數(shù)據(jù)中心安全包括物理安全和虛擬安全。數(shù)據(jù)中心虛擬安全實(shí)際上是數(shù)據(jù)中心網(wǎng)絡(luò)安全,是指為保持基礎(chǔ)設(shè)施和數(shù)據(jù)的運(yùn)行敏捷性而采取的各種安全預(yù)防措施。數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅越來(lái)越猖獗,企業(yè)需要尋找保護(hù)敏感信息和防止數(shù)據(jù)漏洞的對(duì)策。我們將討論數(shù)據(jù)中心網(wǎng)絡(luò)攻擊和解決方案。
主要的數(shù)據(jù)中心網(wǎng)絡(luò)威脅是什么?
數(shù)據(jù)中心網(wǎng)絡(luò)是存儲(chǔ)組織最有價(jià)值和可見(jiàn)的資產(chǎn),而數(shù)據(jù)中心網(wǎng)絡(luò)、DNS、數(shù)據(jù)庫(kù)和電子郵件服務(wù)器已成為網(wǎng)絡(luò)犯罪分子、黑客活動(dòng)分子和國(guó)家支持的攻擊者的頭號(hào)目標(biāo)。不管攻擊者的目的是什么,也不管他們尋求的是經(jīng)濟(jì)利益、競(jìng)爭(zhēng)情報(bào)還是聲名狼藉,他們都在使用一系列網(wǎng)絡(luò)技術(shù)武器來(lái)攻擊數(shù)據(jù)中心。以下是 5 大數(shù)據(jù)中心網(wǎng)絡(luò)威脅。
DDoS 攻擊
服務(wù)器是旨在破壞和禁用基本互聯(lián)網(wǎng)服務(wù)的 DDoS 攻擊的主要目標(biāo)。服務(wù)可用性對(duì)于積極的客戶體驗(yàn)至關(guān)重要。然而,DDoS 攻擊會(huì)直接威脅可用性,導(dǎo)致業(yè)務(wù)收入、客戶和聲譽(yù)損失。從 2011 年到 2013 年,DDoS 攻擊的平均規(guī)模從 4.7 Gbps 飆升至 10 Gbps。更糟糕的是,在典型的 DDoS 攻擊期間,每秒平均數(shù)據(jù)包數(shù)量也出現(xiàn)了驚人的增長(zhǎng)。這證明 DDoS 攻擊的快速增長(zhǎng)足以使大多數(shù)標(biāo)準(zhǔn)網(wǎng)絡(luò)設(shè)備癱瘓。攻擊者主要可以利用Web、DNS、NTP服務(wù)器來(lái)放大DDoS攻擊的規(guī)模和強(qiáng)度,這就需要企業(yè)時(shí)刻做好網(wǎng)絡(luò)監(jiān)控。
Web 應(yīng)用程序攻擊
Web應(yīng)用程序容易受到SQL注入、跨站腳本、跨站請(qǐng)求偽造等一系列攻擊,攻擊者試圖侵入應(yīng)用程序并竊取數(shù)據(jù)以牟利,導(dǎo)致企業(yè)數(shù)據(jù)漏洞。根據(jù) 2015 年 Trustwave 全球安全報(bào)告,大約 98% 的應(yīng)用程序存在或曾經(jīng)存在漏洞。攻擊者越來(lái)越多地將易受攻擊的 Web 服務(wù)器作為目標(biāo)并安裝惡意代碼以將它們變成 DDoS 攻擊源。企業(yè)需要主動(dòng)防御來(lái)阻止網(wǎng)絡(luò)攻擊和數(shù)據(jù)漏洞的“虛擬修補(bǔ)”。
DNS 攻擊
DNS 基礎(chǔ)設(shè)施也容易受到 DDoS 攻擊或其他威脅。由于兩個(gè)原因,它變成了數(shù)據(jù)中心網(wǎng)絡(luò)攻擊的目標(biāo)。首先,攻擊者可以通過(guò)多種手段使DNS服務(wù)器下線,從而阻止Internet用戶訪問(wèn)Internet。如果攻擊者禁用 ISP 的 DNS 服務(wù)器,他們就可以阻止 ISP 對(duì)用戶和 Internet 服務(wù)所做的一切。其次,攻擊者還可以通過(guò)利用 DNS 服務(wù)器來(lái)放大 DDoS 攻擊。攻擊者偽造其真實(shí)目標(biāo)的 IP 地址,指示 DNS 服務(wù)器遞歸查詢?cè)S多 DNS 服務(wù)器或向受害者發(fā)送大量響應(yīng)。這允許 DNS 服務(wù)器直接控制受害者的 DNS 流量網(wǎng)絡(luò)。即使 DNS 服務(wù)器不是攻擊者的最終目標(biāo),它仍然會(huì)因 DNS 反射攻擊而導(dǎo)致數(shù)據(jù)中心停機(jī)和中斷。
