Так выглядае цэнтр маніторынгу размешчанага ў Маскве ЦАД NORD-2
Аб тым, якія меры прымаюцца для забеспячэння інфармацыйнай бяспекі (ВБ), вы чыталі не адзін раз. Любы які паважае сябе айцішнік з лёгкасцю назаве 5-10 правілаў ИБ. Cloud4Y жа прапануе пагаварыць пра інфармацыйную бяспеку дата-цэнтраў.
Пры забеспячэнні інфармацыйнай бяспекі ЦАД самымі «абароненымі» аб'ектамі з'яўляюцца:
- інфармацыйныя рэсурсы (дадзеныя);
- працэсы збору, апрацоўкі, захоўвання і перадачы інфармацыі;
- карыстачы сістэмы і абслуговы персанал;
- інфармацыйная інфраструктура, якая ўключае тэхнічныя і праграмныя сродкі апрацоўкі, перадачы і адлюстравання інфармацыі, у тым ліку каналы інфармацыйнага абмену, сістэмы аховы інфармацыі і памяшкання.
Зона адказнасці ЦАД залежыць ад мадэлі паслуг (IaaS/PaaS/SaaS). Як гэта выглядае, змажыце малюнку ніжэй:
Вобласць дзеяння палітыкі бяспекі ЦАД у залежнасці ад мадэлі якія прадстаўляюцца сэрвісаў
Найважнейшая частка распрацоўкі палітыкі інфармацыйнай бяспекі - пабудова мадэлі пагроз і парушальнікаў. Што ж можа стаць пагрозай для дата-цэнтра?
- Неспрыяльныя падзеі прыроднага, тэхнагеннага і сацыяльнага характару
- Тэрарысты, крымінальныя элементы і інш.
- Залежнасць ад пастаўшчыкоў, правайдэраў, партнёраў, кліентаў
- Збоі, адмовы, разбурэнні, пашкоджанні праграмных і тэхнічных сродкаў
- Супрацоўнікі ЦАДа, якія рэалізуюць пагрозы ИБ з выкарыстаннем легальна якія прадстаўляюцца ім правоў і паўнамоцтваў (унутраныя парушальнікі ИБ)
- Супрацоўнікі ЦАД, якія рэалізуюць пагрозы ИБ па-за легальна прадастаўленых ім правоў і паўнамоцтваў, а таксама суб'екты, якія не адносяцца да персаналу ЦАД, але ажыццяўляюць спробы несанкцыянаванага доступу і недазволеных дзеянняў (знешнія парушальнікі ИБ)
- Неадпаведнасць патрабаванням наглядных і рэгулюючых органаў, дзейнаму заканадаўству
Аналіз рызык - выяўленне патэнцыйных пагроз і ацэнка маштабаў наступстваў іх рэалізацыі - дапаможа правільна выбраць першачарговыя задачы, якія павінны вырашаць спецыялісты па інфармацыйнай бяспецы ЦАДа, спланаваць бюджэты на куплю тэхнічных і праграмных сродкаў.
Забеспячэнне бяспекі - бесперапынны працэс, які ўключае этапы планавання, рэалізацыі і эксплуатацыі, маніторынгу, аналізу і ўдасканалення сістэмы ИБ. Для стварэння сістэм менеджменту інфармацыйнай бяспекі выкарыстоўваюць так званы.
Важнай часткай палітык бяспекі з'яўляецца размеркаванне роляў і адказнасці персанала за іх выкананне. Трэба пастаянна пераглядаць палітыкі з улікам зменаў заканадаўства, новых пагроз і сродкаў абароны. І, вядома, даводзіць патрабаванні да інфармацыйнай бяспекі да персанала і праводзіць яго навучанне.
Арганізацыйныя меры
Некаторыя эксперты скептычна ставяцца да "папяровай" бяспекі, лічачы галоўным практычныя ўменні супрацьстаяць спроба ўзлому. Рэальны досвед працы па забеспячэнні інфармацыйнай бяспекі ў банках кажа пра адваротнае. Спецыялісты па ИБ могуць мець выдатную экспертызу ў справе выяўлення і зніжэння рызык, але калі персанал ЦАД не стане выконваць іх указанні, усё будзе марным.
Бяспека, як правіла, не прыносіць грошай, а толькі мінімізуе рыскі. Таму да яе часта ставяцца як да чагосьці які замінае і другарадным. І калі спецыялісты па бяспецы пачынаюць абурацца (маючы на тое поўнае права), нярэдка ўзнікаюць канфлікты з персаналам і кіраўнікамі эксплуатацыйных падраздзяленняў.
