RadwareADC設(shè)備為網(wǎng)絡(luò)攻擊防御保護企業(yè)數(shù)據(jù)中心

    【移動通信網(wǎng)】過去，應(yīng)用交付控制器(ADC)通常被視為部署在企業(yè)數(shù)據(jù)中心以實現(xiàn)負載均衡功能的硬件設(shè)備。然而，現(xiàn)在ADC設(shè)備的功能已經(jīng)超越其最初的目標，以便滿足企業(yè)IT專家的多種需求。

    現(xiàn)在ADC設(shè)備功能更加多樣化。Radware和EnterpriseStrategyGroup(ESG)合作完成的一項調(diào)查研究顯示，當前及未來的ADC設(shè)備使用策略正在不斷進化，其中的一個進化就是ADC成為數(shù)據(jù)中心安全策略中的一個關(guān)鍵角色。據(jù)一項涉及200多個IT專家的調(diào)查研究顯示，不管是大型企業(yè)還是小型企業(yè)，都在利用傳統(tǒng)的負載均衡器實現(xiàn)網(wǎng)絡(luò)層安全功能，如：防火墻和網(wǎng)絡(luò)分隔等。為什么ADC可以成為另一個網(wǎng)絡(luò)防御層呢？

    研究表明：ADC設(shè)備在數(shù)據(jù)中心安全中的作用日趨明顯

    研究結(jié)果表明，企業(yè)正在使用許多額外的ADC設(shè)備功能和特性，以實現(xiàn)監(jiān)控、加速和安全等功能。

RadwareADC設(shè)備為網(wǎng)絡(luò)攻擊防御保護企業(yè)數(shù)據(jù)中心

    一半以上的受訪者認為，網(wǎng)絡(luò)攻擊很有可能會攻破企業(yè)網(wǎng)絡(luò)外圍的防御措施，因此，ADC設(shè)備就成為了真正意義上的最后一道安全防線。

    也就是說，如果網(wǎng)絡(luò)攻擊者成功攻破企業(yè)數(shù)據(jù)中心的第一層防御措施，并到達為某個應(yīng)用配備的ADC設(shè)備，他們就有機會發(fā)現(xiàn)該應(yīng)用中存在的安全漏洞。若果企業(yè)安全團隊在ADC設(shè)備中的WAF功能上很好地定義了安全策略，那么這一特定應(yīng)用的安全仍可得到保證。但是黑客仍然能夠跨越外圍的防御措施，并隨心所欲地尋找該應(yīng)用或同一數(shù)據(jù)中心中其它應(yīng)用中存在的安全漏洞。

    為何將ADC設(shè)備作為最后一道安全防線并不是一個很好的方法

    在數(shù)據(jù)中心外圍，通常會看到許多網(wǎng)絡(luò)層防御工具(如：防火墻、DDoS防護系統(tǒng)、IPS/IDS解決方案等)，而這些工具亦是非常有用的。從邏輯上講，用戶可以將WAF等面向應(yīng)用的防護系統(tǒng)部署在靠近應(yīng)用的位置，并為每個應(yīng)用都配備專業(yè)設(shè)備和優(yōu)化的安全策略。然而在保護數(shù)據(jù)中心應(yīng)用時，這種分層的安全構(gòu)架并不完美。

    在數(shù)據(jù)中心及其應(yīng)用中增加更多的安全層可以提高每個應(yīng)用的防護水平，但是在不同防御層之間必須保持更密切的合作，才能確保將攻擊者攔截在數(shù)據(jù)中心之外。通過這種協(xié)作，可以不用考慮哪個防御層可以檢測到攻擊或是安全缺口。例如，如果ADC設(shè)備中的WAF模塊檢測到對應(yīng)用的攻擊，它可以立即向數(shù)據(jù)中心外圍的防御系統(tǒng)發(fā)送相關(guān)信息和詳細的網(wǎng)絡(luò)層攻擊資源特征碼。通過這種協(xié)同工作，外圍安全設(shè)備就可以阻斷來自同一攻擊源的后續(xù)攻擊。

    這種協(xié)同工作方法不僅提高了特定應(yīng)用的安全性，同時也保護了企業(yè)數(shù)據(jù)中心其它應(yīng)用的安全，因為這些應(yīng)用很可能就是下一個攻擊目標。一旦攻擊流量能夠被攔截在數(shù)據(jù)中心的外圍，就可以顯著提高應(yīng)用服務(wù)水平。通過這種將攻擊流量從數(shù)據(jù)中心和應(yīng)用基礎(chǔ)架構(gòu)中卸載下來的方法，可以為合法用戶提供更快捷流暢的服務(wù)，或是在攻擊之后為合法用戶快速恢復(fù)服務(wù)。

    為了滿足應(yīng)用SLA需求，企業(yè)必須搭建安全高效的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。由于ADC設(shè)備的功能能夠適應(yīng)當今IT界的需求，因此ADC設(shè)備可以在一定程度上滿足上述需求，但是ADC設(shè)備只提供了單個防御層。為了確保高度的網(wǎng)絡(luò)安全性，安全網(wǎng)絡(luò)必須能夠在多個防御層之間進行信息通信，盡管近來ADC設(shè)備在安全防御領(lǐng)域的應(yīng)用越來越多，但是ADC設(shè)備并不能提供足夠強大的防御措施，因此企業(yè)不能將ADC設(shè)備作為最后一道安全防線。