思科业务就绪数据中心——数据中心安全解决方案

《思科业务就绪数据中心——数据中心安全解决方案》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

解决方案思科业务就绪数据中心——数据中心安全解决方案保护整合数据中心的集成化、深度防御方式概述整合数据中心资源以实现更高效率的数据中心管理员必须考虑这些改变对安全有何影响。思科系统公司®提供了一种集成化、深度防御数据中心安全策略，使管理员将数据中心划分为安全“分区”，对每个应用执行相应的安全政策，并抑制病毒或蠕虫攻击的潜在影响。此策略利用了业务就绪数据中心架构和思科®网络平台中的集成安全性。挑战对恶意活动来说，数据中心是极具吸引力的目标。未正确保护的数据中心是黑客和蠕虫的攻击对象，会导致大规模、代价昂贵的破坏。不幸的是，在上世纪90年代经济迅猛发展期间快速组建的数据中心，在构建时很少注重安全性，而且因此而引发的许多应用及存储“孤岛”也常成为攻击的漏洞并遭到破坏。互联网蠕虫和病毒繁殖的部分原因就是全球各数据中心的安全技术和过程既不一致，也不充分。为支持保护、优化和发展业务的管理目标，许多IT机构正在整合服务器、存储、网络和应用等数据中心资源。IT和网络管理员必须考虑这些改变对安全状况和应用永续性有何影响。过去，管理员依靠物理应用隔离或外围防御来获得安全性。这对防止资源和应用遭受攻击是远远不够的，因为攻击日趋先进和危险。任何“稍懂程序的人员”都可从一个网站上下载黑客工具，对保护不佳的数据中心造成极大破坏。攻击的进程比以往更快。现在数秒内造成的破坏就比五年前需几天时间造成的破坏还要大。Slammer、Blaster和MyDoom蠕虫只需几分钟就可遍布全球。因此，数据中心需要能提供抵御“零日”攻击的防范措施。来自企业内部的威胁更具破坏性，这是因为黑客可利用对机构的具体了解，有意、无意地造成严重的财务损失。这些黑客可能包括员工、临时工人和顾问。为保护应用，数据中心管理员必须使用现代化技术来限制用户，使之仅能访问他们工作中所需的那些资源。重要的是安全管理员和网络管理员能携手合作，了解数据中心资源的特定安全漏洞和威胁，以便他们可开发一个强大的网络安全架构。安全漏洞和威胁可阻止用户访问关键任务应用，直接干扰应用运行，或破坏保密和重要信息。威胁可包括以下内容：ò通过缓冲溢出、恶意蠕虫、病毒和管理访问违规，对关键任务应用、应用服务器、数据库、数据库服务器和存储资源进行攻击ò因系统误配置、过期或错误的软件导致的安全漏洞，使IT管理员需进行耗时的操作系统和修补程序更新，导致系统停运和工作效率下降ò通过违规访问，攻击网络系统和路由器、交换机和防火墙等设备ò通过分布式拒绝服务(DDoS)和同步溢流攻击，对网络基础设施造成威胁 思科业务就绪数据中心——数据中心安全解决方案思科业务就绪数据中心思科业务就绪数据中心是一种功能一致的网络架构，支持数据中心对整合、业务持续性和安全的快速实施需求，并为采用新兴的、面向服务的技术和应用计算技术，如刀片服务器、虚拟化、Web服务和GRID等奠定了基础。通过此架构，数据中心联网领域的世界领先厂商，思科系统公司，为IT和网络管理员提供了他们为防止或承受数据中心攻击所需的端到端、深度防御的安全策略及解决方案。在智能网络基础之上，思科业务就绪数据中心可防范当前的安全威胁，并为实现自防御网络等高级网络系统提供发展途径。借助这种经过测试和验证的参考架构、成熟的设计最佳实践，以及通用和合作伙伴专用配置模板，思科帮助IT管理员降低了风险和投资，并缩短了部署时间。其灵活性使企业能部署支持其业务目标、并可更高效地实施新服务及应用的，最好的计算、存储和软件技术。通过实施此可调整的数据中心网络架构，IT部门获得了出色定位，可实现保护、优化和发展业务的高级管理目标。它可保护关键应用和保密数据；增强数据中心的运营效率，并迅速创建新的安全应用环境来支持新的业务流程。通过拥有一个高度永续、有效、可调整的数据中心网络，企业可缓解竞争压力、拓展市场范围、加速新服务的面世，为未来的发展而重新分配资源。