三大要素+六个魔法 = 数据中心安全

随着各种业务都逐渐搬到了线上进行，企业和机构的日常运行越来越依赖于数据中心，数据中心的优劣会直接影响到企业的日常的运营——包括企业业务的安全性能否保障。数据中心的安全性和用户的隐私、线上业务的稳定性以及企业的虚拟资产息息相关。而联网设备和应用激进，也增加了大量的新的攻击入口，传统的安全边界方法已不足以保护动态的应用和工作负载。

作为一家全球领先的网络公司，思科针对这个问题提出了他们的解决方案。最近，安全牛了解了思科提出了数据中心安全需要三个必备要素：可视、分段以及威胁防御。

[[238169]]

三大要素：可视、分段、威胁防御

在现代的多云环境下的数据中心，需要依靠三大要素构建起安全：可视、分段以及威胁防御。

如果企业、机构无法知道自己环境里到底有哪些设备、用户、网络、应用、服务以及进程，显然他们是无法真正做到防御的——因为他们甚至不知道自己该保护的东西有哪些，在哪里。因此，对于一个数据中心而言，可视化是安全的第一要点。企业需要全数据中心的可视化功能来实时监控自己的环境——知道自己网络有哪些设备、用户、服务，知道自己的网络里在发生着哪些行为、事件。因此，通过可视化功能，企业与机构不仅能知道自己环境中是否存在异样的 活动者，更可以通过观测各个实体的行为来察觉是否有异样。

分段则将一个庞大的系统分为一个个小系统。从管理上来看，技术人员不再需要单独处理一个极其复杂的系统，而是可以将这些系统作为一个个小系统单独对待，从而对各个系统有更好的管控。而从安全的角度上来看，分段的最大价值在于缩小了企业的受攻击面。通过进行分段，管理者可以对东西流量进行控制，从而防止攻击者以及异常数据在东西向移动，确保内部安全。攻击者的目标往往是数据中心中高价值的资产，采取分段后，攻击者将难以直接接入系统获取权限;企业从而可以避免了大部分的攻击。其次，在对整个系统进行分段后，企业可以针对业务对相关功能进行管理以及特殊配置，满足各种合规要求——而不需要对整个系统进行改变去满足合规需求，从而以更低廉的成本满足合规的需求。

无论布置了怎样完备的安全措施，攻击始终是无法避免的。而对于企业和机构来说，当攻击无法避免的时候，就需要快速探知攻击，从而降低甚至规避损失。几乎所有企业都在处于受到攻击的状态，只是大部分企业都没有意识到自己受到了攻击。现代数据中心面临着各种挑战：跨中心跨平台的工作负载、工作面随着移动应用的使用而增加、员工的终端被恶意代码植入成为了攻击的 发起点等等。企业需要从之前的“是否会受到攻击”以及“如何完全防御攻击”的思维过渡到“何时会受到攻击”以及“如何感知甚至预测攻击”的思维。因此，企业需要多层威胁防御方案，对到来的攻击快速进行探知以及响应，防止攻击者窃取数据或者中断业务。

新时代的数据中心只有满足了这三大要素，才能真正为自己的用户提供数据中心的安全能力。这三大要素需要达成的最终目的是通过可视化对数据中心进行全局的掌控，通过分段缩小自己的受攻击面，通过威胁防御来阻止攻击的蔓延。将这三个要素一体化达成，是思科对数据中心安全的核心思想。

六大安全魔法

基于可视、分段和威胁防御的思想，思科有六大解决方案来确保数据中心安全。

1. Fire power NGFW

现今大部分的NGFW即使能做到对应用端的管控，也还是很少有威胁防御的能力。而即使部分NFGW试图去增强这部分的能力，他们的策略也仅仅是加上各种非一体化的产品——但是这种方式显然杯水车薪，因为他们无法应对更为老道的攻击者或者更先进的恶意软件，也无法在事中减小感染面、对受攻击部分进行隔离，更不要提快速恢复。而思科的Firepower NGFW则做到了对防火墙、应用管理、威胁防范以及网对端的高级恶意软件防护的一体化防御，可以做到接入控制、阻挡攻击和恶意软件，并且即使无法成功防御住攻击，也有一体化工具去追查攻击情况并且进行恢复，达成了威胁防御的需求。

