هذا ما يبدو عليه مركز المراقبة التابع لمركز بيانات NORD-2 الموجود في موسكو
لقد قرأت أكثر من مرة عن التدابير المتخذة لضمان أمن المعلومات (IS). يمكن لأي متخصص في تكنولوجيا المعلومات يحترم نفسه أن يذكر بسهولة 5-10 قواعد لأمن المعلومات. تقدم Cloud4Y الحديث عن أمن المعلومات لمراكز البيانات.
عند ضمان أمن المعلومات في مركز البيانات، فإن الكائنات الأكثر "حماية" هي:
- موارد المعلومات (البيانات)؛
- عمليات جمع المعلومات ومعالجتها وتخزينها ونقلها؛
- مستخدمي النظام وموظفي الصيانة؛
- البنية التحتية للمعلومات، بما في ذلك أدوات الأجهزة والبرامج لمعالجة المعلومات ونقلها وعرضها، بما في ذلك قنوات تبادل المعلومات وأنظمة أمن المعلومات والمباني.
تعتمد منطقة مسؤولية مركز البيانات على نموذج الخدمات المقدمة (IaaS/PaaS/SaaS). كيف يبدو، انظر الصورة أدناه:
نطاق سياسة أمان مركز البيانات يعتمد على نموذج الخدمات المقدمة
إن الجزء الأكثر أهمية في تطوير سياسة أمن المعلومات هو بناء نموذج للتهديدات والمخالفين. ما الذي يمكن أن يشكل تهديدًا لمركز البيانات؟
- الأحداث السلبية ذات الطبيعة الطبيعية والتي من صنع الإنسان والاجتماعية
- الإرهابيون والعناصر الإجرامية وما إلى ذلك.
- الاعتماد على الموردين ومقدمي الخدمات والشركاء والعملاء
- الفشل والفشل والتدمير والأضرار التي لحقت بالبرمجيات والأجهزة
- يقوم موظفو مركز البيانات بتنفيذ تهديدات أمن المعلومات باستخدام الحقوق والصلاحيات الممنوحة قانونًا (منتهكي أمن المعلومات الداخليين)
- موظفو مركز البيانات الذين ينفذون تهديدات لأمن المعلومات خارج الحقوق والصلاحيات الممنوحة قانونًا، وكذلك الكيانات غير المرتبطة بموظفي مركز البيانات، ولكنها تحاول الوصول غير المصرح به وإجراءات غير مصرح بها (منتهكي أمن المعلومات الخارجيين)
- عدم الالتزام بمتطلبات الجهات الإشرافية والتنظيمية والتشريعات الحالية
سيساعد تحليل المخاطر - تحديد التهديدات المحتملة وتقييم حجم عواقب تنفيذها - على تحديد المهام ذات الأولوية بشكل صحيح والتي يجب على متخصصي أمن معلومات مركز البيانات حلها، وتخطيط الميزانيات لشراء الأجهزة والبرامج.
ضمان الأمن هو عملية مستمرة تشمل مراحل التخطيط والتنفيذ والتشغيل والمراقبة والتحليل وتحسين نظام أمن المعلومات. لإنشاء أنظمة إدارة أمن المعلومات ما يسمى "".
جزء مهم من السياسات الأمنية هو توزيع أدوار ومسؤوليات الموظفين لتنفيذها. وينبغي مراجعة السياسات باستمرار لتعكس التغييرات في التشريعات والتهديدات الجديدة والدفاعات الناشئة. وبطبيعة الحال، توصيل متطلبات أمن المعلومات للموظفين وتوفير التدريب.
التدابير التنظيمية
يشكك بعض الخبراء في الأمن "الورقي"، معتبرين أن الشيء الرئيسي هو المهارات العملية لمقاومة محاولات القرصنة. إن الخبرة الحقيقية في ضمان أمن المعلومات في البنوك تشير إلى عكس ذلك. قد يتمتع متخصصو أمن المعلومات بخبرة ممتازة في تحديد المخاطر والتخفيف من حدتها، ولكن إذا لم يتبع موظفو مركز البيانات تعليماتهم، فسيذهب كل شيء سدى.
