ProHoster > Blog > administrasie > Datasentrum inligtingsekuriteit

Datasentrum inligtingsekuriteit

Datasentrum inligtingsekuriteit
Dit is hoe die moniteringsentrum van die NORD-2-datasentrum in Moskou lyk

Jy het meer as een keer gelees oor watter maatreëls getref word om inligtingsekuriteit (IS) te verseker. Enige IT-spesialis met selfrespek kan maklik 5-10 inligtingsekuriteitsreëls noem. Cloud4Y bied aan om te praat oor inligtingsekuriteit van datasentrums.

Wanneer inligtingsekuriteit van 'n datasentrum verseker word, is die mees "beskermde" voorwerpe:

  • inligtingsbronne (data);
  • prosesse van insameling, verwerking, berging en oordrag van inligting;
  • stelselgebruikers en instandhoudingspersoneel;
  • inligting-infrastruktuur, insluitend hardeware- en sagteware-instrumente vir die verwerking, oordrag en vertoon van inligting, insluitend inligting-uitruilkanale, inligtingsekuriteitstelsels en -persele.

Die datasentrum se verantwoordelikheidsgebied hang af van die model van dienste wat gelewer word (IaaS/PaaS/SaaS). Hoe dit lyk, sien die prentjie hieronder:

Datasentrum inligtingsekuriteit
Die omvang van die datasentrumsekuriteitsbeleid hang af van die model van dienste wat gelewer word

Die belangrikste deel van die ontwikkeling van 'n inligtingsekuriteitsbeleid is die bou van 'n model van dreigemente en oortreders. Wat kan 'n bedreiging vir 'n datasentrum word?

  1. Nadelige gebeurtenisse van natuurlike, mensgemaakte en sosiale aard
  2. Terroriste, kriminele elemente, ens.
  3. Afhanklikheid van verskaffers, verskaffers, vennote, kliënte
  4. Mislukkings, mislukkings, vernietiging, skade aan sagteware en hardeware
  5. Datasentrumwerknemers wat inligtingsekuriteitsbedreigings implementeer met behulp van wettig verleende regte en magte (interne inligtingsekuriteitoortreders)
  6. Datasentrumwerknemers wat inligtingsekuriteitsbedreigings buite die wettig verleende regte en magte implementeer, sowel as entiteite wat nie met die datasentrumpersoneel verband hou nie, maar wat ongemagtigde toegang en ongemagtigde aksies probeer (eksterne inligtingsekuriteitoortreders)
  7. Nie-nakoming van die vereistes van toesighoudende en regulerende owerhede, huidige wetgewing

Risiko-analise - die identifisering van potensiële bedreigings en die beoordeling van die omvang van die gevolge van die implementering daarvan - sal help om die prioriteitstake wat datasentruminligtingsekuriteitspesialiste moet oplos, korrek te kies, en begrotings vir die aankoop van hardeware en sagteware te beplan.

Die versekering van sekuriteit is 'n deurlopende proses wat die stadiums van beplanning, implementering en bedryf, monitering, ontleding en verbetering van die inligtingsekuriteitstelsel insluit. Om inligtingsekuriteitbestuurstelsels te skep, die sogenaamde "Deming siklus".

'n Belangrike deel van sekuriteitsbeleide is die verdeling van rolle en verantwoordelikhede van personeel vir die implementering daarvan. Beleide moet voortdurend hersien word om veranderinge in wetgewing, nuwe bedreigings en opkomende verdediging te weerspieël. En natuurlik, kommunikeer vereistes vir inligtingsekuriteit aan personeel en verskaf opleiding.

Organisatoriese maatreëls

Sommige kenners is skepties oor "papier" sekuriteit, aangesien die belangrikste ding praktiese vaardighede is om inbraakpogings te weerstaan. Werklike ervaring in die versekering van inligtingsekuriteit in banke dui op die teendeel. Inligtingsekuriteitspesialiste kan uitstekende kundigheid hê om risiko's te identifiseer en te versag, maar as datasentrumpersoneel nie hul instruksies volg nie, sal alles tevergeefs wees.

Sekuriteit bring as 'n reël nie geld nie, maar verminder net risiko's. Daarom word dit dikwels as iets ontstellend en sekondêr hanteer. En wanneer sekuriteitspesialiste verontwaardig begin raak (met alle reg om dit te doen), ontstaan ​​daar dikwels konflikte met personeel en hoofde van operasionele departemente.

