中华网络安全联盟    作者：佚名    来源：互联网    时间：2006-11-16 21:16:42

服务器集中化也促进了企业上下的一致性，推动人们遵守法规政策，这样就减轻了企业被曝光的整体风险。IT人员能够方便，高效地识别违反相关规定的行为，比如Sarbanes-Oxley, Basel II,以及HIPAA这些法规，并且在必要的时候采取恰当的补救措施。

然而，由于现有广域网技术的局限性，在一个分散的企业中进行服务器集中化会降低应用的性能。于是，WAN加速卡就成了任何集中化项目维持足够性能的必要元件。事实上，最近的调查表明，多达90%的被调查者希望在新的应用加速方案方面投入资金，以便应对将出现的挑战。

尽管广域网加速是提高应用性能的很好的方法，但是如果使用不当，很多此类方案都会对安全设施产生负面影响。例如，很多方案都是基于所谓“精简数据”的概念的，这意味着他们使用本地硬盘来实时存储信息，然后随时递送复制的本地数据。尽管这种方案极大地提高了性能，但是由于在本地应用时缺乏加密措施，它可能给公司带来更多安全威胁和风险。

下面是一些基本的，能够确定新加速产品是否足以保护重要商业资源的方法。

安全防范

不管它使用了什么技术，当新的设备被装入网络来提高应用性能的时候，应该遵循一些基本的安全原则，以便确保这些工具不会危及数据安全。它们包括：

本地数据加密：

无论什么情况下，当企业重要信息被储存到本地硬盘中时——比如在WAN加速装置是使用精简数据技术的情况下——都必须对其进行加密，以防止未经授权的人访问。即使使用了专门的方法存储该信息，并且数据倾向于在有新的存储信息的时候打乱顺序，大的信息还是很有可能被存储在设备中相邻的模块里。这些模块可能包含一些可被访问设备分区的人提取出来敏感信息——比如身份证号码。加密本地存储的数据，就可以规避这个风险。特别地，人们应当在硬盘中加密以防对性能或设备的可测量性造成负面影响。

WAN中的VPN：

IPsec通常被用在设备之间以保护在WAN上传输的数据的安全。同样，在硬件中执行加密能够保证安全不是以牺牲性能为代价的。行业最佳方案推荐人们使用128位的加密方案，比如加密时常用的AES。那些有点陈旧的方法，比如56位DES,很容易就会被破解，这就是为什么像微软这样的行业领头羊已经不采用该技术了。

人们可以在加速工具之外执行IPsec,但是它必须出现在装置的下游。否则，装置将无法显示通过WAN的通信传输，这将限制装置显著提高性能的能力。

安全访问：

企业可以使用TACACS+和/或者RADIUS来阻止未经授权的用户访问网络加速工具。另外，所有管理控制台都可以提供安全接口，包括SNMPv3和HTTP等。用户授权书存储的地方越少越好，最好存到可靠的环境中，比如特别建造的数据中心。

结论

随着越来越多的企业采用服务器集中化的方案，人们将引进新的产品来提高网络和应用的性能。通过这些基本的安全防范，企业可以确保提高性能的举措不会危及数据安全。事实上，通过实现关键资源的集中化，企业确实提高了保护企业信息的能力，保证企业最终更好地遵循那些关键调整措施。这些措施对人们做生意的方式的影响越来越大了。