Так выглядит центр мониторинга расположенного в Москве ЦОД NORD-2
О том, какие меры принимаются для обеспечения информационной безопасности (ИБ), вы читали не один раз. Любой уважающий себя айтишник с лёгкостью назовёт 5-10 правил ИБ. Cloud4Y же предлагает поговорить про информационную безопасность дата-центров.
При обеспечении информационной безопасности ЦОДа самыми «защищаемыми» объектами являются:
- информационные ресурсы (данные);
- процессы сбора, обработки, хранения и передачи информации;
- пользователи системы и обслуживающий персонал;
- информационная инфраструктура, включающая технические и программные средства обработки, передачи и отображения информации, в том числе каналы информационного обмена, системы защиты информации и помещения.
Зона ответственности ЦОДа зависит от модели предоставляемых услуг (IaaS/PaaS/SaaS). Как это выглядит, смоторите картинке ниже:
Область действия политики безопасности ЦОДа в зависимости от модели предоставляемых сервисов
Важнейшая часть разработки политики информационной безопасности — построение модели угроз и нарушителей. Что же может стать угрозой для дата-центра?
- Неблагоприятные события природного, техногенного и социального характера
- Террористы, криминальные элементы и др.
- Зависимость от поставщиков, провайдеров, партнеров, клиентов
- Сбои, отказы, разрушения, повреждения программных и технических средств
- Сотрудники ЦОДа, реализующие угрозы ИБ с использованием легально предоставляемых им прав и полномочий (внутренние нарушители ИБ)
- Сотрудники ЦОДа, реализующие угрозы ИБ вне легально предоставленных им прав и полномочий, а также субъекты, не относящиеся к персоналу ЦОДа, но осуществляющие попытки несанкционированного доступа и неразрешенных действий (внешние нарушители ИБ)
- Несоответствие требованиям надзорных и регулирующих органов, действующему законодательству
Анализ рисков — выявление потенциальных угроз и оценка масштабов последствий их реализации — поможет правильно выбрать первоочередные задачи, которые должны решать специалисты по информационной безопасности ЦОДа, спланировать бюджеты на покупку технических и программных средств.
Обеспечение безопасности — непрерывный процесс, который включает этапы планирования, реализации и эксплуатации, мониторинга, анализа и совершенствования системы ИБ. Для создания систем менеджмента информационной безопасности используют так называемый «
Важной частью политик безопасности является распределение ролей и ответственности персонала за их выполнение. Следует постоянно пересматривать политики с учетом изменений законодательства, новых угроз и появляющихся средств защиты. И, конечно, доводить требования к информационной безопасности до персонала и проводить его обучение.
Организационные меры
Некоторые эксперты скептически относятся к «бумажной» безопасности, считая главным практические умения противостоять попытка взлома. Реальный опыт работы по обеспечению информационной безопасности в банках говорит об обратном. Специалисты по ИБ могут иметь отличную экспертизу в деле выявления и снижения рисков, но если персонал ЦОДа не станет выполнять их указания, всё будет напрасным.
Безопасность, как правило, не приносит денег, а лишь минимизирует риски. Поэтому к ней часто относятся как к чему-то мешающему и второстепенному. И когда специалисты по безопасности начинают возмущаться (имея на то полное право), нередко возникают конфликты с персоналом и руководителями эксплуатационных подразделений.
Наличие отраслевых стандартов и требований регуляторов помогает безопасникам отстаивать свои позиции на переговорах с руководством, а утвержденные политики ИБ, положения и регламенты позволяют добиваться от персонала выполнения изложенных там требований, подводя базу под проведение зачастую непопулярных решений.
Защита помещений
При предоставлении дата-центром услуг по модели colocation на первый план выходит обеспечение физической безопасности и контроля доступа к оборудованию клиента. Для этого используются выгородки (огороженные части зала), которые находятся под видеонаблюдением клиента и к которым ограничен доступ персонала ЦОД.
В государственных вычислительных центрах с физической безопасностью и в конце прошлого века дела обстояли неплохо. Был пропускной режим, контроль доступа в помещения, пусть без компьютеров и видеокамер, системы пожаротушения — в случае возгорания в машинный зал автоматически пускался фреон.
В наше время физическая безопасность обеспечивается еще лучше. Системы контроля и управления доступом (СКУД) стали интеллектуальными, внедряются биометрические методы ограничения доступа.
