隨著各種業(yè)務(wù)都逐漸搬到了線上進(jìn)行，企業(yè)和機(jī)構(gòu)的日常運(yùn)行越來越依賴于數(shù)據(jù)中心，數(shù)據(jù)中心的優(yōu)劣會直接影響到企業(yè)的日常的運(yùn)營——包括企業(yè)業(yè)務(wù)的安全性能否保障。數(shù)據(jù)中心的安全性和用戶的隱私、線上業(yè)務(wù)的穩(wěn)定性以及企業(yè)的虛擬資產(chǎn)息息相關(guān)。而聯(lián)網(wǎng)設(shè)備和應(yīng)用激進(jìn)，也增加了大量的新的攻擊入口，傳統(tǒng)的安全邊界方法已不足以保護(hù)動態(tài)的應(yīng)用和工作負(fù)載。

作為一家全球領(lǐng)先的網(wǎng)絡(luò)公司，思科針對這個問題提出了他們的解決方案。最近，安全牛了解了思科提出了數(shù)據(jù)中心安全需要三個必備要素：可視、分段以及威脅防御。

[[238169]]

三大要素：可視、分段、威脅防御

在現(xiàn)代的多云環(huán)境下的數(shù)據(jù)中心，需要依靠三大要素構(gòu)建起安全：可視、分段以及威脅防御。

如果企業(yè)、機(jī)構(gòu)無法知道自己環(huán)境里到底有哪些設(shè)備、用戶、網(wǎng)絡(luò)、應(yīng)用、服務(wù)以及進(jìn)程，顯然他們是無法真正做到防御的——因?yàn)樗麄兩踔敛恢雷约涸摫Ｗo(hù)的東西有哪些，在哪里。因此，對于一個數(shù)據(jù)中心而言，可視化是安全的第一要點(diǎn)。企業(yè)需要全數(shù)據(jù)中心的可視化功能來實(shí)時監(jiān)控自己的環(huán)境——知道自己網(wǎng)絡(luò)有哪些設(shè)備、用戶、服務(wù)，知道自己的網(wǎng)絡(luò)里在發(fā)生著哪些行為、事件。因此，通過可視化功能，企業(yè)與機(jī)構(gòu)不僅能知道自己環(huán)境中是否存在異樣的 活動者，更可以通過觀測各個實(shí)體的行為來察覺是否有異樣。

分段則將一個龐大的系統(tǒng)分為一個個小系統(tǒng)。從管理上來看，技術(shù)人員不再需要單獨(dú)處理一個極其復(fù)雜的系統(tǒng)，而是可以將這些系統(tǒng)作為一個個小系統(tǒng)單獨(dú)對待，從而對各個系統(tǒng)有更好的管控。而從安全的角度上來看，分段的最大價值在于縮小了企業(yè)的受攻擊面。通過進(jìn)行分段，管理者可以對東西流量進(jìn)行控制，從而防止攻擊者以及異常數(shù)據(jù)在東西向移動，確保內(nèi)部安全。攻擊者的目標(biāo)往往是數(shù)據(jù)中心中高價值的資產(chǎn)，采取分段后，攻擊者將難以直接接入系統(tǒng)獲取權(quán)限;企業(yè)從而可以避免了大部分的攻擊。其次，在對整個系統(tǒng)進(jìn)行分段后，企業(yè)可以針對業(yè)務(wù)對相關(guān)功能進(jìn)行管理以及特殊配置，滿足各種合規(guī)要求——而不需要對整個系統(tǒng)進(jìn)行改變?nèi)M足合規(guī)需求，從而以更低廉的成本滿足合規(guī)的需求。

無論布置了怎樣完備的安全措施，攻擊始終是無法避免的。而對于企業(yè)和機(jī)構(gòu)來說，當(dāng)攻擊無法避免的時候，就需要快速探知攻擊，從而降低甚至規(guī)避損失。幾乎所有企業(yè)都在處于受到攻擊的狀態(tài)，只是大部分企業(yè)都沒有意識到自己受到了攻擊?，F(xiàn)代數(shù)據(jù)中心面臨著各種挑戰(zhàn)：跨中心跨平臺的工作負(fù)載、工作面隨著移動應(yīng)用的使用而增加、員工的終端被惡意代碼植入成為了攻擊的 發(fā)起點(diǎn)等等。企業(yè)需要從之前的“是否會受到攻擊”以及“如何完全防御攻擊”的思維過渡到“何時會受到攻擊”以及“如何感知甚至預(yù)測攻擊”的思維。因此，企業(yè)需要多層威脅防御方案，對到來的攻擊快速進(jìn)行探知以及響應(yīng)，防止攻擊者竊取數(shù)據(jù)或者中斷業(yè)務(wù)。

