数据中心安全防护亟待突破现状

用户访问数据中心，以及数据中心直接的访问流量都会导致南北向流量继续增长，导致大型数据中心出口带宽流量会由目前的超过200Gbps，到2015年将接近1Tbps的水平。数据中心中的应用类型变得越来越多样化。
    随着互联网及其相关应用产业的发展，内容更丰富、服务更深层的网络服务提供商横空出世。数据中心作为一个重要的网络服务平台，它通过与骨干网高速连接，借助丰富的网络资源向网站企业和传统企业提供大规模、高质量、安全可靠的专业化服务器托管等业务。
    互联网应用日益深化，数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型。受其影响，基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素，一些未实施正确安全策略的数据中心，黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害，而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备，但对于日趋成熟和危险的各类攻击手段，这些传统的防御措施仍然显得力不从心。
   高性能和虚拟化仍然是根本要求
    虽然针对数据中心的安全服务遍及各大行业，甚至很多细分行业领域，但是对于数据中心的安全建设要求还是存在一定共性的。Fortinet中国区首席技术顾问谭杰认为，高性能和虚拟化是当前数据中心安全防护解决方案的两大基础共性。谭杰进一步解释道，数据中心，尤其是云计算数据中心的海量业务，对安全系统的吞吐量、延迟和会话能力都提出了极高的要求。关键点在于，数据中心中多租户模式而导致的业务种类繁多的特点，很难事前对大小数据包的比例进行规划和设计，因此非常需要安全设备的性能对大小包不敏感，即小包（如64字节）性能与大包相同。另外，云计算数据中心的虚拟化场景需要安全解决方案的良好配合。例如：为每个租户分配不同的虚拟安全设备及管理账号，让其自行管理，这就要求安全设备的虚拟化是完整的（包括接口、路由、策略、管理员等各种对象）。另外不同租户的业务不同，对安全保护的要求也各不相同。例如Web服务商需要IPS，邮件服务商需要反垃圾邮件，这就要求安全设备的所有功能都能在虚拟化之后正常工作。
    对于上述观点，华为安全产品线营销工程师刘东徽也认为，数据中心防火墙的性能要基于“真实流量”来看，而不是简单的在某一种特定类型数据流量环境下的性能。目前数据中心的流量主要集中于东西向（数据中心内数据交换），而南北向（数据中心出口）流量较少。但是由于连接请求的基数很大，因此对于防护设备的性能和并发连接数的支持都要求相当高。我们正处于一个大数据的时代，80%-90%的数据都是近两年产生的，而到2015年，全球的IP流量将会翻四倍，在线人数也将冲击30亿人大关。华为安全产品线营销工程师石金利补充道，虚拟化的产生，使得服务器、存储、带宽等数据中心资源的利用率大幅提升，而产生的影响就是可同时访问资源的用户数量极大地膨胀，由此导致了数据中心防护设备对于并发数量的支持要求更高。另外，当数据中心的一台服务器宕机之后，防火墙要能够将安全策略动态迁移到冗余的服务器上，实现自动策略部署。因此，数据中心防护设备必须要做到高性能、高可靠性、灵活部署和可扩展。
    谭杰对于高性能的需求方面也持认同态度。他表示，当前的云数据中心对安全产品的性能要求达到了前所未有的高度，吞吐量动辄高达百G以上，延迟、小包吞吐率 （包转发率）、会话能力要求也极高。另一方面，机房空间、能耗等也是制约数据中心发展的重要因素。因此节能、环保、绿色也是数据中心安全建设的一大要求。
   完全虚拟化还是部分虚拟化？
