文 本刊記者 郭嘉凱

在數(shù)據(jù)中心面臨新的威脅和挑戰(zhàn)時(shí)，企業(yè)應(yīng)該如何構(gòu)建自己的數(shù)據(jù)中心安全防護(hù)體系？

在云計(jì)算、大數(shù)據(jù)時(shí)代，數(shù)據(jù)中心的安全防護(hù)會(huì)發(fā)生怎樣的變化？這可能是每個(gè)企業(yè)CIO都關(guān)心的問(wèn)題。

事實(shí)上，隨著科技日新月異的發(fā)展，每分每秒都有大量的數(shù)據(jù)產(chǎn)生。傳統(tǒng)的數(shù)據(jù)中心已經(jīng)不能滿足許多企業(yè)的業(yè)務(wù)需求，而需要轉(zhuǎn)向規(guī)模更大的虛擬乃至云端部署。企業(yè)的數(shù)據(jù)中心作為運(yùn)行企業(yè)關(guān)鍵業(yè)務(wù)、業(yè)務(wù)應(yīng)用的核心計(jì)算平臺(tái)，是企業(yè)IT系統(tǒng)的核心。無(wú)論是物理、虛擬還是云端的數(shù)據(jù)中心，都儲(chǔ)存著企業(yè)最核心的數(shù)據(jù)資產(chǎn)—客戶記錄、機(jī)密的業(yè)務(wù)數(shù)據(jù)、核心業(yè)務(wù)應(yīng)用程序，于是首當(dāng)其沖地成為當(dāng)今網(wǎng)絡(luò)攻擊的主要目標(biāo)。

數(shù)據(jù)中心規(guī)模不斷擴(kuò)大，部署環(huán)境更加復(fù)雜，影響重大的大型數(shù)據(jù)泄露事件也屢見(jiàn)不鮮（據(jù)R BS的報(bào)告，2013年是數(shù)據(jù)泄露歷史性的一年，全球有8億數(shù)據(jù)遭到泄露，其中72%是由日益商業(yè)化、有組織化的黑客攻擊造成的）。但企業(yè)針對(duì)核心數(shù)據(jù)的防護(hù)措施卻遠(yuǎn)沒(méi)有那么與時(shí)俱進(jìn)。事實(shí)上，許多企業(yè)的安全防護(hù)措施仍停留在“上一代”的水平?！笆聦?shí)上全球用戶的安全誤區(qū)是類似的?！盜 m p er va公司相關(guān)負(fù)責(zé)人說(shuō)道。一方面是因?yàn)樵S多企業(yè)的安全防護(hù)措施建于數(shù)年前，當(dāng)時(shí)安全威脅遠(yuǎn)沒(méi)有現(xiàn)在那么復(fù)雜。這些安全措施只是針對(duì)病毒、惡意軟件的防護(hù)，或許加上“下一代防火墻”，但遠(yuǎn)不足以應(yīng)對(duì)當(dāng)今已經(jīng)演變?yōu)獒槍?duì)核心數(shù)據(jù)及w e b應(yīng)用的安全威脅。Gartner發(fā)布的報(bào)告就曾指出，“現(xiàn)代網(wǎng)絡(luò)攻擊的主要目標(biāo)是應(yīng)用和數(shù)據(jù)?，F(xiàn)在針對(duì)身份、終端和網(wǎng)絡(luò)的防護(hù)方案不足以對(duì)當(dāng)今演變中的安全威脅提供防護(hù)?！?/p>

隨著IT需求的演變，當(dāng)企業(yè)開(kāi)始部署web應(yīng)用時(shí)，黑客很快就學(xué)會(huì)規(guī)避傳統(tǒng)的防火墻和IPS，比如通過(guò)編碼和惡意評(píng)論等繞過(guò)技術(shù)規(guī)避IPS特征檢測(cè)。而下一代防火墻作為應(yīng)對(duì)網(wǎng)絡(luò)邊界威脅的產(chǎn)品，并不能有效防護(hù)針對(duì)web應(yīng)用漏洞的攻擊，也無(wú)法偵查針對(duì)cookie、會(huì)話、參數(shù)值篡改的攻擊。

