上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
1.3.2 数据中心内部流量管控难度加大
数据中心的建设解决了集中运维、管理的问题,同时节约了资源成本,但数据的集中也增加了数据泄露的风险。通过Cyber Kill Chain(网络杀伤链)模型可以看到,现代化的攻击手段有一个显著特点:一旦数据中心边界的防线被攻破或绕过,攻击者就可以在数据中心内部横向移动,而中心内部基本没有安全控制的手段可以阻止该攻击。这也突出了传统安全的一个主要弱点,即复杂的安全策略、巨大的资金和技术都用于边界防护,而对内部没有进行同样的安全投入。
从目前的网络安全架构来看,为遏制病毒的入侵,多数在边界处部署了防毒墙、防火墙,以及进行内外网隔离。在此过程中,内部的主机设备多通过杀毒软件进行漏洞管理及病毒查杀。而考虑到服务器的稳定运行及性能,数据中心很少会部署杀毒软件,目前最常见的方式是通过划分VLAN的方式将数据中心内部的服务器划分为多个网段,网段之间通过防火墙策略隔离。应用这种安全管理策略,虽然边界关闭了无用端口、过滤了流量,但是内部服务工作负载部署的应用程序或者系统可能会被攻击者利用漏洞来远程植入恶意代码。一旦一个网段中的某台工作负载感染恶意代码,该恶意代码即可在边界内同一网段内部进行传播,如挖矿木马植入后会构建僵尸网络。因此,数据中心内部也需要建立安全防线,以保障工作负载之间的受控访问。