三、传统数据中心的信息安全体系架构
传统数据中心所面临的安全威胁主要来自3个方面,一是面向应用层的攻击,二是面向网络层的攻击,三是面向基础设施的攻击(这里的基础设施是指网络、主机等信息系统硬件设施)。因此传统数据中心的信息安全防护体系一般按照“多层防护、分区规划、分层部署”的原则来进行。
(一)多层防护
多层防护大体上分为3层,第一层是高性能硬件防火墙,第二层是具有高性能检测引擎的IDS甚至是IPS,第三层是具有丰富安全功能的路由器和交换机。这种分层方式比较宏观,从更微观的角度来看,根据0SI7层模型,数据中心还建立了从链路层到应用层的非常具体的信息安全防护体系,例如防病毒网关、数据防泄漏等防护手段和防护设备。
(二)分区规划、分层部署
数据中心存在不同价值和易受攻击程度不同的设备,按照这些设备的情况制定不同的安全策略和信任模型,将数据中心划分为不同区域,这就是分区规划。通常,数据中心根据不同的信任级别可以划分为远程接入区、Internet服务器区、局域网外部服务器区、局域网内部服务器区、管理区、核心区等。
传统数据中心的分层架构除了体现在传统的网络3层部署(接入层、汇聚层、核心层)上,还体现在应用系统的设计部署上。多层架构把应用服务器分解成可管理的、安全的层次,这样可以避免将所有功能都驻留在单一服务器时带来的安全隐患,增强了扩展性和高可用性。
(三)安全防护技术
根据传统数据中心的信息安全架构,有多种安全防护技术对其进行支撑。安全防护技术同样分为3个层次。第一层是数据中心网络基础设施防护技术,包括基于VLAN的端口隔离、STPRoot/BPDUGuard、端口安全。第二层是数据中心边界防护技术,包括防火墙的使用和管理等。第三层是数据中心应用安全防护技术,包括病毒防护、数据泄漏防护、数据存储防护等。