■張雷

自己的數(shù)據(jù)中心沒你想象的那么安全

■張雷

數(shù)據(jù)中心的安全性完全取決于將它們連接到網(wǎng)絡(luò)的物理連接。它們很容易受到網(wǎng)絡(luò)攻擊或信息安全泄密事件的影響，這會(huì)給想在自己的數(shù)據(jù)中心之間傳輸數(shù)據(jù)和備份數(shù)據(jù)的任何企業(yè)組織帶來災(zāi)難性后果。由于網(wǎng)絡(luò)延遲是一個(gè)亟待解決的問題，進(jìn)出數(shù)據(jù)中心或傳輸?shù)酵饨绲臄?shù)據(jù)都會(huì)加大與這些威脅有關(guān)的風(fēng)險(xiǎn)。

據(jù)知名分析師、Quocirca公司的客戶服務(wù)主管Clive Longbottom聲稱，只要物理連接、應(yīng)用程序或平臺(tái)出現(xiàn)故障，延遲就會(huì)導(dǎo)致交易中斷。時(shí)間很長的延遲還讓企業(yè)無法使用實(shí)時(shí)IT服務(wù)，比如語音或視頻傳輸。不過他認(rèn)為，延遲只是整個(gè)問題的一個(gè)方面。還有網(wǎng)絡(luò)、應(yīng)用程序和硬件組合方面復(fù)雜的考慮因素需要牢記在心。

Bridgeworks公司的首席執(zhí)行官David Trossell解釋：“延遲對數(shù)據(jù)中心的安全帶來了兩個(gè)影響：第一個(gè)問題是，你如何才能讓數(shù)據(jù)中心彼此之間保持同步性;你在傳輸數(shù)據(jù)時(shí)，一定要擁有安全密鑰?！彼?，無論你把數(shù)據(jù)放在云端還是放在多租戶模式的數(shù)據(jù)中心，確保安全至關(guān)重要。換句話說，未經(jīng)授權(quán)的人應(yīng)該無法窺視數(shù)據(jù)本身。

加密數(shù)據(jù)

所以，想從信息安全的角度來保護(hù)數(shù)據(jù)中心，一旦數(shù)據(jù)上傳到云端，或者在數(shù)據(jù)中心之間傳輸以便備份和檢索，企業(yè)就需要加密數(shù)據(jù)，這是基礎(chǔ)工作。數(shù)據(jù)處于靜態(tài)時(shí)(這時(shí)數(shù)據(jù)并不通過網(wǎng)絡(luò)來傳輸)，需要進(jìn)行加密。另外值得一提的是，最安全的加密數(shù)據(jù)只由擁有相應(yīng)密鑰的那個(gè)人才可以訪問。

Trossell說：“AS 256密鑰提供了最強(qiáng)的加密機(jī)制。不過問題是，強(qiáng)安全密鑰耗用更多的計(jì)算能力;如果是加密數(shù)據(jù)，你還無法執(zhí)行任何重復(fù)數(shù)據(jù)刪除操作，因而無法查找數(shù)據(jù)中的重復(fù)模式?！睘榱思訌?qiáng)迅速傳輸數(shù)據(jù)的能力，大多數(shù)企業(yè)組織傳統(tǒng)上會(huì)選擇廣域網(wǎng)(WAN)優(yōu)化工具：數(shù)據(jù)使用IPSEC傳輸?shù)倪^程中，加密過程同步進(jìn)行。

加密靜態(tài)數(shù)據(jù)意味著，數(shù)據(jù)來得比較安全。就傳統(tǒng)的廣域網(wǎng)優(yōu)化而言，密鑰必須提供給廣域網(wǎng)優(yōu)化引擎，那樣才能進(jìn)行解密、進(jìn)行重復(fù)數(shù)據(jù)刪除處理，而且在跨廣域網(wǎng)使用互聯(lián)網(wǎng)安全協(xié)議IPsec之前。然后，傳統(tǒng)的廣域網(wǎng)優(yōu)化引擎需要?jiǎng)冸xIPsec，之后這才允許重新加密數(shù)據(jù)。這意味著，現(xiàn)在你在幾個(gè)地方有兩把安全密鑰――這可能是最大的安全風(fēng)險(xiǎn)。