思科业务就绪数据中心架构由三个级别组成（图1）：ò基本的基础设施包括智能IP网络基础设施、智能存储网络和数据中心互联ò网络系统智能包括安全性、供应优化、可管理性和可用性ò内嵌应用和存储服务包括存储虚拟化、数据复制和分布，以及先进的应用服务图1数据复制和分布内嵌应用和安全：业务就绪数据虚拟化服务存储服务中心架构中不可缺少智能应用服务的部分安全网络系统供应优化智能可管理性可用性基本的智能存储智能IP网络基础设施基础设施网络存储资源计算资源用户深度防御的数据中心安全策略思科数据中心安全策略认为，安全是一个持续过程，应与数据中心的运营相集成、传播至用户群体，并融入机构的文化和处理业务的方式之中。成功的安全策略采用深度防御理念，该理念使用多个层次和补充性功能来解决数据中心中的威胁问题。安全策略都是从一项安全政策开始的，它将业务需求和安全目标协调一致，且定义了如何通过流程和技术实现这些目标。安全政策的组件必须满足数据中心的特定需求及具体应用要求，并对每个应用进行用户组验证和授权许可。有效的安全政策来自于数据中心各方的出色协作，这其中包括数据 思科业务就绪数据中心——数据中心安全解决方案中心的管理团队、执行委员会和机构中的用户组。政策中也确定了能使之实施的安全设计、管理流程和技术。政策不是静止不变的，它应随安全状况的变化而调整和优化。安全状况评估可发现当前环境中的具体安全漏洞和风险，并为它们的防范提出建议。这些建议应采纳到安全政策中，得到一致实施。网络是安全状况评估的一个重要组件，因为它连接着应用和用户。网络应提供稳固的初步防御层，对操作系统和应用级安全构成补充。在数据中心中，网络不仅在外围而且在安全分区中创建了安全环境。将网络划分为虚拟分区，使安全管理员能经济有效地整合资源并控制用户对每个应用的访问。思科业务就绪数据中心将安全直接集成入网络基础设施，实现了最优的端到端安全、性能和可管理性。它采用了CiscoCatalyst®交换和CiscoMDS智能存储网络平台中先进的集成安全功能。CiscoCatalyst6500系列交换机的集成安全软件和服务模块，以带宽密集型数据中心环境所需的较高性能水平，提供了防火墙、入侵检测系统(IDS)、安全套接字层(SSL)和IP安全(IPSec)虚拟专用网(VPN)服务。在存储网络中，CiscoMDS9000系列多层管理器交换机提供了虚拟存储局域网(VSAN)和先进的安全服务。以下各类中的各种辅助安全技术对上述集成安全产品构成了补充：ò威胁防御—监视网络中的不正确行为，如防火墙和入侵检测/防止系统(IDS/IPS)等ò信任和身份管理—根据政策许可或拒绝对于设备和用户的服务，如RADIUS访问控制服务器等ò安全连接—在链路上提供保密性，如带加密的VPN这些解决方案在下面的“思科安全解决方案”部分中具体介绍。解决方案优势思科针对数据中心的安全策略具有以下业务优势：ò深度防御—在多个层次防范已知和未知风险ò安全整合—将整合基础设施划分为安全分区，可抑制攻击的传播并提供强大的访问控制ò防范零日攻击—通过寻找和中止可疑行为而实现ò更高服务完整性—保护和验证服务器和存储设备上的保密数据ò更方便的管理和更低拥有成本—通过自动执行配置和监控的集中管理工具，在数据中心中实现了一致的技术部署，并实施了安全政策ò灵活性—可迅速根据不断变化的威胁而进行调整ò更低投资—凭借整合和更少物理设备上的安全功能虚拟化而实现安全架构出于成本原因，要实施数据中心安全性，需管理人员对安全目标进行优先级划分。通过一个明确定义的安全政策，安全管理员和数据中心及网络管理员可进行合作，为保护整合的数据中心提供安全架构。为使用集成安全服务模块实现最优数据中心设计，思科建议数据中心管理员在访问和核心层间部署一个专用“服务”层，以最为经济有效的高性能方式提供分布式安全服务。 思科业务就绪数据中心——数据中心安全解决方案实施数据中心安全性制订了一个将资产保护与业务目标协调一致的安全政策后，思科建议安全管理员采取以下步骤来保护数据中心：ò定义安全分区并为每个分区设置安全级别—将数据中心划分为逻辑上相互独立的区域，可把攻击的影响限制在最小范围之内。分区可支持单个应用或应用层、服务器组、数据库服务器、Web服务器、电子商务分区和存储资源（图2）。用户的访问可仅限于Web服务器，使应用和数据库层免遭偶发或恶意的损害。应用间的通信可限制在应用集成、数据仓库和Web服务所需的特定流量范围之内。分区能在一个可扩展的整合存储网络上提供对每个应用的存储环境的逻辑划分。为高效地实现这一目的，可集成并虚拟化防火墙，以在应用和服务器环境间提供安全连接（图2）。