数据中心是否安全,完全取决于将它们连接到网络的物理连接。它们很容易受到网络攻击或信息安全泄密事件的影响,这会给想在自己的数据中心之间传输数据和备份数据的企业组织带来灾难性后果。由于网络延迟是一个亟待解决的问题,进出数据中心或传输到外界的数据都会加大与这些威胁有关的风险。
知名分析师、Quocirca公司的客户服务主管Clive Longbottom表示,只要物理连接、应用程序或平台出现故障,延迟就会导致交易中断。时间很长的延迟还会导致企业无法使用实时IT服务,比如语音或视频传输。不过他认为,延迟只是整个问题的一个方面,还有网络、应用程序和硬件组合方面复杂的考虑因素需要牢记在心。
Bridgeworks公司的首席执行官David Trossell解释:“延迟对数据中心的安全带来了两个影响:第一个问题是,你如何才能让数据中心彼此之间保持同步性;你在传输数据时,一定要拥有安全密钥。”所以,无论你把数据放在云端还是放在多租户模式的数据中心,确保安全至关重要。换句话说,未经授权的人应该无法窥视数据本身。
加密数据
所以,想从信息安全的角度来保护数据中心,一旦数据上传到云端,或者在数据中心之间传输以便备份和检索,企业就需要加密数据,这是基础工作。数据处于静态时(这时数据并不通过网络来传输)需要进行加密。另外值得一提的是,最安全的加密数据只由拥有相应密钥的那个人才可以访问。
Trossell说:“AS 256密钥提供了最强的加密机制。不过问题是,强安全密钥耗用更多的计算能力;如果是加密数据,你还无法执行任何重复数据删除操作,因而无法查找数据中的重复模式。”为了加强迅速传输数据的能力,大多数企业组织传统上会选择广域网(WAN)优化工具:数据使用IPSEC传输的过程中,加密过程同步进行。
加密静态数据意味着数据来得比较安全。就传统的广域网优化而言,密钥必须提供给广域网优化引擎,那样才能进行解密、进行重复数据删除处理,而且在跨广域网使用互联网安全协议IPsec之前。然后,传统的广域网优化引擎需要剥离IPsec,之后这才允许重新加密数据。这意味着,现在你在几个地方有两把安全密钥――这可能是最大的安全风险。
Longbottom说:“想获得最高的安全级别,就应该在数据存储起来之前进行加密。”他补充说:“这就需要全数据流的快速加密,不过这常常又不可行。”他表示,下一个阶段就是存储后加密,而这需要之后删除未加密数据。“这包括静态加密和移动加密,而太多的企业组织仅仅着眼于移动加密,所以如果有人获得了存储介质,那么所有的信息都在那里,可供他们访问;密钥管理常常被人忽视。”
留意密钥
他解释:“如果你完全丢失了密钥,应该没人能够访问信息――哪怕你自己也无法访问;就算信息受到了危及,你至少还控制密钥,只要你意识到对此可以采取一些措施。”然而,如果密钥交由第三方保管,那么密钥成了更吸引黑客的目标,“因为第三方可能保管有一批公司、而不是仅仅一家公司的密钥;从注意到安全事件到通知客户开始采取行动,这个响应时间就会长得多。”
问题在于,如果数据在跨网络传输过程中进行加密,数据传统上往往并不安全。Trossell说:“这里的问题是,如果你有高速广域网链路,那么这会阻止数据传输,然后无法实现广域网优化。”其同事、Bridgeworks首席商务官Claire Buchanan补充说:“你会影响恢复时间目标(RTO)和恢复点目标(RPO)。”RPO是数据备份的上一个点,而RTO是指可以检索数据、将数据重新派上用场的速度有多快。
获得控制权
她解释:“如果采用静态加密,企业完全拥有控制权,企业是唯一的密钥拥有者;但是通常广域网优化工具只是传输数据而已,而不加速;为了提供某种级别的安全,传统的广域网优化工具提供了IPsec层――但这种级别与许多企业需要的安全级别相差甚远。”
