确保欧洲数据中心免受网络安全攻击

鉴于现如今数据中心的相关设备正日渐成为网络黑客的攻击目标，欧洲的数据中心运营商们必须积极的采取各种预防措施，以防止网络安全攻击事件的发生。

对于所有的数据中心运营商而言，其当务之急是保护其数据中心的相关设施免受物理攻击或渗透。许多数据中心在其建筑周围都安装了钢筋围栏，以及基于生物特征的访问系统并采用了防炸弹的建筑材料，而这一切的努力都是为了阻止未经许可的人的侵入。

然而，最近一系列的关注问题要求数据中心运营商们所要追求的不仅仅是其数据中心物理站点达到诺克斯堡水平的安全，同时，他们还必须警惕来自网络攻击对其相关设施的威胁。

鉴于网络威胁形势的不断变化的性质，这显然是数据中心运营商们所不能忽视的一大领域，安全供应商Barracuda Networks公司的EMEA地区总经理Wieland Alge警告说。

“数据中心的安全威胁境况已经完全改变了——其是随着时间在不断变化的。事实上，即使是向我们这样的IT安全专家，都已经不能再采用过去的方法来完全实现对IT安全的控制了。”他说。

网络安全大战现状一览

数据中心所存在的相关网络攻击，包括诸如数据泄露或分布式拒绝服务(DDoS)事件，似乎会定期性的影响欧洲地区的整个数据中心行业，如果我们稍稍留意一下过去的相关新闻报道的话。

IT安全专家表示说，在某些情况下，特别是涉及到那些金融领域的企业，对于相关金融的细节的攻击是保密的，有时甚至是黑客攻击及其受害者之间达成了保密协议。

这样的协议可以保护网络攻击受害企业的专业声誉。很容易理解为什么这些受害企业可能不愿意让他们受攻击的细节被公开，因为这可能会暴露在其安全操作方面的缺点。

位于华沙的网络空间安全基金会创始人Mirosław Maj指出，2015年5月发生的针对德国议会的网络攻击事件，导致德国联邦议院不得不更换大约20,000台计算机。在攻击事件发生后，德国政府对当地报纸的相关新闻报道进行了严厉的批评，暗示此次攻击可能是由用户点击恶意电子邮件中的链接所引发的。

“在联邦议会遭到网络攻击的事件揭示了黑客对政府机构实施监视是多么容易的事情，同时也反映了政府官员和相关人员对于这些网络安全攻击缺乏准备是多么愚蠢。”他说。

但掩盖网络威胁可能存在两大缺点。首先，其可能会掩盖了数据中心运营商遭受网络攻击的受害程度，这会导致他们可能并不清楚网络攻击对于他们的设施所带来的风险。

其次，由于没有充分和坦率的披露相关企业如何被黑客攻击的事件，运营商可能无法充分理解他们应该采取措施来保护自己的免受网络安全威胁。

欧洲统一的数据安全保护

如何在整个欧洲推广数字安全水平一直是近年来欧洲的数据中心业界广泛争论的话题，而正是由于有了欧盟委员会的不懈努力，统一的数据保护法律现已在所有28个欧盟成员国正式实施。

欧盟新的数据保护条例将建立官方正式的监控、审查、评估和数据处理程序，减少违约的风险，这会给数据中心运营商们一些明确的可供遵循的指导。

去年三月，在布鲁塞尔召开的Net Futures 2015会议期间，欧盟委员会数字经济与社会负责人Günther Oettinger在探讨数字单一市场时概述了实施监管的目的。

“欧盟委员会希望迫使所有在欧洲的企业都必须报告他们的任何数据泄露。”他说。

“每个国家都需要建立一个可信赖的平台，以便让企业报告他们的数据泄露事件。各个国家的政府仍然需要任命一个中央权威机构，并制定国家网络安全战略。”

