Data center security and data center security products

作者 | 2011-01-27 21:15 | 类型 行业动感 | 31条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




本文尝试分析数据中心所面对的安全问题,和解决这些安全问题所发展出来的安全产品,以及未来云计算环境下,安全环境和安全产品的变化。首先声明本人不是做市场的,所以不会推销产品,如果提到某个产品,也不是为了宣传这个产品;其次,本人不是搞产品管理的,所以对数据中心用到的东西,只是感性的理解,并没有实际动手的经验;最后,本人目前只是一个做研发的,所以这篇文章只是一个引子,希望能够引出来真正的牛人。

在我看来,数据中心有这样的三角关系:

数据中心提供者(ISP or IDC)
        ||
        \/
+----------------+
|     数据中心     | <=== 终端用户(end user)
+----------------+
        /\
        ||
数据中心使用者 (CSP or enterprise or personal )

(从思科的网站上扒了张图,可以看到典型的数据中心都有哪些网络设备,包括安全产品)

数据中心提供者:提供场地,基础设施,以及设备等。通常这个角色是由ISP和IDC等扮演的,它们建造数据  中心,并把数据中心租给CSP或者enterprise使用。但是也有比较牛的CSP自己建造数据中心,比如google之  类的。

数据中心使用者:主要指CSP或者enterprise,当然也包括个人用户。数据中心使用者可以租用ISP或IDC的服务器  和网络,也可以把自己的服务器托管到ISP或者IDC。

终端用户:主要指消费者。

数据中心提供者(ISP和IDC)关心什么?首先是数据中心的物理安全。物理安全包含很多内容,比如场地选择,电力供应,对于火灾、水灾之类的灾难预案等等。物理安全是数据中心高可用性的基础。其次是数据安全,它应该提供数据在多个数据中心备份的机制,避免一个数据中心倒掉之后,服务就无法使用的尴尬。它应该也关心网络安全,具体应该包括:

  • DDOS防护。对于来自外部的DDOS攻击,应该有一定的防护能力。这里主要关注的还是L4的攻击,对于L7 的攻击,主要还是看CSP自己的策略。如果在这一级就开始限流或者截流,可能会影响客户的业务。
  • VPN。提供Data center到Data center的安全通道。
  • Access control。对登录data center的用户进行认证,授权,访问控制等。而且需要提供客户端到data center 的安全通道。
  • 流量监控。IDS或者其他能够监控网络流量的产品,需要了解数据中心内网络的流量变化趋势。在这里需要IDP 吗,从我看来并没有这个必要。ISP或者IDC只提供基础设施,更深层次的安全问题,应该有用户自己来决定。

数据中心使用者(CSP或者enterprise)关心什么?首先应该关心的是业务如何正常的开展,它们更关注应用的安全,具体包括:

  • HTTPS。支持到终端用户的安全通道。这里需要PKI体系的建设,以及构建安全的应用流程。
  • IDP,WAF。对应用服务器的保护,数据中心使用者更了解应用,知道什么需要保护,以及保护的级别。 对于服务器加固,防篡改这类的产品应该也有需求。
  • Access control。CSP或者enterprise内部角色的划分,认证,授权,访问控制等。安全通道也是必不可少。
  • Log。访问日志,出错日志,对应用层的流量的监控等。
  • Firewall。主要是对应于内部网络不同安全域的划分,并配置不同的访问控制策略。
  • Load balance和application acceleration等。这个和安全没什么关系,但是会和安全产品搭配起来卖。

终端用户关心什么?终端用户关系自己访问的网站是否安全,具体应该包括:

  • 对安全网站的认证。通过第三方来认证某个网站是否安全。所以对于漏洞扫描或者攻击渗透之类的产品或者服务会有需求。Scansafe的产品就有点这个意思。
  • HTTPS,SSL VPN之类的安全通道。保证了数据的机密性,又防止了别人的窥探,一举两得。

在新的数据中心里面,有很多虚拟化产品,那么与之相适应的安全产品应该有什么样的变化?简单列一下:

  • 虚拟机之间流量的监控。如果虚拟机之间的流量不通过外部的交换机转发,那么就需要在vSphere上部署防火墙,如果虚拟机之间的流量是通过外部交换机转发的,传统防火墙还可以继续发挥作用。
  • 虚拟机的加密,授权,访问控制等。给用户分配虚拟机时,需要加密;用户虚拟机启动时需要认证,授权;用户 虚拟机用完了,需要销毁,而且应该有相应的生命周期。
  • 安全设备虚拟化。在多租户的环境中,用户需要自己管理自己的设备,虽然是一套物理设备,但是有多套虚拟 设备。物理设备的管理和虚拟设备的管理,这这种情况下会完全不同。虚拟设备的使用和传统的物理设备完全        相同;但是支持虚拟化的物理设备,更多是虚拟机的载体,本身可能不具有虚拟机的功能(有点乱,自己理解 就行)
  • 性能。如何在虚拟化的环境中,还能保持原来的性能指标。对物理设备的要求更高了。

参考资料:

1: http://www.scansafe.com/

2: http://www.ironport.com/

3: http://altornetworks.com/

4: http://www.f5.com/

5: http://www.riverbed.com/

6: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/DC_3_0/dc_sec_design.html

7: http://www.cisco.com/application/pdf/en/us/guest/netsol/ns107/c649/ccmigration_09186a008073377d.pdf

8: http://www.sitelock.com/

(1个打分, 平均:5.00 / 5)

工具箱
本文链接 | | 打印此页 | 31条用户评论 »

雁过留声

“Data center security and data center security products”有31个回复

  1. Fon 于 2011-01-27 9:33 下午

    DC security 还应该包括DC运维的安全,比如:人员身份的管理和访问控制,日常运维操作风险安全等,这些远比基础架构的安全更难于处理和应对,建设成本也远高于网络、应用层面的安全防护。尤其是大型DC,这一问题非常突出。

  2. kernelchina 于 2011-01-27 10:50 下午

    谁能普及一下数据中心的建设流程,以及如何运维的知识。在网上没有搜到有用的东西,全凭想象和自己做网站的经验来写的,不全面,也不太专业。

  3. willchen 于 2011-01-27 11:08 下午

    数据中心的很大一块儿安全关注点,也就是数据的安全没有写到。
    包括数据的存储安全、灾备等。以及用户对自身数据的安全访问等等。
    数据中心概念很大,可以按其用途分成很多大类。每个大类的关注点又有所不同。

  4. Edwin 于 2011-01-28 1:02 上午

    关于数据中心的建设流程,建议去APC的网站查资料,这里的数据中心主要指基础设施。

  5. jebtang 于 2011-01-28 1:56 上午

    呵呵,可以看此楼主是做网络出身的,上面讲的大部分可以归为网络安全。这个也对,因为访问数据中心的绝大多数是通过网络的。

    但是上面讲的,和数据中心有什么关系呢?这些对于一个10台服务器的公司机房和100000服务器的IDC都适用。

  6. kernelchina 于 2011-01-28 5:04 上午

    1)规模决定了产品形态,保护10个服务器和保护10000个服务器,应该有本质的不同,虽然可能攻击差不多,但是用一样的产品显然是不合适的。
    2)环境复杂了,相应的产品也变复杂了。大型data center用户,设备,网络等等,比起企业网应该更复杂。
    3)不同的角色,看到的东西不一样,所以针对不同角色的产品也不一样。

  7. 旁观者清 于 2011-01-28 6:09 上午

    没新意,没内容。。。

  8. kernelchina 于 2011-01-28 6:57 上午

    如果评论里面能带出来点干货,本文的目的就达到了。每个人的能力有限,不可能做到面面俱到,每个人能贡献一点,别人就能多学一点,何乐人不为?

  9. 徐鹤军 于 2011-01-28 7:12 上午

    基本理清了对于计算中心的网络框架,有收获。
    其他就某些方面可以深入的研究和介绍。

  10. Footoor Security » Data center security and data center security products 于 2011-01-28 7:29 下午

    [...] From: 弯曲论坛 [...]

