网络安全 频道

保证安全的非常好的措施

将分支机构的服务器以及存储器集中到总部,这使企业能够更有效地管理重要的商业信息,并保证它们的安全。企业把服务器从分支机构移出,合并IT基础设备,再将它们集中到少数为特定目的建造的数据中心中去。这样企业就能够通过牢固的物理安全设施以及明确的访问手续来保护重要的商业资源。另外,服务器集中化减少了敏感用户授权书的存储量,能够帮助人们确保信息不被未经授权的人访问。

  服务器集中化也促进了企业上下的一致性,推动人们遵守法规政策,这样就减轻了企业被曝光的整体风险。IT人员能够方便,高效地识别违反相关规定的行为,比如Sarbanes-Oxley, Basel II,以及HIPAA这些法规,并且在必要的时候采取恰当的补救措施。

  然而,由于现有广域网技术的局限性,在一个分散的企业中进行服务器集中化会降低应用的性能。于是,WAN加速卡就成了任何集中化项目维持足够性能的必要元件。事实上,最近的调查表明,多达90%的被调查者希望在新的应用加速方案方面投入资金,以便应对将出现的挑战。

  尽管广域网加速是提高应用性能的很好的方法,但是如果使用不当,很多此类方案都会对安全设施产生负面影响。例如,很多方案都是基于所谓“精简数据”的概念的,这意味着他们使用本地硬盘来实时存储信息,然后随时递送复制的本地数据。尽管这种方案极大地提高了性能,但是由于在本地应用时缺乏加密措施,它可能给公司带来更多安全威胁和风险。

  下面是一些基本的,能够确定新加速产品是否足以保护重要商业资源的方法。

  安全防范

  不管它使用了什么技术,当新的设备被装入网络来提高应用性能的时候,应该遵循一些基本的安全原则,以便确保这些工具不会危及数据安全。它们包括:

  本地数据加密:

  无论什么情况下,当企业重要信息被储存到本地硬盘中时——比如在WAN加速装置是使用精简数据技术的情况下——都必须对其进行加密,以防止未经授权的人访问。即使使用了专门的方法存储该信息,并且数据倾向于在有新的存储信息的时候打乱顺序,大的信息还是很有可能被存储在设备中相邻的模块里。这些模块可能包含一些可被访问设备分区的人提取出来敏感信息——比如身份证号码。加密本地存储的数据,就可以规避这个风险。特别地,人们应当在硬盘中加密以防对性能或设备的可测量性造成负面影响。

  WAN中的VPN:

  IPsec通常被用在设备之间以保护在WAN上传输的数据的安全。同样,在硬件中执行加密能够保证安全不是以牺牲性能为代价的。行业非常好的方案推荐人们使用128位的加密方案,比如加密时常用的AES。那些有点陈旧的方法,比如56位DES,很容易就会被破解,这就是为什么像微软这样的行业领头羊已经不采用该技术了。

  人们可以在加速工具之外执行IPsec,但是它必须出现在装置的下游。否则,装置将无法显示通过WAN的通信传输,这将限制装置显著提高性能的能力。

  安全访问:

  企业可以使用TACACS+和/或者RADIUS来阻止未经授权的用户访问网络加速工具。另外,所有管理控制台都可以提供安全接口,包括SNMPv3和HTTP等。用户授权书存储的地方越少越好,最好存到可靠的环境中,比如特别建造的数据中心。

  结论

  随着越来越多的企业采用服务器集中化的方案,人们将引进新的产品来提高网络和应用的性能。通过这些基本的安全防范,企业可以确保提高性能的举措不会危及数据安全。事实上,通过实现关键资源的集中化,企业确实提高了保护企业信息的能力,保证企业最终更好地遵循那些关键调整措施。这些措施对人们做生意的方式的影响越来越大了。

0
相关文章