<noframes id="ljlnj"><pre id="ljlnj"></pre>
      <track id="ljlnj"></track>
            <p id="ljlnj"><strike id="ljlnj"><b id="ljlnj"></b></strike></p><pre id="ljlnj"></pre>
            <del id="ljlnj"><ruby id="ljlnj"><mark id="ljlnj"></mark></ruby></del>

                河北慧日信息技術有限公司

                數據中心網絡安全建設方案研究

                更新時間:2022年12月30日  413瀏覽

                近幾年,隨著新興ICT業務的發展,網絡安全越來越受到人們關注。網絡安全的相關法律法規相繼出臺,讓安全合規成為企業數字化轉型的剛性要求。根據《中華人民共和國網絡安全法》,網絡安全應做到“三同步”,即“同步規劃、同步建設、同步運營”,將網絡安全防護融入到規劃、可研、設計、建設、驗收、備案變更、維護評估、整改加固、退網的全過程,實現網絡安全防護工作規范化、流程化、常態化。

                企業數字化轉型以及5G、物聯網、工業互聯網、移動支付等新業態帶動了數據中心的發展,在國家一體化大數據中心及“東數西算”節點布局的推動下,數據資源的安全越來越重要。因此,數據中心的安全需要從場景出發,與5G、云、網、算力等要素充分融合,提供綜合化、創新性解決方案。同時,“新基建”上云擴大了數據中心的安全邊界,應根據用戶需求提出整體解決方案,主動防御。

                本文在研究數據中心等級保護2.0(簡稱等保2.0)建設及IDC/ISP系統對IDC出口帶寬全覆蓋的基礎上,重點描述了數據中心安全部署位置、部署架構選擇以及IDC/ISP系統存儲設備的優化,將研究的成果應用到了大型數據中心安全能力的建設,經過測試,該方案能有效提升數據中心安全能力。

                數據中心安全能力需求

                等級保護2.0對數據中心安全能力提出要求

                 
                 
                 

                為適應云計算、大數據、物聯網及工業控制等新技術的安全需求,國家適時出臺了等保2.0的建設體系。等保2.0的要求包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境及安全管理中心5個方面。物理安全一般在機房建設初期進行了考慮,安全相關制度需在數據中心投入使用時制定,相關安全配套建設需要與網絡建設做到“三同步”,根據安全通信網絡、安全區域邊界以及安全計算環境的需求配置安全設備。

                IDC/ISP互聯網信安系統要求

                 
                 
                 

                目前IDC/ISP系統均已實現100%覆蓋IDC,具備數據安全功能,可對數據泄露、跨境流動、網絡攻擊、惡意程序、網絡異常等行為進行監測溯源和處理。

                現有IDC/ISP系統隨著鏈路容量的擴大,EU系統存在資源利用率不高、對云業務安全監測能力不足等問題。CU系統因逐年擴容建設成本較高,需考慮通過存算分離技術來實現資源按需擴展,提高資源利用率,實現降本增效。

                黑洞路由傳遞需求

                 
                 
                 

                大型IDC設置有專門的IDC出口路由器,在網絡邊界做匯總回程路由的時候有些網段不在內網中,但是又包含在匯總后的網段中,這些路由通過缺省路由進行轉發,能根據默認路由又回到原來的路由器,這就形成了環路,影響路由器的處理效率。因此,面向IDC出口的黑洞路由傳遞是在大型數據中心建設中需要解決的問題之一。

                數據中心安全建設方案分析

                 
                 
                 

                數據中心安全能力建設既要對IDC和互聯網專線用戶等提供安全防護能力,也要對內外運營商自有系統和網絡提供安全防護能力。

                安全能力池部署位置選擇

                 
                 
                 

                從安全原子能力的實現方式來看,可以將安全能力分為流量型和非流量型安全原子能力,以實現安全防護。流量型一般包括網關類安全能力及鏡像類安全能力,網關類通過VPN/PBR/VxLAN/SRv6等技術,將流量牽引至安全能力池內,流量經過處理后再回注被防護對象,此類安全能力與業務流量相關,時延要求較低。鏡像類將訪問流量鏡像至安全資源池內進行分析,并將結果反饋至安全管理系統。

                非流量型安全能力要求IP可達即可,安全原子能力只需與被防護目標網絡IP可達,對時延要求比流量型的要求更低。

                根據以上安全能力的分類,安全能力的部署位置有兩種選擇,即通過集中和近源部署實現安全防護。集中部署可以構建統一的安全能力池,安全能力資源共建共享,集約化建設運營。近源部署則是將部分安全能力在防護目標的近源側進行本地化部署,下沉至IDC機房,作為安全能力池的延伸,經由安全管理平臺統一管理,通過近源流量牽引實現安全防護。

