数据中心的复杂性增加了网络安全的挑战

（文章来源：中国IDC圈）

如今，各国政府从未面对过如此多的网络安全威胁。从黑客行动主义者到有组织犯罪，网络攻击者都在不分昼夜地进行攻击，以损害各国政府的技术、基础设施和民众。恐怖主义组织正在积极寻求利用软件漏洞，最近美国国家安全局关于ISIS和BlueKeep漏洞的调查就证明了这一点，后者针对的是传统的基于Windows的系统。甚至是业余黑客通过开发的工具包将各种数据泄露到公共领域，从而构成了越来越大的威胁。

毫不奇怪，网络安全是首席信息官最关心的问题。调研机构Gartner公司预计，全球从2017年用于网络安全的费用900亿美元将增至2022年的1万亿美元。与此同时，美国经济顾问委员会的报告称，恶意攻击对全球经济造成的损失可能高达每年1090亿美元，而IBM公司估计，每次攻击造成的平均损失为386万美元。

由于存在如此多的风险，没有哪一个政府组织能够承受基础设施的脆弱性。然而，在预算和资源紧张的背景下，打击网络威胁是政府机构工作人员面临的一个严峻挑战。政府机构面临的管理挑战之一是，数据中心环境在过去十年中变得越来越复杂。工作负载在本地、公共云和私有云中以及边缘计算运行。这种多样性带来了更大的安全风险。

可以理解，许多首席信息官都在关注将关键工作负载放在何处，并希望跨环境实现端到端的安全性。但现实情况是，数据中心堆栈的每一层都存在安全风险。黑客们已经意识到了这一点，并且已经瞄准了应用层，现在正在进一步升级对管理程序、引导驱动程序、固件甚至硬件的攻击。

虽然政府机构一直致力于降低个人计算机的安全风险，但他们开始意识到需要将注意力转移到基础设施上。传统的数据中心保护措施（如检测和隔离软件）或周边控制（如防火墙）已经不够用了。而当发现问题时，很可能已经造成了损坏。

为了保护空闲、传输和使用中的数据，IT管理员必须从处理器基础开始，全面了解组织的风险并建立控制。安全性必须在开始时设计到数据中心架构中，而不是通过随机产品进行临时解决。

在应用程序层发生的数据中心攻击很容易识别，但真正的威胁更严重，攻击更难检测和补救。这是因为传统的检测解决方案不太擅长识别恶意软件渗透到硬件组件的基础上，而且有些组件会使堆栈暴露在额外的漏洞中。例如，管理程序的设计就是为了优化虚拟机内存空间和内核。然而，这种资源共享打开了管理程序和堆栈，以增加攻击风险。

信任链是从第一个引导过程建立强化安全性的关键，它始于可信平台模块。TPM存储在机器的芯片中而不是软件中，存储专门与设备本身相关的加密密钥。建立信任链意味着应对堆栈中的每个层（引导、虚拟化、库、服务和应用程序）进行检查，从而证明堆栈的每一层的有效性。