Die teenwoordigheid van bedryfstandaarde en regulatoriese vereistes help sekuriteitspersoneel om hul posisies in onderhandelinge met bestuur te verdedig, en goedgekeurde inligtingsekuriteitsbeleide, regulasies en regulasies laat personeel toe om te voldoen aan die vereistes wat daar uiteengesit word, wat die basis bied vir dikwels ongewilde besluite.

Perseelbeskerming

Wanneer 'n datasentrum dienste verskaf deur die samestellingsmodel te gebruik, kom die versekering van fisiese sekuriteit en toegangsbeheer tot die kliënt se toerusting na vore. Vir hierdie doel word omheinings (omheinde dele van die saal) gebruik wat onder videobewaking van die kliënt is en waartoe toegang tot datasentrumpersoneel beperk is.

In staatsrekenaarsentrums met fisiese sekuriteit was dinge nie sleg aan die einde van die vorige eeu nie. Daar was toegangsbeheer, toegangsbeheer tot die perseel, selfs sonder rekenaars en videokameras, ’n brandblusstelsel – in die geval van ’n brand is freon outomaties in die masjienkamer vrygelaat.

Deesdae word fisieke sekuriteit nog beter verseker. Toegangsbeheer- en bestuurstelsels (ACS) het intelligent geword, en biometriese metodes van toegangsbeperking word ingestel.

Brandblusstelsels het veiliger geword vir personeel en toerusting, waaronder installasies vir inhibisie, isolasie, verkoeling en hipoksiese effekte op die brandsone. Saam met verpligte brandbeskermingstelsels gebruik datasentrums dikwels 'n aspirasie-tipe vroeë brandopsporingstelsel.

Om datasentrums teen eksterne bedreigings te beskerm - brande, ontploffings, ineenstorting van geboustrukture, oorstromings, bytende gasse - het sekuriteitskamers en kluise begin gebruik word, waarin bedienertoerusting teen byna alle eksterne skadelike faktore beskerm word.

Die swak skakel is die persoon

"Slim" video-toesigstelsels, volumetriese opsporingsensors (akoesties, infrarooi, ultrasonies, mikrogolf), toegangsbeheerstelsels het risiko's verminder, maar het nie alle probleme opgelos nie. Hierdie middele sal byvoorbeeld nie help wanneer mense wat korrek in die datasentrum toegelaat is met die korrekte gereedskap, aan iets “gehaak” was nie. En, soos dikwels gebeur, sal 'n toevallige probleem maksimum probleme meebring.

Die werk van die datasentrum kan beïnvloed word deur die misbruik van sy hulpbronne deur personeel, byvoorbeeld onwettige mynbou. Datasentrum-infrastruktuurbestuurstelsels (DCIM) kan in hierdie gevalle help.

Personeel benodig ook beskerming, aangesien mense dikwels die mees kwesbare skakel in die beskermingstelsel genoem word. Geteikende aanvalle deur professionele misdadigers begin meestal met die gebruik van sosiale ingenieursmetodes. Dikwels val die veiligste stelsels neer of word gekompromitteer nadat iemand iets geklik/afgelaai/ gedoen het. Sulke risiko's kan tot die minimum beperk word deur personeel op te lei en wêreldwye beste praktyke op die gebied van inligtingsekuriteit te implementeer.

Beskerming van ingenieursinfrastruktuur

Tradisionele bedreigings vir die funksionering van 'n datasentrum is kragonderbrekings en onderbrekings van verkoelingstelsels. Ons het al gewoond geraak aan sulke dreigemente en het geleer om dit te hanteer.

'n Nuwe neiging het die wydverspreide bekendstelling geword van "slim" toerusting wat aan 'n netwerk gekoppel is: beheerde UPS'e, intelligente verkoeling- en ventilasiestelsels, verskeie beheerders en sensors wat aan moniteringstelsels gekoppel is. Wanneer u 'n datasentrumbedreigingsmodel bou, moet u nie vergeet van die waarskynlikheid van 'n aanval op die infrastruktuurnetwerk (en, moontlik, op die geassosieerde IT-netwerk van die datasentrum nie). Wat die situasie bemoeilik, is die feit dat van die toerusting (byvoorbeeld verkoelers) buite die datasentrum geskuif kan word, byvoorbeeld op die dak van 'n gehuurde gebou.

