qq3250845

................

qq3250845

人们在享受数据中心带来的生活、工作上的便利的同时，又提心吊胆，总是担忧自己的信息哪天就泄漏出来，成为别人手上的把柄，给自己带来无限烦恼。因为数据中心都托管和处理着海量高价值的数据信息，包括个人客户数据资料、财务信息和企业商业机密等，不法分子经常采用DDoS攻击手段，给数据中心带来重大损失，所以说IDC最容易成为网络犯罪活动的攻击目标。


互联网将数据中心安全带入了一个全新、复杂和综合的时代，不安全的那些蛛丝马迹在浩瀚数据的掩护下，正在精准地发起一次又一次的DDoS攻击，数据中心安全问题已成为我们重点关注的焦点。安全性对于数据中心的重要性不言而喻，尤其是人们对信息安全愈加重视的今天，一旦数据中心出现了严重的安全问题，造成的损失是无法估量的，因此，越来越多客户希望运营商提供更多的增值服务来满足DDoS攻击、网页篡改、系统入侵、漏洞等防护需求。

安全专家黑盾为数据中心（IDC）用户提供DDoS清洗服务、虚拟化系统、安全服务、安全合规服务和增值服务，完美解决IDC自身安全需求的同时，助力IDC转型和提升行业竞争能力的解决方案。互联网数据中心具有高带宽、大流量、数据高度集中、服务用户所属行业复杂，一旦有用户遭受DDoS攻击，将影响整个IDC网络，黑盾的安全解决方案能渗透到数据中心的每个环节，无损防御各种DDoS攻击，确保IDC的数据安全。

针对工信部可根据IDC自身的特点，制定了针对互联网数据中心的等级保护要求，完善的安全产品和服务，以促进IDC安全防护能力的提升。 传统机房IDC涉及业务更多的是服务器托管、机柜租用、大带宽租用等服务。随着云计算的发展，新型互联网公司正在蚕食IDC用户资源时，黑盾能帮助传统IDC拓展自身业务类型和提升竞争力，才能不被时代所淘汰。

黑盾为数据中心安全的方方面面提供一个有针对性的安全防护系统。从多种流量清洗部署方案、完善的安全产品和服务、极具竞争力的增值业务方案的三个方面共同实现了信息安全的防护。黑盾互联网数据中心（IDC）安全解决方案，将大大增加数据中心的安全防护能力以及提升企业营收和竞争力。

qq3250845

.................

qq3250845

...............

qq3250845

近期，谷歌分享了保护数据中心的安全架构细节，该中心所存储的数据涵盖谷歌现有的各种服务及日益增长的谷歌云平台（GCP）。

许多企业对信息公开持保守态度，担心这会给攻击者可乘之机。然而，谷歌不在此列，原因有两点：其一，是通过展示数据中心的安全水平来发展有潜力的云平台用户；其二，谷歌对自身的安全水平很有信心。

在最近发布的公告里，谷歌将其 基础设施安全架构划分了六层 ——硬件架构层（包括物理基础安全）、服务调度层、用户识别层、存储服务层、网络通信层和安全运营层。

t010a66726c3a28de39

谷歌显然很注重细节。在大部分业务中，谷歌都建设和运营自有的数据中心，这包括“生物识别、金属检测、摄像、路障和激光扫描系统”。即使使用第三方数据中心作为服务器，谷歌也为服务器附加了自己的安全措施（如谷歌控制的独立生物识别系统、相机或金属探测器）。

数据中心的数千台服务器所使用的主板也都是谷歌特别定制的。

我们也定制了芯片，比如目前用于服务器和外围设备的硬件安全芯片。这些芯片允许我们在硬件层面上安全地识别和验证谷歌设备的合法性。

t01267f7cab2aa23fb2

谷歌独有的硬件安全芯片

各数据中心所覆盖的所有谷歌服务间都不存在预设的信任。任何必要的服务间通信都在应用层被加密验证和授权机制所控制。 该机制同时适用于谷歌服务和用户为谷歌产品（如谷歌应用商店或谷歌计算引擎）提供的代码。而那些特别敏感的服务（如集群编排和密钥管理服务）则在专用服务器上运行。

当需要进行和授权服务间通信时，该架构为网际的RPC（远程过程调用协议）数据提供了加密的隐私和完整性。 所有数据中心间的WAN通信都使用了自动加密。 随着数据中心的硬件加密加速器的部署，这种自动加密正扩散到所有内部通信中。

t017dff1645d74ad257

谷歌服务的身份识别和访问控制

而当终端用户发起服务间通信时（例如，Gmail需要加载联系人列表），一个短期许可票据会生成，以确保Gmail帐户只能加载这个用户的联系人信息。

就 存储数据 而言，该架构使用了中央密钥管理服务。存储的数据在写入物理存储之前，就会被密钥管理服务配备密钥。应用层的加密将使得此架构隔离开低水平的潜在存储威胁，如恶意磁盘固件。