新時代的數(shù)據(jù)中心只有滿足了這三大要素，才能真正為自己的用戶提供數(shù)據(jù)中心的安全能力。這三大要素需要達(dá)成的最終目的是通過可視化對數(shù)據(jù)中心進(jìn)行全局的掌控，通過分段縮小自己的受攻擊面，通過威脅防御來阻止攻擊的蔓延。將這三個要素一體化達(dá)成，是思科對數(shù)據(jù)中心安全的核心思想。

六大安全魔法

基于可視、分段和威脅防御的思想，思科有六大解決方案來確保數(shù)據(jù)中心安全。

1. Fire power NGFW

現(xiàn)今大部分的NGFW即使能做到對應(yīng)用端的管控，也還是很少有威脅防御的能力。而即使部分NFGW試圖去增強(qiáng)這部分的能力，他們的策略也僅僅是加上各種非一體化的產(chǎn)品——但是這種方式顯然杯水車薪，因?yàn)樗麄儫o法應(yīng)對更為老道的攻擊者或者更先進(jìn)的惡意軟件，也無法在事中減小感染面、對受攻擊部分進(jìn)行隔離，更不要提快速恢復(fù)。而思科的Firepower NGFW則做到了對防火墻、應(yīng)用管理、威脅防范以及網(wǎng)對端的高級惡意軟件防護(hù)的一體化防御，可以做到接入控制、阻擋攻擊和惡意軟件，并且即使無法成功防御住攻擊，也有一體化工具去追查攻擊情況并且進(jìn)行恢復(fù)，達(dá)成了威脅防御的需求。

2. Stealthwatch

Stealthwatch為企業(yè)提供對流量連續(xù)的實(shí)時監(jiān)控。因此，企業(yè)得以對環(huán)境有一個可視化的掌控，從而能更快地對可疑行為采取行動。Stealthwatch通過創(chuàng)建一個正常網(wǎng)站運(yùn)營的基線，然后使用環(huán)境感知自動探測環(huán)境中的非正常行為。針對常見的惡意軟件、DDoS攻擊，甚至零日攻擊和APT攻擊都能進(jìn)行有效的防御。而另一方面，隨著https的普及越來越廣泛，服務(wù)器接收加密流量、加密文件已經(jīng)逐漸成為常態(tài)，而越來越多的攻擊方式也采取了加密流量的來越過防御機(jī)制。而一旦對加密流量和加密文件進(jìn)行逐一的解密分析，會嚴(yán)重降低數(shù)據(jù)中心的處理能力，使業(yè)務(wù)能力受到影響。然而，Stealthwatch可以在無需解密的情況下利用機(jī)器學(xué)習(xí)，識別惡意的加密流量，準(zhǔn)確率高達(dá)99.9%，確保安全的同時不影響業(yè)務(wù)的運(yùn)行。

3. 面向終端的高級惡意軟件防護(hù)(AMP for Endpoints)

即使在網(wǎng)絡(luò)層面進(jìn)行了大量的保護(hù)，終端防護(hù)依然是安全的最后一道屏障。AMP for Endpoints是一個基于云的終端安全解決方案，在網(wǎng)絡(luò)層的防御被攻破后，提供對終端的防御、檢測以及響應(yīng)能力。AMP for Endpoints對所有到達(dá)服務(wù)器系統(tǒng)的文件進(jìn)行分析，在影響系統(tǒng)前發(fā)現(xiàn)惡意代碼，從而進(jìn)行隔離保護(hù)。

4. 應(yīng)用為中心的基礎(chǔ)設(shè)施(ACI)