الأمن، كقاعدة عامة، لا يجلب المال، ولكنه يقلل فقط من المخاطر. لذلك، غالبًا ما يتم التعامل معه على أنه شيء مزعج وثانوي. وعندما يبدأ المتخصصون في مجال الأمن في الشعور بالسخط (لهم كل الحق في القيام بذلك)، غالبا ما تنشأ صراعات مع الموظفين ورؤساء الإدارات التنفيذية.
يساعد وجود معايير الصناعة والمتطلبات التنظيمية متخصصي الأمن في الدفاع عن مواقفهم في المفاوضات مع الإدارة، كما تسمح سياسات ولوائح وأنظمة أمن المعلومات المعتمدة للموظفين بالامتثال للمتطلبات المنصوص عليها هناك، مما يوفر الأساس لقرارات لا تحظى بشعبية في كثير من الأحيان.
حماية المباني
عندما يقدم مركز البيانات خدمات باستخدام نموذج الموقع المشترك، فإن ضمان الأمن المادي والتحكم في الوصول إلى معدات العميل يأتي في المقدمة. لهذا الغرض، يتم استخدام العبوات (الأجزاء المسيجة من القاعة)، والتي تخضع للمراقبة بالفيديو للعميل والتي يقتصر الوصول إليها على موظفي مركز البيانات.
في مراكز الكمبيوتر الحكومية ذات الأمن المادي، لم تكن الأمور سيئة في نهاية القرن الماضي. كان هناك التحكم في الوصول، والتحكم في الوصول إلى المبنى، حتى بدون أجهزة الكمبيوتر وكاميرات الفيديو، ونظام إطفاء الحرائق - في حالة نشوب حريق، يتم إطلاق الفريون تلقائيا في غرفة الآلة.
في الوقت الحاضر، يتم ضمان الأمن الجسدي بشكل أفضل. أصبحت أنظمة التحكم في الوصول وإدارته (ACS) ذكية، ويتم إدخال أساليب القياسات الحيوية لتقييد الوصول.
أصبحت أنظمة إطفاء الحرائق أكثر أمانًا للأفراد والمعدات، ومن بينها تركيبات التثبيط والعزل والتبريد ونقص الأكسجين في منطقة الحريق. إلى جانب أنظمة الحماية من الحرائق الإلزامية، غالبًا ما تستخدم مراكز البيانات نظامًا للكشف المبكر عن الحرائق من النوع الطموح.
لحماية مراكز البيانات من التهديدات الخارجية - الحرائق والانفجارات وانهيار هياكل المباني والفيضانات والغازات المسببة للتآكل - بدأ استخدام غرف الأمن والخزائن، حيث تكون معدات الخادم محمية من جميع العوامل الضارة الخارجية تقريبًا.
الحلقة الضعيفة هي الشخص
أنظمة المراقبة بالفيديو "الذكية"، وأجهزة استشعار التتبع الحجمي (الصوتية، والأشعة تحت الحمراء، والموجات فوق الصوتية، والميكروويف)، وأنظمة التحكم في الوصول قد قللت من المخاطر، ولكنها لم تحل جميع المشاكل. لن تساعد هذه الوسائل، على سبيل المثال، عندما يكون الأشخاص الذين تم قبولهم بشكل صحيح في مركز البيانات باستخدام الأدوات الصحيحة "مدمنين" على شيء ما. وكما يحدث في كثير من الأحيان، فإن أي مشكلة عرضية ستجلب أكبر قدر من المشاكل.
قد يتأثر عمل مركز البيانات بإساءة استخدام موارده من قبل الموظفين، على سبيل المثال، التعدين غير القانوني. يمكن لأنظمة إدارة البنية التحتية لمراكز البيانات (DCIM) المساعدة في هذه الحالات.
