见招拆招:Imperva的数据中心安全解决之道

　　数据中心是目前全球IT人士关注的焦点，随着云计算的大规模应用，虚拟化技术的不断成熟，数据中心的规模和数量都在不断增加。在今年初的RSA 2010大会上，如何确保云计算的安全，更进一步的说，如何确保数据中心的安全成为会议关注的焦点，能够成为全球最大的安全盛会的主要议题，我们也能从中看出，目前，在数据中心层面上的安全问题已经成为了各大企业、运营商、政府机构的关注重点了。

　　确保数据中心安全，很多企业都将重点放在网络层上，然而，一个现象正在引起我们的关注：有分析报告指出，92%的Web应用存在有安全缺陷!事实上，如何解决Web应用层面的威胁才是现阶段企业应该给予充分重视的内容，面对威胁的新招，在安全防护上，企业也要有新招来应对。

　　近日，专注于数据中心安全解决方案厂商Imperva的中国区总经理王曦瀚以及信诺瑞得总裁吴若松接受了ZDNet安全频道的专访，他们联手呼吁国内企业和组织机构开始重视Web应用层面的安全，不要再以“中世纪时代的骑兵”——防火墙、IPS等来应对新一代的威胁（注：信诺瑞得是Imperva在国内的独家代理）。

　　数据中心需要什么

　　一年以来，全球企业在数据中心上的投入翻了三倍，而数据中心的规模提升了六倍，我们正在面对的数据中心不仅规模不断膨胀，数量也在剧增。吴若松认为，在这种环境下，数据中心的需求将主要集中在安全、稳固、高效、可控四个方面。

　　所谓安全，数据中心中需要防护信息的泄露，同时有着完善的安全审计制度与实施，对与法律法规的遵从和对安全漏洞的修补也应该是CIO、CSO的强烈意愿。所谓稳固，对于大多数数据中心而言，7*24小时的服务不可避免，这就需要数据中心能够稳定高效的运行，同时有着自动灾难恢复的能力和应对突发流量的能力。所谓高效，指的是在面对不断减少的IT投入、在面对不断增加的服务器、在面对带宽压力迅速提升的时候，数据中心能够提升处理性能，降低能耗。而所谓可控，我们可以理解成为对于数据中心应用网络的监控，可以进行自动诊断、访问行为管理和带宽控制管理。

　　在所有这一切需求中，安全需求占据了相当大的比重，对于企业而言，因为安全事件成的数据泄漏，进而引发企业的业务危机，其危害和影响力都要远超过数据中心的硬件故障。

　　现在，数据中心的发展和安全需求的变革都印证了吴若松的判断，接下来要考虑的就是：我们的企业是如何进行防御的呢?

　　骑士如何能对阵枪手？

　　我们非常遗憾的看到，在国内大多数企业的数据中心中，传统的网络层安全设备仍然是安全防御的主流，防火墙和IPS被广泛的运用到企业的数据中心网络中，然而，这些常规的安全手段现在已经无法保证我们能够从容的面对新的安全事件。

　　如果我们把传统的安全防御技术比作中世纪时期的骑士，那么现代新型的威胁我们可以将其比为枪手，骑士应对同一时代的举着大刀的强盗入侵，他能够绰绰有余，但是，在面对枪手的子弹时，他就无能为力了。防御枪手就需要有更新型的防御手段。IT的安全防护也是如此。

　　王曦瀚向我们表示，一方面，随着信息化的不断推进、信息的不断数码化，在互联网上，企业的数据信息存在着极高的风险系数;另一方面，由于黑客攻击的动机开始迁移向直接以金钱为目的，因此，黑色产业链的不断膨胀让黑客入侵的技术成本大大下降，业余黑客入侵专业企业的事件屡有发生。

　　我们可以看到，根据国外分析机构权威数据显示，84%的机构经历过至少一次的数据丢失事件，在这其中，74%的数据泄漏问题来自于数据库，19%的数据泄漏来自于应用层，还有7%来自于内部的管理不善。