Beskerming van kommunikasiekanale

As die datasentrum dienste verskaf nie net volgens die colocation-model nie, dan sal dit met wolkbeskerming moet handel. Volgens Check Point het verlede jaar alleen 51% van organisasies wêreldwyd aanvalle op hul wolkstrukture ervaar. DDoS-aanvalle stop besighede, enkripsievirusse eis losprys, geteikende aanvalle op bankstelsels lei tot die diefstal van fondse uit korrespondentrekeninge.

Bedreigings van eksterne indringings bekommer ook datasentruminligtingsekuriteitspesialiste. Die mees relevante vir datasentrums is verspreide aanvalle wat daarop gemik is om die verskaffing van dienste te onderbreek, sowel as dreigemente van inbraak, diefstal of wysiging van data vervat in die virtuele infrastruktuur of bergingstelsels.

Om die eksterne omtrek van die datasentrum te beskerm, word moderne stelsels gebruik met funksies vir die identifisering en neutralisering van kwaadwillige kode, toepassingsbeheer en die vermoë om Threat Intelligence proaktiewe beskermingstegnologie in te voer. In sommige gevalle word stelsels met IPS (inbraak voorkoming) funksionaliteit ontplooi met outomatiese aanpassing van die handtekening gestel na die parameters van die beskermde omgewing.

Om teen DDoS-aanvalle te beskerm, gebruik Russiese maatskappye as 'n reël eksterne gespesialiseerde dienste wat verkeer na ander nodusse lei en dit in die wolk filter. Beskerming aan die operateurkant is baie meer effektief as aan die kliëntkant, en datasentrums tree op as tussengangers vir die verkoop van dienste.

Interne DDoS-aanvalle is ook moontlik in datasentrums: 'n aanvaller penetreer die swak beskermde bedieners van een maatskappy wat sy toerusting huisves deur 'n colocation-model te gebruik, en voer van daar 'n ontkenningsaanval uit op ander kliënte van hierdie datasentrum via die interne netwerk .

Fokus op virtuele omgewings

Dit is nodig om die besonderhede van die beskermde voorwerp in ag te neem - die gebruik van virtualiseringsinstrumente, die dinamika van veranderinge in IT-infrastruktuur, die onderlinge verband van dienste, wanneer 'n suksesvolle aanval op een kliënt die veiligheid van bure kan bedreig. Deur byvoorbeeld die frontend-dokter te hack terwyl hy in 'n Kubernetes-gebaseerde PaaS werk, kan 'n aanvaller onmiddellik alle wagwoordinligting en selfs toegang tot die orkestrasiestelsel verkry.

Produkte wat onder die diensmodel verskaf word, het 'n hoë mate van outomatisering. Om nie met besigheid in te meng nie, moet inligtingsekuriteitsmaatreëls toegepas word op 'n nie minder mate van outomatisering en horisontale skaal nie. Skaaling moet verseker word op alle vlakke van inligtingsekuriteit, insluitend outomatisering van toegangsbeheer en rotasie van toegangsleutels. 'n Spesiale taak is die skaal van funksionele modules wat netwerkverkeer inspekteer.

Byvoorbeeld, die filter van netwerkverkeer op die toepassing-, netwerk- en sessievlakke in hoogs gevirtualiseerde datasentrums moet uitgevoer word op die vlak van hypervisor-netwerkmodules (byvoorbeeld, VMware se Distributed Firewall) of deur die skep van dienskettings (virtuele firewalls van Palo Alto Networks) .

As daar swakhede op die vlak van virtualisering van rekenaarhulpbronne is, sal pogings om 'n omvattende inligtingsekuriteitstelsel op platformvlak te skep, ondoeltreffend wees.

Vlakke van inligtingbeskerming in die datasentrum

Die algemene benadering tot beskerming is die gebruik van geïntegreerde, meervlakkige inligtingsekuriteitstelsels, insluitend makro-segmentering op die firewall-vlak (toewysing van segmente vir verskeie funksionele areas van besigheid), mikro-segmentering gebaseer op virtuele brandmure of merkverkeer van groepe (gebruikersrolle of -dienste) gedefinieer deur toegangsbeleide.

