制服丝袜一区二区三区,少妇人妻偷人精品一区二区,97国产精华最好的产品有哪些,日本丰满妇人成熟免费中文字幕,五月天激情婷婷婷久久,亚洲第一无码专区天堂,一边做一边喷17P亚洲乱妇50P,日韩欧美精品一中文字幕,久久久久亚洲AV无码专区桃色,亚洲国产中文在线视频

摘要：數(shù)據(jù)中心安全的原始模型是基于安全威脅是來自外部的假設。故而保護數(shù)據(jù)中心的這些基礎設施的安全架構都主要是專注于在數(shù)據(jù)中心和外部世界之間建立一個網(wǎng)絡外圍邊界。

  數(shù)據(jù)中心安全的原始模型是基于安全威脅是來自外部的假設。故而保護數(shù)據(jù)中心的這些基礎設施的安全架構都主要是專注于在數(shù)據(jù)中心和外部世界之間建立一個網(wǎng)絡外圍邊界。而這一外圍邊界的基礎便是一道防火墻，其將負責檢查所有的南北走向的流量，這些流量主要是在數(shù)據(jù)中心和互聯(lián)網(wǎng)之間傳輸。防火墻負責在這些數(shù)據(jù)流量中尋找違反安全管理策略和所存在的其他可疑活動的跡象。然后，其便采取相應的措施，如阻止流量傳輸、標記額外的附加信息，并通知操作管理員。

　　盡管數(shù)據(jù)中心仍然需要排查南北走向的流量，以及時發(fā)現(xiàn)外部安全威脅，但現(xiàn)在的安全威脅監(jiān)測工作已變得越來越復雜了。例如，客戶端設備對于托管在數(shù)據(jù)中心服務器的數(shù)據(jù)的訪問便構成了相當大的威脅。在過去，客戶端設備都是同質的、集中管理的臺式電腦，均處于一家企業(yè)組織內(nèi)部，并受到企業(yè)安全控制的保護。故而彼時由客戶端設備所造成的惡意軟件和其他漏洞能夠快速被檢測和糾正。

　　但現(xiàn)如今的大多數(shù)企業(yè)環(huán)境早已不再是如此了。企業(yè)用戶所采用的客戶端設備不僅在其操作系統(tǒng)和應用程序方面千差萬別，而且這些設備所存在的安全漏洞、他們使用的安全控制、以及他們連接到企業(yè)IT資源時所處的地理位置也是廣泛變化的。許多客戶端設備是企業(yè)用戶的私人的硬件設備，并經(jīng)常沒有使用任何安全控制。它的這使得現(xiàn)在的企業(yè)IT管理人員們發(fā)現(xiàn)，他們不能再假設從企業(yè)內(nèi)部進行訪問的客戶端設備是絕對處于安全控制之下的了，一旦發(fā)現(xiàn)有用戶使用這些客戶端設備，也將需要迅速實施檢測，并根除相應的安全威脅。在這個新的環(huán)境中，每款客戶端設備都潛在的構成了一個單獨的安全威脅。 數(shù)據(jù)中心安全威脅的另一大變化是在數(shù)據(jù)中心內(nèi)部的服務器之間的相互作用。非故意的安全威脅一直是一個普遍關注的問題。例如，某臺服務器感染了惡意軟件，會通過數(shù)據(jù)的傳輸而感染到數(shù)據(jù)中心內(nèi)部的其他服務器。但是到了今天，故意的安全威脅也可能是一大問題。在一處擁有多家客戶的數(shù)據(jù)中心，如一個公共云環(huán)境，一家客戶可能試圖侵入另一臺服務器，以便竊取專有信息或篡改記錄。

　　在數(shù)據(jù)中心服務器之間傳輸?shù)木W(wǎng)絡流量稱為東西走向的流量。對于此類流量實施監(jiān)控對于查找和阻止安全威脅是至關重要的。許多數(shù)據(jù)中心的東西走向的流量要比南北走向的流量(客戶端到服務器的流量)更多得多。因此，忽略對東西流量實施監(jiān)控或將意味著數(shù)據(jù)中心內(nèi)部虛擬或物理服務器之間所存在的安全攻擊可能不被注意。此外，隨著數(shù)據(jù)中心越來越多的托管高價值的應用程序，以及以前原本存儲在企業(yè)內(nèi)部網(wǎng)絡上更為孤立的敏感數(shù)據(jù)信息，因此使得這類流量更需要受到更好的保護。此外，現(xiàn)代數(shù)據(jù)中心必須為應用程序和數(shù)據(jù)提供日志和審計服務，以支持其操作，例如必須符合安全合規(guī)性計劃或審計要求。

