新危机催生新技术——新形势下IDC网络安全的防护之道

晃晃

1023 主题	3 听众	359 积分

设计实习生

Rank: 2

纳金币: 335582
精华: 0

电梯直达

楼主

发表于 2011-8-11 08:13:56 |只看该作者 |倒序浏览

IDC：Internet Data Center，是伴随着互联网的快速发展的需求而不断成长起来的，可以为ICP、企业，以及各类的网站提供大规模、高质量、安全可靠的专业服务器托管、空间租用、网络带宽批发等服务。伴随着IDC业务的不断发展壮大，IDC逐步发展了许多种类的业务模式，例如主机托管、空间租赁、主机域名、企业邮箱，以及承载Web、游戏和公司应用的业务等。IDC本身的特性决定了其在安全方面的重要性。近几年，IDC高速

发展的同时，IDC中发生的安全事件也越来越多，面临的安全威胁也越来越严峻。如何保证IDC的安全成为了IDC服务提供商关注的焦点。
IDC面临的威胁
IDC中包含着重要的服务器、交换机和路由器设备，其安全的重要性可想而知。而IDC面临的主要威胁是针对网络层和业务层的攻击。据一位不愿透漏姓名的电信IDC维护人员说，针对IDC的主要攻击方式为DDoS，以往是针对网络层多一点，但现在针对应用层的攻击也越来越多。SonicWALL技术经理蔡永生表示：“以往针对IDC的攻击主要集中在网络层，因为IDC的网络层由路由器、交换机等数据通信设备和安全设备组成。网络层在整个IDC中属于IT基础架构，是开展IDC业务运营的基础。”
而绿盟科技行业技术资深顾问万慧星在谈及IDC的安全问题时，将IDC形容为一个“弹药库”，他说：“由于IDC中的高性能服务器、高端网络设备，高带宽连接互联网，使IDC成为了一个威力强大的“弹药库”。这个“弹药库”有可能内部发生爆炸影响IDC的服务质量；也有可能被恶意使用，冲击互联网资源。”
目前，针对网络层的攻击主要涵盖以下几种：
基于网络层的威胁，主要是利用 IP 基础架构弱点的最古老，但仍然是最有效的攻击方法之一——分布式拒绝服务 (DDoS) 攻击。DDoS 攻击通常涉及到强行闯入 Internet 的数百个或者数千台计算机。这种闯入过程既可以手动进行，也可以自动进行。例如，可以使用能够自行传播的或者可以由不知情的客户端下载的蠕虫和其他恶意软件，然后再感染每一台有漏洞的主机。在成功闯入之后，“攻击者”或者代表攻击者的恶意软件就会安装具体的 DDoS 工具或者僵尸 (bot)，从而让攻击者控制所有这些“被窃的”计算机。
万慧星表示：“可用性是IDC客户最为看重的安全特性，而DDoS带来的主要挑战就是影响了可用性，因此对于IDC来说是最为严重的安全威胁。”另外，Radware大中华区资深方案设计总监姚宏洲表示：“除了DoS 淹没威胁之外，网络层威胁还包括传统的基于漏洞的操作系统攻击。每种常见的网络基础架构产品，例如路由器、交换机和防火墙，都有一个已知漏洞列表。如果任何这些漏洞被利用，该产品就会受到影响，从而使整个 IP 基础架构以及业务连续性处于高度危险之中。”
针对业务应用层来说，安全风险主要是针对后台业务运行的主机以及主机上承载的特定应用。其风险的表现行为包括：垃圾邮件、针对Web/DNS/FTP等服务器的应用层攻击、针对服务器本身系统级的入侵行为等。而Radware安全及管理产品副总裁Avi Chesla表示，基于服务器的威胁可以明显划分为两类：TCP/IP 栈弱点利用和应用级攻击。
针对TCP/IP 栈弱点的威胁包括旨在滥用传输层资源的攻击，其方式可能是干扰、拒绝或减少 TCP 连接，这当然会影响到一些应用的处理（HTTP 处理、FTP 文件下载、MAIL 消息等）。很容易通过多种攻击方式耗尽服务器的 TCP 资源，例如 TCP 同步淹没攻击以及 TCP 已建立连接淹没。这种攻击能够降低或者严重损害服务器的运行，因为它会消耗大量的服务器TCP 资源。这种滥用 TCP 资源的攻击并不一定是大规模攻击，因此很难利用大多数安全性解决方案加以检测和阻止。
服务器应用级攻击又可以分为两类：基于漏洞的服务器应用威胁和非基于漏洞的服务器应用威胁。基于漏洞的服务器应用威胁是一种更为传统的攻击，它利用了先前已知的应用软件漏洞，攻击者可以在安全性公司或软件供应商提供攻击特征码保护之前或者提供“修补”新发现的漏洞的软件补丁之前，首先利用该漏洞。已知的以及零分钟服务器应用攻击的典型类型包括：缓冲区溢出漏洞类型、SQL 隐码漏洞、隐匿程序以及蠕虫病毒等。
非基于漏洞的威胁旨在利用服务器应用中的弱点，但这些弱点并不必然是漏洞。一个典型的例子是，把一系列“合法的”事件用于服务器破解，然后扫描应用以寻找存在的漏洞，接着可能就是控制服务器的应用操作。多数复杂的非漏洞应用攻击包括精心选择的若干不断重复的合法的应用请求，它们会滥用服务器的CPU 和内存资源，导致应用处于完全的或部分的拒绝服务状态。
