數(shù)據(jù)中心是獨(dú)立的區(qū)域,數(shù)據(jù)中心承載了整個企業(yè)的應(yīng)用和數(shù)據(jù),整個安全建設(shè)都是圍繞著數(shù)據(jù)中心進(jìn)行建設(shè)。
1.數(shù)據(jù)中心獨(dú)立網(wǎng)絡(luò)建設(shè),提供較高安全標(biāo)準(zhǔn)和快的訪問速度;
2.互聯(lián)網(wǎng)出口使用原有的帶寬,只是分出IP使用,無需增加額外帶寬費(fèi)用;
3.數(shù)據(jù)中心基礎(chǔ)架構(gòu),都采用雙冗余建設(shè),內(nèi)網(wǎng)之間的交互都采用萬兆鏈路;
4.互聯(lián)網(wǎng)接入,采用兩臺應(yīng)用層防火墻,通過HA技術(shù)實(shí)現(xiàn)高可用,通過部署(IPS/AV/應(yīng)用控制包)進(jìn)行4-7層的安全防護(hù),并且所有廣域網(wǎng)互聯(lián)都通過防火墻實(shí)現(xiàn)(IPSEC VPN和SSL VPN)。
5.部署兩臺入侵防護(hù)設(shè)備(IPS),通過HA技術(shù)實(shí)現(xiàn)高可用,對網(wǎng)絡(luò)入侵進(jìn)行安全防護(hù),對來源于互聯(lián)網(wǎng)的APT(高級可持續(xù)攻擊)進(jìn)行監(jiān)測和防護(hù);
6.部署兩臺web應(yīng)用防火墻(WAF),通過HA技術(shù)實(shí)現(xiàn)高可用,對內(nèi)網(wǎng)發(fā)布的web應(yīng)用進(jìn)行安全防護(hù),對來源于互聯(lián)網(wǎng)的web相關(guān)威脅進(jìn)行阻止
7.數(shù)據(jù)中心內(nèi)部按照不同的功能進(jìn)行區(qū)域劃分(VLAN),數(shù)據(jù)中心的SVI都放在防火墻上面,所有跨網(wǎng)段訪問的流量都需要經(jīng)過防火墻、IPS和WAF的清洗。
8.部署一臺WSUS補(bǔ)丁管理服務(wù)器,對windows補(bǔ)丁進(jìn)行收集及統(tǒng)一下發(fā)。
9.部署一臺未知威脅感知平臺(TDA),分別收集服務(wù)器核心交換機(jī)數(shù)據(jù)和辦公網(wǎng)絡(luò)核心交換機(jī)數(shù)據(jù),對內(nèi)網(wǎng)的流量進(jìn)行實(shí)時分析,讓整個網(wǎng)絡(luò)的安全可視化,快速定位安全事故。并對未知威脅進(jìn)行預(yù)警。針對內(nèi)網(wǎng)的APT(高級可持續(xù)攻擊)進(jìn)行檢測。自帶沙箱功能對惡意鏈接和惡意文檔進(jìn)行沙箱運(yùn)行,快速檢測風(fēng)險。聯(lián)動防病毒軟件進(jìn)行內(nèi)網(wǎng)安全全自動分析和查殺。
10.部署一臺運(yùn)維審計系統(tǒng)(堡壘機(jī)),管理所有的網(wǎng)絡(luò)設(shè)備和服務(wù)器運(yùn)維。針對不同運(yùn)維的職能給予相應(yīng)的權(quán)限,整個運(yùn)維過程中都會進(jìn)行審計,并且對非法操作進(jìn)行阻止。第三方支持同樣使用該設(shè)備進(jìn)行服務(wù)支撐。降低服務(wù)器和網(wǎng)絡(luò)被直接入侵的風(fēng)險。
11.部署一臺SYSlog(日志服務(wù)器),將所有服務(wù)器和網(wǎng)絡(luò)設(shè)備的日志進(jìn)行統(tǒng)一收集和管理。
12.服務(wù)器部署一套企業(yè)級防病毒軟件,對服務(wù)器進(jìn)行統(tǒng)一病毒查殺和統(tǒng)一安全防護(hù)。配合虛擬機(jī)補(bǔ)丁技術(shù),針對新型和變異病毒可用以較快的速度進(jìn)行防護(hù)。
13.采用兩臺框式交換機(jī),作為數(shù)據(jù)中心的核心交換機(jī),通過堆疊的方式實(shí)現(xiàn)高可用,上行通過雙千兆鏈路,下行通過萬兆分別接入到每個服務(wù)器機(jī)柜的接入層交換機(jī)。
14.數(shù)據(jù)中心不同類型應(yīng)用安全區(qū)域劃分(安全管理服務(wù)器、各客戶服務(wù)器區(qū)域、供應(yīng)商服務(wù)器區(qū)域、辦公環(huán)境服務(wù)器區(qū)域和運(yùn)維相關(guān)區(qū)域),各區(qū)域采用不同的VLAN,進(jìn)行策略控制。
15.數(shù)據(jù)中心和辦公網(wǎng)絡(luò)之間的互聯(lián)通過防火墻,辦公網(wǎng)絡(luò)和數(shù)據(jù)中心的數(shù)據(jù)流量交互都需要經(jīng)過防火墻、WAF、IPS的清洗。