数据中心的安全性：物理和网络融合带来新机遇

产品组合安全副总裁 Gary Smith 和安全运营总监 Art Corcoran
2019 年 12 月 5 日

数据中心正在进入一个全新的转型时代。通过完全隔离来获得网络和物理安全的日子已经一去不复返了。数据中心通过一个由数百甚至数千个传感器组成的网络进行监控和管理，这些传感器用于实时遥测，以实现加热和冷却、警报和物理安全等功能。然而，除了为提高运营效率以及提高可见性和控制力带来新的机会外，数字化转型 (DX) 也带来了新的挑战。对暖通空调控制 (HVAC) 的操作可能会导致关键基础设施系统关闭或受到影响。物理摄像头可能会被黑客入侵并控制，以掩盖抢劫或未经授权进入安全地点的行为。

数据中心必须努力确保以统一的方式保护物理和网络系统，并确保它们的融合不会带来额外的风险。此外，数据中心将开始采用人工智能 (AI) 和机器学习 (ML) 等先进技术，以判别物理和网络安全中的异常情况，并制定实时控制和补救流程。

数字化转型为数据中心带来新挑战

许多企业的数据中心被视作他们为支持业务加速要求所做努力的战略杠杆。业务加速目的包括：

• 应对新兴市场
• 降低成本并提高运营效率
• 创造更多更好的客户参与场景
• 挖掘新的收入机会

保持竞争力并保持优秀的利润率需要持续的创新，而数字化转型是核心。数据中心在实现许多数字化转型计划方面发挥着关键作用。数据中心里也包含着云。根据这一情况，数据中心可以成为私有云服务中心，在简化流程的同时保留对运营和安全的控制。这些为组织提供了应对新的数字化转型计划所需的能力，即支撑新应用和生成的伴随数据运算和存储的能力。推动这一趋势的一个重要因素是 AI 和 ML 对大数据的依赖日益增加。

为了应对这种新的数据中心格局，许多组织选择使用主机托管设施，而不是建造自己的数据中心。从 2016 年到次年，主机托管数据中心市场的复合年增长率 (CAGR) 达到 15.4%。但是，正如数据中心的新发展有助于实现数字化转型一样，数据中心也在经历数字化转型，这一转型也面临着挑战。

近 80% 的组织引入数字化转型时的速度快于其抵御网络攻击建设的速度。

主机托管促成了物理和网络安全的融合

近年来，物理安全和网络安全的融合度越来越高，因此统一处理物理安全和网络安全至关重要。最明显的例子是物理安全部署（读卡器、闭路电视）现在都驻留在网络上。这导致物理安全依赖于强大的网络安全控制来确保物理安全基础设施的完整性。然而，这种依赖关系反过来提供了有趣的新方法，运用这两个学科推进新的安全范式。例如，如果一名员工登录了旧金山的计算机，却实际访问了纽约的数据中心，这将是一个重大危险信号。通过人工智能和机器学习，系统可以探测出这种情况，发出警报，并在没有人工干预的情况下立即撤销访问权限。但是，随着技术的创新，新的攻击载体和漏洞也随之浮现，因为事实上，黑客总是在寻找未被发现的途径进入您的系统。现在，许多传统物理设备都对网络安全构成威胁。身份证、生物识别、暖通空调、笔记本电脑、智能手机和 USB 等都属于网络安全威胁，因为它们现在都支持 IP。事实上，物联网设备平均每月会遭受 5,200 次攻击。

数字化转型需要重新考虑物理安全。然而，必须重视受控访问，即指定的工作人员只能访问他们应该访问的区域、系统和应用，这仍然是确保数据保密性、完整性和可用性的基本方法，无论数据位于何处，也无论数据如何被使用。

为确保遵守这些访问协议，组织需要建立数字和物理监控，这必须在机架层面进行，并提供完整的合规性审计跟踪、完全的透明度和报告以及撤消访问权限的自动化流程。可能适用的法规包括支付卡行业数据安全标准 (PCI DSS)、健康保险流通与责任法案 (HIPAA)、联邦信息安全管理法案 (FISMA)、欧盟的通用数据保护条例 (GDPR) 和 2002 年萨班斯-奥克斯利法案 (SOX)。但组织不应止步于政府和行业法规；他们还应该考虑实施安全标准，例如美国国家标准与技术研究院 (NIST)、国际标准化组织 (ISO)、互联网安全中心 (CIS) 的控制措施等。

