数据中心安全是保护数据中心运营、应用程序和数据免受威胁的物理和数字支持系统和措施。数据中心是使用复杂的网络、计算和存储基础设施提供对关键应用程序和数据的共享访问的设施。存在行业标准来协助数据中心的设计、建设和维护,以确保数据既安全又高度可用。
物理数据中心安全
必须保护数据中心免受对其组件的物理威胁。物理安全控制包括安全位置、建筑物的物理访问控制以及确保数据中心设施安全的监控系统。除了部署在数据中心内的物理安全系统(摄像头、锁等)外,数据中心 IT 基础设施还需要将彻底的零信任分析纳入任何数据中心设计。随着公司将本地 IT 系统迁移到云服务提供商、云数据存储、云基础设施和云应用程序,了解他们制定的安全措施和服务水平协议非常重要。
安全位置
数据中心应位于安全位置,其中包括:
- 不易受洪水、地震或火灾等自然灾害影响的地区。
- 一个不起眼的外立面,没有公司徽标。
- 防止强行进入的物理障碍。
- 有限的切入点。
物理访问控制
数据中心安全物理访问控制的安全最佳实践涉及实施深度防御。这涉及设置多层分隔并要求对每一层进行访问控制。例如,最初的进入可能依赖于生物识别扫描仪,然后是安全人员的登录验证。进入数据中心后,设备将被分成不同的区域,并验证对区域的访问权限。此外,视频监控监控设施的所有保护区。
安全的建筑管理系统
数据中心的每个访问点都需要得到保护。这包括:
- 使用 MFA 保护维护建筑物的远程技术人员的访问权限,仅根据需要授予他们执行工作所需的访问权限,并确保他们的设备在授予访问权限之前是安全的。
- 保护管理建筑物的系统,包括 HVAC、电梯、物联网 (IoT) 设备和类似解决方案。
- 将建筑系统和 Wi-Fi 网络与生产网络分开,以防止横向移动。
- 持续评估网络以添加新的或未知的物联网设备或无线接入点。
数字数据中心安全
除了物理保护外,数据中心还需要专注于数字威胁的安全性。这包括实施数据中心 IT 安全访问控制和选择适合数据中心需求的安全解决方案。
数据中心 IT 安全访问控制
数据中心安全的主要目标是保护服务器。这包括实施以下安全控制:
- 仅根据需要启用服务。
- 允许根据业务需求访问服务。
- 使用最新的安全补丁使系统保持最新状态。
- 使用强密码控制。
- 使用安全协议,例如 SSH 或 HTTPS。
数据中心还应利用防火墙来实现网络级安全,包括:
- 在边界点使用防火墙对南北流量进行宏分段。
- 微分段东/西流量在同一网络中的服务器之间流动。
- 在需要的地方加密传输中的通信。
为确保安全不是瓶颈,数据中心安全解决方案应该:
- 支持 10、25、40、100 Gbps 及更高网络速度的安全性。
- 满足数据中心容量要求。
- 随着网络看到季节性流量突发而扩展,例如电子商务 Web 服务器,例如超大规模安全性。
- 拥有可以在不影响数据中心运营的情况下升级的辅助系统。
为工作使用正确的安全工具
不同的系统需要不同的安全解决方案。例如,以周边为中心的安全解决方案旨在保护客户端,而数据中心安全则保护服务器。企业客户通常可以访问整个 Internet,因此他们需要保护以防止 Web 和电子邮件中的威胁,以及应用程序控制以防止使用有风险的应用程序。以客户为中心的保护包括:
- 反勒索软件
- 反网络钓鱼
- 远程浏览器隔离 (RBI)
- 沙盒
- CDR(内容解除与重建)
- 取证或EDR(端点检测和响应)技术
这些相同的安全措施不适用于由服务器而非用户设备组成的数据中心。数据中心网络需要以下安全功能:
- 入侵防御系统 (IPS): IPS检测并阻止针对易受攻击系统的基于网络的攻击。当系统无法打补丁时,IPS 可以用作虚拟补丁技术来阻止漏洞利用,直到可以应用补丁为止。
- 零信任网络访问 (ZTNA): ZTNA - 也称为软件定义边界 (SDP) - 是一种将任何用户从任何设备连接到任何企业应用程序的安全方式。
- Web 安全: Web 应用程序防火墙 ( WAF ) 及其现代云对应的 Web 应用程序和 API 保护 (WAAP) 部署在网络边缘,并检查进出 Web 应用程序的流量。
实施支持数据中心到云迁移的安全性
公司现在在云基础设施上的支出与在本地数据中心基础设施上的支出大致相同。随着公司将其 IT 资产迁移到云中,保持相同的安全性非常重要。这涉及使用支持虚拟环境和云原生 API 的安全性,并与 VXLAN 和软件定义网络 (SDN) 等网络方面的数据中心进步相集成。