    目前，业界对于云数据中心内部的虚拟化提出了完全虚拟化（即在虚拟化服务器上的一个虚拟机）和部分虚拟化（即一台防火墙虚拟多台防火墙）两种方式来解决云数据中心虚拟机内部流量和虚拟机之间流量的安全检查问题。
    谭杰指出，在云计算时代，虚拟化的确成了防火墙（包括下一代防火墙、UTM等多功能网关）的必备功能。安全部署必须无缝贴合云计算虚拟化的结构。完全独立的虚拟化，全功能虚拟化。这两点看似既简单又理所应当，但实际实现还是有较高技术难度的，需要云计算数据中心的注意。
    华为的两位工程师向记者表示，华为在这两个方向的虚拟防火墙解决方案上都在努力。同时他们也表示，纯虚拟化的防火墙在开启安全检查的时候会极大地消耗服务器的性能，也会带来更高的管理和维护成本。其实，不论是厂商还是用户都在寻找一个关于服务器上纯虚拟化防火墙和出口防火墙部署的平衡点。
    Hillstone首席顾问陈怀临也向记者表示，目前的安全解决方案在东西向流量上趋于要求低延迟和高吞吐。而防火墙一般只用于检测南北向的流量。尤其是目前Hadoop以及存储技术的发展，大量的数据在多个数据中心之间快速地流通。因此，对于快速转发提出了很高的要求，也导致了对于东西向的流量不采用防火墙的现象。而根源是目前没有合适的产品满足这种高性能需求。他还举了一个例子，从数据中心的收敛比来看，如果一个云数据中心做五万个虚拟机的安全检查需要200G的吞吐，而目前并没有性价比更好的防火墙。另外虚拟机之间的安全检查与以往并无区别，只是虚拟机的增加会对安全检查提出更高的要求。
    然而，陈怀临对于纯虚拟化的防火墙并不认同。“受限于服务器负载，高端的安全检查并不能在服务器内部做，还是要将流量牵引出来。”陈怀临如是说。因此，虚拟化的产生对于真正高端的防火墙有很大的需求，前提是价格可以接受。他强调，基于网络的安全一定是流量牵引出来检查的方式，纯虚拟化的防火墙是个伪命题。因此，流量只在虚拟机内部做安全检查，对于大规模的数据中心很难做，并不只是服务器本身负载的问题，IT运维一致化也是重点，而现在的数据中心恰恰很难做到运维一致化。因此，从最佳实践的角度来讲，纯虚拟化防火墙并不适合，流量牵引出来才是王道。
   零日攻击防范新招数
    针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。而漏洞发现到攻击的时间跨度越来越短，甚至来不及打补丁。数据中心应如何应对由应用漏洞产生的安全威胁呢？谭杰认为，零日攻击的泛滥使得数据中心不能依赖单一功能的安全设备，尤其是仅仅基于特征防御的安全产品。例如WAF（Web应用防火墙）同时通过特征和行为对攻击进行防御，对Web服务的保护效果就好于IPS。用户需要的安全解决方案要集多种安全特性（防火墙、IPS、病毒防御、DLP、内容过滤等）于一身，并结合应用层防御技术（如Web应用防护、数据库安全等），各项安全技术有机结合，互相保护，时刻监控并防御APT攻击的各种入侵手段，打造一个全方位立体安全体系。
    陈怀临也提出了自己的看法。他认为，传统基于签名的检测方法对于零日攻击的防护并没有起到很好的效果。现在大家普遍使用Sandbox（沙盒）来进行模拟，通过虚拟现实的环境来检查未知恶意软件，对于未知威胁或者零日攻击的防护，借用大数据分析的方式，对行为进行主动识别，将是下一个发展方向。大数据与网络安全的结合也将是网络安全的下一个春天。当然，如果要将全部的判断都基于行为是否异常来进行，在建模和大数据的分析上都是难点。另外，由于防火墙必须是在主干路上的，因此对于性能和稳定性的要求都很高。虽然对于硬件平台也提出了新的挑战，但却是一个可行的方向，而Hillstone希望引领这个潮流。 事实上，一些安全软件厂商已经将基于行为的分析用作对于未知恶意软件的安全检查之中，并且效果很好。然而，由于大数据也只是新兴概念，基于大数据的行为分析究竟价值几何，还需要时间的验证。