AI 和 ML 提供了监控门和摄像头等物理安全设备的手段，可以精确定位异常情况，向数据中心人员发送实时警报，甚至可以作为一个数字系统，在没有人工干预的情况下即刻对抗威胁。如本节开头所述，网络和物理安全的融合使物理安全警报能够激活网络安全协议，如根据预先确定的业务规则阻止用户、设备和应用访问数据和系统。随着这项技术的成熟和普及，它将使安全保护方式从“检测和响应”转变为“预防和对抗”。

物理安全数据中心检查清单

在审查主机托管设施时，组织需要根据标准评估解决方案，其中包括以下问题：

1. 数据中心是否有冗余？数据中心必须做好应对突发事件的准备。任何事情都有可能出错，如公用设施故障、冷却系统设备故障、火灾、空气质量问题和自然灾害。因此，为数据中心建立冗余设计至关重要。有三种冗余成熟度模型。第一种模型要求为所有关键系统元件建立冗余，且必须能在 IT 系统满负荷的情况下供电、备份并冷却设施。但是，如果组件发生故障或系统元件必须进行维护，仅实现 IT 系统满负荷是不够的。为了应对这些无法预测的事件，数据中心的设计要求每 4 个单元需要至少有一个独立的备份单元（第二种成熟度模型称为 N+1）。最后一种成熟度模型是 2N，指的是有两个独立配电系统（从电源到电缆）的冗余。最后，冗余模型是否在电源、冷却和备份之外还包括物理安全基础设施？否则，数据安全的重大风险可能就在下一次停电时。
2. 建筑是否能抵御外部攻击或自然灾害？墙体密度的设计应能承受爆炸装置和自然因素的影响。窗户应尽量减少，仅在公共空间设置，并采用防碎窗膜。现场周围应延伸至少 100 英尺的缓冲区以保护车辆，并且最好雇用保安人员/保安站来管控出入。Kevlar 防火墙也是一项重要要求。
3. 出入口是否受到限制？建筑物应该有一个主入口和一个装卸码头，通常位于建筑物的后部。通往入口区域的车辆通道应使用防撞护柱、工业混凝土花盆或其他障碍物进行封堵，以防止车辆在这些重要入口处穿行。防火门应仅限出口，并且应使用支持 IP 的视频监控对两个入口进行全天候监控。这些摄像头应集成到网络防火墙中，以确保它们免受网络攻击。
4. 有哪些物理入侵检测策略？自动化电子入侵探测系统，包括事件驱动闭路电视摄像机 (CCTV) 和警报器，都是必不可少的。在这方面，数据中心团队必须制定成文的政策，以应对入口和出口违规行为。
5. 使用了哪些安全监控摄像机？摄像机系统应根据其应用进行定制。这可能包括运动检测、平移倾斜变焦和弱光功能。它们还需要集成到网络安全中，使用指定的密码和凭证进行访问（即启用 IP），并由数据中心防火墙隔离，以确保它们不会被入侵或用于入侵内部数据中心网络。组织还需要实施监控录像的数据保留和销毁策略。这些必须符合相关法律、行业法规和 IT 标准。我们建议监控录像至少保留 90 天。
6. 是否采用了多因素身份验证？必须通过多因素身份验证来控制入口和出口访问。生物识别技术有助于确保人员只能进入其有权进入的区域。鉴于对生物识别数据敏感性的隐私关注，建议生物识别数据仍由最终用户掌握，例如，生物识别算法应直接保存在用户的凭证上，而不是中央数据库中。

是否使用了加固的访问层？任何进入数据中心最安全区域的人员都必须进行至少四次身份验证，例如，大楼周边通往大厅/装卸区的入口、大厅/装卸区到公共空间的入口、公共空间到数据中心空间的入口以及最安全区域（机笼、机柜等）的入口。

