网络安全后花园-数据中心运维管理区域顶层设计

本期我们来揭秘数据中心运维管理区域安全顶层设计，数据中心流量经过广域网接入区域的安全过滤后会进入各个逻辑区域，为保障各个区域的安全性，我们在规划设计时会考虑只要涉及到区域边界都会部署边界防火墙甚至网闸来提升边界安全性。

此外为了提升数据中心的安全管理能力会单独建立运维管理区域，通过该区域对整个数据中心资源进行灵活管理和安全控制。在该区域部署堡垒机（运维审计设备）来实现运维管理统一入口、责任事故清晰溯源的目的。在一个数据中心中可能有各个级别的网络管理员，如驻场工程师、客户技术人员、客户技术主管以及第三方运维人员等，各个级别网络管理员参差不齐、网络技术也可能差距很大，他们在操作设备时可能会有网络事故的发生（如删除命令、重启等高危操作）。通过部署堡垒机可以做到任何人登录设备的所有操作都会被记录下来，甚至所有操作都会被录屏，更加方便后期的事故溯源，同时通过部署堡垒机可以做到所有的网络登录都必须通过堡垒机才能正常登录避免从其他渠道登录设备，进一步提升网络安全性。

同时为了保证数据库的安全性一般会部署数据库审计设备，通过该设备可以把管理员登录到数据库的所有操作都清晰的记录下来，可以快速定位到事故相关责任人，有些厂商的数据库还能够定义管理员的级别，不同级别的管理员拥有不同级别的操作权限，如低级别管理员不能拥有高危操作的权限如“删库”等。从另外一个维度保证运维安全。为了进一步提升整个数据中心的安全系数，在该区域部署漏洞扫描产品，通过该产品可以发现目前运行状态中的服务器操作系统漏洞、数据库漏洞、WEB漏洞根据漏洞分布情况给出格式化报表并给出安全提升方案，该设备的部署大大提升了数据中心的安全性能。通过部署上述安全设备可以实现数据中心安全的纵深防护。

在大型数据中心的运维管理区域通常还会部署“态势感知”通过态势感知解决方案来对数据中心的各类安全事件综合分析、快速响应最终实现主动防御的目标。以往的数据中心安全都是被动防御，而台数感知的出现把被动扭转为主动，这是网络安全的一次伟大的革新。下一期我们来揭秘炙手可热的“态势感知”。