  11. Fon 于 2011-01-29 5:57 上午

    建议lz再把视野放宽些,不仅仅局限于DC的网络层面。
    就DC security而言,更难于处理的安全需求来自于应用、数据层面,及人员和操作层面。相比较而言,网络层面的安全并不复杂,也不难实现。当然,这是对于大型DC而言。

  12. jebtang 于 2011-01-29 9:12 下午

    To Fon: 说的极是。对于IDC来讲,他的应用和传统的IT很不同。举个简单的例子,大部分的数据库操作要在应用层拆分成读和写,然后又不同的路径。那么,对于读和写的安全性要求就不同。

    因此,不要讲IDC的本身,还是看看需要IDC规模的应用的特点吧。

  13. kernelchina 于 2011-01-29 10:44 下午

    安全很多时候就是一个访问控制(access control),但这里面又有很多门道,比如角色定义,权限定义,认证,授权,以及控制,还有加密,验证(integrity),各个产品又搞得不太一样,互操作都成问题。如果有个Data center os或者cloud os,把这些事情能够统一起来,就会方便,有效很多。需要集成,简化,降低操作难度。

  14. 陈怀临 于 2011-01-30 8:15 下午

    你们有谁对F5的东西比较有研究的,能不能花点时间研究研究。例如,在数据中心,F5的东西是如何deploy的。我135进的FFIV,最近跌惨了。。。有谁明白其中之大道理否?

  15. Kernelchina 于 2011-01-31 1:03 上午

    股票和技术有关系?(sent from iPod)

  16. Will Chie 于 2011-01-31 3:49 上午

    首席如果关注F5,就一定要关注A10,F5的SSL VPN相对ADN已经是比较过期的产品线,ADN才能决定将来的F5的钱途,F5之前在告A10,不知道最近如何了。

  17. YOY 于 2011-01-31 6:11 上午

    F5和A10有共同的负载均衡,但级别确实差很太多太多了。。F5的Firepass, Security Gateway,还有一些产品都是在维持,更多是为提供Total Solution。BIG-IP应该是主要的增长点。关于F5 Data Center的方案,我想应该是全方面的,从接入的安全,应用层面,链路层面,和数据层面的安全。然后保障服务的延续性,加速,LB,等等等。那目前两大热点,云计算和虚拟化,F5都走在了前面,相信他们在2011年会有更出色的产品线出来。

    陈首席可以看看F5的年终报告。
    F5 2010 Analyst / Investor Meeting
    http://www.f5.com/pdf/f5/2010-analyst-meeting.pdf

  18. 陈怀临 于 2011-01-31 7:01 上午

    谢谢,今天一定看看这个文章。你们有能力的能否多谈谈F5, RiverBEd, A10这些公司。。。感觉国内这方面的公司和技术略微薄弱一些。

  19. Will Chie 于 2011-01-31 8:04 上午

    TO YOY:应该说F5和A10共同的是ADN,负载均衡之于ADN,有点类似于防火墙之于UTM。
    个人觉得A10在ADN这块还是很有竞争优势的,看一下A10的ADN客户:microsoft,taobao,虽然不像F5拥有那么多的500强客户,但A10毕竟是一个新兴的挑战者啊,能进入这样级别的公司,可见实力不容小觑。
    但在整个解决方案这块,的确如你所说,F5还是很有整体解决方案优势的。
    但对F5这种公司,我始终怀疑,如果一旦思科这种公司进入它的市场,它是否会受到很大的冲击,就像当初的Firepass系列产品那样。虽然在负载均衡这块他是元老级的公司(之一?)。我觉得这只是时间问题,像很早前,SSL VPN还是小众产品的时候,思科也没搭理这块市场,但SSL VPN市场成长起来后,思科立即就进入了,不知道ADN会不会面临同样的命运。

    注:非市场人员,以上言论不具权威性。

  20. YOY 于 2011-01-31 6:50 下午

    还是欢迎厂商的人,来参与更多的讨论!

