內(nèi)容摘要：IDC（Internet Data Center）是伴隨著互聯(lián)網(wǎng)不斷發(fā)展的需求而發(fā)展起來的，可為ICP、企業(yè)、媒體和各類網(wǎng)站提供大規(guī)模、高質(zhì)量、安全可靠的專業(yè)化服務(wù)器托管、空間租用、網(wǎng)絡(luò)帶寬批發(fā)以及ASP等業(yè)務(wù)。對于電信行業(yè)來說，IDC是直接面向企業(yè)用戶最簡潔的通道，所以也成為電信行業(yè)企業(yè)客戶市場突破的重要突破口。 

      伴隨著電信行業(yè)大力發(fā)展IDC業(yè)務(wù)，IDC逐步發(fā)展了眾多的業(yè)務(wù)模式，例如主機托管、空間租賃、主機域名、企業(yè)郵箱以及承載WEB、游戲、公司應用的業(yè)務(wù)等，也包括一些增值業(yè)務(wù)比如 在線存儲業(yè)務(wù)等等。這些業(yè)務(wù)的集中使得IDC具備了重要性、集中性、大帶寬、應用多樣化、運維復雜性等多種特性。典型的IDC邏輯架構(gòu)如下圖所示： 

1.2 IDC安全風險分析 

IDC的特性決定了其安全威脅風險的特殊性和復雜性。根據(jù)IDC的邏輯架構(gòu)，其安全風險主要集中在網(wǎng)絡(luò)層與業(yè)務(wù)層。 

1.2.1 網(wǎng)絡(luò)層安全風險分析 

IDC的網(wǎng)絡(luò)層由路由器、交換機等數(shù)據(jù)通信設(shè)備和安全設(shè)備組成。網(wǎng)絡(luò)層在整個IDC中屬于IT基礎(chǔ)架構(gòu)，是開展IDC業(yè)務(wù)運營的基礎(chǔ)。數(shù)據(jù)通信設(shè)備在整個IDC運營中起到承上啟下作用：一方面，它對外擔負著IDC與外界其他網(wǎng)絡(luò)系統(tǒng)，如互聯(lián)網(wǎng)等網(wǎng)絡(luò)的互連互通；另一方面，它對內(nèi)承載著各種IDC業(yè)務(wù)系統(tǒng)。 

網(wǎng)絡(luò)層的安全風險主要是針對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的攻擊行為，包括：Dos/DDos攻擊、來自外部的網(wǎng)絡(luò)攻擊行為、各種僵尸/蠕蟲/木馬等惡意代碼的侵害等等。網(wǎng)絡(luò)層面的攻擊行為往往與特定的應用無關(guān)，針對的是網(wǎng)絡(luò)中的漏洞，具體體現(xiàn)在對IDC網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的威脅上。 

1.2.2 業(yè)務(wù)層安全風險分析 

業(yè)務(wù)層是IDC的核心要素，也是IDC價值的具體表現(xiàn)形式。它通過市場的需求情況，將IDC內(nèi)的各種資源進行合理的整合和配置，對外包裝出符合市場需求的可運營產(chǎn)品或服務(wù)，并將這些產(chǎn)品和服務(wù)銷售給IDC客戶。業(yè)務(wù)層按照IDC提供的服務(wù)屬性可以分為基礎(chǔ)類業(yè)務(wù)和增值類業(yè)務(wù)兩大類。 

業(yè)務(wù)層的安全風險主要是針對后臺業(yè)務(wù)運行的主機以及主機上承載的特定應用。其風險的表現(xiàn)行為包括：垃圾郵件、針對Web/DNS/FTP等服務(wù)器的應用層攻擊、針對服務(wù)器本身系統(tǒng)級的入侵行為等等。業(yè)務(wù)層的安全風險主要針對的是IDC托管運行的特定應用，和IDC服務(wù)的用戶密切相關(guān)，需要進行重點的防護。 

