數字化的遠程監控服務為數據中心物理基礎設施系統提供了實時監測和數據分析的功能。這些現代化的基于云的平臺,能夠有助于數據中心的電力和冷卻系統減少停機時間,降低平均恢復時間(MTTR),降低操作開銷,并提高能源效率。然而,鑒于有預計稱,到2019年的未來幾年內網絡安全犯罪的投入成本將增加四倍,達到2萬億美元。不僅引發了人們對于數據中心的這些系統是否能夠成功抵御網絡犯罪分子們的攻擊的擔憂。在本文中,我們將為廣大讀者朋友們介紹關于數字化開發和運營、基于云計算的遠程監控平臺使得數據的隱私和基礎設施系統的安全免于受到網絡攻擊的相關安全問題。當企業組織評估遠程監控供應商及其解決方案的優點時,了解這些平臺應該如何開發和部署的相關知識是非常有幫助的。
企業組織的關鍵任務的信息技術(IT)完全依賴于底層的物理基礎設施系統。這些系統不僅是企業IT運維的基礎,它們也代表了大量的資本和運營支出。這些系統對于企業組織的重要性及耗費在其之上的大量成本開支推動了對這些資產實施監控和管理的需要。數據中心基礎設施管理(DCIM)軟件工具和遠程監控服務,可以通過提供對于數據中心所有資源及其狀態、和他們彼此之間的依賴關系的主動通知和集中化的視圖,來使得IT操作運營更可靠、更高效。
遠程監控服務(即通過來自網絡外部的第三方實施監測)已經興起好幾年了。傳統上,這種服務已經涉及到通過從基礎設施系統到那些正在實施監控的系統的電子郵件廣播,以進行簡單的間歇狀態更新。這些服務發展演變成基于云計算的數字化(在線)服務,其監控是實時執行的,同時使用諸如云存儲、數據分析和移動應用程序等IT服務。而在《數字化的遠程監控及其如何改變了數據中心的運營和維護》一文中,我們將為廣大讀者朋友們進一步解釋這種現代類型的遠程監控。這些數字化的監控平臺有助于數據中心減少電力和冷卻系統的停機時間、降低平均恢復時間(MTTR),降低操作開銷,并提高能源效率。借助傳統的離線監測系統,數據分析引擎是不可能產生洞察能力的。而這種洞察能力則可以識別重要的趨勢和條件,降低成本,防止中斷。
數字遠程監控平臺通過讓連接的數據中心的基礎設施系統發送關于其自身的數據的連續的數據流到一個網關,該網關將其轉發到網絡之外或到云服務來工作。然后,這些數據將由相關工作人員和數據分析引擎進行監測和分析。最后,從監視和系統團隊到數據中心的操作運營人員還會有一個反饋回路。數據中心運營人員有權限通過該網關從網絡內部監控儀表板;或者當在網絡外部時通過一款移動應用程序或在一套遠程NOC的計算機到達平臺的云服務。下圖1顯示了現代數字監控平臺的基本架構。
圖1 一款推薦的數字監控??架構
鑒于有預計稱,到2019年的未來幾年內網絡安全犯罪的投入成本將增加四倍,達到2萬億美元。人們對于這些外部連接的監控平臺是否是能夠成功應對當前網絡犯罪分子的攻擊的擔憂和關注也是可以理解的。今天,網絡安全威脅始終存在,而網絡犯罪分子攻擊的性質也在不斷發展。為了防止這些網絡攻擊造成數據失竊、數據丟失和系統停機,企業組織機構需要一款安全監控平臺,并同時需要一支專業的DevOps團隊以時刻保持警惕。在選擇和部署實施一款數字化的監控平臺之前,企業客戶不僅僅需要從其特性和功能的基礎上對供應廠商的解決方案進行評估,還需要對其所具備的保護數據和系統抵御網絡攻擊的能力進行評估。而了解一款平臺的安全性則需要了解其是如何開發、部署和運營的。這方面的知識將有助于企業客戶評估遠程監控供應商的優劣,進而更好地確保系統和數據的安全。本文提供了一個關于安全開發生命周期(SDL)流程的基本概況,以描述一款產品應當如何設計和開發。此外,其還描述了具體到數字化遠程監控平臺如何有助于降低網絡攻擊的風險的功能的一些關鍵特性和功能。請務必要注意的是,此論述只是集中于供應商的平臺方面。同樣需要注意的方面還包括最終用戶的數據中心及其IT網絡的安全性。
安全開發生命周期(SDL)