    如果Cisco想进入负载均衡的市场,他还不如把Radware,A10,Array这样的公司收购了。不过被收购的公司后来命运好像都不好,像北电收购了Alteon,基本老大的位置就让出了。后来又被Radware买走了,前段时间又传闻IBM想买Radware。博科买走了Foundary,现在也一般吧。

    陈首席提的riverbed,还有citrix,bluecoat,aruba等技术型公司,我觉得国内真的还都很欠缺。

    另外,思科进入SSL VPN市场?我到不觉得。国内的深信服,国外的Juniper还是领先的。SSL VPN市场一直萎靡,有可以替代IPSEC的概念和机会,但是没有出现爆发。如果搭不上云计算的快车,我还是很不看好SSL VPN未来的市场。

  21. Will Chie 于 2011-01-31 9:05 下午

    事实上,思科基本上一直在通过收购的方式进入一个市场,有所不同的是,思科收购的还是有些不错的,交换机,防火墙,等等好多都是收购来的。

    国内的安全市场是特殊的,所以看SSL VPN不能看国内,看看这个是全球啥形式吧:
    http://www.networkworld.com/community/node/57691

    在“Gardner Magic Quadrant for SSL VPNs”这部分可以看出,SSL VPN市场中,即是leaders级别,又是visionaries的,只有juniper和cisco两家,虽然和juniper还有差距,但比F5还是要好些的(目前看来)。

    不觉得SSL VPN市场萎靡,看看深信服的收入都从哪来的就知道了。SSL VPN对IPSEC不完全是替代关系,更多的是互补关系。云计算对于SSL VPN来说则不是“快车”,云计算对于SSL VPN实际上是危机,既有危,又有机。首先不确定的是现在的SSL VPN是否符合云计算的需求,毕竟SSL VPN的优势是安全的端点访问和细粒度的权限控制,前者还好,而细粒度的权限控制云厂商会交给SSL VPN么?如果但是用SSL隧道的话,现在的ADN就具有SSL卸载能力,那么只剩下端点安全这个优势了。所以SSL VPN还存在机会,机会其一来自端点安全,毕竟SSL VPN的端点安全是和权限控制紧密结合的,不是单纯的端点安全产品可以做到的,还有就是如何能够尽早的做出符合云计算厂商需求的产品,能够让云厂商把权限控制这块交给SSL VPN来做。

  22. YOY 于 2011-01-31 10:40 下午

    SSL VPN市场的萎靡,我是指整个大的环境。

    我们来看一段报道:

    国际权威市场研究机构Frost & Sullivan在2010年发布了《中国SSL VPN市场分析报告》,自2004年推出SSL VPN产品以来,深信服在中国市场取得了长足的进步。2008年,深信服以31.1%的市场占有率,首次成为市场第一。2009年,贴近用户的产品以及深受大型企事业单位认可的服务使深信服获得了整个市场份额的34%,蝉联市场第一,并进一步扩大了优势,与其他友商拉开了至少8%以上的份额差距。

    1. 深信服大部分收入来自SSL VPN,不能说明SSL VPN市场好呀。深信服09年做了10+M,如果他的大部分收入来源于SSL VPN,而他又占了国内的34%,那国内整个市场的盘子也没多大。SSL VPN都喊这么些年了,整个市场才这么点数,至少不是蓬勃发展吧,呵呵。至于全球的SSL VPN市场,你可以用Juniper的业绩换算下,数字也少的可怜。
    2. 据市场预测,2011年SSL VPN市场会增长20%,而看看从2004年开始到2010年,真个市场增长了多少?我约莫不会超过100%。像ADN市场,这小10年间增长了5,600%都少说了。这个数字,可以从F5的业绩看出来。2002年F5大概100+M,现在是800+M
    3. 如果SSL VPN和IPSec是互补的关系。那么,如果用户已经有了IPSec的环境,你用什么方案说服用户用SSL VPN替换呢?

    4. 对端点的访问和权限控制,我的想法和你大致一样。SSL的加速卸载,ADN做的一样好。在云中,SSL VPN只能从端点安全和权限控制下手了。不过还有一块,就是对应用的访问能力,尤其是7层的安全访问,是SSL VPN独有的。

    5. 另外,Cisco的SSL VPN,是ASA5500系列。从产品技术上,我非常不看好,但是作为整体解决方案,Cisco有他自己的优势。放在全球,我仍然觉得他的产品不如Sonicwall,甚至是Array.

