五个步骤确保你的数据中心更安全.docVIP

五个步骤确保你的数据中心更安全在虚拟化和云计算时代，管理员需要一个更全面的方法来确保数据中心更安全。随着云计算的出现，广泛的互联网应用，面向服务的架构和虚拟化，数据中心的运作变得更有活力。转向一个新的计算环境增加了数据层的复杂性，也增大了IT经理保护数据中心的难度。 　　美国国防信息系统局(DISA)技术项目总监Henry Sienkiewicz表示企业应该在设计数据中心时考虑到数据中心的安全性。 　　“数据中心是一个完整的生态圈，可以把它作为个体组成部分来看，但必须从整体看，” Henry Sienkiewicz说。 “如果我们不这样做，我们就会漏掉什么东西。” 　　Apptis技术解决方案公司的数据中心经理Jim Smid表示IT经理们越来越多地希望确保绝对安全的交易，这意味着从桌面安全到网络应用程序到存储都必须是安全的。传统上，网络支持团队需要确保网络的安全，应用小组需要处理数据加密。但当前和新出现的环境都要求应用新的方法，Smid表示。 　　他表示企业需要监控数据中心所有的业务交互是否正确，并确保每个数据中心的组件都是安全的。 　　除此之外，数据中心的安全管理人员和行业专家表示企业必须管理法规，政策，人员和技术，需要确保动态安全和数据中心的安全。每一个安全层都是很重要的，所以很难说哪一个更重要。 　　一些组织如云安全联盟是一个行业的领导者，全球安全专家协会和联盟，公布了云计算知识和使用云计算的最佳做法的指导。这个指导手册覆盖了十五个安全领域，从计算架构到虚拟化，都是企业应该应用到数据中心的安全措施。 　　尽管如此，在与一些数据中心安全管理者和行业专家对话的基础上，我们列出了确保数据中心安全的五件事情。 　　1. 获取物理控制 　　对于很多公司来说，第一步是要考虑是否要继续保持自己的数据中心或外包任务，Smid说。 另外一些数据中心经理可能需要开始更艰难的任务，如控制访问每个系统或网络层。下面让我们看一个例子。 　　NASA美国宇航局喷气推进实验室(JPL)IT集团经理Corbin Miller更愿意在数据中心封锁物理安全。 　　在俄克拉何马美国联邦航空局(FAA)的数据中心，分层的安全越来越受欢迎，前美国联邦航空局企业服务中心IT主管迈克梅尔斯表示。在该中心，物理安全包括一个隔开的校园，进入主体建筑和数据中心的证件，护送访问者的一名警卫，获准进入房间的关键卡，数据中心的视频监控，以及根据数据的敏感性锁定的服务器。 　　米勒正在实验室的数据中心建立物理安全层来划分测试、开发和生产领域。 　　该中心的经理要在数据中心设立一个开发实验室，但米勒希望把它和生产区域分开，以保持JPL的操作正常运行。 　　“我想要把生产区作为最高级别的安全区”，只允许该地区授权的系统管理员进入，他说，“所以我设想在数据中心开设三个区。” 一个区将用于研究人员测试的设备；一个区在系统和应用开发进入生产之前，给他们提供更多的控制；最后一个区是生产区，只有核心系统管理员可以进入。 　　对于内层，并非一定需要证件进入，但有些类型的访问控制(如服务器机架上锁)对于生产系统是很有必要的，米勒说：“我只是不希望突然实验室的人员说，‘我需要电力。让我把设备插在这儿吧’，这样它就给生产造成了问题”他说。 　　2. 建立网络安全区 　　在建立物理安全程序之后，艰难的网络安全工作开始了。 　　“我会把分区集中到网络层，”米勒说， 在JPL“第一个区域是有点宽松的环境，因为它是一个开发领域。下一个是子网的测试，它和开发区是分开的，是一个比生产区更宽松的环境。” 　　第三区是生产或支持子网的区域，也是系统管理员花费大量的时间和精力的地方。该区只有生产设备，因此管理员必须以受控的方式给生产网络部署新系统，米勒说。 　　在JPL，管理员可以手动或虚拟给子网络部署系统，并连接到虚拟局域网中，然后他们可以给流入或输出的流量设立严格的规则。例如，管理员可以把邮件服务器部署端口25或80端口，原则是这个部署并不应该影响那个区的批准流量。 　　米勒表示数据中心管理人员需要考虑企业的各种子网络将要处理的业务类型。如电子邮件应用，一些数据库监测活动使用的链接到外界的端口。然而，这些生产机器不应该转向CNN.com，ESPN.com，或雅虎新闻。在管理员设置这些规则后，他们可以更好地检测异常活动，米勒说。 　　米勒表示一台机器转移到网络的时候，你应该知道它正在运行，谁可以访问操作系统层，它在通过网络与其他系统通信，这些你都应该知道。 　　“现在你可以更好的了解你的安全监控和数据泄漏以及预防监测应该放在哪里，”他强调， “如果我知道只有三台机器在网络上时，我可以很清楚的看清流量和某些需要的具体的东西。” 　　米勒表示尽管无线网络很受欢迎，但无线接入点在数据中心并没有必要，因为他们很难控制。