يحتاج الموظفون أيضًا إلى الحماية، حيث يُطلق على الأشخاص غالبًا الحلقة الأكثر ضعفًا في نظام الحماية. غالبًا ما تبدأ الهجمات المستهدفة من قبل المجرمين المحترفين باستخدام أساليب الهندسة الاجتماعية. غالبًا ما تتعطل الأنظمة الأكثر أمانًا أو تتعرض للاختراق بعد قيام شخص ما بالنقر أو التنزيل أو القيام بشيء ما. ويمكن التقليل من هذه المخاطر من خلال تدريب الموظفين وتطبيق أفضل الممارسات العالمية في مجال أمن المعلومات.
حماية البنية التحتية الهندسية
تتمثل التهديدات التقليدية لعمل مركز البيانات في انقطاع الطاقة وفشل أنظمة التبريد. لقد اعتدنا بالفعل على مثل هذه التهديدات وتعلمنا كيفية التعامل معها.
أصبح الاتجاه الجديد هو الإدخال الواسع النطاق للمعدات "الذكية" المتصلة بالشبكة: وحدات UPS التي يتم التحكم فيها، وأنظمة التبريد والتهوية الذكية، وأجهزة التحكم المختلفة وأجهزة الاستشعار المتصلة بأنظمة المراقبة. عند إنشاء نموذج تهديد لمركز البيانات، يجب ألا تنسى احتمالية حدوث هجوم على شبكة البنية التحتية (وربما على شبكة تكنولوجيا المعلومات المرتبطة بمركز البيانات). ومما يزيد الوضع تعقيدًا حقيقة أن بعض المعدات (على سبيل المثال، المبردات) يمكن نقلها خارج مركز البيانات، على سبيل المثال، على سطح مبنى مستأجر.
حماية قنوات الاتصال
إذا كان مركز البيانات يقدم خدمات ليس فقط وفقًا لنموذج الموقع المشترك، فسيتعين عليه التعامل مع الحماية السحابية. وفقًا لـ Check Point، في العام الماضي وحده، تعرضت 51% من المؤسسات حول العالم لهجمات على بنياتها السحابية. تؤدي هجمات DDoS إلى إيقاف الأعمال التجارية، وتطلب فيروسات التشفير فدية، وتؤدي الهجمات المستهدفة على الأنظمة المصرفية إلى سرقة الأموال من حسابات المراسلة.
كما أن تهديدات التدخلات الخارجية تثير قلق متخصصي أمن المعلومات في مراكز البيانات. الأكثر صلة بمراكز البيانات هي الهجمات الموزعة التي تهدف إلى مقاطعة تقديم الخدمات، بالإضافة إلى التهديدات بالقرصنة أو السرقة أو تعديل البيانات الموجودة في البنية التحتية الافتراضية أو أنظمة التخزين.
ولحماية المحيط الخارجي لمركز البيانات، يتم استخدام الأنظمة الحديثة مع وظائف تحديد وتحييد التعليمات البرمجية الضارة والتحكم في التطبيقات والقدرة على استيراد تقنية الحماية الاستباقية من Threat Intelligence. في بعض الحالات، يتم نشر الأنظمة المزودة بوظيفة IPS (منع التطفل) مع الضبط التلقائي للتوقيع المعين على معلمات البيئة المحمية.
للحماية من هجمات DDoS، تستخدم الشركات الروسية، كقاعدة عامة، خدمات خارجية متخصصة تعمل على تحويل حركة المرور إلى العقد الأخرى وتصفيتها في السحابة. تعد الحماية من جانب المشغل أكثر فعالية بكثير من الحماية من جانب العميل، وتعمل مراكز البيانات كوسطاء لبيع الخدمات.