“我們發(fā)現(xiàn)在亞洲特別是中國(guó)，許多企業(yè)還是把安全重心和資源投入在惡意軟件防護(hù)和傳統(tǒng)防火墻上，這跟遺留資產(chǎn)有關(guān)，也跟安全意識(shí)有關(guān)。我們需要持續(xù)地告訴用戶，只有圍繞關(guān)鍵數(shù)據(jù)和we b應(yīng)用建立的安全解決方案，才能最有效地應(yīng)對(duì)現(xiàn)代網(wǎng)絡(luò)攻擊?！?Imperva公司相關(guān)負(fù)責(zé)人預(yù)測(cè)說(shuō)，隨著云計(jì)算部署日趨普遍，未來(lái)將會(huì)有更多云數(shù)據(jù)泄露事件的發(fā)生—比如軟件即服務(wù)（SaaS）和數(shù)據(jù)庫(kù)即服務(wù)（DBaaS）的泄露事件。由于D B a a S使得黑客不需要通過(guò)網(wǎng)絡(luò)就可攻擊企業(yè)的數(shù)據(jù)庫(kù)，利用DB a a S平臺(tái)進(jìn)行攻擊的情況也會(huì)越來(lái)越多。與此同時(shí)，企業(yè)在云端部署面臨了本地應(yīng)用同樣的安全威脅，如SQL注入、APT攻擊、跨站腳本攻擊。

那么，在數(shù)據(jù)中心面臨新的威脅和挑戰(zhàn)時(shí)，企業(yè)又該如何來(lái)構(gòu)建自己的數(shù)據(jù)中心安全防護(hù)體系呢？在Im perva公司的數(shù)據(jù)中心安全專家看來(lái)，建立數(shù)據(jù)中心安全系統(tǒng)，最核心的是調(diào)整企業(yè)安全架構(gòu)，建立以應(yīng)用為中心的敏感數(shù)據(jù)防護(hù)體系。企業(yè)的數(shù)據(jù)中心通常由數(shù)據(jù)庫(kù)、文件服務(wù)器和應(yīng)用組成。如今，網(wǎng)絡(luò)攻擊日益復(fù)雜，攻擊者使用多重策略和工具，其目的是要繞過(guò)傳統(tǒng)的安全防護(hù)體系。在這種環(huán)境下，企業(yè)必須重新評(píng)估并建立一個(gè)擁有專門面向數(shù)據(jù)中心內(nèi)的應(yīng)用及數(shù)據(jù)資產(chǎn)保護(hù)層的安全體系，以實(shí)現(xiàn)對(duì)以應(yīng)用為中心的敏感數(shù)據(jù)保護(hù)?！艾F(xiàn)在越來(lái)越多的企業(yè)已經(jīng)認(rèn)識(shí)到We b應(yīng)用防火墻（W A F）的重要性，W A F已成為保護(hù)企業(yè)應(yīng)用的核心平臺(tái)，不僅可以防御包括We b攻擊、業(yè)務(wù)邏輯攻擊以及線上欺詐在內(nèi)的各種網(wǎng)絡(luò)威脅，更能夠?qū)Ψ烙鶎映霾桓F的新型攻擊和惡意行為進(jìn)行攔截，切實(shí)地對(duì)安全漏洞進(jìn)行修補(bǔ)。”

內(nèi)部威脅同樣是企業(yè)數(shù)據(jù)安全的重大隱患，企業(yè)還要面對(duì)來(lái)自政府部門或行業(yè)協(xié)會(huì)的合規(guī)監(jiān)管。Im perva公司專家建議企業(yè)在部署其數(shù)據(jù)中心安全策略時(shí)，要考慮三個(gè)方面的問(wèn)題：1.提升內(nèi)部數(shù)據(jù)控制，加強(qiáng)對(duì)數(shù)據(jù)訪問(wèn)的可見(jiàn)性管控，增進(jìn)對(duì)數(shù)據(jù)中心訪問(wèn)濫用的檢測(cè)功能；2.確保企業(yè)的安全預(yù)算能切實(shí)滿足數(shù)據(jù)中心的數(shù)據(jù)保護(hù)需求而不是僅在終端及網(wǎng)絡(luò)層面進(jìn)行防護(hù)；3.評(píng)估現(xiàn)有安全解決方案的云端數(shù)據(jù)儲(chǔ)存庫(kù)，對(duì)供應(yīng)商進(jìn)行更為嚴(yán)謹(jǐn)?shù)膶徍恕?/p>