她认为,想获得控制权,企业组织需要一种新的解决方案。在她看来,这种解决方案就是自配置和优化的网络(SCION),这种网络提供了很高的安全级别,并且让企业组织能够大幅缩短延迟。它们使用机器智能,不仅变得自配置,还能自管理和自监控任何一种网络,尤其是广域网。这让企业能够更容易迁移到基于云的基础设施,同时为企业组织最大限度地提高基础设施的利用率(最高达到98%)提供了一种安全方式。SCION还减小了延迟的影响,其作用绝不仅限于传统的流量处理和稳态基础设施。
从安全合规方面来看,安全在过去受到轻视;但是现在已出现了许多新的威胁,所以安全得到了前所未有的重视。“你面临内部问题,比如斯诺顿事件带来的问题;由于机器的计算功能更强大,较低级的128位加密破解起来要比增添层层复杂机制的256位加密容易得多。”Trossell声称,如今,满腹牢骚的员工比过去更多了――维基泄密就是一个例子,但是员工必须拥有密钥才能访问加密内容。
Longbottom补充道,不久前,40位加密还被认为够安全。它只需要少量的计算资源;在大多数情况下,通常很难破解。但是可以获取更多资源后,更容易在短短几分钟内破解40位加密技术。他说:“因此,企业组织纷纷改用256位加密:AES、 3DES和BloFISH等。”他补充说,云计算为黑客运用蛮力攻击、试图破解密钥提供了一种手段。
解决办法就是将密钥放在本地,并且限制可以访问它们的人数。只有这么做,数据、因而数据中心才能保持安全。Buchanan说:“以前,企业组织别无选择,只能以很慢的速度传输加密数据;就传统的广域网优化而言,它只是沿着网络通道传输数据,没有任何加速。”许多公司仍认为,这是唯一的出路,但如今不再是这样。常常需要加密,那样一旦需要在数据中心之间传输数据,或者将数据传输到云端,就能确保数据安全,又不影响速度或危及安全。
兼顾速度和安全
Buchanan补充说,WANrockIT(SCION解决方案的市场领导厂商)可以帮助企业组织提升这个过程的速度和安全:“借助WANrockIT,你的加密数据在我们看来只是另一个数据块,就像其他任何数据那样经过了加速,而不实际受到影响――此外,如果你使用加密数据,软件还能够增加IPsect这一层机制,那样你实际上获得了双重加密。”
比如说,一位匿名的Bridgeworks客户试图通过500MB卫星链路,传输一个32GB大小的视频文件,延迟为600毫秒,总共耗时20小时才传输完成。仅仅花了11分钟安装WANrockIT后,仅仅用了10分钟就传输完毕。另一个客户原本只能进行50GB的增量备份,而不是能够对430GB执行夜间备份――问题同样是延迟为86毫秒。在OC12网络链路上传输需要12个小时;但是安装了WANrockIT后,50GB大小的备份数据在45分钟内就安全地传输完成。这让全部的夜间备份得以完成,所以这家组织可以确信其数据是安全的。
企业组织的安全中心其安全性因而不仅仅取决于数据,还取决于如何预防阻碍企业正常运转的黑客活动和非计划事件。要是数据中心无法能够迅速、安全地备份数据,这意味着它在本质上就是不安全的,因为一旦灾难发生,它就无法响应。
所以,你的数据中心过于依赖通过网络传输敏感数据,在数据传输到另一个数据中心或传输到云端之前,又不确保静态数据的安全,那么就有可能让自己面临险境。据EMC公司的全球数据保护指数显示,数据丢失和停运每年让英国蒙受105亿英镑的损失,有必要冒这个险吗?为了保护你的数据中心,并加快数据传输,不妨使用可以迅速、安全地加快数据传输的SCION解决方案,比如WANrockIT。
小知识之数据中心
数据中心是全球协作的特定设备网络,用来在internet网络基础设施上传递、加速、展示、计算、存储数据信息。