SSL 盲點(diǎn)利用
許多應(yīng)用程序都支持 SSL,然而,令人驚訝的是,SSL 加密也是攻擊者可以用來(lái)進(jìn)行網(wǎng)絡(luò)入侵的一種方式。盡管解密 SSL 流量由防火墻、入侵防御和威脅防御產(chǎn)品等解密,但由于這些產(chǎn)品無(wú)法跟上對(duì) SSL 加密的日益增長(zhǎng)的需求,因此存在一些數(shù)據(jù)漏洞的安全隱患。例如,從 1024 位到 2048 位 SSL 密鑰的轉(zhuǎn)換需要大約 6.3 倍的處理能力來(lái)解密。該案例表明,在SSL證書(shū)密鑰長(zhǎng)度不斷增加的解密需求下,安全應(yīng)用正在逐漸崩潰。因此,攻擊者可以很容易地利用這個(gè)防御盲點(diǎn)進(jìn)行入侵。
認(rèn)證攻擊
應(yīng)用程序通常使用身份驗(yàn)證來(lái)驗(yàn)證用戶,允許應(yīng)用程序所有者限制對(duì)授權(quán)用戶的訪問(wèn)。但為方便起見(jiàn),許多人執(zhí)行單一身份驗(yàn)證。這使得攻擊者很容易利用密碼破解工具進(jìn)行暴力破解。黑客將破解被盜密碼列表,甚至密碼哈希值,并使用它們侵入其他在線帳戶。因此,企業(yè)集中管理身份驗(yàn)證服務(wù)并防止用戶重復(fù)失敗的登錄嘗試。
數(shù)據(jù)中心虛擬安全解決方案
數(shù)據(jù)中心的網(wǎng)絡(luò)安全防御勢(shì)在必行。針對(duì)五大數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅所帶來(lái)的數(shù)據(jù)漏洞和網(wǎng)絡(luò)安全風(fēng)險(xiǎn),這里提出一些防御方案。
- 防止漏洞:部署 IPS 以保護(hù)和修補(bǔ)經(jīng)常易受攻擊的系統(tǒng)和應(yīng)用程序。IPS 還可以檢測(cè)針對(duì) DNS 基礎(chǔ)設(shè)施的攻擊或使用 DNS 逃避安全保護(hù)的嘗試。
- 網(wǎng)絡(luò)分段:有效實(shí)施網(wǎng)絡(luò)分段可以防止橫向移動(dòng)并在零信任安全模型下實(shí)現(xiàn)最小權(quán)限訪問(wèn)。
- 部署應(yīng)用程序和 API 保護(hù):減輕 Web 應(yīng)用程序的 OWASP 十大風(fēng)險(xiǎn)的解決方案是使用 Web 和 API 安全應(yīng)用程序。此外,數(shù)據(jù)中心可以安裝防火墻和入侵檢測(cè)系統(tǒng) (IDS),以幫助企業(yè)在流量到達(dá)內(nèi)部網(wǎng)絡(luò)之前對(duì)其進(jìn)行監(jiān)控和檢查。
- 防御 DDoS:使用本地和云 DDoS 保護(hù)來(lái)減輕 DDoS 威脅。
- 防止憑證盜竊:為用戶部署反釣魚(yú)保護(hù),防止憑證盜竊攻擊。
- 保護(hù)供應(yīng)鏈:使用 AI 和 ML 支持的威脅預(yù)防以及 EDR 和 XDR 技術(shù)檢測(cè)和預(yù)防復(fù)雜的供應(yīng)鏈攻擊。
結(jié)論
網(wǎng)絡(luò)攻擊還對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)安全產(chǎn)生深遠(yuǎn)影響。企業(yè)應(yīng)為數(shù)據(jù)中心準(zhǔn)備防御方案,以確保數(shù)據(jù)安全。上述最佳實(shí)踐還可以幫助企業(yè)獲得有關(guān)其數(shù)據(jù)中心網(wǎng)絡(luò)運(yùn)行情況的相關(guān)信息,從而使 IT 團(tuán)隊(duì)能夠在維護(hù)物理安全性的同時(shí)增強(qiáng)其數(shù)據(jù)中心的虛擬安全性。
網(wǎng)站資訊
解決方案
服務(wù)支持
