數(shù)據(jù)中心安全包括物理安全和虛擬安全。數(shù)據(jù)中心虛擬安全實際上是數(shù)據(jù)中心網(wǎng)絡安全，是指為保持基礎設施和數(shù)據(jù)的運行敏捷性而采取的各種安全預防措施。數(shù)據(jù)中心網(wǎng)絡安全威脅越來越猖獗，企業(yè)需要尋找保護敏感信息和防止數(shù)據(jù)漏洞的對策。我們將討論數(shù)據(jù)中心網(wǎng)絡攻擊和解決方案。

主要的數(shù)據(jù)中心網(wǎng)絡威脅是什么？

數(shù)據(jù)中心網(wǎng)絡是存儲組織最有價值和可見的資產(chǎn)，而數(shù)據(jù)中心網(wǎng)絡、DNS、數(shù)據(jù)庫和電子郵件服務器已成為網(wǎng)絡犯罪分子、黑客活動分子和國家支持的攻擊者的頭號目標。不管攻擊者的目的是什么，也不管他們尋求的是經(jīng)濟利益、競爭情報還是聲名狼藉，他們都在使用一系列網(wǎng)絡技術武器來攻擊數(shù)據(jù)中心。以下是 5 大數(shù)據(jù)中心網(wǎng)絡威脅。

DDoS 攻擊

服務器是旨在破壞和禁用基本互聯(lián)網(wǎng)服務的 DDoS 攻擊的主要目標。服務可用性對于積極的客戶體驗至關重要。然而，DDoS 攻擊會直接威脅可用性，導致業(yè)務收入、客戶和聲譽損失。從 2011 年到 2013 年，DDoS 攻擊的平均規(guī)模從 4.7 Gbps 飆升至 10 Gbps。更糟糕的是，在典型的 DDoS 攻擊期間，每秒平均數(shù)據(jù)包數(shù)量也出現(xiàn)了驚人的增長。這證明 DDoS 攻擊的快速增長足以使大多數(shù)標準網(wǎng)絡設備癱瘓。攻擊者主要可以利用Web、DNS、NTP服務器來放大DDoS攻擊的規(guī)模和強度，這就需要企業(yè)時刻做好網(wǎng)絡監(jiān)控。

Web 應用程序攻擊

Web應用程序容易受到SQL注入、跨站腳本、跨站請求偽造等一系列攻擊，攻擊者試圖侵入應用程序并竊取數(shù)據(jù)以牟利，導致企業(yè)數(shù)據(jù)漏洞。根據(jù) 2015 年 Trustwave 全球安全報告，大約 98% 的應用程序存在或曾經(jīng)存在漏洞。攻擊者越來越多地將易受攻擊的 Web 服務器作為目標并安裝惡意代碼以將它們變成 DDoS 攻擊源。企業(yè)需要主動防御來阻止網(wǎng)絡攻擊和數(shù)據(jù)漏洞的“虛擬修補”。

DNS 攻擊

DNS 基礎設施也容易受到 DDoS 攻擊或其他威脅。由于兩個原因，它變成了數(shù)據(jù)中心網(wǎng)絡攻擊的目標。首先，攻擊者可以通過多種手段使DNS服務器下線，從而阻止Internet用戶訪問Internet。如果攻擊者禁用 ISP 的 DNS 服務器，他們就可以阻止 ISP 對用戶和 Internet 服務所做的一切。其次，攻擊者還可以通過利用 DNS 服務器來放大 DDoS 攻擊。攻擊者偽造其真實目標的 IP 地址，指示 DNS 服務器遞歸查詢許多 DNS 服務器或向受害者發(fā)送大量響應。這允許 DNS 服務器直接控制受害者的 DNS 流量網(wǎng)絡。即使 DNS 服務器不是攻擊者的最終目標，它仍然會因 DNS 反射攻擊而導致數(shù)據(jù)中心停機和中斷。

SSL 盲點利用

許多應用程序都支持 SSL，然而，令人驚訝的是，SSL 加密也是攻擊者可以用來進行網(wǎng)絡入侵的一種方式。盡管解密 SSL 流量由防火墻、入侵防御和威脅防御產(chǎn)品等解密，但由于這些產(chǎn)品無法跟上對 SSL 加密的日益增長的需求，因此存在一些數(shù)據(jù)漏洞的安全隱患。例如，從 1024 位到 2048 位 SSL 密鑰的轉換需要大約 6.3 倍的處理能力來解密。該案例表明，在SSL證書密鑰長度不斷增加的解密需求下，安全應用正在逐漸崩潰。因此，攻擊者可以很容易地利用這個防御盲點進行入侵。

認證攻擊

應用程序通常使用身份驗證來驗證用戶，允許應用程序所有者限制對授權用戶的訪問。但為方便起見，許多人執(zhí)行單一身份驗證。這使得攻擊者很容易利用密碼破解工具進行暴力破解。黑客將破解被盜密碼列表，甚至密碼哈希值，并使用它們侵入其他在線帳戶。因此，企業(yè)集中管理身份驗證服務并防止用戶重復失敗的登錄嘗試。

數(shù)據(jù)中心虛擬安全解決方案

數(shù)據(jù)中心的網(wǎng)絡安全防御勢在必行。針對五大數(shù)據(jù)中心網(wǎng)絡安全威脅所帶來的數(shù)據(jù)漏洞和網(wǎng)絡安全風險，這里提出一些防御方案。

• 防止漏洞：部署 IPS 以保護和修補經(jīng)常易受攻擊的系統(tǒng)和應用程序。IPS 還可以檢測針對 DNS 基礎設施的攻擊或使用 DNS 逃避安全保護的嘗試。
• 網(wǎng)絡分段：有效實施網(wǎng)絡分段可以防止橫向移動并在零信任安全模型下實現(xiàn)最小權限訪問。
• 部署應用程序和 API 保護：減輕 Web 應用程序的 OWASP 十大風險的解決方案是使用 Web 和 API 安全應用程序。此外，數(shù)據(jù)中心可以安裝防火墻和入侵檢測系統(tǒng) (IDS)，以幫助企業(yè)在流量到達內(nèi)部網(wǎng)絡之前對其進行監(jiān)控和檢查。
• 防御 DDoS：使用本地和云 DDoS 保護來減輕 DDoS 威脅。
• 防止憑證盜竊：為用戶部署反釣魚保護，防止憑證盜竊攻擊。
• 保護供應鏈：使用 AI 和 ML 支持的威脅預防以及 EDR 和 XDR 技術檢測和預防復雜的供應鏈攻擊。

結論

網(wǎng)絡攻擊還對數(shù)據(jù)中心網(wǎng)絡安全產(chǎn)生深遠影響。企業(yè)應為數(shù)據(jù)中心準備防御方案，以確保數(shù)據(jù)安全。上述最佳實踐還可以幫助企業(yè)獲得有關其數(shù)據(jù)中心網(wǎng)絡運行情況的相關信息，從而使 IT 團隊能夠在維護物理安全性的同時增強其數(shù)據(jù)中心的虛擬安全性。