現(xiàn)代數(shù)據(jù)中心將基于云的部署與本地基礎設施相結(jié)合，充分利用這兩種環(huán)境的優(yōu)勢。這些混合數(shù)據(jù)中心面臨著重大的網(wǎng)絡安全風險，因此混合云安全架構(gòu)對于保護它們免受損害以及對數(shù)據(jù)和應用程序可用性和安全性的其他威脅至關重要。

數(shù)據(jù)中心的作用

數(shù)據(jù)中心提供用于托管企業(yè)應用程序和數(shù)據(jù)的共享基礎架構(gòu)。它包括用于網(wǎng)絡、計算和存儲的組件。為了確保托管在數(shù)據(jù)中心內(nèi)的數(shù)據(jù)和應用程序的安全性和可用性，存在行業(yè)標準來幫助設計、構(gòu)建和維護這些設施。

過去，公司將其數(shù)據(jù)和應用程序完全托管在本地數(shù)據(jù)中心中。然而，隨著云計算的出現(xiàn)，公司已經(jīng)將越來越多的 IT 基礎設施遷移到公共或私有云環(huán)境。這些云環(huán)境提供操作系統(tǒng)即服務，并為企業(yè)提供各種優(yōu)勢，包括更高的敏捷性、效率、靈活性以及利用顯著成本節(jié)約的潛力。

然而，公有云和私有云環(huán)境并不是企業(yè)數(shù)據(jù)中心的完美解決方案。本地基礎架構(gòu)為組織提供了對托管其數(shù)據(jù)和應用程序的基礎架構(gòu)的更大控制和可見性。因此，組織通常采用混合數(shù)據(jù)中心模型，將內(nèi)部部署和基于云的基礎架構(gòu)相結(jié)合。這些混合數(shù)據(jù)中心利用編排的優(yōu)勢，允許通過網(wǎng)絡在基于云的基礎設施和本地基礎設施之間共享數(shù)據(jù)和應用程序。因此，公司可以在本地數(shù)據(jù)中心和基于云的數(shù)據(jù)中心提供的優(yōu)勢之間取得更好的平衡。

數(shù)據(jù)中心的重要性

數(shù)據(jù)是現(xiàn)代企業(yè)的命脈，正確保護、管理、治理和使用這些數(shù)據(jù)對于企業(yè)的成功和盈利至關重要。法規(guī)遵從性和業(yè)務成功取決于組織對其擁有的敏感數(shù)據(jù)的可見性和控制。

數(shù)據(jù)中心是承載這些數(shù)據(jù)并為部署數(shù)據(jù)管理解決方案提供環(huán)境的基礎設施。精心設計的數(shù)據(jù)中心可確保其所管理數(shù)據(jù)的機密性、完整性和可用性。隨著組織變得越來越受數(shù)據(jù)驅(qū)動，數(shù)據(jù)中心既可以是重要的競爭優(yōu)勢，也可以是主要的負擔。

數(shù)據(jù)中心面臨的主要威脅是什么？

數(shù)據(jù)中心是組織 IT 基礎架構(gòu)中最重要的部分之一。因此，數(shù)據(jù)中心運營的中斷會對企業(yè)的運營能力產(chǎn)生重大影響。對數(shù)據(jù)中心（以及托管在其上的數(shù)據(jù)和應用程序）的可用性和安全性的兩個主要威脅是對底層基礎設施的威脅以及對托管在該基礎設施上的數(shù)據(jù)和應用程序的網(wǎng)絡威脅。

直接基礎設施攻擊

數(shù)據(jù)中心由三種類型的組件組成：計算、存儲和網(wǎng)絡功能。針對此基礎架構(gòu)的漏洞利用會影響數(shù)據(jù)中心的可用性、性能和安全性。

數(shù)據(jù)中心旨在包括針對基礎設施漏洞的各種防御。對關鍵功能使用冗余有助于消除單點故障并最大限度地延長正常運行時間。這使得攻擊者更難破壞托管在此基礎架構(gòu)上的應用程序。

此外，數(shù)據(jù)中心擁有支持基礎設施，旨在應對可能破壞服務訪問的自然事件和攻擊。其中包括不間斷電源 (UPS)、滅火系統(tǒng)、氣候控制和樓宇安全系統(tǒng)。