数据中心面临的网络威胁

当今数据中心安全面临的最大挑战不是物理威胁，而是网络威胁。应用程序的激增以及知识产权和私人信息的大量涌现（通常由监管机构管理）使数据中心成为网络犯罪分子甚至民族国家的核心目标。

抵御数据中心攻击

由于数字化转型，数据中心的网络攻击面正在扩大，越来越难以防御。这些威胁可能针对用于管理冷却和视频监控等的物理设备和系统。他们还可以通过鱼叉式网络钓鱼、身份验证协议漏洞和其他恶意手段来攻击人员。

除非数据中心的漏洞是面向互联网的，否则攻击者必须坚持不懈并采用先进的策略才能成功利用漏洞：

1. 实施双因素或多因素身份验证。许多数据中心在发生紧急情况时依赖本地验证选项。这些本地身份验证通道不会被记录，而且相同的登录凭证通常会在主机和工作负载之间共享（为了简单起见）。这就将它们暴露给了坏人，坏人一旦窃取了它们，就可以利用它们进入数据中心。通过双因素或多因素身份验证，为单个用户增加多层身份验证，可确保更高的安全级别，使入侵者更难访问他们未被允许访问的系统。
2. 针对已知漏洞进行修补和更新。虚拟化环境和资源仍必须在物理硬件上运行，具体来说，虚拟磁盘依赖于物理服务器上的物理磁盘。管理平面有自己的管理协议、电源、处理器和内存，通过智能平台管理接口 (IPMI) 等协议进行管理。后一种协议位于虚拟化层之下，接收更新和补丁的速度较慢。众所周知，IPMI 存在安全漏洞，坏人瞄准的就是此类漏洞。各组织必须确保自己保持良好的网络卫生习惯，并针对网络犯罪分子瞄准的已知漏洞进行修补和更新。
3. 设置路障。来自数据中心之外的威胁，如电子邮件、网络网关、DevOps、物联网 (IoT) 和运营技术 (OT) 等，带来了巨大的风险，网络犯罪分子正在利用这些攻击面。在这里，恶意入侵的横向（东西向）移动使网络犯罪分子得以进入数据中心。所有这些都给数据中心带来了严重风险；考虑一些最新趋势：
4. 94% 的数据恶意软件行为与电子邮件有关
5. 77% 的关键基础设施（即 OT）组织报告在过去一年中至少发生过一次安全漏洞事件
6. 2020 年，25% 的网络攻击将针对物联网设备

一个新兴趋势是增强时间点渗透测试，旨在通过实时运行的可靠持续监控功能来验证网络完整性。有一些工具可用于分析传入网络流量的异常情况，并确定需要信息安全工程师进行更仔细审查的网络流量。这可以确保长时间内的有效网络安全，并用于验证渗透测试结果。

建立虚拟或数字系统。现实情况是，无论如何努力防止安全漏洞入侵，其难度都越来越高。威胁可能以服务器、路由器、交换机和防火墙等设备被黑客入侵的形式出现。在这些情况下，这些设备中的已知漏洞是被针对的，并会使用位于操作系统之下且难以检测的 rootkit。具有讽刺意味的是，原本用于保护企业的设备却受到感染，变成了进入数据中心的恶意网关。这就是为什么 AI 和 ML 开始作为安全战略来实施；此类技术检测和对抗来自内部的威胁，而不是纯粹专注于将威胁阻挡在外围，这使其更像免疫系统。此类策略可以像人体内的抗体一样起作用，在不关闭整个系统的情况下对抗超出常态的可疑行为。

绘制最常见的数据中心攻击载体图

对于网络犯罪分子和民族国家来说，数据中心是有吸引力、有利可图的目标。原因有很多：

• 经济收益和名声
• 盗窃知识产权 (IP)
• 窃取客户私人数据，通常用于启动后续攻击（导致身份盗用、银行账户资金被盗、信用卡欺诈等）。
• 运营中断造成的财务损失和品牌受损
• 社会和环境破坏（尤其是在民族国家攻击运营技术的情况下）
• 就民族国家而言，损害地缘政治对手的国家安全资产