Более безопасными для персонала и оборудования стали системы пожаротушения, среди которых можно выделить установки для ингибирования, изоляции, охлаждения и гипоксического воздействия на зону возгорания. Наряду с обязательными системами противопожарной защиты в ЦОДах часто используется система раннего обнаружения пожара аспирационного типа.
Для защиты дата-центров от внешних угроз — пожаров, взрывов, обрушения конструкций здания, затопления, коррозийных газов — стали использоваться комнаты и сейфы безопасности, в которых серверное оборудование защищено практически от всех внешних повреждающих факторов.
Слабое звено — человек
«Умные» системы видеонаблюдения, датчики объёмного слежения (акустические, инфракрасные, ультразвуковые, микроволновые), СКУД снизили риски, но не решили всех проблем. Эти средства не помогут, например, когда правильно допущенные в ЦОД люди с правильно пронесенным инструментом что-нибудь «зацепят». И, как это часто бывает, случайный зацеп принесёт максимум проблем.
На работе дата-центра может сказаться нецелевое использование персоналом его ресурсов, например нелегальный майнинг. Помочь в этих случаях могут системы управления инфраструктурой ЦОДа (DCIM).
Защиты требует и персонал, так как человека часто называют наиболее уязвимым звеном в системе защиты. Целевые атаки профессиональных преступников чаще всего начинаются с использования методов социальной инженерии. Нередко самые защищённые системы падают или компрометируются после того, как кто-то где-то нажал/скачал/сделал. Подобные риски можно минимизировать, обучая персонал и внедряя лучшие мировые практики в области информационной безопасности.
Защита инженерной инфраструктуры
Традиционные угрозы функционированию дата-центра — сбои электропитания и отказы систем охлаждения. К таким угрозам уже привыкли и научились с ними бороться.
Новой тенденцией стало повсеместное внедрение «умного» оборудования, объединенного в сеть: управляемые ИБП, интеллектуальные системы охлаждения и вентиляции, разнообразные контроллеры и датчики, подключенные к системам мониторинга. При построении модели угроз ЦОДа не стоит забывать о вероятности атаки на сеть инфраструктуры (а, возможно, и на связанную с ней ИТ-сеть ЦОДа). Усложняет ситуацию тот факт, что часть оборудования (например, чиллеры) может быть вынесена за пределы ЦОДа, скажем, на крышу арендуемого здания.
Защита каналов связи
Если дата-центр предоставляет услуги не только по модели colocation, то придется заниматься защитой облаков. По данным Check Point, только в прошлом году 51% организаций по всему миру столкнулись с атаками на облачные структуры. DDoS-атаки останавливают бизнес, вирусы-шифровальщики требуют выкуп, целевые атаки на банковские системы приводят к хищению средств с корсчетов.
Угрозы внешних вторжений беспокоят и специалистов по информационной безопасности дата-центров. Наиболее актуальны для ЦОД распределённые атаки, нацеленные на прекращение предоставления услуг, а также угрозы взлома, кражи либо изменения данных, содержащихся в виртуальной инфраструктуре или системах хранения.
Для защиты внешнего периметра ЦОДа служат современные системы с функциями выявления и нейтрализации вредоносного кода, контроля приложений и возможностью импорта технологии проактивной защиты Threat Intelligence. В некоторых случаях разворачивают системы с функционалом IPS (предотвращения вторжений) c автоматической подстройкой сигнатурного набора под параметры защищаемого окружения.
Для защиты от DDoS-атак российские компании, как правило, используют внешние специализированные сервисы, которые уводят трафик на другие узлы и фильтруют его в облаке. Защита на стороне оператора выполняется гораздо эффективнее, чем на стороне клиента, а ЦОДы выступают в качестве посредников по продаже услуг.
В ЦОДах возможны и внутренние DDoS-атаки: злоумышленник проникает на слабо защищенные серверы одной компании, размещающей свое оборудование по модели colocation, и с них по внутренней сети проводит атаку «отказ в обслуживании» на других клиентов этого дата-центра.
Внимание виртуальным средам
Нужно учитывать специфику защищаемого объекта — использование средств виртуализации, динамичность изменения ИТ-инфраструктур, взаимосвязанность сервисов, когда успешная атака на одного клиента может угрожать безопасности соседей. Например, взломав frontend-докер при работе в PaaS на базе Kubernetes, злоумышленник сразу может получить всю парольную информацию и даже доступ к системе оркестрации.