針對托管服務的網(wǎng)絡攻擊

數(shù)據(jù)中心的目的是托管關鍵業(yè)務和面向客戶的應用程序。這些應用程序可以通過多種不同的方式進行攻擊和利用，包括：

1. Web 和應用程序攻擊：Web 應用程序容易受到一系列攻擊，包括 OWASP Top 10 和 CWE Top 25 Most Dangerous Software Weaknesses 中概述的攻擊。
2. 分布式拒絕服務 (DDoS) 攻擊：服務可用性對于積極的客戶體驗至關重要。DDoS 攻擊威脅可用性，導致收入、客戶和聲譽損失。
3. DNS 攻擊：托管 DNS 基礎設施的數(shù)據(jù)中心可能容易受到 DNS DDoS 攻擊、緩存中毒和其他 DNS 威脅。
4. 憑據(jù)泄露：通過數(shù)據(jù)泄露、憑據(jù)填充、網(wǎng)絡釣魚和其他攻擊破壞的憑據(jù)可用于訪問和利用用戶的在線帳戶。

這些和其他攻擊可能會破壞數(shù)據(jù)中心托管的應用程序的可用性、性能和安全性。公司必須部署解決所有這些潛在攻擊媒介的安全解決方案。

數(shù)據(jù)中心的主要漏洞是什么？

數(shù)據(jù)中心托管的應用程序容易受到多種方式的攻擊，包括：

• 易受攻擊的應用程序：托管在數(shù)據(jù)中心基礎設施上的應用程序可能包含易受攻擊的代碼。這包括內(nèi)部開發(fā)的代碼以及通過庫和外部開發(fā)的應用程序?qū)氲牡谌酱a。
• 遠程訪問工具：隨著大流行之后遠程工作變得越來越普遍，公司部署了遠程訪問解決方案，例如遠程桌面協(xié)議 (RDP) 和虛擬專用網(wǎng)絡(VPN)。網(wǎng)絡犯罪分子利用這些新的訪問點，利用受損的憑據(jù)和未修補的漏洞來訪問并在公司系統(tǒng)上植入惡意軟件。
• 供應鏈漏洞：組織依賴于部署在組織環(huán)境中的第三方應用程序。這些第三方工具會產(chǎn)生安全漏洞，因為數(shù)據(jù)中心依賴于這些第三方組織和工具的安全性。

如何保護您的數(shù)據(jù)中心

數(shù)據(jù)中心存儲和管理組織擁有的敏感數(shù)據(jù)，使其安全成為企業(yè)數(shù)據(jù)安全策略的核心部分。數(shù)據(jù)中心應基于零信任安全模型進行保護，該模型將訪問和權(quán)限限制在業(yè)務需求所需的最低限度。

有效實施數(shù)據(jù)中心安全策略需要部署一系列安全解決方案并實施各種最佳實踐。數(shù)據(jù)中心安全最重要的九個考慮因素包括：

• 防止漏洞利用：修補易受攻擊的系統(tǒng)和應用程序并部署 IPS 以在補丁尚不可用時進行虛擬修補，IPS 還可以檢測針對 DNS 基礎設施的漏洞利用或嘗試使用 DNS 來規(guī)避安全保護。
• 實施網(wǎng)絡分段：網(wǎng)絡分段可防止橫向移動，并在零信任安全模型下啟用最小權(quán)限訪問。除了防止區(qū)域之間的南北移動的安全性之外，還部署可以防止機器或應用程序之間的東西向移動的安全性。
• 安全開發(fā)管道：實施安全編碼和DevSecOps最佳實踐，并將安全測試和策略實施集成到 DevOps 持續(xù)集成和部署CI/CD 管道中。
• 部署 Web 應用程序和 API 保護 (WAAP)：使用Web 應用程序和 API 安全解決方案來減輕 Web 應用程序的 OWASP 十大風險。
• 使用云原生安全解決方案：在混合數(shù)據(jù)中心，使用云原生安全保護工作負載、容器和微服務。
• 防御 DDoS 攻擊：使用本地和云 DDoS 保護來緩解 DDoS 威脅。
• 防止憑據(jù)盜竊：為用戶部署反網(wǎng)絡釣魚保護，例如強大的多因素身份驗證 (MFA)，以阻止憑據(jù)竊取攻擊。
• 保護供應鏈：使用 AI 和 ML 支持的威脅預防以及EDR 和 XDR技術檢測和防止復雜的供應鏈攻擊。
• 保護敏感數(shù)據(jù)：使用加密、VPN 和數(shù)據(jù)丟失防護 (DLP) 技術保護靜態(tài)、使用中和傳輸中的數(shù)據(jù)。