Longbottom說：“想獲得最高的安全級(jí)別，就應(yīng)該在數(shù)據(jù)存儲(chǔ)起來之前進(jìn)行加密?！彼a(bǔ)充說：“這就需要全數(shù)據(jù)流的快速加密，不過這常常又不可行?！彼硎?，下一個(gè)階段就是存儲(chǔ)后加密，而這需要之后刪除未加密數(shù)據(jù)。“這包括靜態(tài)加密和移動(dòng)加密，而太多的企業(yè)組織僅僅著眼于移動(dòng)加密，所以如果有人獲得了存儲(chǔ)介質(zhì)，那么所有的信息都在那里，可供他們訪問;密鑰管理常常被人忽視?！?/p>

留意密鑰

他解釋：“如果你完全丟失了密鑰，應(yīng)該沒人能夠訪問信息——哪怕你自己也無法訪問;就算信息受到了危及，你至少還控制密鑰，只要你意識(shí)到對此可以采取一些措施?！比欢?，如果密鑰交由第三方保管，那么密鑰成了更吸引黑客的目標(biāo)，“因?yàn)榈谌娇赡鼙９苡幸慌?、而不是僅僅一家公司的密鑰;從注意到安全事件到通知客戶開始采取行動(dòng)，這個(gè)響應(yīng)時(shí)間就會(huì)長得多。”

如果數(shù)據(jù)在跨網(wǎng)絡(luò)傳輸過程中進(jìn)行加密，數(shù)據(jù)傳統(tǒng)上往往并不安全。Trossell說：“這里的問題是，如果你有高速廣域網(wǎng)鏈路，那么這會(huì)阻止數(shù)據(jù)傳輸，然后無法實(shí)現(xiàn)廣域網(wǎng)優(yōu)化?！?/p>

獲得控制權(quán)

她解釋：“如果采用靜態(tài)加密，企業(yè)完全擁有控制權(quán)，企業(yè)是唯一的密鑰擁有者;但是通常廣域網(wǎng)優(yōu)化工具只是傳輸數(shù)據(jù)而已，而不加速;為了提供某種級(jí)別的安全，傳統(tǒng)的廣域網(wǎng)優(yōu)化工具提供了IPsec層——但這種級(jí)別與許多企業(yè)需要的安全級(jí)別相差甚遠(yuǎn)?！?/p>

她認(rèn)為，想獲得控制權(quán)，企業(yè)需要一種新的解決方案。在她看來，這種解決方案就是自配置和優(yōu)化的網(wǎng)絡(luò)(SCION)，這種網(wǎng)絡(luò)提供了很高的安全級(jí)別，并且讓企業(yè)組織能夠大幅縮短延遲。這讓企業(yè)能夠更容易遷移到基于云的基礎(chǔ)設(shè)施，同時(shí)為企業(yè)組織最大限度地提高基礎(chǔ)設(shè)施的利用率(最高達(dá)到98％)提供了一種安全方式。SCION還減小了延遲的影響，其作用絕不僅限于傳統(tǒng)的流量處理和穩(wěn)態(tài)基礎(chǔ)設(shè)施。

從安全合規(guī)方面來看，安全在過去受到輕視;但是現(xiàn)在已出現(xiàn)了許多新的威脅，所以安全得到了前所未有的重視?！澳忝媾R內(nèi)部問題，比如斯諾頓事件帶來的問題;由于機(jī)器的計(jì)算功能更強(qiáng)大，較低級(jí)的128位加密破解起來要比增添層層復(fù)雜機(jī)制的256位加密容易得多?！盩rossell聲稱，如今，滿腹牢騷的員工比過去更多了——維基泄密就是一個(gè)例子，但是員工必須擁有密鑰才能訪問加密內(nèi)容。

