【移動(dòng)通信網(wǎng)】過(guò)去,應(yīng)用交付控制器(ADC)通常被視為部署在企業(yè)數(shù)據(jù)中心以實(shí)現(xiàn)負(fù)載均衡功能的硬件設(shè)備。然而,現(xiàn)在ADC設(shè)備的功能已經(jīng)超越其最初的目標(biāo),以便滿足企業(yè)IT專家的多種需求。
現(xiàn)在ADC設(shè)備功能更加多樣化。Radware和EnterpriseStrategyGroup(ESG)合作完成的一項(xiàng)調(diào)查研究顯示,當(dāng)前及未來(lái)的ADC設(shè)備使用策略正在不斷進(jìn)化,其中的一個(gè)進(jìn)化就是ADC成為數(shù)據(jù)中心安全策略中的一個(gè)關(guān)鍵角色。據(jù)一項(xiàng)涉及200多個(gè)IT專家的調(diào)查研究顯示,不管是大型企業(yè)還是小型企業(yè),都在利用傳統(tǒng)的負(fù)載均衡器實(shí)現(xiàn)網(wǎng)絡(luò)層安全功能,如:防火墻和網(wǎng)絡(luò)分隔等。為什么ADC可以成為另一個(gè)網(wǎng)絡(luò)防御層呢?
研究表明:ADC設(shè)備在數(shù)據(jù)中心安全中的作用日趨明顯
研究結(jié)果表明,企業(yè)正在使用許多額外的ADC設(shè)備功能和特性,以實(shí)現(xiàn)監(jiān)控、加速和安全等功能。
RadwareADC設(shè)備為網(wǎng)絡(luò)攻擊防御保護(hù)企業(yè)數(shù)據(jù)中心
一半以上的受訪者認(rèn)為,網(wǎng)絡(luò)攻擊很有可能會(huì)攻破企業(yè)網(wǎng)絡(luò)外圍的防御措施,因此,ADC設(shè)備就成為了真正意義上的最后一道安全防線。
也就是說(shuō),如果網(wǎng)絡(luò)攻擊者成功攻破企業(yè)數(shù)據(jù)中心的第一層防御措施,并到達(dá)為某個(gè)應(yīng)用配備的ADC設(shè)備,他們就有機(jī)會(huì)發(fā)現(xiàn)該應(yīng)用中存在的安全漏洞。若果企業(yè)安全團(tuán)隊(duì)在ADC設(shè)備中的WAF功能上很好地定義了安全策略,那么這一特定應(yīng)用的安全仍可得到保證。但是黑客仍然能夠跨越外圍的防御措施,并隨心所欲地尋找該應(yīng)用或同一數(shù)據(jù)中心中其它應(yīng)用中存在的安全漏洞。
為何將ADC設(shè)備作為最后一道安全防線并不是一個(gè)很好的方法
在數(shù)據(jù)中心外圍,通常會(huì)看到許多網(wǎng)絡(luò)層防御工具(如:防火墻、DDoS防護(hù)系統(tǒng)、IPS/IDS解決方案等),而這些工具亦是非常有用的。從邏輯上講,用戶可以將WAF等面向應(yīng)用的防護(hù)系統(tǒng)部署在靠近應(yīng)用的位置,并為每個(gè)應(yīng)用都配備專業(yè)設(shè)備和優(yōu)化的安全策略。然而在保護(hù)數(shù)據(jù)中心應(yīng)用時(shí),這種分層的安全構(gòu)架并不完美。
在數(shù)據(jù)中心及其應(yīng)用中增加更多的安全層可以提高每個(gè)應(yīng)用的防護(hù)水平,但是在不同防御層之間必須保持更密切的合作,才能確保將攻擊者攔截在數(shù)據(jù)中心之外。通過(guò)這種協(xié)作,可以不用考慮哪個(gè)防御層可以檢測(cè)到攻擊或是安全缺口。例如,如果ADC設(shè)備中的WAF模塊檢測(cè)到對(duì)應(yīng)用的攻擊,它可以立即向數(shù)據(jù)中心外圍的防御系統(tǒng)發(fā)送相關(guān)信息和詳細(xì)的網(wǎng)絡(luò)層攻擊資源特征碼。通過(guò)這種協(xié)同工作,外圍安全設(shè)備就可以阻斷來(lái)自同一攻擊源的后續(xù)攻擊。
這種協(xié)同工作方法不僅提高了特定應(yīng)用的安全性,同時(shí)也保護(hù)了企業(yè)數(shù)據(jù)中心其它應(yīng)用的安全,因?yàn)檫@些應(yīng)用很可能就是下一個(gè)攻擊目標(biāo)。一旦攻擊流量能夠被攔截在數(shù)據(jù)中心的外圍,就可以顯著提高應(yīng)用服務(wù)水平。通過(guò)這種將攻擊流量從數(shù)據(jù)中心和應(yīng)用基礎(chǔ)架構(gòu)中卸載下來(lái)的方法,可以為合法用戶提供更快捷流暢的服務(wù),或是在攻擊之后為合法用戶快速恢復(fù)服務(wù)。
為了滿足應(yīng)用SLA需求,企業(yè)必須搭建安全高效的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。由于ADC設(shè)備的功能能夠適應(yīng)當(dāng)今IT界的需求,因此ADC設(shè)備可以在一定程度上滿足上述需求,但是ADC設(shè)備只提供了單個(gè)防御層。為了確保高度的網(wǎng)絡(luò)安全性,安全網(wǎng)絡(luò)必須能夠在多個(gè)防御層之間進(jìn)行信息通信,盡管近來(lái)ADC設(shè)備在安全防御領(lǐng)域的應(yīng)用越來(lái)越多,但是ADC設(shè)備并不能提供足夠強(qiáng)大的防御措施,因此企業(yè)不能將ADC設(shè)備作為最后一道安全防線。