文 本刊记者 郭嘉凯

在数据中心面临新的威胁和挑战时，企业应该如何构建自己的数据中心安全防护体系？

在云计算、大数据时代，数据中心的安全防护会发生怎样的变化？这可能是每个企业CIO都关心的问题。

事实上，随着科技日新月异的发展，每分每秒都有大量的数据产生。传统的数据中心已经不能满足许多企业的业务需求，而需要转向规模更大的虚拟乃至云端部署。企业的数据中心作为运行企业关键业务、业务应用的核心计算平台，是企业IT系统的核心。无论是物理、虚拟还是云端的数据中心，都储存着企业最核心的数据资产—客户记录、机密的业务数据、核心业务应用程序，于是首当其冲地成为当今网络攻击的主要目标。

数据中心规模不断扩大，部署环境更加复杂，影响重大的大型数据泄露事件也屡见不鲜（据R BS的报告，2013年是数据泄露历史性的一年，全球有8亿数据遭到泄露，其中72%是由日益商业化、有组织化的黑客攻击造成的）。但企业针对核心数据的防护措施却远没有那么与时俱进。事实上，许多企业的安全防护措施仍停留在“上一代”的水平。“事实上全球用户的安全误区是类似的。”I m p er va公司相关负责人说道。一方面是因为许多企业的安全防护措施建于数年前，当时安全威胁远没有现在那么复杂。这些安全措施只是针对病毒、恶意软件的防护，或许加上“下一代防火墙”，但远不足以应对当今已经演变为针对核心数据及w e b应用的安全威胁。Gartner发布的报告就曾指出，“现代网络攻击的主要目标是应用和数据。现在针对身份、终端和网络的防护方案不足以对当今演变中的安全威胁提供防护。”

随着IT需求的演变，当企业开始部署web应用时，黑客很快就学会规避传统的防火墙和IPS，比如通过编码和恶意评论等绕过技术规避IPS特征检测。而下一代防火墙作为应对网络边界威胁的产品，并不能有效防护针对web应用漏洞的攻击，也无法侦查针对cookie、会话、参数值篡改的攻击。

“我们发现在亚洲特别是中国，许多企业还是把安全重心和资源投入在恶意软件防护和传统防火墙上，这跟遗留资产有关，也跟安全意识有关。我们需要持续地告诉用户，只有围绕关键数据和we b应用建立的安全解决方案，才能最有效地应对现代网络攻击。” Imperva公司相关负责人预测说，随着云计算部署日趋普遍，未来将会有更多云数据泄露事件的发生—比如软件即服务（SaaS）和数据库即服务（DBaaS）的泄露事件。由于D B a a S使得黑客不需要通过网络就可攻击企业的数据库，利用DB a a S平台进行攻击的情况也会越来越多。与此同时，企业在云端部署面临了本地应用同样的安全威胁，如SQL注入、APT攻击、跨站脚本攻击。

那么，在数据中心面临新的威胁和挑战时，企业又该如何来构建自己的数据中心安全防护体系呢？在Im perva公司的数据中心安全专家看来，建立数据中心安全系统，最核心的是调整企业安全架构，建立以应用为中心的敏感数据防护体系。企业的数据中心通常由数据库、文件服务器和应用组成。如今，网络攻击日益复杂，攻击者使用多重策略和工具，其目的是要绕过传统的安全防护体系。在这种环境下，企业必须重新评估并建立一个拥有专门面向数据中心内的应用及数据资产保护层的安全体系，以实现对以应用为中心的敏感数据保护。“现在越来越多的企业已经认识到We b应用防火墙（W A F）的重要性，W A F已成为保护企业应用的核心平台，不仅可以防御包括We b攻击、业务逻辑攻击以及线上欺诈在内的各种网络威胁，更能够对防御层出不穷的新型攻击和恶意行为进行拦截，切实地对安全漏洞进行修补。”

内部威胁同样是企业数据安全的重大隐患，企业还要面对来自政府部门或行业协会的合规监管。Im perva公司专家建议企业在部署其数据中心安全策略时，要考虑三个方面的问题：1.提升内部数据控制，加强对数据访问的可见性管控，增进对数据中心访问滥用的检测功能；2.确保企业的安全预算能切实满足数据中心的数据保护需求而不是仅在终端及网络层面进行防护；3.评估现有安全解决方案的云端数据储存库，对供应商进行更为严谨的审核。