數(shù)據(jù)中心環(huán)境的龐大規(guī)模和多樣性使這一等式更加復(fù)雜。在傳統(tǒng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全主要集中在防止攻擊者在網(wǎng)絡(luò)中立足。即使在分布式勞動(dòng)力快速增長(zhǎng)的情況下，這一戰(zhàn)略仍然適用，因?yàn)榉植际絼趧?dòng)力不斷擴(kuò)大，而且往往會(huì)破壞大部分網(wǎng)絡(luò)周邊。

相比之下，數(shù)據(jù)中心通常處理的流量要大得多，虛擬化工作負(fù)載在服務(wù)器、虛擬機(jī)和容器中運(yùn)行，它們相互作用以完成任務(wù)和共享數(shù)據(jù)。數(shù)據(jù)中心架構(gòu)也可以像單一的內(nèi)部設(shè)施一樣簡(jiǎn)單，或者使用混合或多云架構(gòu)，并具有一些無定形的外圍環(huán)境。

鑒于數(shù)據(jù)中心架構(gòu)與其所支持的企業(yè)一樣多樣，網(wǎng)絡(luò)安全沒有一個(gè)一刀切的解決方案。然而，有許多通用指南和最佳實(shí)踐可以幫助指導(dǎo)數(shù)據(jù)中心安全工作。

與傳統(tǒng)組網(wǎng)一樣，下一代防火墻通常被部署為數(shù)據(jù)中心的第一道防線；但根據(jù)規(guī)模、流量負(fù)載等方面的考慮，可能需要部署專用的數(shù)據(jù)中心。這些解決方案通?？梢灾С忠哉孜粸閱挝坏姆阑饓ν掏铝亢蛿?shù)百萬并發(fā)用戶會(huì)話。

數(shù)據(jù)中心下一代防火墻通常支持劃分為多個(gè)虛擬防火墻，為多租戶環(huán)境中的客戶端提供單獨(dú)的服務(wù)。通常情況下，這些虛擬防火墻是由客戶端直接獨(dú)立控制的，從而能夠針對(duì)每個(gè)客戶的需求進(jìn)行精確的特性定制。

冗余和故障轉(zhuǎn)移也是數(shù)據(jù)中心的關(guān)鍵需求，以確保即使在發(fā)生故障、災(zāi)難或類似的業(yè)務(wù)中斷事件時(shí)，也能持續(xù)正常運(yùn)行。在傳統(tǒng)網(wǎng)絡(luò)中，故障轉(zhuǎn)移機(jī)制可能是主動(dòng)/主動(dòng)或主動(dòng)/被動(dòng)的，但是，在數(shù)據(jù)中心環(huán)境中，為了在故障轉(zhuǎn)移期間保持操作的連續(xù)性，通常首選主動(dòng)/主動(dòng)模式。

在故障切換情況下，特別是如果冗余數(shù)據(jù)中心在地理位置上較遠(yuǎn)，則必須注意確保用戶連接以及數(shù)據(jù)和應(yīng)用程序的連續(xù)性。有了適當(dāng)?shù)臋C(jī)制，故障切換就可以在用戶幾乎看不見的情況下發(fā)生，而且不會(huì)影響當(dāng)前的連接。

然而，總有一個(gè)權(quán)衡。下一代防火墻的購(gòu)買和安裝可能相當(dāng)昂貴，必須權(quán)衡違約或業(yè)務(wù)中斷可能造成的潛在財(cái)政和聲譽(yù)損失。此外，下一代防火墻的大部分繁重工作都是由安全策略執(zhí)行的，盡管大多數(shù)供應(yīng)商提供配置向?qū)Ш推渌ぞ撸赡軙?huì)出現(xiàn)策略沖突。例如，容納遠(yuǎn)程工作人員可能需要手動(dòng)配置，以便允許訪問數(shù)據(jù)中心資源。

通過虛擬化、容器、多云使用和其他結(jié)構(gòu)，幾乎每個(gè)現(xiàn)代數(shù)據(jù)中心都利用了云架構(gòu)的元素。這既允許可擴(kuò)展性，也允許彈性，但本身存在安全風(fēng)險(xiǎn)。例如，一旦攻擊者獲得了訪問權(quán)限，數(shù)據(jù)中心的相關(guān)工作流程就可以提供通往其他服務(wù)器、數(shù)據(jù)、應(yīng)用和其他資源的路徑。

細(xì)分技術(shù)允許安全團(tuán)隊(duì)定義數(shù)據(jù)中心的不同區(qū)域，然后設(shè)置安全策略以保護(hù)它們，直到VM、容器或工作負(fù)載。數(shù)據(jù)中心元素之間的東西向通信可以被監(jiān)控和可視化，防止惡意軟件和其他危害指標(biāo)在數(shù)據(jù)中心廣泛傳播。

此外，在多租戶環(huán)境中，細(xì)分解決方案可以幫助防止未經(jīng)授權(quán)的用戶或威脅和攻擊在客戶端之間進(jìn)行訪問。此外，這些解決方案提供了對(duì)數(shù)據(jù)中心內(nèi)部流量的廣泛可見性，以及一套標(biāo)準(zhǔn)的防御機(jī)制，如IPS、防病毒和其他攻擊防御。

盡管細(xì)分有許多好處，但在現(xiàn)有環(huán)境中，實(shí)現(xiàn)可能非常復(fù)雜且難以正確應(yīng)用。正常流量模式的機(jī)器學(xué)習(xí)可以幫助確定允許或拒絕哪些東西向流量，但錯(cuò)誤的配置可能會(huì)中斷或阻礙業(yè)務(wù)運(yùn)營(yíng)。與下一代防火墻一樣，在考慮此解決方案時(shí)，必須權(quán)衡成本與收益。

正如前一節(jié)所提到的，云工作負(fù)載的可見性和資產(chǎn)通常如何交互是確保數(shù)據(jù)中心安全的關(guān)鍵之一。通過對(duì)工作負(fù)載的通常行為進(jìn)行建模，可以更容易地識(shí)別可能表明潛在威脅的任何異常，然后消除或補(bǔ)救它。

這種新興技術(shù)被稱為云工作負(fù)載保護(hù)平臺(tái)，簡(jiǎn)稱CWPP，通常為多云數(shù)據(jù)中心提供了許多關(guān)鍵的安全功能：允許監(jiān)控、可視化和控制的儀表板；基于AI或機(jī)器學(xué)習(xí)的正常行為和模式建模，以檢測(cè)威脅；以及跨多個(gè)云的微分割。

在考慮CWPP時(shí)，請(qǐng)記住，某些解決方案可能不支持所有用例，例如容器和微服務(wù)。此外，由于大多數(shù)CWPP都是基于代理的，因此在每個(gè)數(shù)據(jù)中心資產(chǎn)上安裝和維護(hù)代理的成本可能會(huì)迅速上升，降低部署速度，并可能影響資產(chǎn)的性能水平。

雖然數(shù)據(jù)中心安全是一個(gè)持續(xù)的過程，而不是一次性事件，但在數(shù)據(jù)中心組件的邊緣和內(nèi)部設(shè)置核心安全措施是至關(guān)重要的。這樣做將為成功保護(hù)公司重要資產(chǎn)奠定基礎(chǔ)，無論這些資產(chǎn)位于何處。