هجمات DDoS الداخلية ممكنة أيضًا في مراكز البيانات: يخترق المهاجم الخوادم ذات الحماية الضعيفة لشركة واحدة تستضيف معداتها باستخدام نموذج الموقع المشترك، ومن هناك ينفذ هجوم رفض الخدمة على العملاء الآخرين لمركز البيانات هذا عبر الشبكة الداخلية .
التركيز على البيئات الافتراضية
من الضروري أن تأخذ في الاعتبار تفاصيل الكائن المحمي - استخدام أدوات المحاكاة الافتراضية، وديناميكيات التغييرات في البنية التحتية لتكنولوجيا المعلومات، والترابط بين الخدمات عندما يمكن لهجوم ناجح على عميل واحد أن يهدد أمن الجيران. على سبيل المثال، من خلال اختراق عامل الإرساء الأمامي أثناء العمل في PaaS المستندة إلى Kubernetes، يمكن للمهاجم الحصول على الفور على جميع معلومات كلمة المرور وحتى الوصول إلى نظام التنسيق.
تتمتع المنتجات المقدمة ضمن نموذج الخدمة بدرجة عالية من الأتمتة. ومن أجل عدم التدخل في الأعمال التجارية، يجب تطبيق تدابير أمن المعلومات على درجة لا تقل عن الأتمتة والقياس الأفقي. وينبغي ضمان التوسع على جميع مستويات أمن المعلومات، بما في ذلك أتمتة التحكم في الوصول وتدوير مفاتيح الوصول. وتتمثل المهمة الخاصة في توسيع نطاق الوحدات الوظيفية التي تفحص حركة مرور الشبكة.
على سبيل المثال، يجب إجراء تصفية حركة مرور الشبكة على مستويات التطبيق والشبكة والجلسة في مراكز البيانات الافتراضية للغاية على مستوى وحدات شبكة برنامج Hypervisor (على سبيل المثال، جدار الحماية الموزع الخاص بـ VMware) أو عن طريق إنشاء سلاسل الخدمة (جدران الحماية الافتراضية من Palo Alto Networks). .
إذا كانت هناك نقاط ضعف على مستوى المحاكاة الافتراضية لموارد الحوسبة، فإن الجهود المبذولة لإنشاء نظام شامل لأمن المعلومات على مستوى النظام الأساسي ستكون غير فعالة.
مستويات حماية المعلومات في مركز البيانات
يتمثل النهج العام للحماية في استخدام أنظمة أمن معلومات متكاملة ومتعددة المستويات، بما في ذلك التقسيم الكلي على مستوى جدار الحماية (تخصيص الأجزاء لمختلف المجالات الوظيفية للأعمال)، أو التقسيم الجزئي استنادًا إلى جدران الحماية الافتراضية أو وضع علامات على حركة مرور المجموعات (أدوار المستخدم أو الخدمات) التي تحددها سياسات الوصول.
المستوى التالي هو تحديد الحالات الشاذة داخل القطاعات وفيما بينها. يتم تحليل ديناميكيات حركة المرور، والتي قد تشير إلى وجود أنشطة ضارة، مثل فحص الشبكة، ومحاولات هجمات DDoS، وتنزيل البيانات، على سبيل المثال، عن طريق تقطيع ملفات قاعدة البيانات وإخراجها في جلسات تظهر بشكل دوري على فترات طويلة. تمر كميات هائلة من حركة المرور عبر مركز البيانات، لذلك لتحديد الحالات الشاذة، تحتاج إلى استخدام خوارزميات البحث المتقدمة، وبدون تحليل الحزم. من المهم ألا يتم التعرف على علامات النشاط الضار والشاذ فحسب، بل أيضًا تشغيل البرامج الضارة حتى في حركة المرور المشفرة دون فك تشفيرها، كما هو مقترح في حلول Cisco (Stealthwatch).