  23. Will Chie 于 2011-02-01 12:47 上午

    “1. 深信服大部分收入来自SSL VPN,不能说明SSL VPN市场好呀。深信服09年做了10+M,如果他的大部分收入来源于SSL VPN,而他又占了国内的34%,那国内整个市场的盘子也没多大。SSL VPN都喊这么些年了,整个市场才这么点数,至少不是蓬勃发展吧,呵呵。至于全球的SSL VPN市场,你可以用Juniper的业绩换算下,数字也少的可怜。”
    没错,SSL VPN是小众市场,但问题是ADN也是小众市场,我们不能说它是小众市场就说他萎靡了,因为一个产品的生命周期是:诞生、发展、巅峰、萎靡、消亡。就SSL VPN市场来说,如果忽略云计算的发展(会发展成什么样还不可完全预料),SSL VPN应该还在发展阶段,至少是发展的后半段。所以我们不能说它是萎靡的。如果这么说,大家完全不需要关心ADN了,它也是小众市场,事实上也正是因为它是小众市场,像F5、array这样的小公司(相对思科)才有机会发展。
    “2. 据市场预测,2011年SSL VPN市场会增长20%,而看看从2004年开始到2010年,真个市场增长了多少?我约莫不会超过100%。像ADN市场,这小10年间增长了5,600%都少说了。这个数字,可以从F5的业绩看出来。2002年F5大概100+M,现在是800+M”
    数字这个东东有时候未必能说明问题,其蹊跷就在于这个曲线,从诞生到将来的多少年,这两个产品的曲线不见得是一样的,而且假设匹配,那么您说的这10年是在这两条产品线的同一个阶段么?
    sorry,这段有点用了辩论技巧,毕竟研发的不玩市场数字,呵呵。

    “3. 如果SSL VPN和IPSec是互补的关系。那么,如果用户已经有了IPSec的环境,你用什么方案说服用户用SSL VPN替换呢?”
    IPSEC的L2L的情况我就不说了,你可以认为这方面IPSEC比SSL强,虽然事实上SSL VPN也有L2L的解决方案,但因为你说的前提是用户已经有IPSEC,所以我们忽略这个问题,我们只看C2L这种情况的SSL VPN几个优势:
    1:SSL VPN在有限的情况下可以不需要安装客户端,一个财务人员出差,公司有事情要他处理,他可以在网吧安全的把事务处理了;
    2:SSL VPN有Portal,能够让用户更方便的使用业务,不需要记住那些业务系统的URL,不需要使用FTP客户端,不需要另开邮件客户端等等。
    3:SSL VPN有更强大的认证系统,如:U-KEY,短信等等。
    4:SSL VPN有强大的端点安全系统:不仅可以直接的保证客户端的安全,同时可以根据收集的端点安全信息来作为访问控制策略的条件,保障业务安全。
    5:SSL VPN有强大的统一的细粒度访问控制,你可以使用正则表达式来决定那些用户可以访问那些URL,可以决定用户在使用FTP服务器时,是否只是只读的,还是可以写的,等等。
    6:SSL VPN支持更多的终端。

    其实以上这些,并不能肯定说服一个公司去买SSL VPN,但为什么,在国内这种环境,你懂的。

    “4. 对端点的访问和权限控制,我的想法和你大致一样。SSL的加速卸载,ADN做的一样好。在云中,SSL VPN只能从端点安全和权限控制下手了。不过还有一块,就是对应用的访问能力,尤其是7层的安全访问,是SSL VPN独有的。”

    似地,握手。

    “5. 另外,Cisco的SSL VPN,是ASA5500系列。从产品技术上,我非常不看好,但是作为整体解决方案,Cisco有他自己的优势。放在全球,我仍然觉得他的产品不如Sonicwall,甚至是Array.”

    cisco除了ASA中集成了SSL VPN,另外VPN产品线现在也是既有IPSEC也有SSL VPN,这也说明了思科也觉得他俩是互补的,呵呵。

    Sonicwall是收购的aventail的SSL VPN,现在似乎已经不再主流,而Citrix因为和本家系统结合紧密,而异军突起。

    array家的SSL VPN想当年那是很牛掰的,因为它把SSL VPN实现在内核里了,所以那个时候他家的SSL VPN性能是无敌的,但问题恰好出在他家把SSL VPN是现在内核里了,导致了他家的功能发展跟不上。不用说别的,端点安全和访问控制策略的结合这块,array和思科就差了十万八千里,而思科又和juniper有很大的差距。思科还是有他独特的优势的,它最独特的优势是他的访问控制策略能够和现有的AAA结合最好,juniper之流都是把权限放到了本地的,而思科是完全可以放到AAA服务器上的。

