三大要素+六个魔法 = 数据中心安全

随着各种业务都逐渐搬到了线上进行，企业和机构的日常运行越来越依赖于数据中心，数据中心的优劣会直接影响到企业的日常的运营——包括企业业务的安全性能否保障。数据中心的安全性和用户的隐私、线上业务的稳定性以及企业的虚拟资产息息相关。而联网设备和应用激进，也增加了大量的新的攻击入口，传统的安全边界方法已不足以保护动态的应用和工作负载。

作为一家全球领先的网络公司，思科针对这个问题提出了他们的解决方案。最近，安全牛了解了思科提出了数据中心安全需要三个必备要素：可视、分段以及威胁防御。

三大要素：可视、分段、威胁防御

在现代的多云环境下的数据中心，需要依靠三大要素构建起安全：可视、分段以及威胁防御。

如果企业、机构无法知道自己环境里到底有哪些设备、用户、网络、应用、服务以及进程，显然他们是无法真正做到防御的——因为他们甚至不知道自己该保护的东西有哪些，在哪里。因此，对于一个数据中心而言，可视化是安全的第一要点。企业需要全数据中心的可视化功能来实时监控自己的环境——知道自己网络有哪些设备、用户、服务，知道自己的网络里在发生着哪些行为、事件。因此，通过可视化功能，企业与机构不仅能知道自己环境中是否存在异样的 活动者，更可以通过观测各个实体的行为来察觉是否有异样。

分段则将一个庞大的系统分为一个个小系统。从管理上来看，技术人员不再需要单独处理一个极其复杂的系统，而是可以将这些系统作为一个个小系统单独对待，从而对各个系统有更好的管控。而从安全的角度上来看，分段的最大价值在于缩小了企业的受攻击面。通过进行分段，管理者可以对东西流量进行控制，从而防止攻击者以及异常数据在东西向移动，确保内部安全。攻击者的目标往往是数据中心中高价值的资产，采取分段后，攻击者将难以直接接入系统获取权限;企业从而可以避免了大部分的攻击。其次，在对整个系统进行分段后，企业可以针对业务对相关功能进行管理以及特殊配置，满足各种合规要求——而不需要对整个系统进行改变去满足合规需求，从而以更低廉的成本满足合规的需求。

无论布置了怎样完备的安全措施，攻击始终是无法避免的。而对于企业和机构来说，当攻击无法避免的时候，就需要快速探知攻击，从而降低甚至规避损失。几乎所有企业都在处于受到攻击的状态，只是大部分企业都没有意识到自己受到了攻击。现代数据中心面临着各种挑战：跨中心跨平台的工作负载、工作面随着移动应用的使用而增加、员工的终端被恶意代码植入成为了攻击的 发起点等等。企业需要从之前的“是否会受到攻击”以及“如何完全防御攻击”的思维过渡到“何时会受到攻击”以及“如何感知甚至预测攻击”的思维。因此，企业需要多层威胁防御方案，对到来的攻击快速进行探知以及响应，防止攻击者窃取数据或者中断业务。

新时代的数据中心只有满足了这三大要素，才能真正为自己的用户提供数据中心的安全能力。这三大要素需要达成的最终目的是通过可视化对数据中心进行全局的掌控，通过分段缩小自己的受攻击面，通过威胁防御来阻止攻击的蔓延。将这三个要素一体化达成，是思科对数据中心安全的核心思想。

六大安全魔法

基于可视、分段和威胁防御的思想，思科有六大解决方案来确保数据中心安全。

1. Fire power NGFW

现今大部分的NGFW即使能做到对应用端的管控，也还是很少有威胁防御的能力。而即使部分NFGW试图去增强这部分的能力，他们的策略也仅仅是加上各种非一体化的产品——但是这种方式显然杯水车薪，因为他们无法应对更为老道的攻击者或者更先进的恶意软件，也无法在事中减小感染面、对受攻击部分进行隔离，更不要提快速恢复。而思科的Firepower NGFW则做到了对防火墙、应用管理、威胁防范以及网对端的高级恶意软件防护的一体化防御，可以做到接入控制、阻挡攻击和恶意软件，并且即使无法成功防御住攻击，也有一体化工具去追查攻击情况并且进行恢复，达成了威胁防御的需求。

2. Stealthwatch