數據中心安全的管理人員和行業專家表示企業必須管理法規，政策，人員和技術，需要確保動態安全和數據中心安全。每一個安全層都是很重要的，所以很難說哪一個更重要。

一些組織如云安全聯盟是一個行業的領導者，全球安全專家協會和聯盟，公布了云計算知識和使用云計算的最佳做法的指導。這個指導手冊覆蓋了十五個安全領域，從計算架構到虛擬化，都是企業應該應用到數據中心安全措施。

盡管如此，在與一些數據中心安全管理者和行業專家對話的基礎上，我們列出了確保數據中心安全的五件事情。

確保數據中心安全的五件事情：1. 獲取物理控制

對于很多公司來說，第一步是要考慮是否要繼續保持自己的數據中心或外包任務，Smid說。 另外一些數據中心經理可能需要開始更艱難的任務，如控制訪問每個系統或網絡層。下面讓我們看一個例子。

NASA美國宇航局噴氣推進實驗室(JPL)IT集團經理Corbin Miller更愿意在數據中心封鎖物理安全。

在俄克拉何馬美國聯邦航空局(FAA)的數據中心，分層的安全越來越受歡迎，前美國聯邦航空局企業服務中心IT主管邁克梅爾斯表示。在該中心，物理安全包括一個隔開的校園，進入主體建筑和數據中心的證件，護送訪問者的一名警衛，獲準進入房間的關鍵卡，數據中心的視頻監控，以及根據數據的敏感性鎖定的服務器。

米勒正在實驗室的數據中心建立物理安全層來劃分測試、開發和生產領域。

該中心的經理要在數據中心設立一個開發實驗室，但米勒希望把它和生產區域分開，以保持JPL的操作正常運行。

“我想要把生產區作為最高級別的安全區”，只允許該地區授權的系統管理員進入，他說，“所以我設想在數據中心開設三個區。” 一個區將用于研究人員測試的設備;一個區在系統和應用開發進入生產之前，給他們提供更多的控制;最后一個區是生產區，只有核心系統管理員可以進入。

對于內層，并非一定需要證件進入，但有些類型的訪問控制(如服務器機架上鎖)對于生產系統是很有必要的，米勒說：“我只是不希望突然實驗室的人員說，‘我需要電力。讓我把設備插在這兒吧’，這樣它就給生產造成了問題”他說。#p#

確保數據中心安全的五件事情：2. 建立網絡安全區

在建立物理安全程序之后，艱難的網絡安全工作開始了。

“我會把分區集中到網絡層，”米勒說， 在JPL“第一個區域是有點寬松的環境，因為它是一個開發領域。下一個是子網的測試，它和開發區是分開的，是一個比生產區更寬松的環境。”

第三區是生產或支持子網的區域，也是系統管理員花費大量的時間和精力的地方。該區只有生產設備，因此管理員必須以受控的方式給生產網絡部署新系統，米勒說。

在JPL，管理員可以手動或虛擬給子網絡部署系統，并連接到虛擬局域網中，然后他們可以給流入或輸出的流量設立嚴格的規則。例如，管理員可以把郵件服務器部署端口25或80端口，原則是這個部署并不應該影響那個區的批準流量。

米勒表示數據中心管理人員需要考慮企業的各種子網絡將要處理的業務類型。如電子郵件應用，一些數據庫監測活動使用的鏈接到外界的端口。然而，這些生產機器不應該轉向CNN.com，ESPN.com，或雅虎新聞。在管理員設置這些規則后，他們可以更好地檢測異常活動，米勒說。

米勒表示一臺機器轉移到網絡的時候，你應該知道它正在運行，誰可以訪問操作系統層，它在通過網絡與其他系統通信，這些你都應該知道。

“現在你可以更好的了解你的安全監控和數據泄漏以及預防監測應該放在哪里，”他強調， “如果我知道只有三臺機器在網絡上時，我可以很清楚的看清流量和某些需要的具體的東西。”

米勒表示盡管無線網絡很受歡迎，但無線接入點在數據中心并沒有必要，因為他們很難控制。

DISA采取三管齊下的方法保證數據中心的安全性，Sienkiewicz說。第一部分是NetOps，確保國防部的全球信息網格的業務框架是可用的，而且它還提供保護和完整性。 二是技術保護。最后一部分是應用的認可和認證。

NetOps包括全球信息柵格企業管理(GIG Enterprise Management)，全球信息柵格網絡保證，以及全球信息柵格內容管理。 DISA投入了特定人員，政策，流程和業務支持功能來操作NetOps，Sienkiewicz表示。