1.3 IDC安全防護淺析
 
對于IDC而言，傳統(tǒng)的安全防護解決方案是以IDC自身為主，所有的防護手段圍繞著IDC本身的邏輯架構(gòu)進行建設(shè)。例如在互聯(lián)網(wǎng)邊界部署防火墻、IDS/IPS提高網(wǎng)絡(luò)層的安全防護能力；在后臺主機上部署主機加固、主機IPS等解決方案提高主機的安全防護能力。但是，傳統(tǒng)的IDC防護手段屬于IDC單向的投入，并不能為IDC業(yè)務(wù)帶來任何的回報，這顯然與IDC的建設(shè)初衷相違背。此外，孤立的以IDC自身為主進行安全建設(shè)和防護，使得IDC的安全防護很難跟上國際發(fā)展的水平，使得IDC要么安全防護水平落后，要么需要花費大的代價不斷升級自身的安全防護系統(tǒng)。這與IDC先進的網(wǎng)絡(luò)基礎(chǔ)構(gòu)架形成了鮮明的反差。
 
現(xiàn)代IDC建設(shè)主要目標在于在能夠為用戶提供高效、穩(wěn)定的服務(wù)的前提下，如何合理、最大化的利用現(xiàn)有資源形成最大的投資回報。基于這個原則，我們提出IDC建設(shè)以用戶為導向的差異化安全增值服務(wù)的理念。這個理念的核心是IDC在建設(shè)安全防護時，可以把相關(guān)的安全防護解決方案作為模塊化的服務(wù)提供給用戶。IDC的用戶按照自身安全防護的要求選擇對應的安全防護模塊，從而形成面相用戶的差異化安全防護。而作為IDC運維的電信企業(yè)來說，通過為用戶提供增值的安全防護解決方案，能夠獲得額外的回報，從而把以前單向的安全防護投入轉(zhuǎn)變?yōu)槟軌驇砝麧櫟脑鲋捣?wù)之一。
 
對于IDC來說，在提供面相用戶的增值安全服務(wù)的同時，如何減少自身的投入（包括軟硬件投入、運維投入、能耗投入等等），實現(xiàn)綠色IDC，已經(jīng)成為IDC安全建設(shè)發(fā)展的主流方向，也是其開源節(jié)流的重要方式。我們在之前的章節(jié)分析過，IDC主要面臨的安全風險包括網(wǎng)絡(luò)層面的風險和業(yè)務(wù)層面的風險。對于網(wǎng)絡(luò)層面的風險，主要是針對IDC基礎(chǔ)網(wǎng)絡(luò)構(gòu)架的，所以需要在IDC不同的層面部署網(wǎng)絡(luò)安全防護解決方案，例如防火墻、IDS/IPS等等，并且通過虛擬化等技術(shù)實現(xiàn)差異化的安全增值服務(wù)。而對于業(yè)務(wù)層的風險，主要是針對特定用戶的特定應用，不會對IDC的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)造成損害。IDC可以通過與專業(yè)的安全廠商進行合作，通過云安全技術(shù)以及SaaS的模式進行提供差異化的安全防護服務(wù)。作為專業(yè)的安全廠商，有足夠的資源形成云安全服務(wù)的匯聚點，而IDC能夠通過聚集用戶形成很好的服務(wù)提供平臺。通過雙方的合作，可以將安全廠商的專業(yè)云安全服務(wù)在IDC形成本地化服務(wù)，而SaaS的服務(wù)模式前期不需要IDC投入任何的軟硬件資源，即可為用戶提供豐富多樣的安全防護增值服務(wù)，極大的降低了自身的能耗和資源投入，同時也開辟了多樣的盈利渠道，符合綠色IDC以及開源節(jié)流的發(fā)展趨勢。對于用戶而言，能夠以較低的成本隨時選擇多種領(lǐng)先的安全防護服務(wù)，例如防垃圾郵件、Web安全防護等等。
 
綜上而言，對于IDC來說，IDC的安全防護解決方案的選擇需要具備如下條件：
 
*選擇國際化專業(yè)的安全廠商。IDC作為電信行業(yè)對外的服務(wù)窗口，對SLA以及安全防護級別要求非常高。而IDC的防護發(fā)展趨勢是選擇與有成熟云安全技術(shù)和虛擬化技術(shù)的安全廠商進行合作。這使得IDC在選擇安全合作伙伴時，必須選擇國際化領(lǐng)先的專業(yè)安全廠商；
 
*選擇具有虛擬化技術(shù)的網(wǎng)絡(luò)層安全防護設(shè)備。對于IDC來說，網(wǎng)絡(luò)層的防護需要在IDC的環(huán)境中部署產(chǎn)品。而提供以用戶為導向的安全增值服務(wù)的關(guān)鍵在于設(shè)備本身具有虛擬化的功能。所以在選擇網(wǎng)絡(luò)層安全防護產(chǎn)品，例如防火墻、IDS/IPS時需要選擇具有虛擬化技術(shù)的安全設(shè)備；
 