盡管在網(wǎng)絡(luò)設(shè)計(jì)和業(yè)務(wù)運(yùn)維上，分段可以幫助企業(yè)帶來更好的安全性，但是最終依然需要一個統(tǒng)一的管控對全局進(jìn)行把握。ACI作為思科SDN的解決方案，ACI將物理層與虛擬層整合成為一個可編程的多層數(shù)據(jù)中心,對整個網(wǎng)絡(luò)環(huán)境的各個分段有著統(tǒng)一部署安全策略的能力。更為重要的是，從安全的角度來看，ACI可以完整查看應(yīng)用的系統(tǒng)架構(gòu)，擁有集中的應(yīng)用級可視性，可以對物理層和虛擬層的實(shí)時應(yīng)用狀況進(jìn)行監(jiān)控，確保隨時能夠發(fā)現(xiàn)異樣情況。

5. Tetration平臺

Tetration平臺則對多云數(shù)據(jù)中心提供全局保護(hù)。Tetration提供四種保護(hù)：基于白名單的零信任機(jī)制、基于行為的服務(wù)器進(jìn)程分析、服務(wù)器端的軟件包漏洞檢測以及主動對威脅進(jìn)行防御——比如將有威脅的部分暫時隔離。Tetration可以在上千個應(yīng)用中統(tǒng)一部署上億條規(guī)則，其本身就被設(shè)計(jì)帶有長期數(shù)據(jù)存留的功能。這項(xiàng)功能對企業(yè)來說可以在事后進(jìn)行事件追查。Tetration agent將被安裝于主機(jī)系統(tǒng)中，對網(wǎng)絡(luò)流量信息進(jìn)行收集并且嚴(yán)格執(zhí)行微分段策略。這些信息也將用于日后的分析，從而可持續(xù)性地應(yīng)對業(yè)務(wù)和進(jìn)程的變化。

6. 全球威脅情報(bào)團(tuán)隊(duì)Talos

思科Talos團(tuán)隊(duì)是業(yè)內(nèi)領(lǐng)先的威脅情報(bào)團(tuán)隊(duì)，他們擁有超過250名資深的研究員。Talos利用大數(shù)據(jù)，每天分析來自全球超過1.5億設(shè)備的威脅情報(bào)，6000億郵件的安全(占全球總郵件的1/3)，150萬獨(dú)立惡意軟件樣本。谷歌每天搜索量大約35億次，但Talos每天收集大約160億網(wǎng)站的請求，是谷歌的4.5倍。另外，Talos每天阻止了200億次威脅和0.8億次惡意DNS查詢，做到了全球范圍內(nèi)威脅和攻擊的分析以及防御。正是這支團(tuán)隊(duì)，讓思科把握全球的攻擊趨勢，幫助思科用戶更好地做到安全的防護(hù)。得益于 Talos 團(tuán)隊(duì)的支持，Stealthwatch、Firepower下一代防火墻以及面向終端的高級惡意軟件保護(hù) (AMP for Endpoints) 可以相互配合，檢測新形式的高級惡意軟件。 思科的集成安全架構(gòu)可以智能地與 Tetration 和 ACI 相互配合，實(shí)現(xiàn)全面的威脅防范，幫助發(fā)現(xiàn)并阻止更多威脅，同時快速遏制并緩解僥幸侵入數(shù)據(jù)中心的威脅。

技術(shù)在不斷升級，數(shù)據(jù)中心的環(huán)境也在不斷發(fā)生變化——而新的環(huán)境也需要新的安全保護(hù)方式。顯然，隨著各種網(wǎng)絡(luò)入口的增多，數(shù)據(jù)中心傳統(tǒng)上對數(shù)據(jù)出入口的監(jiān)管已經(jīng)無法滿足于如今的環(huán)境了。而思科的數(shù)據(jù)中心安全理念則強(qiáng)調(diào)了由內(nèi)而外的安全：數(shù)據(jù)中心需要首先從自身做到可視化才能把握全局，做到分段才能便于不同部分的管理。通過可視化和分段，數(shù)據(jù)中心才能知道自己的網(wǎng)絡(luò)環(huán)境情況，才能清楚到自己會受到怎樣的攻擊以及是否正在或者已經(jīng)遭受攻擊。只有通過對自身的了解，才能更精確地針對性部署防御與響應(yīng)策略，做到最后一步的威脅防御。可視、分段、威脅防御——這三步是值得其他數(shù)據(jù)中心在進(jìn)行安全防護(hù)時進(jìn)行參考與借鑒的。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文