图2互联网带集成和虚拟化防火墙外围安全性的安全分区可确保整合企业园区互联网服务器群基础设施上的应用受到网络核心保护访问安全性WebWeb安全分区（虚拟LAN和虚拟应用应用SAN）水平和垂直分区间安全集成数据库数据库防火墙及IDSERPHRFinE-MailWebDWSCM带整合基础设施的企业数据中心ò安全状况评估可按主机、操作系统、应用、数据、网络设备和链路的具体类别来确认安全漏洞和风险。此评估为确定每个资产的相应风险、及为保持每个资产的安全级别所需的维护要求提供了重要信息，应采纳入安全政策。ò为关键服务器和主机实施端点保护。此功能可发现正在进行之中的攻击，保护操作系统和应用，当发现攻击时向管理控制台发送报警。思科安全代理即是一款基于行为的端点保护解决方案，可成功地中止Slammer和Blaster蠕虫。ò为关键网段实施网络IDS，分析流量来发现和阻止DDoS和黑客行为等攻击。当发现攻击时，系统会提示管理控制台和/或在网络基础设施中启动自动响应，“规避”或阻止攻击。IDS也可动态地命令防火墙或路由器阻止来自已识别恶意来源的分组，减少对于防范攻击的投入。ò通过防火墙和路由器控制分区间的访问。防火墙提供了外围控制，对进出数据中心的连接进行状态检测，并通过入口和出口过滤阻止对于非公共服务和主机的访问。路由器提供了分区间的第三层划分、VLAN间路由、带宽限速和流量分析。ò通过交换机上的专用VLAN实现攻击抑制。当每个主机或网段有自己的VLAN时，安全管理员可隔离攻击，防止其传播到其他主机；每个VLAN上的主机仅可与缺省网关通信，不可与其 思科业务就绪数据中心——数据中心安全解决方案他主机通信。CiscoCatalyst集成安全特性提供了全面的保护，可防范试图通过误定址机制来访问未授权VLAN的黑客。ò保护存储网络—传统存储环境一直被认为是安全的，因为它们是它们所服务的计算系统的专用扩展。随着专用存储和小型SAN整合为大型SAN，存储管理员不能再通过隔离实现安全了。当存储网络扩展到了数据中心环境之外，还需在城域网和广域网上实现安全性。管理员必须从四个角度考虑SAN安全：−保护SAN免遭外部威胁，如黑客和有恶意企图的人士−保护SAN免遭内部威胁，如未授权员工和已遭破坏的设备−保护SAN免遭授权用户的非故意威胁，如误配置和人工错误−保护每个存储环境并使其与其他存储环境隔离，即使这些存储环境位于同一物理网络上也是如此ò部署信任和身份管理服务，仅允许授权用户和管理员访问数据中心资源。ò使用高效管理和监控工具进行安全组件和CiscoIOS®软件特性的集中政策配置、监控和故障排除。此解决方案应包括事件监控和关联，来过滤发送到管理控制台的报警。与数据中心网络设备的通信在使用带外网络或通过专用管理VLAN进行时最为安全。思科建议用SSL、简单网络管理协议(SNMP)版本3或SSH技术对管理流量加密。思科安全解决方案思科安全解决方案采用集成、系统的方法来实现企业数据中心安全，保护机构的业务流程和资产。思科将其安全产品划分为三个类型：威胁防御、信任和身份管理，以及安全连接。大多数功能可通过CiscoIOS软件、用于CiscoCatalyst6500平台的集成安全服务模块，和CiscoMDS9000系列交换机上的集成安全性实现。以下是部分与保护数据中心最为相关的思科安全产品列表。用于CiscoCatalyst6500平台的安全硬件模块在不影响性能的情况下为网络添加了一些必需的安全服务。先进网络服务的集成与多个独立设施相比，具有多种优势。因为集成到Catalyst机箱之中，节约了机架空间，将所需互联的数目降至最低，简化了部署。模块一般能比其相应的独立设施提供更优的性能和更多的端口，增加了可扩展性。与独立设施不同，集成模块可使用本地CiscoIOS软件和Catalyst智能特性，如VLAN和服务质量(QoS)，可更紧密地集成先进网络服务，实现高效、具出色响应能力的基础设施。威胁防御威胁防御安全解决方案可防范由病毒、蠕虫、DDoS攻击和其他恶意网络流量引起的网络和主机攻击。在数据中心中部署这些解决方案可隔离和阻止入侵者、恶意应用和其他不需要的流量。其中部分产品包括：òCiscoCatalyst6500系列防火墙服务模块(FWSM)—FWSM以CiscoPIX®防火墙技术为基础，以业界领先的防火墙数据传输速率提供了安全性、可靠性和出色性能：5-Gbps吞吐率、100,000条连接/秒、多达100万条同时连接。