《6+数据中心安全运维经验分享-赛尔网络》由会员分享,可在线阅读,更多相关《6+数据中心安全运维经验分享-赛尔网络(54页珍藏版)》请在金锄头文库上搜索。
1、数据中心安全管理经验分享 2016年 12月 杨连磊 CONTENT 数据中心网络结构 1 管理流量安全审计 2 业务流量严格把控 3 合理利用运维工具 4 数据中心网络结构 1 3 机房环境介绍 数据中心建筑面积 2100平米,其中建成机房面积 553平米机房按照 A级标准规范设计建设,所有设备均采用冗余设计建设,目前已安装机柜 110面,部署了 120台服务器, 600多台虚拟机,承载了 44个大型业务系统。 数据中心区域划分 详细拓扑结构 管理流量安全审计 2 7 配置基础策略 NO 类别 检查内容 说明 1 远程登录管理 用户认证方式 启用本地或 AAA认证 2 鉴别信息在网
2、络传输过程中被窃听 使用 SSH、 https加密传输 3 系统设置 ssh/https访问地址 管理员登录地址进行限制,指定ssh访问的地址 4 密码管理 用户口令加密并定期更换 防火墙的用户口令加密并定期更换( 90天) 5 账号管理 检查无用账号和分配权限 现存账号符合运维工作要求,无无用账号 6 会话超时 定义会话超时时间 登录失败后应强制退出 7 日志管理 日志服务 必须指定 log服务器 8 系统配置日志级别 定义日志级别 9 服务管理 修改系统默认 snmp community public、 private团体名 修改 snmp community public/private
3、默认团体名 10 时钟服务 指定 NTP服务器或校对本地时间 安全登录及审计 互联网 业务区域 核心交换 出口网关 移动用户 管理流量 SSL-VPN设备 堡垒机 合理利用现有设备,针对外部管理流量尽量采用 VPN加密方式,所有操作日志需要有专门的审计设备。 管理员安全认证 为保障管理流量的安全,所有管理员需要通过专用的 SSL-VPN拨号进入内网,实现了 1、用户身份的认证 2、针对不同用户可操作资源区分 3、流量数据加密 设备分权管理 所有设备通过堡垒机统一进行管理,做到设备可管、可控、可查,保存相关的登录操作等日志三个月以上 数据库操作审计 设有专门的数据库审计设备,对数据库的所
4、有增删改查做审计。保留相对应的日志文件,方便溯源。 业务流量严格把控 3 13 互联网接入区 DDOS防护 处于最外层的是防 DDOS系统,针对 DDOS流量进行识别,自动过滤非法流量,保障内部业务系统的安全性 域名智能解析 1.利用出口负载均衡设备,实现多链路的地址映射,同一个内网系统,映射多家运营商地址。 2.智能 DNS多区域解析,当某条链路故障时,可以不影响用户业务访问。 访问控制策略 通过严格设置内部服务器的流量通过规则,使得服务器只向外开发对外服务的端口,其余端口的流量直接在防火墙上做拒绝操作,从网络层和传输层上杜绝了非法流量的进入。 入侵防御 采用专业的入侵防御系统,对
5、于 5-7层的数据流量进行检测。能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 可根据厂商提供的信息,自动更新特征库,保障攻击识别率,提高系统安全性 WEB应用防护 WAF通过执行一系列针对 HTTP/HTTPS的安全策略来专门为 Web应用提供保护 对 HTTP的请求进行异常检测,拒绝不符合 HTTP标准的请求。可有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小 Web服务器被攻击的可能性。自动更新特征库,保障攻击识别率。 宁可错杀 1000,也不放过一个 横向数据流安全 由于信息系统的系统众多,且整体规划采用的大二层设计。为防止各个系统之间的互相
6、影响,采用了防火墙板卡,对于各个业务系统之间进行横向隔离,只允许符合规则的流量通过,减小威胁的扩散范围。 数据备份 目前数据中心拥有 600多台虚拟机,我们采用全备和增量备份的方式,将所有业务进行了数据备份。 数据库采用 rman的方式,应用服务器采用快照方式。 异地灾备 信息系统灾备是一种对信息系统的正常运营具有重大破坏性的突发事件,其中最明显的影响是信息服务的中断和延迟,致使业务无法正常运营。信息系统停顿的世界越长,单位的信息化程度越高,损失就越大。 1.典型的自然灾害,如火灾、地震洪水等; 2.设备故障、软件错误、通讯和电力故障等; 3.人为因素,误操作、攻击、破坏等; 合理利用运维
7、工具 4 23 为什么要部署监控软件 在一个 IT环境中会存在各种各样的设备,例如,硬件设备、软件设备,其系统的构成也是非常复杂的,通常由下图所示的模型构成 1、数据库: MySQL、 MariaDB、 Oracle、 SQLServer及 NOSQL( redis,memcached) 2.应用软件: nginx、 Apache、 PHP、 Tomcat、 Weblogic、 Websphere,ERP业务应用等 1、网络:网络环境(内网环境,外网环境) 2、硬件:服务器、存储、网络设备等 1、操作系统: Linux、 Unix、 Windows等 2、虚拟化: Vmware、 KVM、
