在虚拟化和云计算时代，管理 员需要一个更全面的方法来确保数据中心更安全。

    随着云计算的出现、广泛的互联网应用、面向服务的架构，以及虚拟化，数据中心变得更有活力。不过，转向一个新的计算环境增加了数据层的复杂性，也增大了 IT经理保护数据中心的难度。

　　美国国防信息系统局(DISA)技术项目总监Henry Sienkiewicz表示企业应该在设计数据中心时就考虑到数据中心的安全性。

　　“数据中心是一个完整的生态圈，必须从整体角度来看” Henry Sienkiewicz说。 “如果我们不这样做，我们就会漏掉一些东西。”

　　Apptis技术公司的数据中心经理Jim Smid表示IT经理们越来越多地希望可以确保通信的绝对安全，这意味着从桌面安全到网络应用程序到存储都必须是安全的。过去，网络支持团队只需要确保网 络的安全；应用小组只需处理数据加密......但当前的环境和新出现的技术都对安全策略提出了新要求，所以需要采用新的方法来应对，Smid表示，企业 需要监控数据中心所有的业务交互是否正确，并确保数据中心的每个组成部分都是安全的。

　　除此之外，数据中心的安全管理人员和行业专家表示 企业必须管理法规、政策、人员和技术，需要确保动态安全乃至整个数据中心的安全。每一层的安全都是很重要的，很难说哪一个更重要。

　　一些 组织如云安全联盟是一个全球安全专家协会和行业领导者联盟。该联盟公布了云计算知识和使用云计算的最佳实践指导。这个指导手册覆盖了十五个安全领域，从计 算架构到虚拟化，都是企业应该应用到数据中心的安全措施。

　　在与一些数据中心安全管理员和行业专家对话的基础上，我们列出了确保数据中心 安全的五要素。

1. 确保物理安全

　　对于有些公司来说， 首先需要考虑的是继续自己维护自建的数据中心还是将其外包？Smid说。 另外一些数据中心经理可能要从更艰难的任务入手，如控制对每个系统或网络层的访问。下面让我们看一个例子。

　　NASA美国宇航局喷气推进 实验室(JPL)IT集团经理Corbin Miller更愿意从数据中心物理安全入手。

　　在位于Oklahoma的美国联邦航空局 (FAA)数据中心，分层的安全越来越受欢迎，前美国联邦航空局企业服务中心IT主管迈克梅尔斯表示。在该中心，物理安全包括以下要素：一个隔开的校园、 进入主体建筑和数据中心需要证件、由一名警卫员护送每位来访者、进入房间需要密码卡、数据中心装有视频监控，以及根据数据的敏感性锁定的服务器。

　 　米勒正通过在实验室的数据中心建立物理安全层来划分测试、开发和生产领域。

　　该中心的经理要在数据中心设立一个开发实验室，但米勒希望 把它和生产区域分开，以保持JPL的操作正常运行。

　　“我想要把生产区作为最高级别的安全区”，只允许该地区授权的系统管理员进入，他 说，“所以我设想在数据中心开设三个区。” 一个区将用于研究人员测试的设备;一个区在系统和应用开发进入生产之前，给他们提供更多的控制;最后一个区是生产区，只有核心系统管理员可以进入。

　 　对于内层，并非一定需要证件进入，但有些类型的访问控制(如服务器机架上锁)对于生产系统是很有必要的，米勒说：“我只是不希望突然实验室的人员说， ‘我需要电力，让我把设备插在这儿吧’，这种操作会给生产系统造成问题”他说。

2. 建立网络安全区

　　在确保物理安全之后，艰难的 网络安全工作开始了。

　　“我会把分区集中到网络层，”米勒说， 在JPL“第一个区域是略显宽松的环境，因为它是一个开发领域。下一个是子网的测试，它和开发区是分开的，是一个比生产区更宽松的环境。”

　 　第三区是生产或支持子网的区域，也是系统管理员花费大量的时间和精力的地方。该区只有生产设备，因此管理员必须以受控的方式给生产网络部署新系统，米勒 说。

　　在JPL，管理员可以给虚拟局域网的子网络部署系统，并给流量设立严格的规则。例如，管理员可以把邮件服务器部署在端口25或端口 80，原则是这个部署并不会影响那个区本来的流量。

　　米勒表示数据中心管理人员需要考虑倒企业子网络处理的业务类型。如电子邮件应用和一 些数据库监测应用需要连接到外网，但这些生产机不应该连到CNN.com、ESPN.com，或雅虎新闻之类的网站。在管理员设置相应的规则后，他们可以 更好地检测异常活动，米勒说。

　　米勒表示一台机器转移到生产网络的时候，你应该知道它正在运行什么、谁可以访问操作系统层、它在通过网络 与哪些系统通信？

　　“现在你可以更好的了解你的安全监控和数据泄漏以及预防监测程序应该放在哪里”他强调， “如果我知道只有三台机器在网络上时，我可以很清楚的看清流量和其他细节。”