数据中心中断的平均成本增加了近 38%，达到每分钟 9,000 美元。

这些不同的攻击目的是通过使用多种攻击载体来实现的。以下是一些最普遍的情况：

1. 分布式拒绝服务 (DDoS) 攻击。在 DDoS 攻击中，犯罪分子试图扰乱和禁用基本的互联网服务，而网络服务器则被转化为机器人，用于攻击其他网站和进入数据中心环境。DDoS 是一个严重的问题，2018 年，其攻击量和复杂程度都有增加。例如，IDC 的研究显示，一半的 IT 安全主管表示，他们的组织在过去一年中遭受了多达 10 次的 DDoS 攻击。这些袭击是持续性的，40% 的袭击持续时间超过 10 个小时。
2. 利用 SQL 注入、跨站脚本和跨站请求伪造等漏洞的网络应用程序攻击被用来侵入应用程序并窃取数据以牟利。随着大多数企业的 DevOps 活动不断增加，而且许多活动都托管在私有云环境中，应用程序的网络安全保护必须从部署前延伸到部署后。研究表明，DevOps 组织存在重大漏洞：46% 的组织预先存在安全风险，而只有一半的组织正在修复主要漏洞。
3. DNS 基础设施：攻击目标和附带损害。DNS 服务器很容易被切断，从而导致成千上万的用户无法访问互联网。DNS 服务器还可用于扩大 DDoS 攻击的影响（即用 DNS 流量淹没受害者）。
4. 安全套接层 (SSL)/传输层安全 (TLS) 引发的安全盲点。坏人正在转向 SSL/TLS 来渗透数据中心，通过包装和保护恶意载荷的投递，然后在成功入侵时屏蔽数据渗出。许多防火墙在设计上无法满足 SSL 检查所需的额外要求，因此组织需要评估防火墙的性能。
5. 暴力破解和弱身份验证。应用程序采用身份验证来验证用户身份。单因素身份验证（例如仅用户名和密码）比较弱，犯罪分子可以使用暴力破解来窃取凭证。如上所述，数据中心必须采用多因素身份验证来确保坏人无法绕过身份验证控制。
6. 整合运营技术 (OT) 和信息技术 (IT)。传统上，OT 和 IT 被分隔为独立的组织职能。运营部门保持数据中心运行，而 IT 部门则在办公室管理业务应用程序。然而，随着技术的快速变化以及物理和网络的融合，OT 和 IT 团队携手合作以预防和应对安全威胁至关重要。

衡量业务中断和数据泄露的影响

数据中心中断可能会对运营产生巨大影响，损失很快就会达到数十万美元。这还不包括品牌影响。DDoS 攻击的严重程度可能会继续上升。它们不仅频率在增加，而且规模也在加大（2018 年多次创下新纪录）。此外，随着完全隔离的 OT 系统越来越少，业务中断和瘫痪的攻击面也越来越大，而业务影响也大大增加。

这些运营中断的代价可能会迅速上升。2016 年，每次数据中心中断的平均每分钟成本为 8,851 美元，大多数中断通常持续超过一分钟。实际上，停机的平均总成本为 740,000 美元，这意味着平均停机时间为一小时二十分钟。

数据泄露对数据中心来说同样是个问题。数据泄露相当于每条记录平均损失 150 美元。在美国，数据泄露给公司造成的损失平均超过 800 万美元，比 2018 年略有增加，是全球平均水平的两倍多。

攻击杀伤链：入侵方与防御方

安全专业人员使用攻击杀伤链来了解攻击流程以及防御每个阶段攻击所需的网络安全策略。以下攻击杀伤链流程源自 Lockheed Martin 开发的模型。

成功的渗透会导致以下一系列行动：a) 收集用户凭证；b) 权限提升；c) 内部侦察；d) 在 IT 环境中横向（东西向）移动；e) 收集和滤出数据；f) 破坏系统；g) 覆盖或破坏数据；或 h) 秘密修改数据。