2. Stealthwatch

Stealthwatch为企业提供对流量连续的实时监控。因此，企业得以对环境有一个可视化的掌控，从而能更快地对可疑行为采取行动。Stealthwatch通过创建一个正常网站运营的基线，然后使用环境感知自动探测环境中的非正常行为。针对常见的恶意软件、DDoS攻击，甚至零日攻击和APT攻击都能进行有效的防御。而另一方面，随着https的普及越来越广泛，服务器接收加密流量、加密文件已经逐渐成为常态，而越来越多的攻击方式也采取了加密流量的来越过防御机制。而一旦对加密流量和加密文件进行逐一的解密分析，会严重降低数据中心的处理能力，使业务能力受到影响。然而，Stealthwatch可以在无需解密的情况下利用机器学习，识别恶意的加密流量，准确率高达99.9%，确保安全的同时不影响业务的运行。

3. 面向终端的高级恶意软件防护(AMP for Endpoints)

即使在网络层面进行了大量的保护，终端防护依然是安全的最后一道屏障。AMP for Endpoints是一个基于云的终端安全解决方案，在网络层的防御被攻破后，提供对终端的防御、检测以及响应能力。AMP for Endpoints对所有到达服务器系统的文件进行分析，在影响系统前发现恶意代码，从而进行隔离保护。

4. 应用为中心的基础设施(ACI)

尽管在网络设计和业务运维上，分段可以帮助企业带来更好的安全性，但是最终依然需要一个统一的管控对全局进行把握。ACI作为思科SDN的解决方案，ACI将物理层与虚拟层整合成为一个可编程的多层数据中心,对整个网络环境的各个分段有着统一部署安全策略的能力。更为重要的是，从安全的角度来看，ACI可以完整查看应用的系统架构，拥有集中的应用级可视性，可以对物理层和虚拟层的实时应用状况进行监控，确保随时能够发现异样情况。

5. Tetration平台

Tetration平台则对多云数据中心提供全局保护。Tetration提供四种保护：基于白名单的零信任机制、基于行为的服务器进程分析、服务器端的软件包漏洞检测以及主动对威胁进行防御——比如将有威胁的部分暂时隔离。Tetration可以在上千个应用中统一部署上亿条规则，其本身就被设计带有长期数据存留的功能。这项功能对企业来说可以在事后进行事件追查。Tetration agent将被安装于主机系统中，对网络流量信息进行收集并且严格执行微分段策略。这些信息也将用于日后的分析，从而可持续性地应对业务和进程的变化。

6. 全球威胁情报团队Talos

思科Talos团队是业内领先的威胁情报团队，他们拥有超过250名资深的研究员。Talos利用大数据，每天分析来自全球超过1.5亿设备的威胁情报，6000亿邮件的安全(占全球总邮件的1/3)，150万独立恶意软件样本。谷歌每天搜索量大约35亿次，但Talos每天收集大约160亿网站的请求，是谷歌的4.5倍。另外，Talos每天阻止了200亿次威胁和0.8亿次恶意DNS查询，做到了全球范围内威胁和攻击的分析以及防御。正是这支团队，让思科把握全球的攻击趋势，帮助思科用户更好地做到安全的防护。得益于 Talos 团队的支持，Stealthwatch、Firepower下一代防火墙以及面向终端的高级恶意软件保护 (AMP for Endpoints) 可以相互配合，检测新形式的高级恶意软件。 思科的集成安全架构可以智能地与 Tetration 和 ACI 相互配合，实现全面的威胁防范，帮助发现并阻止更多威胁，同时快速遏制并缓解侥幸侵入数据中心的威胁。

技术在不断升级，数据中心的环境也在不断发生变化——而新的环境也需要新的安全保护方式。显然，随着各种网络入口的增多，数据中心传统上对数据出入口的监管已经无法满足于如今的环境了。而思科的数据中心安全理念则强调了由内而外的安全：数据中心需要首先从自身做到可视化才能把握全局，做到分段才能便于不同部分的管理。通过可视化和分段，数据中心才能知道自己的网络环境情况，才能清楚到自己会受到怎样的攻击以及是否正在或者已经遭受攻击。只有通过对自身的了解，才能更精确地针对性部署防御与响应策略，做到最后一步的威胁防御。可视、分段、威胁防御——这三步是值得其他数据中心在进行安全防护时进行参考与借鉴的。

【本文是专栏作者“”李少鹏“”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文