6+数据中心安全运维经验分享赛尔网络.docVIP

数据中心安全管理经验分享 2016年12月 杨连磊 CONTENT 1 数据中心网络结构 2 管理流量安全审计 3 业务流量严格把控 4 合理利用运维工具 数据中心网络结构 1 3 机房环境介绍 数据中心建筑面积2100平米，其中建成机房面积553平米机房按照A级标准规范设计建设，所有设备均采用冗余设 计建设，目前已安装机柜110面，部署了120台服务器，600多台虚拟机，承载了44个大型业务系统。 数据中心区域划分 详细拓扑结构 管理流量安全审计 2 7 配置基础策略 NO 类别 检查内容 说明 1 用户认证方式 启用本地或AAA认证 2 鉴别信息在网络传输过程中被窃听 使用SSH、https加密传输 远程登录管理 3 系统设置ssh/https访问地址 管理员登录地址进行限制，指定 ssh访问的地址 4 密码管理 用户口令加密并定期更换 防火墙的用户口令加密并定期更换 （90天） 5 账号管理 检查无用账号和分配权限 现存账号符合运维工作要求，无无 用账号 6 会话超时 定义会话超时时间 登录失败后应强制退出 7 日志服务 必须指定log服务器 日志管理 8 系统配置日志级别 定义日志级别 9 服务管理 修改系统默认snmp community public、private团体名 修改snmp community public/private默认团体名 10 时钟服务 指定NTP服务器或校对本地时间 安全登录及审计 互联网 管理流量 合理利用现有设备，针对外部管理流量尽量采 移动用户 用VPN加密方式，所有操作日志需要有专门的 审计设备。 出口网关 SSL-VPN设备 堡垒机 核心交换 业务区域 管理员安全认证 为保障管理流量的安全，所有管理员需要通过专用的SSL-VPN拨号进入内网，实现了 1、用户身份的认证 2、针对不同用户可操作资源区分 3、流量数据加密 设备分权管理 所有设备通过堡垒机统一进行管理，做到设备可管、可控、可查，保存相关的登录操作等日志三个月以上 数据库操作审计 设有专门的数据库审计设备，对数据库的所有增删改查做审计。保留相对应的日志文件，方便溯源。 业务流量严格把控 3 13 互联网接入区 DDOS防护 处于最外层的是防DDOS系统，针对DDOS流量进行识别，自动过滤非法流量，保障内部业务系统的安全性 域名智能解析 1.利用出口负载均衡设备，实现多链路的地址映射， 同一个内网系统，映射多家运营商地址。 2.智能DNS多区域解析，当某条链路故障时，可以不 影响用户业务访问。 访问控制策略 通过严格设置内部服务器的流量通过规则，使得服务器只向外开发对外服务的端口，其余端口的流量直接在防 火墙上做拒绝操作，从网络层和传输层上杜绝了非法流量的进入。 入侵防御 采用专业的入侵防御系统，对于5-7层的数据流量进行检测。能够即时的中断、调整或隔离一些不正常或是具 有伤害性的网络资料传输行为。 可根据厂商提供的信息，自动更新特征库，保障攻击识别率，提高系统安全性 WEB应用防护 WAF通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护 对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。可有效防止网页篡改、信息泄露、木马植入等恶 意网络入侵行为。从而减小Web服务器被攻击的可能性。自动更新特征库，保障攻击识别率。 宁可错杀1000，也不放过一个 横向数据流安全 由于信息系统的系统众多，且整体规划采用的大二 卡，对于各个业务系统之间进行横向隔离，只允许 数据备份 目前数据中心拥有600多台虚拟机，我们采用全备和增量备份的方式，将所有业务进行了数据备份。 数据库采用rman的方式，应用服务器采用快照方式。 异地灾备 信息系统灾备是一种对信息系统的正常运营具有重大破坏性的突发事件，其中最明显的影响是信息服务的 中断和延迟，致使业务无法正常运营。信息系统停顿的世界越长，单位的信息化程度越高，损失就越大。 1.典型的自然灾害，如火灾、地 震洪水等； 2.设备故障、软件错误、通讯和 电力故障等； 3.人为因素，误操作、攻击、破 坏等； 合理利用运维工具 4 23 为什么要部署监控软件 在一个IT环境中会存在各种各样的设备，例如，硬件设备、软件设备，其系统的构成也是非常复杂的，通 常由下图所示的模型构成 上层应用 安全的前提是要保证数 据中心的稳定运行。 1、数据库：MySQL、MariaDB、Oracle、SQLServer及NOSQL（redis， memcached） 2.应用软件：nginx、Apache、PHP、Tomcat、Weblogic、Websphere,ERP业务 应用等 系统架构 1、操作系统：Linux、Unix、Windows等 2、虚拟化：Vmware、KVM、XEN