*與安全廠商合作，實現(xiàn)SaaS的云安全防護平臺。通過提供SaaS的云安全防護模型，IDC能夠以很小的代價和資源消耗為用戶提供領(lǐng)先、豐富的安全增值服務(wù)，實現(xiàn)綠色IDC和最佳投資回報的建設(shè)目標。

1.4 McAfee IDC安全防護解決方案介紹
 
McAfee是全球最大的專業(yè)致力于信息安全產(chǎn)品和服務(wù)的廠商，也是全球最有影響力的十大軟件公司之一。McAfee擁有世界權(quán)威的反病毒緊急事務(wù)響應小組（AVERT）、IntruVert入侵防護響應小組及FoundStone漏洞分析小組，提供7/24的研發(fā)和支持服務(wù)，并且2006年在中國設(shè)立了NSP研發(fā)中心， McAfee密切關(guān)注網(wǎng)上安全問題，為組織機構(gòu)提供整體的安全顧問服務(wù)，推出網(wǎng)上診室，是安全研究聯(lián)盟SRA的主要成員。
 
作為全球最大的專業(yè)安全廠商，McAfee具有成熟的IDC安全防護解決方案，能夠為IDC用戶提供基于虛擬化技術(shù)的網(wǎng)絡(luò)層安全防護設(shè)備和專業(yè)級的基于云安全的SaaS安全解決方案。
 
1.4.1 McAfee IPS解決方案
 
McAfee的NSP是全球首個產(chǎn)品化的IPS設(shè)備，它能夠?qū)σ阎?、未知攻擊以及拒絕服務(wù)攻擊進行檢測和防御，滿足各種企業(yè)網(wǎng)絡(luò)的安全要求。McAfee NSP能夠通過部署業(yè)內(nèi)最全面、最成熟的網(wǎng)絡(luò) IPS 解決方案來降低企業(yè)安全風險。 NSP 是基于 ASIC芯片及FPGA的設(shè)備，可前瞻性地防護終端和關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施不受已知的攻擊、Zero-day攻擊、DOS/DDOS 攻擊和加密攻擊的威脅，也不受間諜軟件、VoIP 漏洞、botnet、網(wǎng)絡(luò)蠕蟲、惡意軟件、網(wǎng)絡(luò)釣魚詐騙攻擊、木馬以及 P2P 等應用程序的威脅。
 
虛擬化技術(shù)的實現(xiàn)
 
虛擬IPS能夠?qū)?NSP 探測器劃分為多個虛擬探測器，這些虛擬探測器可以使用不同的探測和防護策略保護不同的VLAN、子網(wǎng)和主機（包括自定義的攻擊選擇及相關(guān)響應措施）。虛擬IPS可以根據(jù)一組 IP 地址、一個或多個 VLAN 標記來定義，也可以通過探測器上的特定端口來定義。
 
NSP 體系結(jié)構(gòu)的虛擬 IPS 功能可以通過三種方法來實施。第一，將虛擬局域網(wǎng) （VLAN） 標志分配給一組網(wǎng)絡(luò)資源；第二，使用無類別域內(nèi)路由 （CIDR） 標志來保護一組 IP 地址；第三，將 NSP 系統(tǒng)接口專門用于保護特定部門、地區(qū)機構(gòu)或組織職能部門的網(wǎng)絡(luò)資源。
 
基于 CIDR 的 VIPS 實施能夠使用 /32 掩碼具體到單一主機的水平。例如，可以使用單一主機的特有策略來識別 DoS 攻擊，并做出響應。
 
NSP的虛擬IPS功能
 
對于IDC環(huán)境而言，NSP是理想的網(wǎng)路層安全防護解決方案。通過虛擬化技術(shù)，能夠靈活的實現(xiàn)以用戶為導向的安全增值服務(wù)理念，從而減少總體擁有成本，擴展盈利模式，同時也提高了安全的總體防護水平。
 
風險感知能力
 
作為網(wǎng)絡(luò)層安全防護產(chǎn)品，最大的局限在于無法感知到后臺主機的安全水平，做到有針對性的事件過濾與關(guān)聯(lián)報警。McAfee NSP能夠集中應對最有關(guān)聯(lián)的告警和攻擊，提供更高的運作效率。NSP允許導入和關(guān)聯(lián)McAfee Foundstone風險評估產(chǎn)品（或其他第三方產(chǎn)品）的信息，實現(xiàn)優(yōu)先級的風險管理：
 
