三个必备的数据中心安全实践

　　另一方面，攻击者希望得到这些非常有价值的数据，并努力获取这些数据。同样，内部人员可能会无意或有意滥用或泄露重要的组织信息。在这两种情况下，公司和客户数据都可能被勒索、在暗网上出售或以其他方式被利用。

　　1.特定的环境

　　的规模和种类数据中心环境使问题变得更加复杂。在传统网络中，网络安全主要关注网络的边界，防止入侵者获得立足之地。这种方法仍然适用，尽管分布式工作人员不断增加，增加并经常消除网络边界的重要部分。

　　相比之下，数据中心通常管理更多的流量，虚拟化工作负载在服务器、虚拟机和容器上运行，它们协作完成任务并共享数据。数据中心架构可能简单到只有一个内部设施或雇佣混合云还是多云具有相当灵活边界的架构。

　　鉴于数据中心体系结构及其支持的企业的多样性，没有通用的标准网络安全解决方案。然而，有许多广泛的规则和最佳实践可以指导数据中心安全计划。

　　2.边缘安全性

　　下一代防火墙(NGFWs)通常被实施为数据中心的第一道安全防线，类似于传统网络;但是，根据规模、流量负载和其他因素，可能需要特定的数据中心NGFW。通常，这些解决方案可以提供万亿比特的防火墙吞吐量(与传统NGFWs的千兆比特相反)和数百万个并发用户会话。

　　通常，用于数据中心的NGFWs可以细分为许多虚拟防火墙，这些虚拟防火墙可以在多租户情况下为客户端提供个性化服务。通常，这些虚拟NGFWs由客户端直接控制，允许针对每个客户的需求进行精细的功能定制。

　　冗余和故障转移对于数据中心在发生故障、灾难或其他业务中断事件时提供持续正常运行时间至关重要。在传统网络中，故障转移策略可能是主动/主动或主动/被动的;但是，在数据中心环境中，主动/主动通常更适合在故障切换期间保持运营连续性。

　　在故障转移事件中，除了数据和应用程序之外，还必须维护用户连接，尤其是在冗余数据中心地理位置较远的情况下。有了适当的系统，用户几乎察觉不到故障转移的发生，而不会中断活动连接。

　　但是，总有取舍。购买和安装NGFWs的费用必须根据违规或业务中断可能造成的财务和声誉损失进行评估。此外，NGFW的大部分繁重工作是由安全策略完成的，尽管大多数供应商都提供了配置向导和其他工具，但策略争议可能会出现。例如，支持远程工作人员可能需要手动配置才能访问数据中心服务。

　　3.深入探究:微细分

　　几乎每个现代数据中心都通过虚拟化、容器、多云利用和其他组件来利用云架构。这规定了可扩展性和灵活性但是引入了固有的安全漏洞。例如，一旦攻击者获得了访问权，数据中心的互连工作流程就可以提供一条通往其他服务器、数据、应用程序和其他资源的路径。

　　微分段解决方案使安全团队能够建立离散的数据中心部分，然后实施安全策略来保护它们，直到虚拟机、容器或工作负载级别。可以监控和可视化数据中心元素之间的东西向流量，从而在恶意软件和其他入侵迹象在数据中心广泛传播之前对其进行防护。

　　此外，在多租户环境中，微分段解决方案可以防止未经授权的用户、威胁和攻击在客户端之间进行访问。此外，这些解决方案提供了对数据中心内部流量的全面了解，以及一套标准的保护机制，如IPS、防病毒软件等攻击防御.

　　尽管微分段有许多优点，但它在当前环境中的实现可能极其复杂，并且难以适当部署。正常流量模式可以通过以下方式进行分析机器学习确定允许或拒绝哪些东西向交通流量;然而，错误配置会中断公司运营。与NGFWs类似，必须考虑这种方法的成本和收益。

　　云工作负载保护平台(CWPP)

　　如上一节所述，保护数据中心的关键之一是深入了解云工作负载，并了解资产通常是如何交互的。通过模拟工作负载的典型行为，更容易发现任何可能暗示潜在危险的偏差，然后消除或消除它。

　　这项新兴技术被分析公司Gartner称为云工作负载保护平台(CWPPs ),通常为多云数据中心提供以下基本安全功能:实现监控、可视化和控制的仪表板。基于人工智能或机器学习的正常行为和模式建模，以实现威胁识别。

　　跨多个云的微分段。

　　在评估CWPPs时，考虑到一些解决方案可能只支持一些用例，比如容器和微服务。此外，因为大多数CWPPs是基于代理的，在每个数据中心资产上安装和维护代理的成本会迅速增加，从而减缓部署并影响资产性能。

　　虽然数据中心安全是一项持续的工作，而不是一次性事件，但在数据中心的外围和组件内部实施基本的保护措施至关重要。这样做将为成功保护公司的关键资产建立一个框架，无论这些资产位于何处。

　　图片使用申明：原创文章图片源自‘Canva可画’平台免费版权图片素材；引用文章源自引用平台文章中所使用的原图。