入侵方获得访问权限的时间越长，可能造成的破坏就越大。使用网络数据抓包等法庭科学证据来确定损害影响并制定事件响应方案。

根据 NSS Labs 的报告，HTML 注入是最常见的数据中心攻击。

数据中心安全的未来

要跟上快速发展的威胁形势，就必须制定一套全面、综合并采用先进技术的安全计划。此方法涵盖网络安全和物理安全，因为两者都很重要。在许多情况下，数据中心是数字化转型计划和私有云采用的关键杠杆，其应用范围不断扩大，所以成功利用这些数据中心威胁可能会产生严重后果。

展望未来，数据中心的主管需要采取更多的网络和物理安全策略。网络和物理安全的集成是整个安全结构的前沿并贯穿其间。攻击正变得越来越多阶段化，通过网络攻击造成物理暴露，从而瞄准物理安全性。由于 34% 的攻击涉及内部参与者，因此物理安全仍然至关重要。这里值得注意的一点是，网络和物理安全在完整安全计划中相互补充。

数据中心需要确保网络和物理安全的无缝整合。物理系统和设备必须位于安全网络上，在防火墙之后。这有助于保护它们免受恶意攻击，同时在发生入侵时提供无缝的事件响应能力。

数据中心主管应制定的其他安全策略包括：

1. 数据治理 — 静态和传输中、跨多个云环境和云环境之间的数据治理。大多数企业的非结构化数据每年增长 40-50%。为了保护这些信息，无论其位于内部还是在云端，组织都需要可控的实施数据治理政策，以便在不同环境和应用之间移动数据。
2. 云的透明度和控制。对于公有云，组织需要确保制定和实施正确的治理政策和控制措施。这些都很重要。Gartner 预测，60% 实施云治理的企业安全事件将减少 33%。
3. 安全集成。83% 的 IT 主管认为，组织的复杂性是他们面临的最大风险。只有 48% 的公司制定了安全政策来管理员工和第三方的数据访问。当前亟需一个新的综合安全框架。传统的安全架构是碎片化的，不同要素之间难以共享信息。这包括新的数据中心攻击面，如 DevOps 和云，以实现完全透明和集中控制。
4. 保护网络边缘。5G 提高了设备连接到网络的便利性和速度，以及可以访问和移动的数据量。物联网带来了巨大的风险（因为这些设备无法通过传统的安全模式进行管理），横向入侵会影响数据中心的安全。软件定义的广域网 (SD-WAN) 利用 5G 作为额外的带宽通道，绕过了传统的数据中心安全控制。这就增加了通过横向移动反向钻入数据中心的风险。
5. 威胁情报：人工智能和机器学习。85% 的组织表示，威胁情报对于稳妥的安全态势至关重要。但是只有 42％ 的人认为他们在使用威胁情报方面非常有效。问题的一部分是缺乏内部专业经验 (50%)。为了跟上使用人工智能 (AI) 和机器学习 (ML) 且具有多态和多向量的安全威胁的步伐，网络安全主管必须自行运用 ML 和 AI 能力，或者改用具有 AI/ML 增强功能的工具。这使他们能够缩小攻击面，以进行预防、检测和补救。

NSS 实验室的数据中心安全状况

70% 的组织表示数据中心安全功能是通过云交付的
50% 的组织仍在本地部署物理安全设备
80% 的组织使用 IPS 来阻止 DDoS 攻击
90% 的组织使用反恶意软件、Web 应用程序防火墙 (WAF) 和有状态防火墙

将数据中心转变为数字化转型的促进因素

数字化转型正在推动业务加速，而数据中心是使这一切成为可能的引擎。但是，随着攻击面的扩大，数据中心面临的物理和网络威胁也随之增加。数字化转型还推动着数据中心的转型，这也带来了新的安全挑战。

为了保护他们的环境免受这些新的和扩大的威胁，IT 主管必须确保他们有正确的防御措施。物理威胁和网络威胁的融合需要数据中心安全的集成。在这里，IT 主管需要确保他们的物理系统和设备集成到网络安全中并位于防火墙之后。最后，为了应对威胁形势的发展，数据中心需要融合了 AI 和 ML 功能的网络安全性。