大约31年前,美国之音记者泰坦尼克号被发现躺在海底。沉船的传说在书和电影中被反复讲述。这个故事的一个引人注目的方面是它的创造者所宣称的安全。即使灾难的报道开始渗透到纽约,白星航运公司的副总裁说,“我们对泰坦尼克号绝对有信心。我们相信这艘船不会沉没。显然,现实辜负了这些海事工程师的信心。
这个著名的灾难能给现代数据中心的工程师们什么教训呢?雷竞技电脑网站特别是,我们如何防止敌对攻击——潜伏在我们航行的海面上的“冰山”——造成灾难性的破坏?
+也在网络世界:有个足球雷竞技app网络分割如何提供一条通往物联网安全的路径+
设计师的信心并非完全没有根据。这艘船被分成16个隔间,每个隔间都可以用水密门隔开。有四艘船可能被淹而不会沉没。
雷竞技电脑网站数据中心网络遵循类似的原则,称为分段(segmentation),采用逻辑划分来保护服务器不受攻击。
不幸的是,泰坦尼克号的舱壁不够高,所以水开始从一个舱漏到另一个舱漏。威胁首先来自船体外部,但随后越来越多地来自邻近的舱室。
同样地,数据中心工程雷竞技电脑网站师也越来越认识到威胁不仅仅来自外部,所谓的“南北”流量来自企业web服务器的外部访问。它们也可能来自内部,敌对的“东西”通信,来自被侵入的服务器,它们正在探测进一步的漏洞。
例如,正常的“东西”流量包括一个面向客户的应用程序查询内部数据库以检索帐户信息。但是允许这样的查询不受限制地流动就像没有任何隔板的船一样危险。取而代之的是,数据雷竞技电脑网站中心被越来越多地分割成更小的密封单元,这种方法被称为微分割。
自动化必不可少的
1911年,《造船者》杂志报道:“船长只需移动一个电闸,就可以立即关闭整艘船的舱门,使这艘船几乎不沉没。”While some automatic controls were also available, such reliance on human intervention can become a weakness during the chaos surrounding actual emergencies.
在数据雷竞技电脑网站中心中,这种手动方法对应于打开票据以提示人工操作员打开或关闭防火墙设置。这比舰桥到轮机舱的电报机发出“退三”的信号好不了多少。随着灾难的迫近。
一种更现代的方法是在创建每个服务器时自动将其分配到适当的安全组,使用预先设置将连接限制为绝对需要的连接。这种自动化方法对于保护数以千计的应用程序越来越有必要,特别是当它们被进一步划分为组件微服务时。
当然,人的因素仍然很重要,即使人们不再参与每一笔交易。英国关于泰坦尼克号灾难报告中的一条建议是:“负责管理船只的人应该比以往更频繁地进行演习。”……这样的演习应记录在官方日志中。”
这样的指令听起来很熟悉正在进行的安全认证的一个现代数据中心,尽管海军部规则已经被取代雷竞技电脑网站联邦信息安全管理法(FISMA),健康保险可携性和问责法案(HIPAA)和支付卡行业数据安全标准(PCI DSS)。
船上的高级无线电操作员杰克·菲利普斯(Jack Phillips)一直坚守岗位直到最后一刻,向该海域的其他船只寻求帮助。后来,一位同事写到他已故的同事,“看着他站在那里坚持自己的工作,而其他人都在愤怒地咆哮,我突然感到一种崇敬。”
任何经历过数据中心被破坏的人都很容易想象到这种愤怒,也雷竞技电脑网站理解坚持工作的必要性。
从历史中吸取教训,提前采取措施,可以帮助避免网络安全灾难的发生。网络安全将越来越依赖于微分割和自动化安全组,以及持续的培训和警戒。
吸取泰坦尼克号的教训,可以帮助现代数据中心的工程师们避免和减轻意外威胁带来的灾难性遭遇,并确保他们遇到雷竞技电脑网站的唯一冰块只是在他们最喜欢的饮料杯中轻轻碰杯。