在技術方面，美國國防部非軍事區是一個焦點。 所有的國防企業計算中心的流量通道都通過DOD和DISA非軍事區。

因此，必須檢查和管理連接國防部Web服務器的所有主機。 此外，在網絡訪問架構和其他DECC架構之間有一個隔離，在用戶和服務器類型之間也有一個邏輯分離。

由于這些設置，DISA可以限制訪問點，管理指令和控制，并跨環境提供集中安全和負載平衡。

此外，“我們使用帶外網絡，生產流量并不級聯到我們管理架構的方法中。” Sienkiewicz說。 通過虛擬專用網絡連接，用戶可以管理他們自己的環境。VPN連接為生產主機提供路徑來發送和接收企業系統管理.#p#

確保數據中心安全的五件事情：3. 鎖定服務器和主機

在俄克拉何馬聯邦航空局設施，所有服務器都在數據庫中登記，這個數據庫包含服務器是否包含隱私信息和細節。數據庫的大部分是手動維護的，但這個過程可以通過自動化提高，邁爾斯說。在問題地區已變更并配置管理，這些進程有些是自動化的，有些是手動的。美國聯邦航空局正在提高軟件自動化。

此外，美國聯邦航空局正在執行修補程序，至少每月跟蹤并掃描他們服務器上的漏洞。

美國聯邦航空局分開處理數據的安全性和服務器的安全性。美國聯邦航空局的應用加密多于軟件加密，這樣太局限，而且產生了系統兼容問題。該機構設立了防火墻來把政府的數據和私人數據分開。 聯邦航空局還使用掃描技術來監測潛在的外泄活動數據。 該掃描技術旨在確保數據進入正確的收件人，并且得到適當加密，邁爾斯說。

在DISA，數據中心經理正在努力解決服務器虛擬化造成的安全問題。 “當我們看虛擬化的時候，即我們如何提高服務器虛擬化，并解決由服務器虛擬化所帶來的新的安全問題。” Sienkiewicz說。

DISA的安全管理人員必須回答的一些問題是“我們如何確保管理程序被鎖定?我們如何確保添加，刪除和遷移得到適當的保護? “他說。

“我們使用虛擬化的最大問題是分開和孤立，” Sienkiewicz說。“我們努力把應用程序，Web服務，應用服務和數據庫服務和物理單獨的機架分開，因此在這個環境中數據不會發生鏈接或遺漏，同時我們也強化了環境的其他部分。”

和美國聯邦航空局一樣，DISA也在一張名單上登記了主機，該機構還安裝了基于主機的安全系統，監測和檢測惡意活動。他還是用公鑰為DOD管理物理安全，用戶必須使用通用訪問卡登錄到系統，這樣就提供了雙重認證。#p#

確保數據中心安全的五件事情：4. 應用程序漏洞掃描

應用掃描和代碼掃描工具是非常重要的，美國宇航局的米勒說。

在JPL，如果有人想部署一個應用程序，在進入生產環境之前，它必須經過管理員的掃描。 米勒使用的IBM Rational AppScan等掃描Web應用程序。 AppScan測試了黑客可以輕易地利用的安全漏洞，并提供修復能力、安全性指標以及關鍵的報告。

另一方面，寫代碼的開發人員必須通過代碼掃描器運行它，這個代碼掃描可能是一個Perl腳本，可以掃除緩沖區或其他漏洞的代碼，米勒表示。

確保數據中心安全的五件事情：5. 協調溝通可視數據流設備的安全性

使用云計算，機構需要改變他們的整體方法，以確保數據中心的安全，Juniper網絡公司系統工程總監Tim LeMaster表示。

“在云計算，主要是保護數據中心、用戶系統之間以及數據中心內虛擬機的安全。”LeMaster說。 因此，應用程序的可視性變得非常重要。

“你必須可以觀察到這些通道，而不是惡意軟件，因為很多惡意通道試圖掩蓋他們。” 很多通道使用88端口或通道來加密。 網絡管理員必須具備識別這些流量的知識和應用，他解釋說。

Juniper網絡公司開發的應用程序識別技術，除了端口協議外連接到數據的內容，并努力申請簽名，這樣幫助決定這個應用是否是一個真正的共享程序或對等網絡程序。

Juniper公司的技術還側重于應用的拒絕服務攻擊。拒絕服務攻擊并不新鮮，但傳統的方法來對付攻擊是“黑洞”的通道。 這種做法幫助拒絕服務攻擊完成它所原本要做的，然后再拒絕服務。因為網絡管理員必須刪除所有服務器受攻擊的流量和通道。

應用的拒絕服務防范軟件為管理員提供了分析能力，以確定通道是否合法。有了這些工具，管理員可以觀察其他數據流客戶端，并把它們和現有的其他數據中心的對比。協調網絡設備、防火墻、SSL的設備和入侵防護解決方案在云計算基礎設施中都很有用。

以上就是本文對確保數據中心安全的五件事情的分析，希望本文對大家會有些許的幫助。