  本地防御和云清洗搭建DDoS防御网
    目前市场上很多厂商的防火墙中都含有Anti-DDoS功能，然而，防火墙和IPS是否可以有效保护网络设施免受DDoS侵害呢？石金利认为，如果防火墙中的Anti-DDoS功能不是单独的板卡，是不能防御DDoS攻击的。对于DDoS的防护，必须要使用专用的Anti-DDoS设备。作为电信运营商流量清洗业务的合作伙伴，合泰云天创始人郭庆表示，防火墙与入侵检测IPS通常串行部署在网络下游的网关位置，是基于状态检测的访问控制系统，本身就是 DDoS的一个攻击目标，在设备新建连接与状态连接耗尽时成为网络瓶颈。DDoS防护的最佳实践应该是：流量清洗中心与运营商BGP路由调度控制。
    石金利认为，如果防火墙中的Anti-DDoS功能不是单独的板卡，一旦开启DDoS防护功能，可能会对防火墙的基本转发，甚至会话表等资源造成巨大的消耗，造成性能极大下降。对于DDoS的防护，必须要使用专用的Anti-DDoS设备或者专门的板卡。对于满带宽的DDoS攻击，在链路上游对于流量的清洗是DDoS防御最为有效的方式。然而，从统计数据来看，数据中心发生的攻击90%以上不足以造成数据中心出口带宽拥塞，基本是以业务瘫痪型攻击为主，只有10%不到的攻击是将数据中心的链路完全拥塞的。
    因此，如果是应用型的DDoS攻击，由于流量在本地带宽控制以内，所以本地清洗即可，一旦遇到针对基础设施的大流量拥塞型泛洪攻击，在链路上游的清洗还是必要手段。最完美的方式是将数据中心侧和运营商侧进行联动，实现分层防御。即运营商侧管道拥塞型攻击，数据中心侧防范业务瘫痪型DDoS攻击。华为的 Anti-DDoS解决方案目前在运营商侧有广泛应用，结合数据中心侧的Anti-DDoS可以实现全网联动的“云清洗”战略。
    随着黑客技术发展、网络带宽的普遍增加、僵尸主机数量的不断扩大，现在的业务瘫痪型攻击也不再是以前的百兆级别的了。在2012年，发现数起千兆级别的 CC攻击，因此高性能是数据中心DDoS防护方案的重点。同时，对于攻击防护的设备精准度也必不可少。一方面，能够精准识别每一次攻击；另一方面，误判更是客户不能容忍的。现在，智能终端的普遍应用会给传统的防护设备带来更多的挑战，如何保证智能终端访问不受影响成为新的课题。
    郭庆认为，虽然造成链路瘫痪的攻击数量上少于出口带宽，但正是这种DDoS攻击对数据中心系统，甚至整个数据中心造成致命伤害。这时，数据中心需要考虑投入产出比，虽然不能一味地增加对于DDoS防护的投入。当问及数据中心在DDoS防护上的投入应该如何做预算时，郭庆说道：“数据中心一年受到DDoS大面积影响的总小时数期间损失利润的20%-30%作为流量清洗投资的预算较为合适。”
    他谈到在大规模DDoS攻击发生时，整个网络的上下游均出现故障，实现最佳的防御效果需要三个条件：1. 有经验和技能的清洗专家； 2. 与上游运营商的热线机制； 3. 快速检测攻击变化与应急灾备能力。云清洗是DDoS防护的大趋势，厉害的DDoS攻击者手法多，变化快，时常需要定制正则语法来清洗，大规模攻击的清洗位置越靠近上游越好。云清洗服务商需要具备自治域AS号进行BGP路由调度控制与DNS全网策略控制能力，才能带给客户良好的网络服务品质。
    他进一步阐述道：页面被篡改，数据泄露这种事情客户是不会找运营商的，一般是自己关起门来商量对策。所以运营商在上游只需清洗大流量攻击，清洗开通后的关键是防止误杀正常业务，这方面运营商需要专业的清洗技术服务。不过最近一些新型的攻击导致客户系统提供不了服务，如访问出错、页面访问缓慢，客户也会找到运营商一起判断处理。这些新型的攻击很多时候对性能有较大影响，严重的时候引起系统会宕机，有时很难快速分清现象根源，这也是需要专业清洗技术服务的原因。