Die volgende vlak is die identifisering van anomalieë binne en tussen segmente. Verkeersdinamika word ontleed, wat die teenwoordigheid van kwaadwillige aktiwiteite kan aandui, soos netwerkskandering, pogings tot DDoS-aanvalle, data-aflaai, byvoorbeeld, deur databasislêers te sny en dit uit te voer in periodieke sessies met lang intervalle. Enorme hoeveelhede verkeer gaan deur die datasentrum, dus om afwykings te identifiseer, moet jy gevorderde soekalgoritmes gebruik, en sonder pakkieanalise. Dit is belangrik dat nie net tekens van kwaadwillige en afwykende aktiwiteite herken word nie, maar ook die werking van wanware selfs in geënkripteerde verkeer sonder om dit te dekripteer, soos voorgestel in Cisco-oplossings (Stealthwatch).

Die laaste grens is die beskerming van eindtoestelle van die plaaslike netwerk: bedieners en virtuele masjiene, byvoorbeeld, met behulp van agente wat op eindtoestelle (virtuele masjiene) geïnstalleer is, wat I/O-bedrywighede, skrapings, kopieë en netwerkaktiwiteite ontleed, data oor te dra aan wolk, waar berekeninge wat groot rekenaarkrag vereis uitgevoer word. Daar word analise uitgevoer met behulp van Big Data-algoritmes, masjienlogikabome word gebou en afwykings word geïdentifiseer. Algoritmes is selfleer gebaseer op 'n groot hoeveelheid data wat deur 'n wêreldwye netwerk van sensors verskaf word.

Jy kan doen sonder om agente te installeer. Moderne inligtingsekuriteitsinstrumente moet agentloos wees en geïntegreer in bedryfstelsels op die hiperviseerdervlak.
Die gelyste maatreëls verminder inligtingsekuriteitsrisiko's aansienlik, maar dit is dalk nie genoeg vir datasentrums wat outomatisering van hoërisiko-produksieprosesse verskaf nie, byvoorbeeld kernkragsentrales.

Regulatoriese vereistes

Afhangende van die inligting wat verwerk word, moet fisiese en gevirtualiseerde datasentrum-infrastruktuur voldoen aan verskillende sekuriteitsvereistes soos uiteengesit in wette en industriestandaarde.

Sulke wette sluit in die wet "Op Persoonlike Data" (152-FZ) en die wet "Op die Sekuriteit van KII Fasiliteite van die Russiese Federasie" (187-FZ), wat hierdie jaar in werking getree het - die aanklaer se kantoor het reeds belanggestel in die vordering van die implementering daarvan. Dispute oor of datasentrums aan CII-vakke behoort, is steeds aan die gang, maar heel waarskynlik sal datasentrums wat dienste aan CII-vakke wil lewer, aan die vereistes van die nuwe wetgewing moet voldoen.

Dit sal nie maklik wees vir datasentrums wat regeringsinligtingstelsels huisves nie. Volgens die Besluit van die Regering van die Russiese Federasie gedateer 11.05.2017 Mei 555 No. XNUMX, moet inligtingsekuriteitskwessies opgelos word voordat die GIS in kommersiële werking geplaas word. En 'n datasentrum wat 'n GIS wil huisves, moet eers aan regulatoriese vereistes voldoen.

Oor die afgelope 30 jaar het datasentrumsekuriteitstelsels 'n lang pad gekom: van eenvoudige fisiese beskermingstelsels en organisatoriese maatreëls, wat egter nie hul relevansie verloor het nie, tot komplekse intelligente stelsels, wat al hoe meer elemente van kunsmatige intelligensie gebruik. Maar die kern van die benadering het nie verander nie. Die mees moderne tegnologieë sal jou nie red sonder organisatoriese maatreëls en personeelopleiding nie, en papierwerk sal jou nie red sonder sagteware en tegniese oplossings nie. Datasentrumsekuriteit kan nie eens en vir altyd verseker word nie; dit is 'n konstante daaglikse poging om prioriteitsbedreigings te identifiseer en opkomende probleme omvattend op te los.

Wat kan jy nog op die blog lees? Wolk4Y

Konfigureer top in GNU/Linux
Pentesters aan die voorpunt van kuberveiligheid
Die pad van kunsmatige intelligensie van 'n fantastiese idee na die wetenskaplike industrie
4 maniere om op wolkrugsteun te bespaar
Mutter storie

Teken in op ons telegram-kanaal, om nie die volgende artikel te mis nie! Ons skryf nie meer as twee keer per week nie en slegs vir besigheid. Ons herinner jou ook dat jy kan vry om te toets wolk oplossings Cloud4Y.

Bron: will.com

Voeg 'n opmerking