安全開發生命周期(Secure Development Life Cycle,SDL)是一個對產品和解決方案在其開發的整個生命周期進行安全性評估的過程。其最初是由微軟公司所開發和建議的。使用一個SDL流程以管理一款監控平臺的開發、部署和運營是表明該供應商正在采用適當的措施以確保安全性和法規遵從性的最為充分的證據。該供應商應該使用一套與ISO 270343相一致的過程。
圖2 一個覆蓋了軟件開發過程的一個安全開發生命周期(SDL)流程的主要實踐做法
如圖2所示,介紹了8項關鍵實踐。其中每一項在下文中都有具體的詳細介紹。本文的后續部分突出了關于這些實踐做法的具體和關鍵方面,因為其涉及到一個數字化的、基于云的數據中心遠程監控平臺的開發和運行。
培訓
對員工在更為安全的解決方案的設計、開發、測試和部署方面應該有持續的培訓計劃。
需求
應該要將網絡安全功能特性和客戶的安全需求進行清楚詳細的列舉,并將其囊括在產品開發中。
設計
安全體系架構文檔的生成應當符合業界公認的設計實踐方案,以便開發出客戶所需的安全特性和功能。對這些文檔要進行審查,并創建網絡安全威脅模型以識別、量化、并解決潛在的安全風險。
開發
執行安全架構到產品的設計遵循詳細設計階段,并通過由文檔規定的最佳實踐和編碼標準進行指導。各種安全工具作為開發過程的一部分,應該使用包括靜態的、二進制的和動態的代碼分析。
測試驗證
從網絡安全威脅模型和保證穩健性的角度出發,對產品的部署實施安全性測試。對于監管的要求以及部署策略的遵守應該被納入到作為測試的一部分。
發行
安全文檔定義了如何更安全地安裝、調試、維護、管理和淘汰產品或解決方案。安全流程是基于最初的要求和有目標針對性的或指定的安全級別進行審查的。
部署
該項目開發團隊或者其部署的領導者應當就如何最好地安裝和優化安全功能提供相關的培訓,推薦服務技術人員。服務團隊應該就如何產品和解決方案的在其整個生命周期的安裝、管理和升級為客戶提供幫助。
響應
應該有一個產品,以便讓“網絡應急響應小組”能夠管理漏洞,并發生網絡安全事件的情況下支持客戶。理想情況下,這個團隊的人員應該與應用程序的開發是同一組人。這意味著每個人都知道詳細的了解產品。
安全平臺開發與部署的關鍵問題
如下,我們將為大家更詳細的介紹關于SDL實踐的關鍵環節,以確保企業客戶通過數字化遠程監控平臺實施良好的網絡安全實踐。以及企業客戶是否需要了解一款平臺,而為了更好的了解一款平臺企業客戶又應當與供應商在哪些方面進行討論。
人員
造成企業網絡被攻擊的一個常見的??來源或渠道是來自企業組織及其網絡內部的人員。而該人員有時并不一定必須是一個“壞員工”。即使是一名對企業忠誠和有職業道德的員工也可能在不知不覺中成為網絡攻擊的渠道。由于企業組織機構的基礎設施數據將被發送到一個數字化的遠程監控平臺,故而了解供應廠商是如何處理其工作人員這一 點是非常重要的,包括那些該平臺的開發人員,以及相關的部署和操作人員。下表1列出了企業客戶需要考察其供應商如何管理其員工的主要條款事項:
表1 企業客戶在評估供應商如何管理員工時所需要考察的要點因素
設計一款安全體系架構
在設計數字化的遠程監控平臺時,應該將網絡安全作為最高指導原則。以下幾點數字化監控平臺的推薦屬性和最佳實踐做法:
安全性測試
安全測試是開發一款數字化監控平臺的一個關鍵方面。其是在部署之前正確評估架構的安全性及其設計的唯一的方法。測試從開發階段開始。下表2總結了推薦的測試方法。
表2 平臺開發安全性測試
“DevOps”團隊的作用
在部署后保持警惕性是非常重要的,也許甚至比開始開發一款安全產品更重要。網絡安全攻擊是一個移動的目標,其在在數量上和類型上都在不斷發展。除了平臺是如何設計和開發的,一款平臺的安全性也非常依賴于供應商檢測、作出響應,并及時糾正安全問題的能力。
一只專門的DevOps7團隊應該由供應商負責維護平臺的安全性,并在解決方案部署之后,一旦發生任何網絡安全威脅及時做出響應。這個團隊應該有三大基本功能:
•檢測——該團隊應使用最新的、來自信譽良好的供應商的檢測工具執行連續的安全掃描(如上所述)。除此之外,所有系統組件的所有日志都應該被捕獲,并對任何異常情況持續地審查和監控。
•響應——DevOps團隊應提供“24x7全天候”的覆蓋面,并能夠對平臺或網關的關鍵問題進行自動通知。
•修復——通過持續的培訓、監控和測試,包括功能性和安全性的自動化測試,DevOps團隊應該能夠在所有環境輕松而自信地推出修補程序。
對于DevOps團隊而言,需要注意是兩個關鍵指標:平均檢測時間和平均恢復時間,這意味著該團隊專注于盡快和有效的檢測任何問題和隨后的恢復工作(安全相關或只是技術問題)。請注意,專注于平均故障時間是一個更傳統的方法,其對于云平臺是一個不太有用的指標,因為其并沒有說明如何迅速解決問題。DevOps團隊影響這些指標的兩個重點領域是網絡安全和物理安全。如下推薦的做法進行了簡要解釋。
網絡安全
DevOps團隊需要隨時監控供應商平臺網絡的安全性。網絡的操作平臺需要盡量與外界孤立,以保證數據的安全性和私密性。這樣做的一個有效的方法是使用Jump Server(跳板機)或主機托管。一款Jump Server是一種硬化和監控計算機,通常包括一個本地防火墻以控制不同的安全協議級別的網絡之間的訪問。這些主機托管都配置了SSH(Secure Shell),以保護保護網絡數據被攔截的加密網絡協議。使用SSL(安全套接字層)證書,確保平臺真正的所有者(即供應商/所有者/供應商)才能夠操作平臺上的網頁和儀表板。這些證書將使用路由器的443端口啟動的安全的HTTPS互聯網協議(如上所述)。這保證了平臺和用戶瀏覽器或移動應用程序之間的安全連接。此外,應使用訪問控制列表(ACL),并保持在Jump Server中,以確保只有那些應該和需要訪問的,才能訪問。事實上,所有服務器都是云平臺服務的一部分,都應該被ACL保護。這使得潛在的黑客更難使用一臺攻破的服務器作為平臺,以攻擊別人,因為服務器對于彼此是不“可見”的。
物理安全
DevOps團隊的一項重要的,但卻往往被忽視的責任是檢測任何安全威脅,即是物理安全監控。物理安全性通常被認為是負責管理和監控樓宇訪問的供應廠商的設備物理安全團隊的職權范圍。但是,物理安全性的某些方面,需要通過或至少需要與IT和DevOps團隊進行合作管理。這些方面包括對于數據中心、IT機房和廁所、以及軟件開發領域的訪問人員的監控管理。IT部門和DevOps團隊也應負責確保對手無法訪問到計算機。為此,所有的開發人員和運營人員應要求做到:
•對筆記本電腦磁盤的安全加密
•使用本地防火墻
•使用“增強”的密碼
•在短暫的停頓期間啟用屏幕鎖定
此外,供應商的DevOps團隊應該確保對任何正在開發和運營云平臺的站點的物理和網絡安全進行定期、和突擊性的滲透測試。理想情況下,這一測試應該使用第三方公司的服務,以確保結果的公正。
結論
現代化的數字監控平臺對于減少停機時間、降低平均恢復時間(MTTR)、降低運營開銷,以及提高電力和冷卻系統的能源效率有很大的潛力。數據分析引擎可以就重要的趨勢產生有價值的見解。然而,在線連接的監控系統或將成為網絡攻擊的潛在途徑。而借助正確的開發、部署和運行實踐,這些基于云的平臺可以獲得高度的安全。企業客戶與監控供應商進行深入的討論,以了解供應商們是否實施了這些實踐做法,及這些實踐做法所實施的程度是很重要的。這方面的知識將有助于企業客戶制定有效的采購決策,并在部署之后為他們提供放心的網絡安全管理。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:解決數據中心遠程監控平臺的網絡安全問題
本文網址:http://www.guhuozai8.cn/html/consultation/10839420018.html
相關文章
