当前，数据中心可以当之无愧的说是企业业务运营的神经中枢。企业业务的成功最终需要取决于数据中心的弹性和安全性。伴随着当前的网络安全威胁形势变得越来越复杂，企业组织正被迫将安全保护分层到他们的数据中心基础设施中。

在本文中，我们就将帮助广大读者诸君了解当前市场上正在发生的变化，以及企业亟待进行哪些方面的考察，以便能够充分利用贵公司数据中心的安全保护。文章中，我们将为您介绍在对数据中心安全产品之间进行比较时，需要考察的五大关键领域。

现如今，应用程序经济已经将几乎每家企业组织都变成了一家软件公司，这种转变推动运行企业所有软件的数据中心开始担任更为关键性的角色。数据中心越来越成为企业业务运营的神经中枢。而最终，企业业务的成功则需要取决于数据中心的弹性和安全性。

这就是为什么当前越来越多的企业组织为了保护数据中心资产而投入比以往更多的资金并不奇怪的原因所在了。数据中心网络安全预算的增长速度远远超过了其他IT部门。根据最近的调研数据显示，仅在2016年全球数据中心安全市场价值就已经达到61.5亿美元，预计2022年将达到约141.1亿美元，2017年至2022年期间的复合年增长率为14.85%。

由于虚拟化的数据中心、混合云和软件定义的网络模糊了现代数据中心的界限，使得业界目前对于数据中心安全性的投资均旨在应对当今基础设施日益复杂性的问题。与此同时，随着网络安全攻击者不断调整其逃避技术，以避开现有数据中心的安全技术，使得企业数据中心的安全保护策略始终处于不断变化之中。

2017年，在74个最常见的漏洞攻击工具和有效载荷感染路径中，99%使用了逃避技术。网络安全攻击者每天发布新的恶意软件样本数量高达360,000个。数据泄露总数超过1.74亿，平均违规成本为360万美元。

随着企业客户逐渐开始调查数据中心的安全选项，以应对当前的这些安全风险，他们需要了解市场中正在发生的相关变化。曾经构成单一产品的功能：如数据中心防火墙(DCFW)或数据中心IPS(DCIPS)现在已在其他产品中发现。因此随着新的子类别的出现，更难对这些产品进行一对一的比较。因此，企业采购人员需要明确相关的事实和确定的基准来比较具有类似配置的类似产品，以便能够为他们所在企业的具体使用案例挑选最佳产品，并将其用于实践过程中的概念验证测试。

数据中心网络安全的演进

随着当前的网络安全威胁形势变得越来越复杂，企业组织正在被迫将安全保护分层到他们的数据中心基础设施中。而DCFW和DCIPS所提供的功能对此至关重要。

DCFW的目标首先是在两个网络之间实施访问控制策略。防火墙已从早期的数据包过滤和电路中继防火墙发展到应用程序层(基于代理)和动态数据包过滤防火墙，但其基本目的是保护可信网络免受不可信网络的侵害，同时允许授权通信在它们之间传输。

而DCIPS的目标是识别和阻止针对数据中心资源(如Web服务器、应用程序服务器和数据库服务器)的攻击。这些产品不断发展，以保持捕获日益复杂的攻击的平衡，同时产生几乎为零的误报，并满足严格的网络性能要求。

鉴于企业组织以前倾向于采用差异化的单一产品DCFW或DCIPS来提供阻止或过滤功能，现在有些企业正在寻求一种可以执行访问控制和深度数据包检测的单一平台，以保护服务器应用程序免受远程攻击。

因此，即使DCFW和DCIPS演进到具备下一代的相关功能，市场上仍然出现了一类名为数据中心安全网关(DCSG)的新产品，这类新产品将DCFW和DCIPS的下一代功能进行了结合。与保护用户免受互联网干扰的下一代防火墙(NGFW)不同，DCSG通过互联网保护数据中心资产资源，例如网络服务器、邮件服务器、DNS服务器、应用程序服务器等。

