数据中心安全域DDoS高防划分与防护技术-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 数据中心安全域DDoS高防划分与防护技术

数据中心安全域DDoS高防划分与防护技术

小墨安全管家 2020-05-17 01:00 CC防护 89 ℃
DDoS防御

首先,举行主机认证。使用用户身份认证授权系统实现应用程序的访咨询操纵,确保用户身份不被假冒,也能够使用挑战握手认证协议(challenge-handshake authentication protocol)、光纤通道安全协议(fibre channel security protocol)和IPsec来认证主机。其次。为数据资源指定安全操纵措施。经过在交换机上将网络划分分区来操纵存储资源的访咨询,分区可将网络划分为多个路径,以便于在不同的路径上传输不同的数据:也能够经过逻辑单元屏蔽决定哪些主机能够访咨询哪些存储设备。一些设备支持将一台主机的WWN映射到一具特定的FC端口。从该端口连接到一具特定的逻辑单元,最安全的想法是将WWN和物理端口绑定。最终,经过在所有参与设备上记录重要的日志来实现审计核查操纵治理工作。

应用程序通常是经过文件系统或数据库接口来访咨询存储阵列中的数据,经过应用程序访咨询数据称为应用程序访咨询域。该域遇到的安全威胁要紧包括2个方面:一是在访咨询应用程序过程中伪造用户身份或提升访咨询权限来非法猎取数据;二是未授权的主机伪造合法主机的身份,访咨询应用程序篡改数据,窥探网络或执行DOS攻击等。其常用的安全防护技术包括以下几个方面。

1 治理访咨询安全域

备份涉及到将数据从一具存储阵列复制到备份介质,该安全域的威胁有假冒备份恢复站点的合法身份举行篡改数据、网络窥探和DOS攻击。防范想法要紧是提高备份软件安全性,制定好存储备份环境的安全配置,严格操纵远程备份软件的使用。

爱护存储网络的安全操纵分为网络连接设施的完整性和存储网络加密性。网络连接完整性经过认证系统,防止未通过适当认证的主机添加到存储区域网中;存储网络加密想法使用IPsec来爱护基于IP的存储网络以及FC-SP来爱护FC网络。

2应用程序访咨询安全域

图1 校园网存储基础设施示意图

爱护存储基础设备的安全操纵措施要可以应对以下威胁:一是对传输中的数据人为授权篡改。破坏数据完整性;二是对应用系统举行攻击,实施落低可用性的拒绝服务;三是对网络数据举行网络窥探,造成数据保密性受损。

针对数据中心基础设施的访咨询安全,常用的访咨询安全防护技术包括:

2.1 操纵用户对数据的访咨询

(1)操纵治理权限。操纵治理权限目的在于防止攻击者假冒治理员身份或提升用户身份和使用权限,来非法获得数据闭。访咨询操纵防护技术的使用通常包括3个方面:一是合理设置治理员使用权限,不要把存储系统所有操纵权授权给一具用户:二是将存储系统的身份治理与第三方的认证系统相结合,能够使用基于角色的访咨询操纵(RBAC)策略分配不同的治理权限;三是使用审计系统来加强安全治理。

首先,在定义数据中心职责时,可经过基于角色的访咨询操纵来给予用户使用权限,使他们可以行使他们的角色。其次,存储系统的治理网络应当在逻辑上与其他网络隔离,如此落低了治理难度,增强了安全性。IP网络分段能够经过路由器或防火墙的基于IP地址的包过滤功能、交换机的基于MAC地址的VLAN和端口级的安全措施来实现。最终,操纵对设备的访咨询和FC开关的布线,以保证存储设施得到爱护。假如一具设备被一具未授权的用户举行了物理访咨询。这么所有其他已制定的安全措施就会失效。

2.3数据加密

(2)爱护治理网络。防护想法要紧有3种:一是加密治理数据流,采纳安全的通信通道SSH或SSI/TLS来传送治理数据流;二是经过存储设备和交换机的配置。只允许某些特定的主机拥有治理权限,同时对主机可以发出啥命令操作做出限制,将访咨询操纵措施制定到存储阵列级别,明确哪台主机拥有对这个阵列的治理权限;三是增强IP网络的安全措施,针对特定设备的数据流以及治理性协议的数据流,使用IP路由器和交换机在IP网络层举行限制,从而将未授权设备的威胁落到最低。

马上开播:5月20日,基于kubernetes打造企业级私有云实践

为了消除数据中心存在的安全隐患,为核心数据提供可靠、便捷的使用环境,能够将数据中心安全体系划分为以下3个安全区域。

3备份、恢复和存储安全域


DDoS防御

当前位置:主页 > CC防护 > 数据中心安全域DDoS高防划分与防护技术

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119