　　米勒表示尽管无线网络很受欢迎，但无线接入点在数据中心并 没有必要，因为他们很难控制。

　　DISA采取三管齐下的方法保证数据中心的安全性，Sienkiewicz说。第一部分是NetOps， 确保国防部的全球信息网格的业务框架是可用的，而且它还提供安全保护和完整性。 二是技术保护。最后一部分是应用的许可和认证。

　　 Sienkiewicz介绍，NetOps包括GIG Enterprise Management, GIG Network Assurance,以及 GIG Content Management三个部门。 DISA投入了特定的人员、政策、流程和业务支持功能来运营NetOps。

　　在技术方面，美国国防部非军事区是一个焦点。 所有的国防企业计算中心的流量都集中通过DOD和DISA非军事区。

　　因此，必须检查和管理连接国防部Web服务器的所有主机。 此外，在网络访问架构和其他DECC架构之间有一个隔离，在用户和服务器类型之间也有一个逻辑分离。

　　凭借这些设置，DISA可以限制访 问点、管理指令和控制，并跨环境提供集中安全和负载平衡。

　　此外，“我们使用out-of-band （带外）网络，生产流量并不级联到我们管理架构的方法中。” Sienkiewicz说。 通过虚拟专用网络连接，用户可以管理他们自己的环境。VPN连接为生产主机提供路径来发送和接收企业系统管理流量。

3. 锁定服务器和主机

　　在俄克拉何马联邦航空局，所有服务器都在数据库中有登记。这个数据库包含服务器是否包含隐私信息等 细节。数据库大部分是手动维护的，但这个过程可以通过自动化提高效率，迈尔斯说。 美国联邦航空局正在提高软件自动化。

　　此外，美国联邦 航空局正在执行修补程序，至少每月都要跟踪并扫描他们服务器上的漏洞一次。

　　美国联邦航空局将数据安全和服务器的安全分开处理。美国联邦 航空局使用应用加密多于软件加密，因为后者有较大局限性，而且产生了系统兼容的问题。该机构设立了防火墙来把政府的数据和私人数据分开。 联邦航空局还使用扫描技术来监测潜在的外泄活动数据。 该扫描技术旨在确保数据进入正确的收件人，并且得到适当加密，迈尔斯说。

　　在 DISA，数据中心经理正在努力解决服务器虚拟化造成的安全问题。 Sienkiewicz表示：服务器虚拟化用的越来越多，而服务器虚拟化带来了新的安 全问题。

　　DISA的安全管理人员必须回答的一些问题是“我们如何确保管理程序已经锁定?我们如何确保添加、删除和迁移从而得到适当的保 护? ”

　　“我们使用虚拟化的最大问题是分开和孤立” Sienkiewicz说，“我们努力把应用程序、Web服务、应用服务和数据库服务区分开，放到不同的物理机架，使得在这个环境中数据不会发生意外接入 或流出”。

　　和美国联邦航空局一样，DISA也在一张名单上登记了主机。他们还安装了基于主机的安全系统，监测和检测恶意活动。 DISA用公钥为DOD管理物理安全，用户必须使用通用访问卡登录到系统，这样双重认证提高安全性。

4. 应用程序漏洞扫描

　　应用扫描和代码扫描工具是非常重要的，美国宇航局的米勒说。

　　在JPL，如果有人 想部署一个应用程序，在进入生产环境之前，它必须经过管理员的扫描。 米勒使用的IBM Rational AppScan等扫描Web应用程序。 AppScan测试了黑客可以轻易地利用的安全漏洞，并提供修复能力、安全性指标以及关键的报告。

　　另一方面，写代码的开发人员必须通过 代码扫描器运行它，这个代码扫描可能是一个Perl脚本，可以扫除缓冲区或其他漏洞的代码，米勒表示。

5. 协调沟通可视数据流设备的安全性

　　如果采用了云计算，机构需要从整体上改变他们的数据中心安全措施，Juniper网 络公司系统工程总监Tim LeMaster表示。

　　“在云计算环境下，主要是保护数据中心、用户系统之间以及数据中心内虚拟机的安 全。”LeMaster说。 因此，应用程序的可视性变得非常重要。

　　“你必须能够方便的看到这些流量确认他们是合法的。你要确保你看到 的不是恶意软件，因为很多恶意程序会伪装成其他流量。” 很多通信会使用拥有保密插口层加密的88端口或通道。 网络管理员必须具备识别这些流量的知识和能力，他解释说。

　　Juniper网络公司开发的应用程序识别技术，可以识别的范围从端口协议到 数据的内容，帮助用户识别某应用是否是一个真正的共享程序或端到端的程序。

　　Juniper公司的技术还侧重于应用的拒绝服务攻击。拒绝 服务攻击并不新鲜，但传统的方法来对付攻击是black hole（黑洞）流量。 应用拒绝服务防范软件的特色是为管理员提供了分析能力，帮助确定某通讯是否合法。有了这些工具，管理员可以观察其他数据流客户端，并把它们和现有的其他数 据中心的对比。协调网络设备、防火墙、SSL的设备和入侵防护解决方案在云计算基础设施中都很有用。