数据中心安全对于大多数企业来说是一个多方面、多层次的难题。无论是托管在本地、托管设施、企业拥有的异地数据中心还是云端,数据中心都是业务不可或缺的一部分。它们包含允许业务流程运行并为合理的公司决策提供上下文的关键数据。另一方面,攻击者觊觎这种极具吸引力和利润丰厚的数据,并努力获取它。同样,内部人员可能会无意或有意地滥用或泄露敏感的公司信息。在任何一种情况下,企业和客户信息都可能被勒索赎金、在暗网上出售或被利用。专业环境数据中心环境的庞大规模和多样性使等式进一步复杂化。在传统网络中,网络安全主要集中在防止攻击者在网络中站稳脚跟。即使面对快速增长的分布式员工队伍,这种策略也会扩展并经常破坏大部分网络边界,这种策略仍然适用。相比之下,数据中心通常处理大得多的流量,虚拟化工作负载在服务器、虚拟机和容器中运行,它们相互作用以完成任务和共享数据。数据中心架构也可以像单个本地设施一样简单,或者使用具有一些无定形边界的混合或多云架构。鉴于数据中心架构与其支持的企业一样多种多样,因此没有一种万能的网络安全解决方案。但是,有许多通用指南和最佳实践可以帮助指导数据中心的安全工作。专用边缘安全与传统网络一样,下一代防火墙通常部署为数据中心的第一道防线;但是,根据规模和流量负载等考虑,可能需要部署专用数据中心。这些解决方案通常可以支持兆比特的防火墙吞吐量和数百万个并发用户会话。数据中心下一代防火墙通常支持划分为多个虚拟防火墙,为多租户环境中的客户端提供单独的服务。通常,这些虚拟防火墙由客户直接和独立控制,可以根据每个客户的需求进行精确的功能定制。冗余和故障转移也是数据中心的关键需求,以确保即使在发生故障、灾难或类似的业务中断事件时也能持续正常运行。在传统网络中,故障转移机制可能是主动/主动或主动/被动,但在数据中心环境中,通常首选主动/主动模式,以便在故障转移期间保持操作的连续性。在故障转移情况下,尤其是当冗余数据中心在地理位置上相距遥远时,必须注意确保用户连接以及数据和应用程序的连续性。有了适当的机制,故障转移的发生对用户来说几乎是不可见的,而且不会影响当前的连接。然而,总有一个权衡。购买和安装下一代防火墙可能会非常昂贵,并且必须权衡违规或业务中断可能造成的潜在财务和声誉损失。此外,安全策略承担了下一代防火墙的大部分繁重工作,虽然大多数供应商都提供配置向导和其他工具,但可能会出现策略冲突。例如,容纳远程工作人员可能需要手动配置以允许访问数据中心资源。更深入:分段几乎每个现代数据中心都通过虚拟化、容器、多云使用和其他结构来利用云架构的元素。这允许可扩展性和弹性,但存在其自身的安全风险。例如,一旦攻击者获得访问权限,数据中心内的相关工作流就可以提供通往其他服务器、数据、应用程序和其他资源的路径。分段技术允许安全团队定义数据中心的不同区域,然后设置安全策略来保护它们,一直到VM、容器或工作负载。可以监控和可视化数据中心元素之间的东西向通信,防止恶意软件和其他危害指标在数据中心广泛传播。此外,在多租户环境中,分段解决方案有助于防止未经授权的用户或威胁和攻击获得客户端之间的访问权限。此外,这些解决方案提供了对数据中心内流量的广泛可见性,以及一套标准的防御机制,例如IPS、防病毒和其他攻击防御。尽管分段有很多好处,但实施起来可能很复杂并且难以在现有环境中正确应用。正常流量模式的机器学习可以帮助确定允许或拒绝哪些东西向流量,但错误配置可能会中断或阻碍业务运营。与下一代防火墙一样,在考虑此解决方案时必须权衡成本和收益。另一个困境:云工作负载保护平台如前一节所述,对云工作负载的可见性以及资产通常如何交互是保护数据中心的关键之一。通过对工作负载的通常行为进行建模,可以更轻松地识别可能表明潜在威胁的任何异常,然后消除或修复它。这种新兴技术被称为云工作负载保护平台,简称CWPP,通常为多云数据中心提供许多关键安全功能:允许监视、可视化和控制的仪表板;基于人工智能或机器学习的正常行为和模式构建;检测威胁的模型;和跨多个云的微分段。在考虑CWPP时,请记住某些解决方案可能不支持所有用例,例如容器和微服务。此外,由于大多数CWPP都是基于代理的,因此在每个数据中心资产上安装和维护代理的成本会迅速上升,从而减慢部署速度并可能影响资产性能水平。虽然数据中心安全是一个持续的过程而不是一次性事件,但在边缘和数据中心组件内采取核心安全措施至关重要。这样做将为成功保护公司的关键资产奠定基础,无论它们位于何处。