8、XEN、 XenServer等 3、集群: LVS、 Keepalived、 HAProxy、 RHCS、 F5deng 上层应用 系统架构 底层支持 安全的前提是要保证数据中心的稳定运行。 监控的实现原理 专用客户端angent 公用协议 1 2 专用协议 Telnet SSH SNMP Server数据存储分析告警展示 数据通信 专用客户端angent 公用协议 主动模式 被动模式 一个监控系统的组成大题可以分为两部分:数据采集部分(客户端)和数据存储分析告警展示部分(服务器端)。这两部分 组 成了监控系统的基本模型 常见的运维工具 在监控软件中,开源的解决方案有流量监控( MRTG、
9、 Cacti、 SmokePing、 Graphite等)和性能告警( Nagios、 Zabbix、 Zenoss Core、 Ganglia、 OpenTSDB等)可供选择,并且每种软件都有自己的特点和功能,各自的侧重点和目标不完全相同,在设计理念和实现方法上也大同小异,但都具有共同特征,例如,采集数据、分析展示、告警以及简单的故障自动出来。 如何实现性能的监控 我们在虚拟机、服务器、数据库等性能的监控,部署了 一个分布式监控系统,支持多种采集方式和采集客户端,有专用的 Agent,也可以支持 SNMP、 IPMI、 JMX、 Telnet、 SSH等多种协议,它将采集到的数据存放到数据
10、库,然后对其进行分析整理,达到条件触发告警。 部署模式 因为目前数据中心虚拟机较多,环境复杂,我们目前是部署了多个 server用来收集,利用一个代理服务器负责整体的读取,然后展示出来。 数据获取方式 数据的获取方式主要有两种,一种是基于客户端方式,一种是基于公有协议,而我们的实现除了将两种方式进行了结合,也基于虚拟化平台( vmware),通过 vc的接口,实现了对虚拟化环境的完全监控(包括存储、 esxi系统等) 基于专用协议 专用协议一般都是利用 SNMP来获取,我们一般用于监控设备的流量、可用性等参数。 实现流量的监控 基于客户端模式 设备性能监控,采用基于客户端模式,由客户
11、端采集系统参数,发送到服务器端。 目前针对 Linux和 windows系统都可以良好的支持。 可以监控的参数 系统情况 为了保障数据中心的系统稳定,我们必须实时监测系统的各项性能参数,对系统问题做到预判。 数据库监控 可以监控到数据库的表空间使用率、会话数、用户情况。 虚拟化的监控 我们可以通过 Vcenter提供的 SOAP接口来获取 XML格式信息,并通过解析 XML格式的得到相 应的监控数据。 服务端必须支持 with-libxml2和 with-libcurl,(前者用来解析调用 SOAP接口返回的 XML,后者用来调用 vcenter的 SOAP接口) 配置文件中也要增加对
12、 VM的支持 StartVMwareCollectors=5 #Number of pre-forked vmware collector instances.只有大于0时才能是该功能生效,意为预先配置的 vmware监控实例数量。 (特别注意 ) VMwareFrequency=60 #Delay in seconds between data gathering from a single VMware service.zabbix获取更新 vmware集群结构的最小间隔时间,单位为分钟。 VMwareCacheSize=8M #Shared memory size for storing
13、 VMware data.内存中维护的 vmware集群结构的大小 配置步骤 Web界面添加 Vcenter的监控 1.链接 Template Virt VMware 2.添加 SOAP接口的 url和用户名密码 可以监控的参数 通过链接的模板通过 DDL自动发现集群、主机、以及虚拟机信息,并添加到相应的群组 进行监控。当我们在 VC中删除某台主机后,系统也会自动删除对应主机监控 物理机和存储监控 因为物理机和存储无法进行客户端的安装,我们通过和 vc的接口,来获取各项参数。 监控展示 添加触发器 如何添加触发器,如为某一主机添加 CPU触发器告警 1. 定义触发器名称 2. 编写触发器表达式,(表达式含义为 5分钟内 Cpu使用率大于阈值或者 15分钟内 Cpu使用率 一直大于 20%就触发报警) 添加触发器 触发器可以在模板中添加,也可以在主机总直接添加。当在模板中添加是,我们不能把阈值写死,因为每台主机的具体情况是不同的,需要在模板中定义变量,并在触发器表达式中使用变量代替具体的数值。 添加触发器 在使用模板的主机中修改为符合情况的数值 www.c