    写了好多,好累,很荣幸能跟了解市场的同僚谈这个话题。

  24. Will Chie 于 2011-02-01 1:06 上午

    http://finance.21cn.com/news/forum/2009/08/07/6699343.shtml

    下面这段摘自该文。

    近日,来自国际调研公司Frost & Sullivan的报告显示,中国的SSL VPN市场在2008年经历了一个有目共睹的巨大增长。整个市场相对于上一年实现了121.6%的增长,其中深信服科技成功跃居中国SSL VPN市场的领导者,以占据31.1%的总市场份额拔得头筹。针对此次调查,深信服公司领导在接受记者独家专访时表示,本次市场调研进一步证实了深信服在SSL VPN领域的市场地位,也给予了极大的鼓舞。

  25. Will Chie 于 2011-02-01 1:22 上午

    http://tech.sina.com.cn/s/2009-12-16/15281176827.shtml

    不好意思,非市场人员,找的数据可能不专业,仅供参考。

  26. YOY 于 2011-02-01 5:02 上午

    Will Chie,很高兴与你交换心得。Frost&Sulivan数据或许是专业的吧,我们就大概看个热闹吧。

    2008&2009年的SSL VPN市场报告
    http://network.51cto.com/art/200906/127827.htm
    http://www.enet.com.cn/article/2010/0514/A20100514653999.shtml

    2010年的预测已经调整了。需要到2016年,中国市场会有100M的蛋糕。可是ADN市场,现在的盘子是多少。。。你懂的,呵呵。

    深信服09年销售额是2.6亿,10年的目标是4亿。这个数字非常令人尊敬。我认为,他们如果继续重视SSL VPN的市场,每年最多也就是20%的增长吧,对于一个在成长的公司,显的还是太少。他的另外一款产品Wan加速,这个是非常有前景的方向。想想,他占据了国内品牌的优势,那光是卫星这一块,那就是一个多么大的流量,而且这智能手机又要爆炸了,所所。。。。

  27. Will Chie 于 2011-02-01 8:43 上午

    http://adntech.org/bbs/viewthread.php?tid=2844&extra=page%3D1

    这是一个ADN论坛,需要登录,下面是我抄出来的一些摘要:
    这个是全球的2010年第一季度的负载均衡/ADN市场份额数据,数据中分了高端和低端,我们汇总来看,2010Q1的负载均衡/ADN全球销售总额为$493M,而高端的季度增长率为4%,低端为1%。

    如果是这样,跟SSL VPN差不多啊。

    不过我找的数据还是比较失败,毕竟是季度数据。

  28. macli 于 2011-02-04 12:42 下午

    我在F5 seattle 快一年,感觉公司是一个技术实力很强的公司,很多开源软件被采用,我很喜欢 :)。

  29. macli 于 2011-02-04 12:51 下午

    首席135有点亏哪,100左右比较合理,股票到100左右时,管理层的都卖哪不少。

  30. scott 于 2011-02-27 5:15 上午

    正好准备攒一个关于IDC的安全解决方案,看到了这个帖子,我的拙见是IDC的安全可以从不同的视角切入,楼主是以IDC的运营者及使用者的角度来看的。那么从IDC功能的视角上来看我觉得安全应该包含以下五大部分:1.业务交付的安全;2.网络基础架构的安全;3.业务应用系统安全;4.数据数据生命周期的安全;5.网络运营管理的安全;还望各位高手指正。

  31. kernelchina 于 2011-03-01 2:14 上午

    to 30楼,不错,考虑了很多东西。不过个人认为安全就是要把人管好,把人管好了,就安全了。所以身份认证,权限之类的东西还是很重要的。不过这样有点太偏向技术了,估计领导不喜欢看。