以上主要介绍了针对网络层和应用层的攻击类型，除了这些需要预防的网络攻击之外，IDC安全设计的问题还包括防止非法用户接入公司内部网络，窃取机密信息，以及防范内部员工由于不规则的上网行为而对公司内部信息造成威胁，这就涉及到了身份认证、授权，以及安全审计方面的工作。
反攻击行动
IDC安全的早期发展包括防火墙，其目的是把网络流量仅仅限制为那些用户认为其业务正常运转所必需的部分。但是，恶意的黑客寻找到规避防火墙并攻击网络的方法，导致服务的中断。后来的重要发展是IDS (入侵检测系统)，它是为了就那些以网络中已知漏洞为目标的攻击向网络管理员发出警报。管理上的困难、高成本的维护以及手工干预的需要，都使得 IDS 在很大程度上无法有效地解决这些网络攻击。为了克服这最后的局限，有些 IDS 供应商开始尝试不仅发现网络攻击，而且封锁网络攻击，由此产生了Ips (入侵预防系统) 。
第一代 IPS 设备把已知特征码与外来的网络流量相比较，然后封锁那些认为不受欢迎的流量。但是，网络基础架构中当今及未来的大量威胁在特征上是动态的，无法通过静态的、基于特征码的 IPS 设备来解决。有效的 IPS 系统必须能够实时检测并自动排除各种各样的攻击，而且不能对合法的用户带来负面影响。姚宏洲表示：“由于合法的网络流量模式在不停地变化之中，有效的 IPS 需要能够在没有人工干预的情况下快速适应其环境。”这就要求，IDC的安全防护设备要具有实时性，能够及时的发现新的漏洞，并作出防御行动。
针对这种实时性的攻击防御，目前也有一些解决方案，以Radware为例，其Defense Pro系列产品即是一款实时网络攻击防御设备，该设备采用了多种检测和预防引擎，它的特点在于其基于行为的实时特征码技术，该技术是一种自适应的多维决策引擎，通过部署模糊逻辑技术来实现准确的攻击检测和缓解。它能够实时检测和减缓新出现的网络攻击，例如零分钟攻击、DoS/DDoS 攻击、应用滥用攻击、网络扫描和恶意软件传播。
新一代的IDC防御系统除了实时性的要求之外，还必须能够防御多种威胁方式组合的攻击方式。针对这一问题，蔡永生表示：“目前的安全威胁方式很难说是由一种病毒组成的，一个攻击可能是含有木马、蠕虫以及恶意代码的组合体。”针对这种组合式攻击，UTM是一种解决方案，以SonicWALL为例，其UTM综合网关将防火墙、IPSec VPN、SSL VPN、网关杀毒、IPS、间谍软件扫描等功能都集中到了一起，能够抵御病毒、蠕虫、木马、间谍软件以及新出现的安全威胁方式。
另外，将多种防御措施集合为一个整体也是一种方式，像DefensePro，除了提供DoS保护和IPS功能以外，还能够提供网络行为分析功能，可以根据历史数据分析未来的攻击行为趋势。威胁方式可以被划分为不同的层次，因此，保护战略也必须通过多层次的安全性技术来构建，像DefensePro APSolute解决方案，可提供分层的保护，具体包括以下防护层次：第一层：基于网络的保护，防御 DoS/DDoS 淹没攻击；第二层：基于服务器的保护，防御服务器资源滥用和服务器破解；第三层：基于客户端的保护，检测已经受感染的客户端并防止客户端恶意软件的传播；第四层：基于状态化的特征码的保护，预防已知的攻击漏洞。通过这种层层防护的方案，来达到实时性和针对组合式攻击进行防御的目的。
针对Web应用的安全防护，万慧星表示：“从Web应用的生命周期来看，分为开发阶段、部署阶段、运营阶段等3个部分。在不同阶段可以采用不同的安全防护手段。对于IDC中上线的WEB站点，通常为已经开发完成、正式运行的业务站点，因此IDC提供的防护内容也应该重点关注在运营阶段的安全防护。”在运营阶段，防护的关键是能及时的发现针对WEB应用的攻击行为，并进行有效的阻断，防止对网站的正常运营造成影响。而传统的防护手段难于对WEB应用层的攻击进行检测与防护，因此可以利用Web应用防火墙对进行专项的防护。
除了应对针对网络层和应用层的攻击之外，为了保护IDC中数据的安全，还有一项重要的措施是要进行远程访问控制。蔡文生表示：“随着移动办公的不断普及，处于移动办公状态的员工要访问公司加密的数据，需要有一个安全认证的机制。”以SonicWALL的 Avential SSL VPN为例，通过部署该产品，移动员工只需通过一个标准的Web浏览器就可以登录Web门户，并访问电子邮件、文件、应用以及内部网站。
此外，蔡永生还表示，除了上述的防入侵和远程访问的身份认证之外，数据中心的安全还涉及到了审计的部分。哪个人对数据中心的数据进行了拷贝等都必须有明确的记录。以绿盟科技的安全审计软件为例，其安全审计系统可通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，可以做到对流量、行为和内容的审计。
综上所述，IDC的安全涉及了网络层、应用层、访问控制，以及审计等方面，只有在每一层部署好对应的防护措施，加上不断更新的防御技术，才能够达到IDC安全防护的理想状态。

