防止针对服务器攻击的微分割

随着越来越多的公司将其数字资产和软件平台迁移到云计算和数据中心，对于那些持怀疑态度的人来说，云计算和数据中心正变得越来越有趣。但是，对于坏蛋而言，收益并没有不同。数字窃贼更喜欢一站式服务，以获取互联网的所有好处。

还有其他一些东西使坏家伙更感兴趣。数据中心流量正在增加东西向流量（即，数据从一台服务器传输到另一台服务器）。思科产品管理安全总监Munaval Hussein写道：“思科全球云指数告诉我们，与数据中心园区网络不同，数据中心流量主要是东西向（76%），其次是南北流量（17%） ），而数据中心之间的流量为7%。”

到目前为止，数据中心服务器之间的开放通道一直处于隔离状态，这对攻击者来说是难得的机会。 “现代攻击通常使用用户授权方法来突破外围防御，但对数据中心边界内工作负载的水平迁移进行控制的措施很少或根本没有控制，以防止其扩散。”根据VMware数据中心微分割市场白皮书的描述，“最近发生的许多公共违规行为都是通过网络钓鱼和其他方式来证明的。导致恶意软件入侵，发现漏洞以进行攻击，命令和控制以及进行水平移动在攻击者找到他们要查找的数据之前，数据中心的流量不受限制。”

不用说，数据中心运营商正在寻找提高安全性的新方法。侯赛因说，这种方法是“发夹”式的，其中检查由数据中心外围安全设备路由的内部流量，然后将其转发到数据中心的原始目的地。

这听起来很复杂，而且充满了问题。网络专家同意这种观点。 VMware和其他公司提出了更好的解决方案是微分段。简而言之，微分段将数据中心网络划分为较小的保护区域。 “通过增强外围设备和加强流量防御，微型数据中心可以提供一个安全的服务，而不是单个网络，而可以在应用程序层之间和设备之间提供安全服务。”思科的报告认为，数据中心的微分割可以增强数据中心的流量安全性。从理论上讲，即使机器受到威胁，其危害也将仅限于较小的故障域。

微分割将数据中心网络划分为较小的保护区域

除了隔离和突破收容之外，还有其他好处。行业专家展示了微分段的一些实际优势：

·管理白名单：

除非您明确允许不是新的流量，否则请拒绝所有通信。微分段的方法是通过集成应用程序和网络服务进行管理。

·感知应用程序的安全性：

在微分段中，安全策略组不是基于IP地址或域名子网。专家说：“该策略是在虚拟机或容器托管的应用程序层执行。” “工作量和数据访问将受到以应用程序为中心的安全模型的保护。”

·集中配置：

如果处理得当，微分段可以巩固安全组成员的管理。集中配置的安全策略（例如防火墙规则）使它们能够在主机之间遵循虚拟机，并且新实例自动继承适当的安全组成员和安全策略。 “如果删除了特定的虚拟机，则该虚拟机和相关的防火墙规则也将被删除。”专家说：“这反过来可以确保防火墙规则库不断更新，并删除空闲和无用的规则。”这使数据中心运营商可以通过消除漏洞和制定预防措施来实施安全措施。

·访问控制：

顾名思义，微分割可以分离应用程序。隔离单个应用程序或对数据仓库启用严格的访问控制，这将减少内部攻击的可能性。

·攻击恢复：

微分段与DCIM平台结合使用，以减少发生数据泄漏时的负面影响。 “微分段使数据中心更加灵活，能够几乎立即查明问题，并且问题包含在狭窄的故障域中。”专家说：“同时，多重安全保证可以减缓攻击速度。这种扩散使运营商可以锁定黑客并保护高级数据。”

企业对如何实现微分割有不同的想法。但是，VMware产品管理总监Jeff表示，任何一种微分割都必须具有以下属性：

·耐用性：

尽管环境在不断变化，但安全性必须保持一致。这对于进入软件定义的网络特别重要。杰夫指出，“微分段为管理员提供了更多有用的方式来描述工作负载，”他指出了真正的微分段的三个要求，“管理员可以描述工作负载的固有特性，并将此信息反馈给安全策略。”

·到处：

通常，出于成本考虑，安全性发布基于静态优先级列表。杰夫指出，这是攻击者喜欢看到的。幸运的是，微分割可以嵌入到安全的数据中心基础架构中，这意味着可以将安全功能应用于所有工作负载，因此无需设置优先级。

·可伸缩性：

黑客擅长更改其攻击计划（如果有必要），也就是说，为了起作用，安全性必须灵活（如果不能更多）。 “例如，为了检测恶意软件，防病毒系统，防病毒系统与网络镜像流量一起协作到IPS，然后依次扫描异常流量。”杰夫解释。 “微分段的可伸缩性具有这种动态能力。没有它，安全管理员必须预先配置不同的静态服务链，每个服务对应于不同的可能的安全解决方案。

以上就是创新互联小编的分享，希望对大家有帮助，创新互联为大家提供专业的服务器托管，服务器租用，主机托管，香港服务器租用等服务器相关资源，详情可咨询客服了解。