数据中心解决方案安全技术白皮书
- 格式:pptx
- 大小:1.63 MB
- 文档页数:29


数据中心安全管理解决方案
1.1 建设思路
数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。
整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统的人员进行有效的认证、授权、审计,让敏感操作变得更加透明,有效防止安全事件的发生。
在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施,对所有外界向核心区域主机发起的访问进行控制、授权、审计,对流出核心区域的批量敏感数据进行加密处理,所有加密的数据将被有效的包围在安全域之内,并跟踪数据产生、扭转、销毁的整个生命周期,杜绝敏感数据外泄及滥用行为。
为了保证XXX用户的业务连续性,各安全子系统都采用旁路的方式部署到网络当中,其中账号生命周期管理系统、审计系统、数据库都采用双机的模式,以提供自身的高可靠性;加密系统、特权账号生命周期管理系统、令牌认证系统都建议部署在VMware云计算平台上,利用VMware强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保证。 1.2 建设需求
XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。
在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。
数据中心集成安全解决方案
1. 系统功能简介
数据中心负责存储、计算和转发企业最重要的数据信息,这些信息的安全可靠成为了企业发展和生存的前提条件。思科数据中心安全保护套件提供数据中心信息的安全防护。
考虑到Cisco Catalyst 6500系列交换机已经广泛部署在企业数据中心,安全套件主要由内嵌防火墙模块(FWSM)和内嵌入侵检测系统模块(IDSM)两个组件构成。
FWSM使用一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。IDSM对进入网络的流量进行旁路的深层数据包检测,判断和分析数据包是否能够安全的在数据中心进行发送、接收,防止业务资产受到威胁,提高入侵防范的效率。
思科数据中心安全保护套件示意图如下:
2. 系统先进特性
灵活的扩展性:集成模块 FWSM安装在Cisco Catalyst 6500系列交换机的内部,让交换机的任何物理端口都可以成为防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。系统可以通过虚拟防火墙功能将一台物理的防火墙模块划分为最多250台虚拟的防火墙系统,以满足用户业务的不断扩展。IDSM可以通过VLAN访问控制列表(VACL)获取功能来提供对数据流的访问权限,并根据自己的需要,同时安装多个模块,为更多的VLAN和流量提供保护。当设备需要维护时,热插拔模块也不会导致网络性能降低或者系统中断。
强大的安全防护功能:该系统不仅可以保护企业网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。强大的入侵检测能力还可以提供高速的分组检查功能,让用户可以为各种类型的网络和流量提供更多的保护 。多种用于获取和响应的技术,包括SPAN/RSPAN和VACL获取功能,以及屏蔽和TCP重置功能,从而让用户可以监控不同的网段和流量,同时让产品可以采取及时的措施,以消除威胁。
数据中心解决方案技术白皮书
Huawei-3Com Technologies Co., Ltd.
华为3Com技术有限公司
All rights reserved
版权所有 侵权必究
Catalog 目 录
1 技术应用背景.........................................................................................................................2
2 技术特色................................................................................................................................3
3 技术实现方案.........................................................................................................................5
3.1 高性能..............................................................................................................................5
3.2 高可靠..............................................................................................................................5
3.2.1 设备的可靠.................................................................................................................6
数据中心网络系统技术白皮书
数据中心网络系统技术白皮书
1: 引言
1.1 背景
1.2 目的
1.3 范围
2: 数据中心概述
2.1 定义
2.2 架构
2.3 功能模块
2.4 主要特点
3: 数据中心网络设计
3.1 网络拓扑
3.2 网络规模
3.3 网络配置
3.4 网络性能 3.5 安全性设计
4: 数据中心网络硬件设备
4.1 交换机
4.2 路由器
4.3 网络设备选型
4.4 设备管理
5: 数据中心网络软件配置
5.1 路由协议
5.2 虚拟化技术
5.3 安全防护软件
5.4 网络性能优化软件
6: 数据中心网络管理
6.1 网络监控
6.2 故障排除
6.3 性能优化
6.4 配置管理
6.5 安全管理 7: 数据中心网络中的云计算
7.1 云计算概述
7.2 云计算与数据中心关系
7.3 云计算在数据中心网络中的应用
7.4 云计算安全性考虑
8: 数据中心网络的未来发展趋势
8.1 软件定义网络(SDN)
8.2 网络功能虚拟化(NFV)
8.3 区块链技术在数据中心网络中的应用
8.4 在数据中心网络中的应用
9: 附件
附件1: 数据中心网络拓扑图
附件2: 数据中心网络性能测试结果
法律名词及注释:
- GDPR: 欧洲通用数据保护条例(General Data Protection
Regulation),是欧洲联盟针对个人数据保护的一项法规。它规定了个人数据的收集、处理、存储和保护的要求及相关责任和义务。 - CCPA: 加州消费者隐私法案(California Consumer Privacy
Act),是美国加利福尼亚州针对个人数据保护的一项法规。它要求企业必须透明披露个人数据的使用和共享方式,并为消费者提供对其个人数据的控制权。