網絡化設備管理引發的安全性挑戰

聯系請致電：15378720700 河南億恩科技有限公司，專注IDC服務13年，華中地區最大IDC服務商。
BGP新機房優惠活動正在進行中。。。期待您的加入。

對于安全專業人士而言，數據和設備或電力管理兩個網絡意味著物理隔離或者兩個網絡之間需要網關作為明確的安全控制分界點。融合則意味著將兩個安全區域在物理上合并成一個，但在邏輯上不得不保持其相互隔離。對于大多數IT專業人士而言，融合網絡是件好事。但是設備網絡化管理系統也會給他們帶來新的安全問題。

不管融合何時實施，安全專業人員都必須了解：一旦物理隔離失去作用，應當如何繼續維持邏輯隔離。例如，安全團隊通常推薦在語音網絡中給語音分配專用VLAN，這樣可以通過語音VLAN和數據VLAN之間的特定交叉點來進行安全控制。

當安全團隊在網絡化設備管理中被遺忘時

當公司將其樓宇管理、環境控制、監控和連接到以太網的物理訪問網絡融合在一起時，之前彼此分離的功能開始相互聯系起來。安全團隊必須馬上采取控制措施來保護新融合的網絡，使其免受滋生木馬和DoS(拒絕服務)攻擊的因特網感染破壞。

問題是，安全人員通常不會被邀請參與到網絡融合中來，并且他們往往是最后一個知道網絡融合的。最好的原因是，安全性并不是一個早期考慮因素所以才很晚通知他們。最壞的原因是，認為他們會拒絕而沒有邀請他們——這種情況經常發生。

另外，一些安全和網絡團隊仍然拒絕接受現實，他們認為他們的公司永遠不會將設備管理遷移到以太網上——即便這種遷移現在已經開始進行。實際情況是能源和樓宇管理網絡已經融合到以太網上，但是這種融合程度太不明顯，以至于沒有人考慮其安全問題。例如，即便你沒有wiz-bang樓宇管理系統來控制單位的燈光和空調，你也可能有連接到以太網的數據中心機械裝置系統。沒有人想到要告訴你，但是網絡融合就在那里。

未經核實的網絡設備管理系統可能隱含著病毒和蠕蟲

如果你的數據中心擁有具備報告和監控能力的冷卻系統或UPS，那么多數情況下它們會被連接到一個以太網交換機上。那些控制系統采用一些標準協議，可以通過運行在Windows系統上的軟件或是一個Web接口來管理它們。它們可能支持諸如HTTP、HTTPS、SMNP、SMTP、SSH和FTP等協議，同時它們也具有系統日志記錄功能。為了方便和降低成本，那些控制系統也可能采用一些現成軟件，諸如MySQL或MS-SQL數據庫，Apache或IIS Web服務器，以及現成的SNMP庫。所有這些都存在著漏洞。

令人驚訝的是，貴公司可能已經花費了數百萬美元來確保數據中心擁有多條冗余路徑用于電力、制冷和網絡連接，包括相互獨立的主備線路，備用UPS系統和發電機。對于所有的冗余而言，除了你精心設計的獨立和備用系統兩者同時失效的情況外，SQL或HTTP蠕蟲病毒都可以構成威脅。相對于完全獨立的電力供應，那些控制系統或許連接到一個單獨的以太網，從而彼此連接并存在相同的漏洞。所有那些冗余已經融合成一個單一故障點，并且沒有引起任何注意。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]