近几年,随着新兴ICT业务的发展,网络安全越来越受到人们关注。网络安全的相关法律法规相继出台,让安全合规成为企业数字化转型的刚性要求。根据《中华人民共和国网络安全法》,网络安全应做到“三同步”,即“同步规划、同步建设、同步运营”,将网络安全防护融入到规划、可研、设计、建设、验收、备案变更、维护评估、整改加固、退网的全过程,实现网络安全防护工作规范化、流程化、常态化。
企业数字化转型以及5G、物联网、工业互联网、移动支付等新业态带动了数据中心的发展,在国家一体化大数据中心及“东数西算”节点布局的推动下,数据资源的安全越来越重要。因此,数据中心的安全需要从场景出发,与5G、云、网、算力等要素充分融合,提供综合化、创新性解决方案。同时,“新基建”上云扩大了数据中心的安全边界,应根据用户需求提出整体解决方案,主动防御。
数据中心安全能力需求等级保护2.0对数据中心安全能力提出要求,为适应云计算、大数据、物联网及工业控制等新技术的安全需求,国家适时出台了等保2.0的建设体系。等保2.0的要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境及安全管理中心5个方面。物理安全一般在机房建设初期进行了考虑,安全相关制度需在数据中心投入使用时制定,相关安全配套建设需要与网络建设做到“三同步”,根据安全通信网络、安全区域边界以及安全计算环境的需求配置安全设备。
IDC/ISP互联网信安系统要求目前IDC/ISP系统均已实现100%覆盖IDC,具备数据安全功能,可对数据泄露、跨境流动、网络攻击、恶意程序、网络异常等行为进行监测溯源和处理。现有IDC/ISP系统随着链路容量的扩大,EU系统存在资源利用率不高、对云业务安全监测能力不足等问题。CU系统因逐年扩容建设成本较高,需考虑通过存算分离技术来实现资源按需扩展,提高资源利用率,实现降本增效。
黑洞路由传递需求大型IDC设置有专门的IDC出口路由器,在网络边界做汇总回程路由的时候有些网段不在内网中,但是又包含在汇总后的网段中,这些路由通过缺省路由进行转发,能根据默认路由又回到原来的路由器,这就形成了环路,影响路由器的处理效率。因此,面向IDC出口的黑洞路由传递是在大型数据中心建设中需要解决的问题之一。
数据中心安全建设方案分析数据中心安全能力建设既要对IDC和互联网专线用户等提供安全防护能力,也要对内外运营商自有系统和网络提供安全防护能力。
安全能力池部署位置选择从安全原子能力的实现方式来看,可以将安全能力分为流量型和非流量型安全原子能力,以实现安全防护。流量型一般包括网关类安全能力及镜像类安全能力,网关类通过VPN/PBR/VxLAN/SRv6等技术,将流量牵引至安全能力池内,流量经过处理后再回注被防护对象,此类安全能力与业务流量相关,时延要求较低。镜像类将访问流量镜像至安全资源池内进行分析,并将结果反馈至安全管理系统。非流量型安全能力要求IP可达即可,安全原子能力只需与被防护目标网络IP可达,对时延要求比流量型的要求更低。
根据以上安全能力的分类,安全能力的部署位置有两种选择,即通过集中和近源部署实现安全防护。集中部署可以构建统一的安全能力池,安全能力资源共建共享,集约化建设运营。近源部署则是将部分安全能力在防护目标的近源侧进行本地化部署,下沉至IDC机房,作为安全能力池的延伸,经由安全管理平台统一管理,通过近源流量牵引实现安全防护。
田鑫,专业的企业组网服务商,致力于为企业提供企业组网(SD-WAN、MPLS、云互联),业务云化、数据中心、网络安全、行业IT解决方案等相关服务。
更多相关内容推荐:
