数据中心的网络安全建设精选.pdf

由于数据中心承载着用户的核心业务和机密数据，同时为内部、外部以及合作伙伴等客 户提供业务交互和数据交换，因此在新一代的数据中心建设过程中，安全体系建设成为重点 的主题。    数据中心的网络安全建设   数据中心安全围绕数据为核心，从数据的访问、使用、破坏、修改、丢失、泄漏等多方 面维度展开，一般来说包括以下几个方面：  物理安全：主要指数据中心机房的安全，包括机房的选址，机房场地安全，防电磁 辐射泄漏，防静电，防火等内容； 网络安全：指数据中心网络自身的设计、构建和使用以及基于网络的各种安全相关 的技术和手段，如防火墙，IPS，安全审计等； 系统安全：包括服务器操作系统，数据库，中间件等在内的系统安全，以及为提高 这些系统的安全性而使用安全评估管理工具所进行的系统安全分析和加固； 数据安全：数据的保存以及备份和恢复设计； 信息安全：完整的用户身份认证以及安全日志审计跟踪，以及对安全日志和事件的 统一分析和记录； 抛开物理安全的考虑，网络是数据中心所有系统的基础平台，网络安全从而成为数据中 心安全的基础支持。因此合理的网络安全体系设计、构建安全可靠的数据中心基础网络平台 是进行数据中心安全建设的基本内容。    数据中心网络安全建设原则   网络是数据传输的载体，数据中心网络安全建设一般要考虑以下三个方面：  合理规划网络的安全区域以及不同区域之间的访问权限，保证针对用户或客户机进 行通信提供正确的授权许可，防止非法的访问以及恶性的攻击入侵和破坏；  建立高可靠的网络平台，为数据在网络中传输提供高可用的传输通道，避免数据的 丢失，并且提供相关的安全技术防止数据在传输过程中被读取和改变；  提供对网络平台支撑平台自身的安全保护，保证网络平台能够持续的高可靠运行；  综合以上几点，数据中心的网络安全建设可以参考以下原则：  整体性原则：“木桶原理”，单纯一种安全手段不可能解决全部安全问题  ；  多重保护原则：不把整个系统的安全寄托在单一安全措施或安全产品上；  性能保障原则：安全产品的性能不能成为影响整个网络传输的瓶颈；  平衡性原则：制定规范措施，实现保护成本与被保护信息的价值平衡  ；  可管理、易操作原则：尽量采用最新的安全技术，实现安全管理的自动化，以减轻 安全管理的负担，同时减小因为管理上的疏漏而对系统安全造成的威胁；  适应性、灵活性原则：充分考虑今后业务和网络安全协调发展的需求，避免因只满 足了系统安全要求，而给业务发展带来障碍的情况发生  ；  高可用原则：安全方案、安全产品也要遵循网络高可用性原则；  技术与管理并重原则：  “三分技术，七分管理”，从技术角度出发的安全方案的设 计必须有与之相适应的管理制度同步制定，并从管理的角度评估安全设计方案的可 操作性   投资保护原则：要充分发挥现有设备的潜能，避免投资的浪费；     数据中心网络安全体系设计 模块化功能分区 为了进行合理的网络安全设计，首先要求对数据中心的基础网络，采用模块化的设计方 法，根据数据中心服务器上所部署的应用的用户访问特性和应用的核心功能，将数据中心划 分为不同的功能区域。关于模块化设计的详细介绍，请见“企业数据中心高可用网络系统设 计”一文。      采用模块化的架构设计方法可以在数据中心中清晰区分不同的功能区域，并针对不同功 能区域的安全防护要求来进行相应的网络安全设计。这样的架构设计具有很好的伸缩性，根 据未来业务发展的需要，可以非常容易的增加新的区域，而不需要对整个架构进行大的修改， 具备更好的可扩展性。因为每个区域的安全功能是根据每个区域的特性进行定义，因此可以 在不影响其他应用或者整个区域的情况下单独进行安全部署，对于一次性建设投资或分阶段 建设的情况下都可以很好进行网络安全的布局。    “核心-边缘“安全边界定义 采用模块化的架构设计方法将数据中心分为多个功能区域后，由于不同功能区域之间会 有相互通讯的需求，因此整个网络架构形成“核心‐边缘”的结