【IT168 资讯】近年来,互联网的迅猛发展,为IDC(互联网数据中心)的发展起到了很大的促进作用。但是随着IDC业务的发展,目前IDC面临着硬件数量庞大,维护成本、能源消耗、占用面积居高不下的难题。而虚拟化技术的发展,使IDC在采用虚拟化技术后,通过虚拟基础结构整合数据中心内的物理系统,让一台物理设备可同时承载运行几台甚至几十台逻辑操作系统,极大地提高服务器等硬件设备的利用率,使IDC在业务不断发展的同时有效地降低了建设成本和运营成本。从当前的IT技术发展来看,虚拟化技术的应用将会推动IDC的业务进一步发展。
IDC在发展业务的同时,所面临的安全威胁越来越严峻。大规模的攻击流量严重地侵占了出口带宽,直接降低了IDC整体服务的可用性;层出不穷的黑客侵入行为,使IDC内托管的各主机系统面临极大的安全隐患;更严重的是,IDC内部各服务器系统向外部互联网络的访问控制相对宽松,一旦黑客控制某个主机系统,会迅速波及整个IDC。甚至有的黑客会以此为跳板,利用IDC的内部主机和出口带宽,直接向IDC外部网络发起更大规模的攻击,干扰互联网的正常运行。
在IDC采用虚拟技术后,IDC内的服务器操作系统间虽然在逻辑隔离状态下独立运行,但是在安全防护方面,除了要应对原有的各种安全威胁,如病毒、蠕虫、间谍软件、木马程序、黑客攻击与侵入等,同时还要考虑IDC在虚拟技术环境下面临的新的安全威胁。
为了提高当前IDC网络安全水平,应对虚拟化技术发展,安全厂商开始积极行动起来。例如McAfee推出了虚拟技术环境下的IDC安全解决方案(NIPS)。NIPS除了可以拦截来自IDC外部的各种大流量攻击行为以及形形色色的黑客侵入行为外,还可以对IDC内部主机向外部互联网发起的流量攻击进行过滤、阻断,有效防止黑客以IDC内部主机系统为跳板,向外部互联网发起的任何流量攻击。该方案不仅可以满足IDC目前的安全需求,还能支持虚拟化技术环境下IDC的安全保障。
基于该解决方案,IDC的安全管理可以实现在事前评估、事中检测、事后监控等多个阶段中进行管理和控制。在网络层面、虚拟机平台层面以及虚拟系统等多个层面对各种威胁进行立体化防护,具有良好的安全防护效果。
——事前威胁防御。McAfee的Foundstone系统能对虚拟机系统进行感知的安全评估,不仅可以对各种虚拟机系统存在的安全问题进行评估,还可以对同类产品很难触及的虚拟机管理器进行安全评估,使IDC管理维护人员在运行的过程中,对所有系统存在的安全问题了如指掌。
——事中威胁管理与控制。Foundstone发现的各种安全漏洞会直接通报给网络入侵防护系统,NIPS设备会针对IDC当前存在的安全漏洞进行更有效的防护,在内、外双向路径中保证IDC业务不受各种攻击行为的侵扰。即使IDC管理人员未能及时安装系统补丁,仍然不需要担心被黑客利用最新漏洞进行攻击,进一步提高了安全保护等级。IDC对虚拟系统的管理流量一旦对外公开,将面临非常严重的安全问题。利用NIPS的虚拟IPS的特性,在不需要添加其它任何硬件的情况下,系统仍可以实现管理流量的逻辑隔离和防攻击保护,最大限度保证IDC运营系统的安全运营。同时IDC还可以根据虚拟机安全级别的不同,将位于同一物理主机或不同主机的虚拟机间的流量引入虚拟IPS通道中,进行入侵防护的双向过滤,有效阻断和隔离同一物理主机或不同主机的虚拟机之间的可能攻击。这样便显著提高了IDC内部设备和系统间的安全防护程度。
——事后监控与报告。McAfee的NIPS引入了EPO统一管理平台,一个EPO平台就可以完成配置管理、策略下发、事件管理等各种管理工作。IDC的安全管理维护人员完全可以依靠该平台强大的事件管理能力,通过该系统对各种黑客攻击、蠕虫、拒绝服务攻击、木马等事件的自动信息进行收集并自动分配工单进行处理,定期对各种安全威胁进行趋势分析,也可以根据管理需要定制各种安全事件报告。