IT团队企业数据安全最佳实践

数据中心经理必须与网络、安全以及系统管理员协作，制定数据中心安全最佳实践，并使用合适的工具来完成配置设定。

安全管理员通常都会实施特定、独立的数据安全策略，以保护企业网络。其中一些措施是以网络为中心的概念，如入侵检测系统(IDS)规则、防火墙或者虚拟局域网配置。其他则基于文件——文件和磁盘加密或策略配置，确定谁可以访问哪些文件。

为了保证IT基础设施安全，数据中心经理必须发问：这些候选中是否存在一个比其他都好的选择?如果是这样，IT团队什么时候才可以采用它?

基于网络的安全控制

最基础的层面，基于网络的安全控制决定哪些流量可以与不可以进入或离开网络。网络安全通常涉及防火墙、IDC或者两者结合。防火墙深度包检测(DPI)针对试图进入或离开特定网络的二进制文件数据进行多种有效的检查。

比较便宜的防火墙没有DPI功能，网络管理员可能因为安全问题而禁止某些特定类型的流量。例如，某个特定范围的IP地址，如10.1.1.0/24是恶意活动的来源，网络管理员会配置防火墙规则，如：# iptables -A INPUT -s 10.1.1.0/24 -j DROP。

入侵检测系统工作方式与网络防火墙类似，但也有明显差异。IDS和传统防火墙在网络中扮演不同的角色：传统防火墙主要控制允许或拒绝，而IDS仅负责转发和告警。例如，安全管理员好奇哪些类型的网络流量正在进入网络，但不确定其是否恶意，可以使用IDS来检查。网络管理员可能会关注任何从防火墙外部流入内部的任何Web流量。

IDS规则，以开源的Snort工具为例，配置为：警告tcp any any -> any 80 (content:"GET";)，任何内部发往外部的HTTP GET请求都需要告警。这个流量可能只是发现恶意行为漫长分析中的第一个线索。