDS设备――IDS4250――能够提供千兆监控功能。在不久的将来，思科将推出一个针对Catalyst6000的千兆IDS模块。这些设备的功能较为类似，因而无论您采用哪个设备，关于应当在哪些环节监控哪些类型的流量的建议都是相同的。1.5.1网络IDS：接入层IDS传感器也可以部署到数据中心的接入层。这可以为网络设备和服务器提供一个可选的额外防线。在接入层，传感器应当设置为监控来自服务器群的同步和异步流量。对于服务器和应用流量，同步流量监控将以更加精确的方式进行。另外，监控来自服务器的异步流量，如果攻击者能够控制一台服务器，并开始从内部服务器群发动攻击，接入交换机中的网络IDS传感器就能够监控和抵御攻击，从而防止其他的内部系统遭受攻击。园区核心输出流量输入流量汇聚层网络IDS监控同步流量数据中心汇聚交换机输出流量更加精确的服务器和应用监控输入流量PDFcreatedwithpdfFactoryProtrialversion主机IDS解决方案为服务器上运行的服务器操作系统和应用提供了全面的安全保护。主机IDS代理软件可以被加载到服务器平台，从一个集中管理地点进行监控。目前支持的服务器操作系统包括：Windows2000、WindowsNT和SunSolaris。主机IDS传感器可以通过主动监控发往服务器的流量和在攻击实施之前及时加以阻止，有效地抵御攻击。图2-11用于服务器群的HIDS上游的网络IDS可以防范网络攻击和某些针对服务器、应用的攻击，而主机IDS传感器可以防范不同类型的恶意攻击，例如：oOS和应用漏洞o上载恶意可执行程序o信息搜集o监听程序安装o密码攻击o缓冲溢出部署主机IPS，可以直接抵御面向系统的漏洞攻击。CSA是一个灵活的主机IPS解决方案，可以通过保护大部分网络攻击的目标――网络终端，满足所有这些要求。CSA是一个可以解决系统所面临的威胁的安全系统，有助于建立一个稳定的应用环境。数据中心