Продукты, предоставляемые по сервисной модели, имеют высокую степень автоматизации. Чтобы не мешать бизнесу, не меньшую степень автоматизации и горизонтального масштабирования должны иметь наложенные средства защиты информации. Масштабирование должно обеспечиваться на всех уровнях ИБ, включая автоматизацию контроля доступа и ротацию ключей доступа. Особняком стоит задача масштабирования функциональных модулей, осуществляющих инспекцию сетевого трафика.
Например, фильтрация сетевого трафика на прикладном, сетевом и сеансовом уровнях в ЦОДах с высокой степенью виртуализации должна выполняться на уровне сетевых модулей гипервизора (например, Distributed Firewall компании VMware) либо путем создания цепочек сервисов (виртуальные межсетевые экраны от Palo Alto Networks).
При наличии слабых мест на уровне виртуализации вычислительных ресурсов усилия по созданию комплексной системы информационной безопасности на уровне платформы окажутся неэффективными.
Уровни защиты информации в ЦОД
Общий подход к защите — использование интегрированных, многоуровневых систем обеспечения ИБ, включающих макросегментацию на уровне межсетевого экрана (выделение сегментов под различные функциональные направления бизнеса), микросегментацию на базе виртуальных межсетевых экранов или маркирования метками трафика групп (ролей пользователей или сервисов), определённых политиками доступа.
Следующий уровень — выявление аномалий внутри сегментов и между ними. Анализируется динамика трафика, которая может свидетельствовать о наличии вредоносных активностей, таких как сканирование сети, попытки DDoS-атак, скачивание данных, например путём нарезки файлов базы данных и вывода их периодически появляющимися сессиями через длительные промежутки времени. Внутри ЦОДа проходят гигантские объёмы трафика, так что для выявления аномалий нужно использовать продвинутые алгоритмы поиска, причём без пакетного анализа. Важно, чтобы распознавались не только признаки вредоносной и аномальной активности, но и работа вредоносного ПО даже в зашифрованном трафике без его расшифровки, как это предлагается в решениях Cisco (Stealthwatch).
Последний рубеж — защита оконечных устройств локальной сети: серверов и виртуальных машин, например, с помощью агентов, устанавливаемых на оконечные устройства (виртуальные машины), которые анализируют операции ввода-вывода, удаления, копирования и сетевые активности, передают данные в
Можно обойтись и без установки агентов. Современные средства защиты информации должны быть безагентными и интегрироваться в операционные системы на уровне гипервизора.
Перечисленные меры значительно снижают риски информационной безопасности, но этого может быть недостаточно для дата-центров, обеспечивающих автоматизацию производственных процессов повышенной опасности, например, атомных станций.
Требования регуляторов
В зависимости от обрабатываемой информации физические и виртуализованные инфраструктуры дата-центра должны удовлетворять разным требованиям по безопасности, сформулированным в законах и отраслевых стандартах.
К таким законам относится закон «О персональных данных» (152-ФЗ) и вступивший в этом году в силу закон «О безопасности объектов КИИ РФ» (187-ФЗ) — прокуратура уже стала интересоваться ходом его выполнения. Споры о принадлежности ЦОДов к субъектам КИИ еще идут но, скорее всего, дата-центрам, желающим предоставлять услуги субъектам КИИ, придётся выполнять требования нового законодательства.
Непросто придется ЦОДам, размещающим у себя государственные информационные системы. Согласно Постановлению Правительства РФ от 11.05.2017 №555, вопросы информационной безопасности следует решить до ввода ГИС в промышленную эксплуатацию. И ЦОД, который хочет размещать у себя ГИС, заранее должен соответствовать требованиям регуляторов.
За последние 30 лет системы обеспечения безопасности ЦОДов проделали огромный путь: от простых систем физической защиты и организационных мер, не потерявших, впрочем, своей актуальности, к сложным интеллектуальным системам, в которых всё чаще используются элементы искусственного интеллекта. Но суть подхода при этом не поменялась. Самые современные технологии не спасут без организационных мер и обучения персонала, а бумаги — без программных и технических решений. Безопасность ЦОДа нельзя обеспечить раз и навсегда, это постоянный ежедневный труд по выявлению первоочередных угроз и комплексному решению возникающих проблем.
Что ещё полезного можно почитать в блоге
→
→
→
→
→
Подписывайтесь на наш
Источник: habr.com