　　數(shù)據(jù)中心運營商們還必須了解來自前幾代先進性網(wǎng)絡安全的威脅。當前網(wǎng)絡安全威脅的典型模式是通過一家企業(yè)組織的服務器緩慢地、隱蔽地走向最終的目標服務器，而避免被檢測到。今天的大多數(shù)網(wǎng)絡安全威脅均尋求訪問和復制敏感的數(shù)據(jù)信息，然后將其轉移到一個外部位置，進而獲取經(jīng)濟利益。

　　網(wǎng)絡攻擊者通常通過獲得一名普通職員的訪問授權憑證來開始其攻擊。而實現(xiàn)這一點的常見方式是用惡意軟件感染客戶端設備以獲取憑證，或者使用網(wǎng)絡釣魚或其他社交工程技術欺騙用戶向攻擊者提供憑證。然后攻擊者可以使用這些憑證來訪問數(shù)據(jù)中心內(nèi)的特定服務器，以及可能支持相同憑證的其他服務器。攻擊者可能需要使用其他安全漏洞以提升其權限，獲得更多用戶帳戶的訪問權或以其他方式繼續(xù)朝向目標服務器進展。一旦攻擊者獲得對目標服務器的訪問，最終將利用漏洞將企業(yè)組織的敏感數(shù)據(jù)傳輸?shù)焦�擊者在�?shù)據(jù)中心外部所選擇的系統(tǒng)。

　　傳統(tǒng)防火墻VS下一代防火墻

　　當評估不同的防火墻產(chǎn)品時，企業(yè)IT領導者應該明白，他們的功能差異很大。第一項區(qū)別是防火墻是否使用傳統(tǒng)的分析機制，專注于標準的端口和協(xié)議;以及其是否提供強大的下一代防火墻的功能。而傳統(tǒng)防火墻和下一代防火墻之間的主要區(qū)別在于：

　　網(wǎng)絡監(jiān)控：傳統(tǒng)的監(jiān)控方法僅監(jiān)控特定的端口，并對每個端口上使用的協(xié)議作出假設。在一款非標準端口上運行的任何服務的網(wǎng)絡流量是可以忽略的;故而攻擊者可以利用這一局限性避免被檢測到。而下一代的監(jiān)控方法不使用關于任何端口上所使用的哪款協(xié)議的這樣的假設，所以他們可以看到并解析流量，而不管其所使用的端口。

　　處理異常協(xié)議：傳統(tǒng)的方法假定所有流量僅使用最常見的應用程序協(xié)議。傳統(tǒng)的防火墻會受到未知協(xié)議的阻礙。在默認情況下，其要么允許流量通過，而不對其進行分析，這是危險的，要么直接阻止流量的傳輸，這又可能中斷授權的操作。下一代的防火墻對應用程序協(xié)議有了更廣泛的理解，允許做出更好，更精確的決策。

　　建立流量管理規(guī)則：對于傳統(tǒng)的防火墻而言，管理防火墻策略以反映現(xiàn)實世界的流量通常更為復雜。一款傳統(tǒng)的防火墻使用基于源地址和目的地的IP地址和端口號，以及協(xié)議類型和其他數(shù)據(jù)包特性的規(guī)則集。更復雜的是，防火墻通常依賴于反病毒服務器，入侵防御服務器和其他技術來作為其能力的補充。使用這些技術可能需要為每種類型的流量添加額外的規(guī)則，并確保所有規(guī)則保持適當?shù)捻樞�。這些規(guī)則集的防火墻策略維護相當耗時且容易出錯，從而導致了操作中斷和創(chuàng)建漏洞，從而可能允許攻擊者通過防火墻而未被檢測到。

　　I有效的數(shù)據(jù)中心防御

　　數(shù)據(jù)中心的安全防御必須得到擴大和加強，以便包括對于其東西走向流量的安全監(jiān)測和分析。實現(xiàn)這一目標的一個早期的方法是將所有東西走向的流量集中到一個防火墻實施檢查，然后才允許這些流量繼續(xù)傳輸?shù)狡湎鄳�的目的地。但這樣的架構是非常低效的，增加了所有網(wǎng)絡通信的開銷。而在今天的云環(huán)境中，這樣的方法也會錯過在一臺單一的物理服務器內(nèi)的虛擬機之間的流量。

