Phần 1: Tổng quan về bảo mật Trung tâm dữ liệu

Tại sao bảo mật quan trọng?

Bảo mật hệ thống Trung tâm dữ liệu hay Trung tâm dự liệu là một phần không thể thiếu của đề xuất thiết kế và cực kỳ quan trọng bởi vì bạn đang bảo vệ các thiết bị vật lý, thông tin cá nhân, và sở hữu trí tuệ của khách hàng. Khi đối phó với bảo mật có nhiều khía cạnh cần được xem xét. Việc bảo mật vật lý nơi đặt hệ thống Trung tâm dữ liệu có vẻ không quan trọng nhưng nó là dòng đầu tiên của việc phòng vệ. Các tòa nhà và hệ thống Trung tâm dữ liệu cần được bảo vệ và giới hạn truy cập trong một vài nhân viên phù hợp. Điều này có thể không phải là một phần của đề án thiết kế, nhưng cần được thảo luận với khách hàng. Việc ở bên trong hệ thống Trung tâm dữ liệu là rất quan trọng để đảm bảo tất cả các khía cạnh được bảo vệ bao gồm đảm bảo về kết nối mạng, thiết bị, và các dữ liệu được lưu trữ mà không ảnh hưởng đến hiệu suất.

Lựa chọn thiết bị phù hợp

Việc lựa chọn thiết bị sử dùng cần đáp ứng các tiêu chí:

• Dựa trên các yêu cầu triển khai thực tế của hệ thống Trung tâm dữ liệu bao gồm số lượng end-user, lưu lượng thực tế qua lại và các mục tiêu cần bảo vệ.
• Các dịch vụ cần thiết của hệ thống tường lửa và khả năng đảm bảo tính liên tục trong hoạt động cũng như đáp ứng mở rộng trong tương lai.

Chiến lược triển khai bảo mật

Khi triển khai các thiết bị bảo mật nói chung có hai phương pháp:

• Inline: Đặt thiết bị SRX Series trong đường dẫn của tất cả các lưu lượng đi vào và đi ra hệ thống Trung tâm dữ liệu. Thông thường thiết bị này là giữa các switch và các thiết bị mạng WAN hay kết nối đến vùng khác. Vị trí này đảm bảo lưu lượng ra vào hệ thống Trung tâm dữ liệu của bạn luôn được bảo vệ thông qua các dịch vụ tường lửa. Một trong những lợi thế của việc triển khai này là nó làm giảm số lượng các cổng kết nối cần thiết cho các tường lửa để kết nối với các thiết bị lân cận. Một giao diện kết nối cho mỗi thiết bị core-aggregation (spine), trong khi các giao diện khác kết nối với các thiết bị WAN ở biên.
• One-arm: Triển khai tường lửa one-arm là một cách tiếp cận vật lý cho việc triển khai tường lửa trong kiến trúc Trung tâm dữ liệu. Một thiết bị SRX Series có thể được giảm mỗi bên và là điển hình kết nối với các core-aggregation devices (spine). Triển khai này cho phép người quản trị có thể kiểm tra tất cả lưu lượng hoặc tất cả các lưu lượng được lựa chọn để bỏ qua (by pass) việc tường lửa kiểm tra.

Có nhiều biến thể độc đáo có thể được thực hiện bằng cách sử dụng hai phương pháp này. Thiết kế thực tế và vị trí thiết bị của bạn sẽ phụ thuộc vào những lưu lượng cần phải được bảo vệ cũng như hướng các lưu lượng này sẽ đi.