数据中心运营商对于推动建立一个欧盟所有成员国统一遵守的数据保护法均表示欢迎，毕竟，目前各个国家都有其自己的一套规则和条例，造成目前复杂的状况。

保护要求不断更新升级

尽管具备一系列的软件工具和技术，但网络攻击者更倾向于通过利用社会工程技巧向他们的攻击目标传播恶意软件，而这一趋势还在不断增长。

对于数据中心运营商和最终用户而言，他们必须紧跟这一趋势的发展，采取相关措施以预防。

“我们必须理解相关专家和最终用户使用IT的方式正在发生变化，而且这种变化的速度可能比我们的安全专家曾经想过的还要快。” Alge说。

“今天，相关防火墙规则的设立、审批和提炼的速度仍然太缓慢，而一些计算中心的防火墙规则已然过时了。IT安全团队必须不断适应新的情况。总的威胁防护需求正在不断的更新升级。”

对此有深刻认识的一家数据中心运营商便是DNSimple公司。该域名服务供应商的所有设施在2015年5月20日遭受到了DDoS攻击的影响。

“我们大部分的DDoS防御系统工作正常。”该公司的创始人Anthony Eden解释说。

“我们所经历的是不断变化的网络攻击，这是一场持久战，而我们自身也将继续改善我们的工作流程和系统，以尽量减少对我们所有客户的影响。”

从被动到主动

DDoS攻击通常用于用网络流量超载系统禁用数据中心操作，能使数据中心站点和其他服务离线或停用。

“对于一家通过在线网络提供其服务的企业，由于超载的服务器或接入链路无法为客户提供适当的支持所造成的损失远远不仅仅局限于造成的业务损失而已。其还包括失去客户的信任，财务损失和名誉受损，以及潜在的企业内部的冲突。” 波兰ATM电信公司副总裁Jacek Krupa表示。

不幸的是，传统的保护系统不能轻易地识别是否突然增加的网络流量是否是受到DDoS攻击所引起的。

防御已知的、未知的和不断变化的网络攻击，包括DoS和DDoS攻击，需要操作人员能够识别网络安全威胁，并在基础设施水平就阻止他们。

ATM公司最近创造了一款AntiDDoS来处理这些问题。它由2个保护装置组成：一个传感器和一个过滤器，安装在客户端的链接上，与安装的监控软件一起工作。

经过初步分析，定义了容量阈值(如TCP 60Mbps，10k/秒)，当这些都超出异常的标记。每个子网和地址可以有不同的阈值，并有响应模板分配给他们。

该传感器的任务是对所有通过客户端的链路所产生的流量进行实时分析。如果它检测到被保护的触发阈值已经被超过，流量将从骨干路由器重定向到过滤器。在短短几秒过滤流量进行分析，然后通过一个单独的返回通道发送回客户端。

“以这种方式配置基础设施的主要优点是能够在没有网络攻击的首要链接地址继续操作，AntiDDoS系统停机时间对无限制的互联网接入服务实现了零影响可能性。”Krupa解释说。

针对数据中心物联网网关的黑客攻击

物联网的兴起为数据中心运营商带来了另一个重大的安全风险，尤其是互联网连接设备的数量不断增长，导致更多的流量通过其设施。

根据惠普公司最近公布的物联网安全状况报告：70%的物联网设备很容易受到攻击。

“这些物联网设备往往不是由他们的所有者经营的，而是由出售这些设备的企业。这意味着，众多的参与者在数据中心网络是活跃的，而这些网络参与者并不知道这些情况，而且也不能控制，不能把握并对这些事情负责。” Alge说。

最近，咨询公司安永的一份报告进一步强调了这一问题，该报告指出：“一个脆弱的设备装置可以导致其他设备的脆弱，而针对所有设备的所有漏洞打补丁几乎是不可能的。”

“对于网络罪犯分子，他们找到一个攻击目标不会很难。网络漏洞的地下黑市销售市场将是巨大的，因此受害者的人数也将相当巨大。”

因此，数据中心运营商可以采取什么步骤来保护自己免受物联网入侵者的威胁呢?根据安永的报告，他们需要确保熟悉自己的环境，同时要准备发展他们的安全实践方案。他们还需要对他们的事件响应程序有信心，并确保网络安全与企业总体业务原则的一致性。

作者：litao984lt

来源：51CTO