*通過具有風險識別功能的入侵防御系統(tǒng)，降低IT成本，并增加操作效率；
 
*通過識別并阻擋帶來最大威脅的攻擊，實現(xiàn)最大化安全效果，減少業(yè)務(wù)風險。
 

 
1.4.2 基于云安全的SaaS服務(wù)
 
在上述章節(jié)我們分析了IDC使用基于云安全的SaaS服務(wù)作為業(yè)務(wù)安全防護解決方案的各種優(yōu)勢。IDC在選擇基于云安全的SaaS服務(wù)伙伴時，很重要的衡量標準就是合作伙伴提供SaaS服務(wù)的多樣性以及成熟的云安全架構(gòu)。只有在這兩點的基礎(chǔ)上，IDC才能夠為最終用戶提供豐富、專業(yè)級的SaaS服務(wù)，從而達到最佳投資回報的目標。
McA
fee作為全球最大的專業(yè)安全廠商，是最早為用戶提供SaaS服務(wù)的廠商。目前McAfee提供的SaaS服務(wù)包括：
 
*基于端點安全的SaaS解決方案；
 
*基Web安全的SaaS解決方案；
 
*基于郵件安全的SaaS解決方案；
 
*基于郵件歸檔的SaaS解決方案；
 
*基于郵件連續(xù)性保障的SaaS解決方案；
 
*基于Web站點信譽評級的SaaS解決方案；
 
*基于PCI遵從的SaaS解決方案；
 
*基于漏洞掃描與風險評估的SaaS解決方案。
 
可以說，McAfee提供了全球最為豐富的SaaS安全解決方案的種類，為IDC提供了多種選擇，從而也為IDC的客戶提供了多層防護模塊的選擇。在多種SaaS安全解決方案后臺，是McAfee成熟的云安全網(wǎng)絡(luò)的支持。McAfee的云安全網(wǎng)絡(luò)我們稱之為“全球智能威脅威脅分析系統(tǒng)”（GTI）。GTI兼顧了消息、Web 和網(wǎng)絡(luò)安全領(lǐng)域的安全性，為 Internet 安全創(chuàng)建了一把多平臺保護傘，這正是 Internet 安全領(lǐng)域長期缺失的。GTI從超過100多 個國家的 7000 多臺傳感器（每月包括超過 1100 億條消息和數(shù)百萬個 URL）積累了大量的數(shù)據(jù)，以便極其準確地創(chuàng)建 Internet 中所有發(fā)件人、消息、網(wǎng)站和域活動的檔案，然后，GTI 就可以使用這些檔案來監(jiān)視是否存在違反預期的行為，從而精確的提前定義出可能發(fā)生的安全風險與威脅。
 
正是借助了McAfee成熟的云安全網(wǎng)絡(luò)，使得我們能夠與IDC合作，給用戶提供專業(yè)級的國際領(lǐng)先的安全防護解決方案，從而順應IDC安全防護發(fā)展的潮流和趨勢。
 
1.4.3 總結(jié)
 
IDC的不斷發(fā)展使得其安全防護的方向和技術(shù)一直都是困擾用戶的一大難題。McAfee作為全球最大的專業(yè)安全廠商，提出以用戶為導向的差異化安全增值服務(wù)理念。通過在網(wǎng)絡(luò)層提供具有虛擬化技術(shù)的網(wǎng)絡(luò)安全防護設(shè)備，以及在業(yè)務(wù)層提供基于云安全的SaaS安全增值服務(wù)，能夠使得IDC的資源優(yōu)化達到最佳，實現(xiàn)高效、可靠的安全防護體系。通過與McAfee合作，IDC能夠在降低自身資源消耗、減少投入的情況下實現(xiàn)為用戶提供國際領(lǐng)先的差異化安全增值服務(wù)的目標。從而在能夠為用戶提供高效、穩(wěn)定的服務(wù)的前提下，合理、最大化的利用現(xiàn)有資源形成最大的投資回報，達到綠色IDC與高效IDC的建設(shè)目標。


轉(zhuǎn)載請注明文章來源【深圳服務(wù)器租用,深圳服務(wù)器托管,http://m.chzgh.cn】