理想情况下，DCSG旨在对所有数据包和端口以及所有协议执行深度数据包检测，以确定哪些应用程序在哪些端口上运行，从而有效保护它们。这应该注重性能，提供安全性，同时保持应用程序的平稳运行。

数据中心网络安全概述

单一平台的部分吸引力在于其可管理性因素——企业组织可以通过单一平台跟踪和控制应用程序的性能和安全性级别。事实上，随着越来越多的企业组织要求简化数据中心的安全控制，未来，这一新类别可能会包含Web应用程序防火墙(WAF)功能。

那么问题是，一家企业组织是否可以取消其DCFW和DCIPS设备，以支持单个DCSG呢?在很多情况下，的确是可以的。但这并不一定意味着对单一功能的数据中心安全设备的需求正在消失。他们将继续发展，以供企业组织在某些有限的使用情况下的使用。

例如，一些企业组织可能会用位于其数据中心边缘的融合多功能DCSG取代单功能DCFW和DCIPS。然而，他们也可能选择在数据中心周边背后部署DCIPS(即，作为“线路中的碰撞”)，以实现细分和深度检查功能，而不会带来路由防火墙的复杂性。

这些新的DCSG产品要求那些负责获取数据中心保护技术的人员为其评估过程带来新的纪律。企业采购人员需要了解独立产品与新融合DCSG产品之间的差异，以便有效评估产品，并确定适合其所在企业组织的合适性。

充分利用数据中心安全保护

数据中心网络安全设备可处理正在访问服务器场中大型应用程序的数十万用户的流量。应用程序流量为每个请求生成很多连接和事务，这对网络安全设备快速建立多个连接，保持许多连接打开，并实现高吞吐率的能力提出了很高的要求。

最终，企业组织需要获得充分的可视性和控制，不仅仅是周边的数据，而是在整个数据中心边界上流动的数据。

DCSG必须能够执行访问控制和深度数据包检测，以保护服务器应用程序免受远程攻击，并且他们应该了解网络分段需求。他们还必须抵制真实的攻击者绕过安全技术的回避技术。

同时，这些保护措施必须在不影响数据中心运行的服务器和应用程序的情况下实现交付。由于受DCSG保护的服务器和应用程序的性质，高可用性，低延迟和容错性是关键性的任务。

一对一的比较：衡量数据中心安全产品

安全产品的评估应始终基于具有类似配置的类似产品类别。当企业的采购人员评估数据中心网络安全产品时，他们必须确保他们所选择的DCSG产品能够相互融合(即DCFW产品应与DCFW产品进行比较，DCIPS产品应与DCIPS产品进行比较)，并且所有产品的设置均是一致的。

例如，如果安全旁路模式默认情况下在一个产品上启用，而不是在另一个产品启用，其可以提供增强的性能统计信息，但代价是允许未经检查的流量进入网络，而管理员对此并不知道。

这可能会在POC期间歪曲比较。这个例子强调了安全有效性和性能之间的动态关系，在评估任何安全产品时必须牢记这一点。

企业组织评估数据中心安全产品时，应该尝试使用以下5个类别中的某些基准测试，并对产品评分(以DCSG为例)。这样做将建立一个强有力的比较矩阵，以决定为POC提供哪些产品。

此内容DOC下载　此内容PDF下载

版权声明:

1、陕西弈聪网站内容中凡注明“来源：XXX（非陕西弈聪网站）”的作品，转载自其它媒体，转载目的在于传递更多信息，其中涉及的网站建设，网站优化，百度关键词优化，西安软件开发等技术细节并不代表本站赞同支持其观点，并不对其真实性负责。对于署名“陕西弈聪”的作品系本站版权所有，任何人转载请署名来源，否则陕西弈聪将追究其相关法律责任。

2、本站内容中未声明为“原创”的内容可能源自其它网站，但并不代表本站支持其观点，对此带来的法律纠纷及其它责任与我方无关。如果此内容侵犯了您的权益，请联系我方进行删除。