الحدود الأخيرة هي حماية الأجهزة الطرفية للشبكة المحلية: الخوادم والأجهزة الافتراضية، على سبيل المثال، بمساعدة الوكلاء المثبتين على الأجهزة الطرفية (الأجهزة الافتراضية)، التي تحلل عمليات الإدخال / الإخراج والحذف والنسخ وأنشطة الشبكة، إرسال البيانات إلى حيث يتم إجراء العمليات الحسابية التي تتطلب قوة حاسوبية كبيرة. هناك، يتم إجراء التحليل باستخدام خوارزميات البيانات الضخمة، ويتم بناء أشجار المنطق الآلي وتحديد الحالات الشاذة. الخوارزميات هي تعلم ذاتي يعتمد على كمية هائلة من البيانات التي توفرها شبكة عالمية من أجهزة الاستشعار.
يمكنك الاستغناء عن تثبيت الوكلاء. يجب أن تكون أدوات أمن المعلومات الحديثة بدون وكيل ومدمجة في أنظمة التشغيل على مستوى برنامج Hypervisor.
تقلل التدابير المذكورة بشكل كبير من مخاطر أمن المعلومات، ولكن هذا قد لا يكون كافيا لمراكز البيانات التي توفر أتمتة عمليات الإنتاج عالية المخاطر، على سبيل المثال، محطات الطاقة النووية.
المتطلبات التنظيمية
اعتمادًا على المعلومات التي تتم معالجتها، يجب أن تلبي البنى التحتية لمراكز البيانات الفعلية والافتراضية متطلبات الأمان المختلفة المنصوص عليها في القوانين ومعايير الصناعة.
تشمل هذه القوانين قانون "بشأن البيانات الشخصية" (152-FZ) وقانون "بشأن أمن مرافق مزودي المعلومات الرئيسيين في الاتحاد الروسي" (187-FZ)، والذي دخل حيز التنفيذ هذا العام - وقد أصبح مكتب المدعي العام مهتمًا بالفعل في التقدم في تنفيذه. لا تزال الخلافات حول ما إذا كانت مراكز البيانات تنتمي إلى موضوعات CII مستمرة، ولكن على الأرجح، سيتعين على مراكز البيانات التي ترغب في تقديم خدمات لمواضيع CII الالتزام بمتطلبات التشريع الجديد.
لن يكون الأمر سهلاً بالنسبة لمراكز البيانات التي تستضيف أنظمة المعلومات الحكومية. وفقًا لمرسوم حكومة الاتحاد الروسي المؤرخ 11.05.2017 مايو 555 رقم XNUMX، يجب حل مشكلات أمن المعلومات قبل تشغيل نظام المعلومات الجغرافية في التشغيل التجاري. ويجب على مركز البيانات الذي يرغب في استضافة نظام المعلومات الجغرافية أن يفي أولاً بالمتطلبات التنظيمية.
على مدار الثلاثين عامًا الماضية، قطعت أنظمة أمان مراكز البيانات شوطًا طويلًا: بدءًا من أنظمة الحماية المادية البسيطة والتدابير التنظيمية، التي لم تفقد أهميتها، إلى الأنظمة الذكية المعقدة، التي تستخدم بشكل متزايد عناصر الذكاء الاصطناعي. لكن جوهر النهج لم يتغير. لن تنقذك أحدث التقنيات بدون التدابير التنظيمية وتدريب الموظفين، ولن تنقذك الأعمال الورقية بدون حلول برمجية وتقنية. لا يمكن ضمان أمان مركز البيانات مرة واحدة وإلى الأبد؛ بل هو جهد يومي مستمر لتحديد التهديدات ذات الأولوية وحل المشكلات الناشئة بشكل شامل.
ماذا يمكنك أن تقرأ في المدونة؟
→
→
→
→
→
اشترك في موقعنا -channel حتى لا تفوت المقالة التالية! نحن لا نكتب أكثر من مرتين في الأسبوع وفي العمل فقط. نذكرك أيضًا أنه يمكنك ذلك الحلول السحابية Cloud4Y.
المصدر: www.habr.com