Longbottom補(bǔ)充道，不久前，40位加密還被認(rèn)為夠安全。它只需要少量的計(jì)算資源;在大多數(shù)情況下，通常很難破解。但是可以獲取更多資源后，更容易在短短幾分鐘內(nèi)破解40位加密技術(shù)。他說：“因此，企業(yè)組織紛紛改用256位加密：AES、3DES和BloFISH等?！彼a(bǔ)充說，云計(jì)算為黑客運(yùn)用蠻力攻擊、試圖破解密鑰提供了一種手段。

解決辦法就是將密鑰放在本地，并且限制可以訪問它們的人數(shù)。只有這么做，數(shù)據(jù)、因而數(shù)據(jù)中心才能保持安全。許多公司仍認(rèn)為，這是唯一的出路，但如今不再是這樣。常常需要加密，那樣一旦需要在數(shù)據(jù)中心之間傳輸數(shù)據(jù)，或者將數(shù)據(jù)傳輸?shù)皆贫?，就能確保數(shù)據(jù)安全，又不影響速度或危及安全。

兼顧速度和安全

Buchanan補(bǔ)充說，WANrockIT(SCION解決方案的市場領(lǐng)導(dǎo)廠商)可以幫助企業(yè)組織提升這個(gè)過程的速度和安全：“借助WANrockIT，你的加密數(shù)據(jù)在我們看來只是另一個(gè)數(shù)據(jù)塊，就像其他任何數(shù)據(jù)那樣經(jīng)過了加速，而不實(shí)際受到影響——此外，如果你使用加密數(shù)據(jù)，軟件還能夠增加IPsect這一層機(jī)制，那樣你實(shí)際上獲得了雙重加密?！?/p>

比如說，一位匿名的Bridgeworks客戶試圖通過500MB衛(wèi)星鏈路，傳輸一個(gè)32GB大小的視頻文件，延遲為600毫秒，總共耗時(shí)20小時(shí)才傳輸完成。僅僅花了11分鐘安裝WANrockIT后，僅僅用了10分鐘就傳輸完畢。另一個(gè)客戶原本只能進(jìn)行50GB的增量備份，而不是能夠?qū)?30GB執(zhí)行夜間備份——問題同樣是延遲為86毫秒。在OC12網(wǎng)絡(luò)鏈路上傳輸需要12個(gè)小時(shí);但是安裝了WANrockIT后，50GB大小的備份數(shù)據(jù)在45分鐘內(nèi)就安全地傳輸完成。這讓全部的夜間備份得以完成，所以這家組織可以確信其數(shù)據(jù)是安全的。

企業(yè)的安全中心其安全性因而不僅僅取決于數(shù)據(jù)，還取決于如何預(yù)防阻礙企業(yè)正常運(yùn)轉(zhuǎn)的黑客活動(dòng)和非計(jì)劃事件。要是數(shù)據(jù)中心無法能夠迅速、安全地備份數(shù)據(jù)，這意味著它在本質(zhì)上就是不安全的，因?yàn)橐坏?zāi)難發(fā)生，它就無法響應(yīng)。

所以，你的數(shù)據(jù)中心過于依賴通過網(wǎng)絡(luò)傳輸敏感數(shù)據(jù)，在數(shù)據(jù)傳輸?shù)搅硪粋€(gè)數(shù)據(jù)中心或傳輸?shù)皆贫酥?，又不確保靜態(tài)數(shù)據(jù)的安全，那么就有可能讓自己面臨險(xiǎn)境。據(jù)EMC公司的全球數(shù)據(jù)保護(hù)指數(shù)顯示，數(shù)據(jù)丟失和停運(yùn)每年讓英國蒙受105億英鎊的損失，有必要冒這個(gè)險(xiǎn)嗎?為了保護(hù)你的數(shù)據(jù)中心，并加快數(shù)據(jù)傳輸，不妨使用可以迅速、安全地加快數(shù)據(jù)傳輸?shù)腟CION解決方案，比如WANrockIT。