数据中心安全是一个层次化的,针对不同的安全问题,不同的层次会也不同的安全策略。
首先数据中心安全是一个层次化的,这是一个传统的数据中心的层次图,先基于这个来说明一下我们在安全方面的考虑。包括互联网接入层、汇聚层、业务接入层和运维管理层。针对不同的安全问题,不同的层次会也不同的安全策略。
对于互联网接入层来说,我们认为主要的威胁是DDoS攻击,DDoS攻击主要的问题是将带宽耗尽。针对这个问题的主要措施也比较成熟的技术,就是流量清洗,会在数据中心出口部署流量清洗。目前我们已经在骨干网的互联出口,还有省网和骨干网的出口部署了流量清洗系统,下一步随着数据中心的建设,在数据中心的出口也布局流量清洗系统。
对于业务接入层的安全,主要是针对主机资源。一方面进行病毒防护,建立集中的病毒库、病毒引擎,周期性的来对主机进行杀毒和清洗;另一方面进行周期的安全评估,根据安全评估的结果,需要不断的更新防护手段。最后对主机本身进行安全加固。
汇聚层方面,一是访问控制,针对可信不可信的访问进行有效的隔离了防护,另一方面对入侵系统进行有效的补充,最后对网络设备,也就是承载层面的设备进行安全加固,包括严格的控制访问权限,包括对网络设备本身的开放服务进行限制。
用户终端管理,包括对终端安全方面的评估,包括根据安全评估结果允许他的接入。另外一方面对用户的行为以及用户的终端进行周期性的审计,根据一个长期的统计分析,需要对用户的使用习惯做一个安全方面的分析,从而高安全防护的能力。
运维管理层的安全,分为两个层面,一个层面是对远程接入的形式的安全防护,另一个层面是针对本地运维人员的安全防护。对于远程接入方式的运维管理方面的防护,方面是通过设置安全控制网关,严格对用户的接入权限、接入能力、接入带宽进行控制;另一方面,对远程的VPN的方式,包括SSLVPN,针对不同的需求有不同的形式。暗物
最后是对应前面引入的新技术,在安全方面的考虑。针对云计算,主要包括虚拟化的安全防护,针对存储的安全防护,还有网络方面的安全防护。针对CDN,主要是保护服务器避免受到DDoS攻击,提高服务器的高可靠性。
在P2P方面,目前安全方面,因为P2P由于节点数量、用户规模比较难以控制,在这方面我们也在逐步的进行探索。主要是要划分可信、不可信节点,对不同的节点加入到P2P的服务域里面进行严格的控制,同时还会对它的行为以及能力进行一些评估。
绿色节能方面,主要是考虑物理方面的安全,包括高可靠的系统,包括一些安全要求。