未来：云+安全服务
IDC未来必定是向云发展，进行资源共享，来达到节约设备的目的。万慧星在谈到这个问题时，表示：“云计算可以利用IDC中大量的计算资源为个人、中小企业用户提供更为丰富的业务应用，同时，在云中引入虚拟化技术，可以有效的降低能耗，促进节能减排。”云会为IDC带来一次变革，这毋庸置疑，但是蔡文生也表示：“云计算带来的安全问题也是阻碍云发展的一个因素。”由于云的安全性问题，很多涉及敏感信息的机构都不会把数据放到一个整合的云平台里面。另外，云计算的发展必然伴随着虚拟化，虚拟化往往是将一个硬件服务器虚拟化为多个服务器，他们之间可以进行直接通信。但若是控制不好，一个系统中毒被控制之后，攻击者可以把此系统当作跳板直接去控制别的系统。蔡文生和姚宏洲在谈及此问题时都表示，部署云计算的IDC需要考虑虚拟服务器之间的隔离问题。要进行虚拟化，就要严格的为客户切割出所需的带宽资源，以及对应的CPU和存储资源，并且做到每个切割的部分之间保持隔离，不会互相影响。
IDC安全另外一个发展方向就是向安全服务方向发展。McAfee资深工程师程智力表示：“对于IDC而言，传统的安全防护解决方案是以IDC自身为主，但是，传统的IDC防护手段属于IDC单向的投入，并不能为IDC业务带来任何的回报。” 现代IDC建设的主要目标在于在能够为用户提供高效、稳定的服务的前提下，如何合理、最大化的利用现有资源形成最大的投资回报。基于这个原则，程智力提到了IDC建设以用户为导向的差异化安全增值服务的理念。该理念的核心是IDC在建设安全防护时，可以把相关的安全防护解决方案作为模块化的服务提供给用户。IDC的用户按照自身安全防护的要求选择对应的安全防护模块，从而形成面相用户的差异化安全防护。在谈及此问题时，姚宏洲也表示，现在国内的安全服务市场还比较薄弱，但这肯定是未来IDC安全的发展方向。
IDC作为互联网发展的路上的一部分，可以说是互联网运行的“枢纽”。同时，随着网络攻击由以往的破坏型向赢利型模式的发展，IDC面临的安全问题将会日益严峻。IDC的安全防护也不像以往那样只是部署防火墙那样简单。要达到IDC安全防护的理想状态，IDC提供商也开始了与专业安全厂商的合作。由于中国拥有广泛的互联网和移动互联网用户，如何利用IDC的计算资源，并且跟随云计算的趋势开启云安全服务，为广大的移动互联网用户提供安全服务，还值得业界深入探讨。
编看编想：在本次采访中，笔者除了了解到了IDC网络安全方面所收到的网络攻击以及一些解决办法，最重要的一个体会就是IDC安全向服务方向的发展。虽然中国的安全服务市场还很薄弱，但这肯定是未来的发展方向。一方面，将安全作为增值服务可以使IDC的用户有自己选择的权利，用户可以根据自己的需要来选择符合自身的安全保护系统；另一方面，通过为用户提供增值的安全防护解决方案，IDC提供商能够获得额外的回报，将安全防护变为能够带来利润的增值服务之一。笔者认为，未来的IDC安全必将向服务的方向发展，这对IDC提供商来说是一个双赢的选择。