　　一處數(shù)據(jù)中心的南北走向的流量最好由一款或多款企業(yè)級的防火墻設備來實施監(jiān)控，但東西走向的流量則最好由安裝在每臺物理服務器上的虛擬防火墻來負責處理。這些防火墻由每臺服務器的虛擬機管理程序來使用，不僅負責監(jiān)控進入和離開服務器的所有網(wǎng)絡流量，還監(jiān)控在服務器的管理程序內(nèi)的虛擬機之間傳遞的所有網(wǎng)絡流量。

　　數(shù)據(jù)中心內(nèi)的防火墻必須具有強大的功能，以便檢查和分析應用程序的流量。這不僅意味著理解經(jīng)常用于應用程序組件之間通信的Web、數(shù)據(jù)庫和其他協(xié)議類別，而且還意味著能夠檢查加密網(wǎng)絡流量的內(nèi)容。保護敏感信息的相同加密技術也隱藏了網(wǎng)絡攻擊。有幾種選項可用于訪問這些加密分組的內(nèi)容，例如傳輸中的非加密流量，或者采用防火墻檢查其內(nèi)容，然后在將流量發(fā)送到其最終目的地之前對流量進行重新加密，由此給予了企業(yè)組織在確定如何確保防火墻審查所有流量內(nèi)容方面的靈活性。

　　另一個重要的考慮因素是通過服務器虛擬化所帶來的數(shù)據(jù)中心云環(huán)境的高度動態(tài)性。在這樣的環(huán)境中，虛擬服務器自動從一臺物理服務器遷移到另一臺物理服務器，并且根據(jù)需要產(chǎn)生虛擬服務器的副本，以處理不斷變化的需求，并補償涉及物理服務器和網(wǎng)絡的操作問題。對于虛擬服務器的保護需要使用可將安全策略與每臺虛擬服務器相關聯(lián)的防火墻技術，并當虛擬服務器在數(shù)據(jù)中心內(nèi)遷移時自動重新定位和啟用該策略。這些防火墻技術還必須具有強大的安全分析功能。但不幸的是，云環(huán)境的許多防火墻是基于傳統(tǒng)的，具有太多缺陷的端口監(jiān)控方法。

　　保護數(shù)據(jù)中心的步驟

　　對于數(shù)據(jù)中心防御措施的改進最好通過分階段的方法來實現(xiàn)。嘗試更換舊式的防火墻設備，并一次性的部署所需的虛擬防火墻，尤其是在沒有嚴格規(guī)劃情況下的轉變可能會導致操作的重大中斷，并帶來安全漏洞，這可能反而喪失了部署防火墻的價值。一個高層次的數(shù)據(jù)中心安全改進方法可以分為四個階段進行：

　　階段1：收集應用程序的信息，包括其組件，每個組件所使用的數(shù)據(jù)的敏感性以及組件之間的所有流量的性質。

　　階段2：確定每款應用程序的安全需求，包括每款應用程序組件和每個流量的安全需求。

　　階段3：確定在哪里部署防火墻以滿足這些需求，然后從部署只有基本安全功能的防火墻，作為一個起點。

　　階段4：隨著時間的推移，按照每款應用程序的組件和數(shù)據(jù)的安全需求啟用額外的其他安全功能，以保護應用程序和他們的數(shù)據(jù)免受先進的高級威脅的攻擊。

　　在這其中，階段3通常是最具挑戰(zhàn)性的，因為IT管理人員在選擇在何處部署防火墻時，需要考慮太多的因素。例如，他們通常將高價值的應用程序和來自其他操作的數(shù)據(jù)實施分段，以便為高價值的數(shù)據(jù)資產(chǎn)提供更強的保護。但是，還有其他太多需要考慮的因素，例如按業(yè)務部門，用戶社區(qū)(客戶與員工)，用戶位置或操作狀態(tài)(如生產(chǎn)、開發(fā)和測試環(huán)境)分割應用程序。

　　在某些情況下，一家企業(yè)組織可能需要使用網(wǎng)絡分割，從而將其附屬子和最近收購的、但還沒有被整合到企業(yè)IT基礎設施的獨立服務器獨立開來。在數(shù)據(jù)中心使用網(wǎng)絡分割的決策，以減少安全威脅風險時，一家企業(yè)組織可能需要考慮幾個潛在的相互矛盾的因素。

來源：機房360

石家莊服務器托管  石家莊服務器租用  石家莊機柜租用  石家莊機房