大学生疯狂高潮呻吟免费视频,超清纯白嫩大学生无码网站,国产高颜值大学生情侣酒店

                                                                                        海納百川 隨御而安

                                                                                        海御首頁> 海御新聞 > 傳統數據中心安全防護的無效性

                                                                                        傳統數據中心安全防護的無效性

                                                                                        2022-05-12 10:18:38 來源: 海御

                                                                                        數據中心已成為 21 世紀的虛擬銀行金庫。存儲在數據中心系統中敏感的公司、財務和個人信息對網絡罪犯來說可能價值數億美元。盡管在過去幾十年中,對這些系統的依賴性急劇增長,但為這些系統提供高級安全防護基礎架構卻相對沒有改變,依舊重點關注外圍安全,很少甚至壓根不關注數據中心內部的安全防護。

                                                                                        1.1  數據泄露事件持續發生

                                                                                         

                                                                                        盡管越來越嚴格的數據保護法、對安全技術的大量投資以及不斷壯大且能力不斷增強的安全團隊證明了企業對安全的高度重視,但數據中心漏洞仍舊以驚人的速度出現,而且每個新漏洞都比舊的更嚴重。

                                                                                         

                                                                                        Anthem、蘋果、索尼、塔吉特等公司最近遭受的網絡攻擊與以往有所不同,這些攻擊有一個共同點:一旦突破外圍,就能夠在數據中心內的服務器之間橫向運動,收集、過濾和利用敏感數據,基本上沒有

                                                                                        安全控制來阻止它。這些案例突出了現代數據中心的一個主要弱點:過于關注數據中心外圍安全,卻忽視了數據中心內部的安全性。想要有效解決這一弱點,需要從數據中心外圍應用的安全技術和控制措施中挑選適用的部分,部署在數據中心內部,以便在外圍被破壞時阻止或隔離攻擊。

                                                                                         

                                                                                        根據公開報道,2021  年,數據泄露的平均成本達到  17 年來最高,成本從 386 萬美金上升到 424 萬美金。

                                                                                         

                                                                                        但實際發生的數據泄露的成本可能比這個數據要高得多。例如,2021 年,蘋果代工廠「廣達」被國際黑客組織   REvil 攻擊,黑客組織盜取了正處于計劃量產中的 MacBook Pro 圖紙在內的各類機密文件數據,并通過加密方式勒索贖金約 3.2 億元人民幣。此外,廣達或還將因此面臨蘋果保密協議的高額罰金。同年,Omiai    母公司 NetMarketing 表示,其服務器遭到未經授權訪問。遭泄露的數據包括用戶身份證、駕照、保險卡和護照信息,部分流行的   Android 應用泄露了超過 1  億用戶的個人數據。Net  Marketing 是東京證券交易所上市公司,目前其市值約為 7000 萬美元。

                                                                                         

                                                                                        由此可見,國內外數據安全的形勢不容樂觀。

                                                                                         

                                                                                        辦公 APP、手機 APP 等新的應用場景不斷出現,我們面臨的網絡環境更加復雜。怎樣在不影響業務應用的情況下,解決數據在存儲、使用與跨境流動環節中的安全,對數據安全構成新的挑戰。

                                                                                        1.2  數據中心的攻擊流程

                                                                                         

                                                                                        現在復雜的網絡攻擊利用了數據中心設計中存在的一個基本漏洞:數據中心內部幾乎沒有安全控制。洛克希德·馬丁網絡殺傷鏈(見圖 1-1)展示了一個用于了解網絡犯罪分子破壞數據中心外圍過程的簡單框架。攻擊者一旦進入數據中心,就可以在整個數中心內任意橫向移動,以擴展攻擊面并實現攻擊目標。

                                                                                        圖 1-1:洛克希德·馬丁網絡殺傷鏈

                                                                                         

                                                                                        這個模型反映了一個嚴峻的問題:雖然投入大量的精力和資源用以保護數據中心外圍(對應于圖 1-1 中的前三個步驟),但入侵仍不可避免地頻繁發生。攻擊者一旦進入數據中心,就可以利用漏洞、安裝惡意軟件、建立命令與控制(C2)基礎設施,輕易就能在整個數據中心的系統間橫向移動(見圖 1-2)。

                                                                                         

                                                                                        C2 通信對于成功的攻擊至關重要,為避免被發現,它必須是隱蔽的。C2 流量通常用“安全套接字層(SSL)”加密,并在合法的應用程序或協議中使用代理或隧道。

                                                                                         

                                                                                        圖 1-2:C2 可進一步在數據中心進行偵察

                                                                                         

                                                                                        接下來,攻擊者在其他設備和系統上安裝額外的  C2 基礎設施,覆蓋所有入侵痕跡,并在利用數據中心內部漏洞的多管齊下的攻擊中提升系統權限(見圖 1-3)。

                                                                                         

                                                                                        圖 1-3:安裝額外 C2 基礎設施,以確保攻擊者在數據中心橫向移動時的持久性

                                                                                         

