构建数据中心安全体系结构

DoSECU 安全报道 6月16日消息:数据中心体系结构在过去几年中发展的如此神速。在很多数据中心里,硬件的飞速增长打破了应用软件的承载平衡。标准的三级式体系结构要求每个应用软件都使用分级网络。在这种体系结构下,诸如防火墙和入侵防御系统等核心安全服务就会集中在网络树的根部,与路由器最为接近。

诸如SSL加速器或者验证系统等其他安全应用工具可能会作为临时特性增加到特殊应用软件中。被动监控应用工具可能也会被插入各种端口中,用来监控网络树中战略性交叉处的流量。所有这些不同的安全系统目前已经被结合在一起,创建了一个专用的安全子网络体系结构。

这并非安全领域的专用。我们在许多其他的网络或者应用软件服务中也可以看到类似的整合。优化设备,高速缓存,负载平衡,应用软件网关,XML网关和安全应用工具经常会被绑定在服务子网络中,这些服务子网络可以向数据中心的任何应用软件提供服务。推动这种体系结构发展的最大动力是应用软件体系结构的相应变化。随着应用软件的整合和虚拟化,他们通常会用在服务器池中,在这个池中实现快速配置。

要想指出特定的服务器的功能已经变得越来越难了。不要误解笔者的意思:笔者讨论的不是自动应用软件的功能。灵活性和服务器池已经模糊了应用软件之间的固定界限,让他们更加灵活。因此如果应用软件可以四处迁移,然后支持打算进行整合和功能共享的应用工具和服务。

越来越多的企业开始关注DMZ和应用工具的整合。他们会努力建立标准服务子网络来降低成本和减少复杂性。到目前为止,关注点已经被区分为应用软件服务和安全服务。不过这些功能在较少的应用工具上就能实现,企业可以在单一子网络上对其进行整合。

另一个可能性是整合被动监控系统。大量不同的被动监控系统分布在数据中心之中。无论是监控性能,网络参数,网络流量,安全事故还是应用软件,这些被动监控设备都要争夺有限的端口。网络交换机会快速消耗掉系统端口或者向一些监控设备提供线速流量。可能这就是下一个体系结构整合的点。在活动应用工具子网络体系结构旁边,企业可以在单独的位置上建立一个专用监控体系结构来整合所有的被动监控应用工具。

随着数据中心格局发生变化,数据中心网络在体系结构上逐渐演变的更为平稳,我们希望能看到应用工具(无论是主动的还是被动的)与专用服务子网络结合在一起。由于服务器的虚拟化和整合,数据中心的体系结构开始进行改变。安全也不例外。