单一机箱中最多可安装4个FWSM，提供了每机箱高达20Gbps的可扩展性。òCatalyst6500系列入侵检测系统(IDSM-2)服务模块—一款重要的入侵保护解决方案，保护机构免遭代价昂贵、耗费人力的网络违规的影响，这些违规一般由恶意互联网蠕虫、DoS攻击和电子商务应用攻击引起。CiscoIDSM-2与其他集成组件共用，提高了入侵保护的运行效率，从而更好地保护数据中心网络。ò思科安全代理通过基于行为的入侵检测来防止主机遭受系统级攻击，由此来保护端点。信任和身份管理这些解决方案支持授权用户、管理员和应用对网络服务及数据中心资源的访问，例子包括： 思科业务就绪数据中心——数据中心安全解决方案ò内嵌CiscoIOS软件技术—大量特性可实现相应的访问控制和其他安全功能。ò思科安全访问控制服务器(ACS)—实现用户验证、授权和记帐(AAA)服务的集中管理。ACS也是即将推出的网络管理准入控制解决方案的集中管理点。ò思科网络准入控制(NAC)—思科通过NAC大大增强了思科安全代理的零日防病毒和防蠕虫功能。NAC将于2004年中期面世，使企业可发现申请访问数据中心的用户设备的操作系统修补、防病毒和热修复状态。它将不符合安全政策、有潜在安全漏洞的系统转变为限制网络访问或不许可网络访问的环境。企业可拒绝不符合安全策略的端点访问资源、将其隔离、或限制它们对计算资源的访问，或者也可允许对其升级和修补以符合安全政策。安全连接这些解决方案保护数据中心内部和之间的连接，提供基于标准的VPN和加密技术来确保数据完整性。它们适于多个数据中心间的光传输连接或到异地数据存储设施的连接。以下是几个安全产品的例子：òCiscoCatalyst6500SSL服务模块—极大地加速了性能和增强了Web应用的安全性，在保证一致的客户体验的同时提供了全面、安全的内容网络。òCiscoIPSecVPN服务模块—一个用于CiscoCatalyst6500系列交换机的高速模块，将IPSecVPN服务集成入基础设施，满足对数据中心间更高带宽的安全连接的需要。òVSAN—与VLAN类似，VSAN允许存储管理员在一个通用物理基础设施上创建多个逻辑SAN。每个VSAN运行自己的网络服务集，实现虚拟网络矩阵间的绝对分区。这只是CiscoMDS9000系列的安全特性之一。数据中心安全管理安全管理对在造成损害前确定并阻止违规十分重要。当安全违规破坏数据完整性或关闭应用或服务器时，由此带来的用户对于数据中心资源信任的影响和机构损失是无法估量的。因此，安全管理员必须达到易用性、自动化、数据处理以及迅速、正确响应等方面的最高标准。有效配置非常重要，这是因为它引导设备如何发现潜在入侵并对其响应、消除安全漏洞。变更管理应简单易行，为安全管理员提供自动工具，来升级用于监控威胁的设备。监控是安全管理的核心，管理员需能处理安全组件生成的大量数据的工具、确认可疑行为，并主动对威胁作出响应。故障排除是使多个安全级别有效协作的必备特性。CiscoWorks提供了基于职务的安全管理服务，具有工作流自动化和未来服务虚拟化功能，可准确地加速并简化管理活动。CiscoWorks基于标准的API可与第三方管理及计费应用集成。CiscoWorks为数据中心管理员提供了两个强大的安全管理应用：òCiscoWorksVPN/安全管理解决方案(VMS)结合了多种基于Web、用于配置、监控VPN、防火墙以及基于网络和基于主机的IDS并对其排障的工具，保护了机构的效率。CiscoWorksVMS也具备网络设备库存、变更管理和软件分发特性。òCiscoWorks安全信息管理解决方案(SIMS)可收集、分析和关联企业中的安全事件数据，以便安全管理员能在发生可疑事件时发现它们并对其作出响应。在屡获大奖的netForensics3.1软件的基础之上，SIMS提供了多供应商安全环境中的全面事件监控、可发现已知和未知威胁的实时事件关联、用于快速、直观安全监控的先进可视化功能、用来了解企业中任意特定资产的总体易攻击性的集成风险评估，以及对于所有安全运行级别的综合报告。 思科业务就绪数据中心——数据中心安全解决方案ò用于CiscoCatalyst6500系列交换机的CiscoViewDeviceManager驻留在交换机中，管理单一机箱的多个第二层和第三层特性。作为一种基于任务的工具，CiscoViewDeviceManager通过提供基于推荐实践的配置模板，简化了模块上端到端服务的初始设置和部署。