                                                                                        現代的高級攻擊一般是持久且有彈性的。如果發現了主動威脅,攻擊者可以快速“喚醒”數據中心另一個受感染系統上休眠的惡意軟件毒株,然后繼續攻擊(見圖 1-4)。由于缺乏充分的隔離和安全控制,以及數據中心內東西流量的激增,事件響應團隊很難有效地隔離攻擊。

                                                                                         

                                                                                        因此,攻擊者可以對目標執行任意操作(請參見圖 1-5)。

                                                                                         

                                                                                        圖 1-4:如果發現攻擊,攻擊者將休眠毒株激活,并繼續攻擊

                                                                                         

                                                                                        圖 1-5:攻擊者可以對數據中心目標執行任何需要的操作

                                                                                         

                                                                                        如果目標是竊取敏感信息,攻擊者會將數據打包成小的、加密的有效載荷,避免在從目標網絡滲漏時被檢測到。

                                                                                         

                                                                                        在耐心、彈性、多管齊下、隱秘的攻擊策略下,數據中心內的攻擊者可以相對不受阻礙地在系統之間移動,并在被檢測到之前持續竊取敏感數據長達數月甚至數年。

                                                                                         

                                                                                        1.3  數據中心外圍的安全措施

                                                                                         

                                                                                        隔離是一項基本的信息安全原則,幾十年來一直應用于數據中心設計。在最基本的層面上,隔離應用在兩個或多個網絡之間,例如內部網絡(數據中心)和外部網絡(互聯網),防火墻部署在不同網絡之間的外圍邊界(見圖 1-6)。

                                                                                         

                                                                                        圖 1-6:在處處需要安全的數據中心,基于外圍的安全防護是不夠的

                                                                                         

                                                                                        盡管目前數據中心確實存在隔離,但網絡分段太大,無法發揮作用,而且這些網絡隔離通常是為了限制互聯網與數據中心之間或客戶端工作站與數據中心之間的南北向流量。例如,可以使用額外防火墻將網絡劃分為多個信任級別,以創建 DMZ 或單獨的部門網絡(如財務、人力資源和研發)。為了發揮更全面的效果,隔離(和防火墻)需要能夠降低到單個工作負載的級別。但一個典型的數據中心可能有成千上萬個工作負載,每個工作負載都有獨特的安全條件。

                                                                                         

                                                                                        目前,數據中心外圍已經部署了許多先進的安全解決方案,包括下一代防火墻、反惡意軟件、入侵防御系統(IPS)、分布式拒絕服務(DDoS)預防、統一威脅管理(UTM)、垃圾郵件過濾和許多其他技術。這些解決方案雖然加固了外圍防御,但它通常只能解決限定上下文和不同安全技術之間的特定威脅,數據中心安全的基本問題仍然存在:當攻擊

                                                                                         

                                                                                        者越過外圍進入數據中心內部以后,就能不受控制地隨意移動。為了在任何位置都能成功阻止威脅的發生,數據中心外圍和內部都需要部署這些解決方案,通過一個統一的平臺提供跨各個工作負載和不同技術的上下文和協調能力。

                                                                                         

                                                                                        過時的數據中心安全方法無法滿足在任何地方、任何時間從任何設備訪問數據中心應用程序和數據的現代業務需求,也不足以應對當今復雜的網絡攻擊。這些方法和挑戰包括:

                                                                                         

                                                                                         以外圍為中心的安全設施:外圍防御很強大,但數據中心內部的安全控制很薄弱,甚至根本不存在。在高級安全解決方案(如下一代防火墻、IP、DDoS 防護和其他技術)上分層可以加強外圍環境,但不足以解決數據中心內部的威脅。

                                                                                         

                                                                                        缺乏內部控制: 攻擊者利用數據中心內部薄弱或不存在的安全

                                                                                         

                                                                                        控制在工作負載之間橫向移動,快速擴展攻擊面。

                                                                                         

                                                                                         無法擴展:部署成百上千的防火墻來保護數據中心中的每個工作

                                                                                         

                                                                                        負載是不可行且不切實際的。

                                                                                         

                                                                                         映射到網絡拓撲的安全性:由數據中心服務器工作負載的物理位置確定的安全策略并不能滿足業務和合規性要求,而且它過于僵化和復雜。這種傳統的安全方法通常會導致應用程序部署中的重大延遲。

                                                                                         

                                                                                        回傳的低效性:強迫東西向流量通過防火墻會形成阻塞點,并回

                                                                                         

                                                                                        傳服務器流量,導致防火墻規則集和復雜性的蔓延。

                                                                                         

                                                                                        大型安全區:在數據中心內部使用防火墻阻塞點,試圖將其隔離,從而創建粗粒度的安全區域,但威脅仍能在這些大型分段隔離區內相對不受阻礙地移動。

                                                                                         

                                                                                        雖然外圍安全是安全的重要因素,但它不應該是基礎,就像建筑物的墻構成了關鍵的結構邊界,但它并不是基礎,而是由地基提供了建筑的平臺。

                                                                                         

                                                                                        為了有效地保護數據中心免受現代攻擊,需要對各個工作負載進行微隔離。

                                                                                         


                                                                                        服務熱線

                                                                                        010-87747760

                                                                                        大学生疯狂高潮呻吟免费视频,超清纯白嫩大学生无码网站,国产高颜值大学生情侣酒店