所有需要接入网络的服务都通过谷歌前端（GFE）实现。这确保了所有的TLS连接使用正确的证书并支持完美的前向保密性。谷歌解释说：“实际上，任何选择对外通信的内部服务都使用GFE作为智能的反向代理前端。这个前端为公共DNS域名、拒绝服务（DoS）防御和TLS终端提供了公用的主机IP.”

DoS防御的实现则有赖于数层可以对DoS攻击进行告警的服务的硬/软件负载均衡器。当DoS攻击被检测到时，该机制将指引负载均衡器约束甚至阻断相关流量。谷歌前端（GFE）也应用了类似的原理，却拥有负载均衡所不能监控的应用层信息。

用户身份验证则在用户名和口令外更进一步，还将校验基于一系列风险因素而设立的附加信息。双因子验证（2FA）已启用，此外，谷歌正与FIDO联盟合作，开发通用双因子（U2F）开放标准。

为了确保自有安全软件的进展， 谷歌使用库和框架来消除XSS漏洞，用自动化工具来检测错误，并执行手动安全审查。 此外，谷歌还斥资数百万美元建立公开漏洞悬赏方案来推进这一进程；同时，谷歌所投入的种种努力使其在它所使用的开源软件的漏洞定位上的成功，也让其广受赞誉。“例如，OpenSSL的心脏出血漏洞就是谷歌发现的，我们在通用漏洞披露（CVEs）和Linux KVM虚拟机监控程序的漏洞修复领域都是业界最具建树的。”

来 消除内部风险 的主要方法之一是“主动限制和积极监控”管理员访问。具体策略包括对于一些管理活动的自动化、特定行动的双重许可要求，以及限定API接口以实现不暴露敏感信息的调试。

入侵检测及响应则越来越多的使用机器学习，“规则和机器智能？？能警告运营安全工程师可能发生的事件。”Red Team训练被用来测量和改进规则的有效性。

报告的主要目的可能在于最后一节——对谷歌云平台的讨论。由于使用了同一架构，但随着特定服务的升级，它也会从同样的安全流程中受益。这份报告也使用谷歌计算引擎云服务为例。

谷歌计算引擎（GCE）通过公开外部API接口的谷歌前端（GFE），从而获得所有其他服务一样的安全特性，包括DoS防御和集中管理的SSL / TLS支持。终端用户的身份验证则通过谷歌的集中式身份识别系统完成，而这提供了劫持检测等额外功能。

谷歌计算引擎的管控系统影响了虚拟机的创建。任何从数据中心间的通信都被自动加密，而在同一个数据中心内的虚拟机间的通信也正逐步被架构中其他部分的相同硬件加速器所加密。虚拟机隔离是基于开源的KVM堆栈，并经谷歌进一步强化。

上述的运营安全控制被用来确保谷歌的云计划的稳步推进。“也就是说，除非服务客户所必需，谷歌无法访问或使用客户数据。”

见证了谷歌云业务在Alphabet（谷歌重组后的“伞形公司”）的现有整体收入上真正产生效应的过程。

qq3250845

...........

qq3250845

.....................

qq3250845

ACL（Access Control List）即访问控制列表，是网络设备上用来做安全防护的重要手段，通过下发各种ACL策略，可以保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。所以，自从有了网络，ACL就得到了广泛应用。数据中心的兴起，赋予了ACL更多的功能与使命。在数据中心网络中，各种应用流量纷繁复杂，只有通过ACL才能确保网络安全，并且完成一些特殊转发路径的业务部署，本文就来说一说ACL那些为人少有所知的功能，这些功能也凸显了ACL在数据中心网络中的重要作用。

ACL是通过匹配经过设备某类特征的流量，对这些流量做处理，从而达到安全防范的目的。ACL按照匹配的内容差别，分为四种类型，第一种叫二层的ACL，主要匹配MAC地址、以太类型，VLAN等以太报文头主要特征；第二种叫三层的ACL，主要匹配IP地址、四层端口号、IP类型等IP报文头主要特征；第三种叫二三层混合ACL，即匹配二层，又匹配三层报文内容；第四种叫自定义ACL，这种ACL最灵活，用户可以根据实际应用任意组合需要匹配的内容，不过这种ACL也是最不好掌握的，需要使用者对以太报文的格式非常熟悉，才能用好。这四种类型，每种类型又分为IPv4和IPv6两种模式，适用于IPv4和IPv6两种场景，这样总共有八种类型。将ACL分了这么多种类型，主要还是考虑使用上的便利性。通常情况下，三层ACL是使用最为广泛的ACL类型，自定义ACL使用很少，一般只有在网络设备厂家人员的指导下，才能使用。