安全领域的合作关系面向数据中心的思科网络解决方案构成了一个坚实基础，使企业可将数据中心转变为战略性资产。思科智能网络和存储技术为领先数据中心供应商的解决方案提供了基础。思科也与安全业领先企业合作，平稳、集成化地提供安全数据中心基础设施，以便企业现在可根据自己的独特需求对其定制，并随业务的发展和变化而在未来方便地调整。这些合作关系使数据中心管理员可获得必需的资源，来设计、部署和维护能有效支持其业务目标、灵活、安全的数据中心。思科——值得信赖的数据中心安全领域领先厂商企业数据中心是企业网络的核心，因为它包含用于开展业务的数据、应用和其他资源。保护并确保这些资源的持续可用性对机构的成功至关重要。客户、合作伙伴和内部用户需确信保密信息可靠、专用。保持网络及其所连资源的完整性十分关键。作为网络和安全业的市场领先厂商，思科在思科业务就绪数据中心中提供了企业级的安全解决方案，包括设计指南和最佳实践，如思科SAFE蓝图中所介绍的内容等。思科及其合作伙伴也提供了广泛的安全专业服务，来帮助客户确定安全需求并采取相应措施。思科安全解决方案可有效地保护和优化数据中心，同时为网络可扩展性和出色性能提供支持。凭借其集成化的深度防御安全解决方案，思科可帮助数据中心免遭来自于企业内外、破坏性日益提高且迅速传播的攻击。采用思科技术来帮助您保护对您的业务来说最为珍贵的资产——您的数据中心。更多信息思科数据中心解决方案：http://www.cisco.com/go/datacenter思科数据中心设计指南：http://www.cisco.com/en/US/netsol/ns340/ns394/ns224/ns376/networking_solutions_package.htmlSAFE蓝图：http://www.cisco.com/go/safe安全管理：http://www.cisco.com/en/US/products/sw/cscowork/ps2330/index.html身份和访问控制：http://www.cisco.com/en/US/products/sw/secursw/ps2086/index.html配置和监控：http://www.cisco.com/en/US/products/sw/cscowork/ps2073/index.html针对安全产品和服务供应商的CiscoAVVID(集成化话音、视频和数据架构)合作伙伴计划：http://www.cisco.com/en/US/partners/pr46/pr13/partners_program_solution09186a00800a3370.html高级网络安全服务：http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns267/networking_solutions_package.html 思科系统(中国)网络技术有限公司北京上海广州成都北京市东城区东长安街1号东方广上海市淮海中路222号力宝广州市天河北路233号中信成都市顺城大街308号冠城场东方经贸城东一办公楼19-21层广场32-33层广场43楼广场23层邮政编码：100738邮政编码：200021邮政编码：510620邮政编码：610017电话：(8610)85155000电话：(8621)33104777电话：(8620)85193000电话：(8628)86961000传真：(8610)85181881传真：(8621)53966750传真：(8620)38770077传真：(8628)86528999如需了解思科公司的更多信息，请浏览http://www.cisco.com/cn思科系统（中国）网络技术有限公司版权所有。2005思科系统公司版权所有。该版权和/或其它所有权利均由思科系统公司拥有并保留。Cisco,CiscoIOS,CiscoIOS标识，CiscoSystems,CiscoSystems标识，CiscoSystemsCiscoPress标识等均为思科系统公司或其在美国和其他国家的附属机构的注册商标。这份文档中所提到的所有其它品牌、名称或商标均为其各自所有人的财产。合作伙伴一词的使用并不意味着在思科和任何其他公司之间存在合伙经营的关系。2005年3月翻译