　　现在，我们已经明确了我们需要防御的对象——Web应用、数据库和文件。在应对这些威胁时，Imperva认为可以从两个方面着手来进行防御。对外，要能够防御外部的攻击，阻挡黑客入侵内部网络;对内，要加强内部权限的审计和记录，防止祸起萧墙。

　　现在，问题所在已经明朗了，在传统的解决方案中，防火墙可以抵御网络层的威胁，IPS可以防御已知漏洞威胁，在网络层威胁方面，没有问题但是它们无法面对应用层的威胁，而DLP确实可以降低数据泄漏的风险，但部署周期之长和投入成本之高是很多企业无法接受的。

　　黑客和内部威胁分子已经将他们的武器从大刀升级成为手枪，那么，作为防御方，花大价钱修筑铜墙铁壁(DLP)虽然可以获得良好的安全保障，但是从时间和经济成本上并不特别合理，同样我们更不能采用上一代的防火墙和IPS来防御这一部分威胁。

　　如何低成本高效的应对新一代的危机，Imperva给我们带来了一套很不错的解决方案，不仅能够部署风险控制系统，还能够控制成本和网络的复杂性。

　　Imperva的三套性价比方案

　　解决这些问题，Imperva准备的三套解决方案：Web应用防火墙、数据库安全套件和文件安全管理。这三套方案分别解决了应用层安全、数据库数据保护和非结构化数据的保护问题，同时较低的成本让企业无需为安全投入的巨资所困扰。

　　Imperva的Web应用防火墙是其赖以成名的产品线。作为前端的Web应用，在各个组织机构中千差万别，各具不同，而黑客们也正是看中了这一点，利用动态网页脚本中的设计漏洞来进行入侵。这也给安全防御造成了很大的困难，由于差异化太强，通用的安全解决方案很难解决此类问题。Web应用防火墙则另辟蹊径，以Imperva的Web应用防火墙为例，在其产品中，核心技术为动态建模技术，该项技术能够自动的学习Web应用的正常工作模式，并且建立相应的安全模型，这样，无需再担心企业的Web应用的差别，通过动态建模，Imperva的Web应用防火墙能够建立起适合每一个企业的独一无二的解决方案。具有应用层规则、基于会话的保护、提供详细颗粒度的政策管理也都使得Web应用防火墙能够提供传统安全设备之外的应用防护。

　　在数据泄漏防护方面，Imperva推出了数据库安全套件和文件安全管理两个解决方案，前者针对的是结构化的数据，也就是数据库的保护，后者是针对非结构化的数据，也就是文件数据的保护。在两款解决方案中，同样内置了动态建模技术，能够分析内部员工合法的数据存取行为，并且建立模型，在不合规的行为发生时候提出警示或者进行阻断。同时，由于采用桥接方式接入网络来进行部署，Imperva的方案成本相对较低，对原有网络架构的影响很小，根据我们的了解，其部署周期甚至小于一周，这对与企业强烈的数据保护需求无疑是个福音。

　　难能可贵的是，这三套解决方案并非各自独立为战，它们设计之初就可以联合部署在网络中，共同保障数据中心的安全。加上原有的传统安全防护设备——防火墙、IPS等，一个全面的、能够抵御各层级攻击、能够内外兼顾的数据中心安全防御系统呈现在我们面前（如下图所示）。

　　这样一套全面且廉价的解决方案，其突出的性价比无疑吸引了很多用户的加入，王曦瀚向我们介绍说，Imperva目前已经吸引了大量国内外客户，在金融、保险、教育、医疗等各个行业均获得认可，Imperva的国内业绩也是蒸蒸日上，2009年的财务数据显示相较于2008年，其业务增产率超过84%，而2010年第一季度相比去年同期也有惊人的248%的增长，国内客户总数由2009年的30余个增加到现在的将近70个。