                如圖1所示,數據中心因用戶訪問的時延敏感性,宜選用近源側部署方式,根據數據中心規模的大小,可分為3種部署方式:一是安全能力下沉至IDC機房;二是按城域網進行集約部署;三是以省為單位集中部署。3種部署方式對比如表1所示。

                圖1 數據中心安全能力池部署方式

                表1  IDC安全能力池三種部署方式對比

                安全能力池架構選擇

                 
                 
                 

                在安全能力組網架構選擇上,傳統的安全設備以串式為主,此種方案能較好地對數據流進行安全能力處理,組網簡單,串式安全能力組網如圖2所示。

                圖2 傳統串式安全能力架構

                此組網架構存在一個弊端,即串式安全架構安全能力池可擴展性差,單臺設備故障影響整體的安全能力,所有流量流經所有安全設備,安全設備間緊耦合。針對傳統安全架構遇到的挑戰,F5借助強大的全棧安全服務引擎,推出了SSLO,即SSL可視化與智能編排解決方案,可以做到安全能力資源池動態擴展、精分流量編排、設備故障快速隔離、安全設備灰度發布、以安全業務服務為調度核心。借鑒F5 SSLO安全架構編排理念,采用基于園區匯聚并行安全架構部署方式,可以完成數據中心的安全能力部署。3種安全架構部署方式對比如表2所示。

                表2  安全能力池架構部署方式對比

                大數據園區安全建設方案

                 
                 
                 

                隨著國家一體化大數據中心提出及“東數西算”工程的啟動,運營商紛紛在八大樞紐節點進行數據中心的建設,以某運營商在河北周邊數據中心建設為例,一期建設3棟數據中心大樓,啟用6000機架,考慮到建設初期IDC流量小,按單機架流量150Mbit/s、DCSW出口帶寬利用率65%進行擴容,通過計算可得DCSW出口帶寬達到1400G。在以上測算模型的基礎上進行數據中心安全能力的建設,某運營商大數據園區安全能力建設包括安全配套建設及國家監管IDC/ISP系統的建設。

                大數據園區安全配套建設方案

                 
                 
                 

                安全能力分別滿足流量型及非流量型的需求,流量型安全能力下沉至IDC園區,在園區內安全能力建設時,采用由其中一棟IDC機樓承接安全能力池的建設,其它機樓安全能力通過IP可達方式牽引至安全能力池進行部署。根據等保2.0的要求以及IDC園區自身路由安全的需求,安全能力池按需部署防火墻、IPS、DNS反解析、Web防掛馬、APT、WAF、漏洞掃描、基線掃描、雙提升測試服務器以及黑洞路由傳遞等10項安全原子能力。非流量型云安全自服務借助統一的安全能力部署方式,利用原有城域網的安全能力進行建設。

                在部署架構的選擇上,借鑒F5 SSLO安全架構編排理念,安全能力設備集中部署在園區匯聚交換機側,每臺設備均雙上行至匯聚交換機,既保證了鏈路安全,又做到了安全資源池可動態擴展、設備故障快速隔離、降低業務時延、高效支撐業務發展。大型IDC安全能力池部署如圖3所示。

                圖3 大型IDC安全能力池部署

                IDC/ISP系統優化方案

                 
                 
                 

                根據IDC/ISP系統建設要求,需對DCSW出口帶寬進行100%覆蓋。依據IDC/ISP系統EU及CU存儲的計算模型,總體存儲新增需求達到8022TB。EU采用分散部署的方式,分別在每棟機樓部署。CU采用集中部署方式,放置于其中一棟IDC機樓。在CU系統建設中,存儲容量建設隨著網絡帶寬的擴容,每年的擴容量增長較快,目前常用的存儲方式為分布式存儲,存儲容量為120TB(2U)。針對ID冷存儲型服務器常見的單臺設備容量為288T(4U),兩種建設方式對比如表3所示。

                表3  CU兩種建設方式對比

                綜合對比冷存儲型服務器及分布式存儲服務器,冷存儲服務器投資小、占用機架少,因此選用冷存儲服務器進行CU系統建設,可以實現降本增效。該方案應用于某運營商在大數據園區安全能力的建設,經測試,可達到數據中心的防護要求,對數據中心安全能力的建設有一定的參考價值。

                文章來源:通信世界
                ?

                微信掃碼關注

                Tel  :400-0311-765

                Add:石家莊市高新區物聯網大廈一層

                厨房呻吟嗯用力呀嗯啊

                  <noframes id="ljlnj"><pre id="ljlnj"></pre>
                    <track id="ljlnj"></track>
                          <p id="ljlnj"><strike id="ljlnj"><b id="ljlnj"></b></strike></p><pre id="ljlnj"></pre>
                          <del id="ljlnj"><ruby id="ljlnj"><mark id="ljlnj"></mark></ruby></del>