ACL匹配的内容做好后，关键在于下发的处理，这个决定了匹配上ACL的流量在网络设备上如何走向。ACL有一个3P原则，就是为每个协议、每个方向和每个接口配置一个ACL，3P原则指定了ACL需要匹配的内容，下发的是出方向还是入方向，下发的位置在端口还是VLAN还是基于全局下发，这些内容都准备好了之后，就要明确执行的动作了。也就是ACL只是明确匹配报文的内容，执行还需要与具体动作的结合才能完成。现在的ACL动作非常丰富，早就不止是Permit/Deny的安全过滤动作。比如重定向Redirect、镜像Mirror、Copy to CPU、修改优先级、限速、修改报文特征、QINQ、策略路由等等，有了这些功能，可以让网络设备实现更多的功能，和不同的动作结合也衍生出来很多的网络设备功能。

安全过滤功能自不必细说，通过在不同的端口或者接口的出入方向上下发ACL防病毒列表，从而达到防攻击的目的。当然，这个安全过滤非常的初级，和专业的防火墙过滤不能相比，但两者实现的机制是一样的，只不过防火墙的过滤更加细致，支持的条目也更多，一般一台高级防火墙下发是十几万条ACL都可以，但网络设备很少能做到。安全过滤动作就是Deny，将不安全的流量直接Deny，在设备的入方向丢弃，以免影响网络设备转发，也防止流量再转到其它地方。除了安全过滤，Permit/Deny也适用于流量的隔离和访问控制。比如在一个数据中心承载的两个客户业务，客户A和客户B共用一个网络设备，客户之间当然不能业务打通，要进行隔离，这样就可以通过ACL来下一些规则来达到隔离的客户A和B之间访问隔离的目的。

重定向和策略路由也是在网络设备上高频率使用的功能，通过重定向和策略路由可以改变原有报文的转发路径，发送到客户希望的目的设备上。比如流量经过网络设备时，客户希望流量经过负载均衡LB设备，做个均流，然后流量再回到网络设备，这时可以通过重定向将流量掰到LB设备上，改变原有的报文转发路径。策略路由也是如此，使报文不按照路由表来转发，而是转发到客户希望的下一跳设备上。重定向和策略路由的主要区别，重定向更多的是应用到二三层转发中，策略路由应用到三层转发中，如果只希望对三层转发报文生效，那只能采用策略路由。重定向的动作可以是端口、下一跳接口或下一跳地址，而策略路由只有下一跳地址。

修改报文内容也是在特定网络应用中被使用的，其中最常用的要数修改报文优先级了。网络设备通过对进入设备的不同类型的应用流量打上不同的优先级标记，这样可以为高优先级的报文优先分配带宽，在网络出现拥塞，不断丢包的情况下，高优先的业务可确保不受影响。报文在以太头和IP头里都有优先级，通过、可以任意修改两个部分的优先级，所有的网络设备都可以识别这两个部分的报文优先级，从而在设备内部的转发通道里优先通过。这就好比是救护车，在道路行驶上有优先权，在道路堵车的情况下，救护车可以走紧急通道，快速通过，优先保障救护病人，修改报文优先级希望达到的目的也是如此。有时修改报文也有其它目的，比如修改报文的VLAN，让报文在新的VLAN中转发，或者增加VLAN，减少VLAN，修改报文的目的MAC，改变报文的转发路径等等，通过这些修改可以使网络设备应用非常灵活。

除了以上说的功能，ACL还可以做流量统计，流镜像，下发CAR限速等，还有很多网络功能实际上也是通过ACL来实现的，比如IP绑定，Portal认证，MAC认证，防攻击虽然命令行上看不到ACL的影子，实际在网络软件实现上也是用ACL来实现的，这些功能足以说明ACL功能的强大，可以说网络设备离不开ACL，没有ACL网络设备根本玩不转。数据中心对网络的要求很高，既要安全运行，又要部署业务灵活，这些都离不开ACL.随着数据中心的各种复杂应用越来越多，更好地使用ACL，丰富ACL的各种功能，是未来网络的必然选择。

qq3250845

..............

qq3250845

..................