Наяўнасць галіновых стандартаў і патрабаванняў рэгулятараў дапамагае бяспечнікам адстойваць свае пазіцыі на перамовах з кіраўніцтвам, а зацверджаныя палітыкі ИБ, палажэнні і рэгламенты дазваляюць дамагацца ад персаналу выканання выкладзеных там патрабаванняў, падводзячы базу пад правядзенне часта непапулярных рашэнняў.
Абарона памяшканняў
Пры прадастаўленні дата-цэнтрам паслуг па мадэлі colocation на першы план выходзіць забеспячэнне фізічнай бяспекі і кантролю доступу да абсталявання кліента. Для гэтага выкарыстоўваюцца выгародкі (агароджаныя часткі залы), якія знаходзяцца пад відэаназіраннем кліента і да якіх абмежаваны доступ персанала ЦАД.
У дзяржаўных вылічальных цэнтрах з фізічнай бяспекай і ў канцы мінулага стагоддзі ішлі нядрэнна. Быў прапускны рэжым, кантроль доступу ў памяшканні, няхай без камп'ютараў і відэакамер, сістэмы пажаратушэння — у выпадку ўзгарання ў машынную залу аўтаматычна пускаўся фрэон.
У наш час фізічная бяспека забяспечваецца яшчэ лепш. Сістэмы кантролю і кіравання доступам (СККД) сталі інтэлектуальнымі, укараняюцца біяметрычныя метады абмежавання доступу.
Больш бяспечнымі для персанала і абсталяванні сталі сістэмы пажаратушэння, сярод якіх можна вылучыць усталёўкі для інгібіравання, ізаляцыі, астуджэнні і гіпаксічная ўздзеяння на зону ўзгарання. Нараўне з абавязковымі сістэмамі супрацьпажарнай абароны ў ЦАД часта выкарыстоўваецца сістэма ранняга выяўлення пажару аспірацыйнага тыпу.
Для абароны дата-цэнтраў ад вонкавых пагроз - пажараў, выбухаў, абвальванні канструкцый будынка, затапленні, каразійных газаў - сталі выкарыстоўвацца пакоі і сейфы бяспекі, у якіх сервернае абсталяванне абаронена практычна ад усіх вонкавых пашкоджвальных фактараў.
Слабое звяно - чалавек
"Разумныя" сістэмы відэаназірання, датчыкі аб'ёмнага сачэння (акустычныя, інфрачырвоныя, ультрагукавыя, мікрахвалевыя), СКУД знізілі рызыкі, але не вырашылі ўсіх праблем. Гэтыя сродкі не дапамогуць, напрыклад, калі правільна дапушчаныя ў ЦАД людзі з правільна пранесеным інструментам што-небудзь "зачэпяць". І, як гэта часта бывае, выпадковы зачэп прынясе максімум праблем.
На працы дата-цэнтра можа адбіцца нямэтавае выкарыстанне персаналам яго рэсурсаў, напрыклад нелегальны майнінг. Дапамагчы ў гэтых выпадках могуць сістэмы кіравання інфраструктурай ЦАД (DCIM).
Абароны патрабуе і персанал, бо чалавека часта завуць найболей уразлівым звяном у сістэме абароны. Мэтавыя атакі прафесійных злачынцаў часцей за ўсё пачынаюцца з выкарыстання метадаў сацыяльнай інжынерыі. Нярэдка самыя абароненыя сістэмы падаюць ці кампраметуюцца пасля таго, як нехта дзесьці націснуў/спампаваў/зрабіў. Падобныя рызыкі можна мінімізаваць, навучаючы персанал і ўкараняючы найлепшыя сусветныя практыкі ў галіне інфармацыйнай бяспекі.
Абарона інжынернай інфраструктуры
Традыцыйныя пагрозы функцыянаванню дата-цэнтра - збоі электрасілкавання і адмовы сістэм астуджэння. Да такіх пагроз ужо абвыклі і навучыліся з імі дужацца.
Новай тэндэнцыяй стала паўсюднае ўкараненне "разумнага" абсталявання, аб'яднанага ў сетку: кіраваныя КБС, інтэлектуальныя сістэмы астуджэння і вентыляцыі, разнастайныя кантролеры і датчыкі, падлучаныя да сістэм маніторынгу. Пры пабудове мадэлі пагроз ЦАД не варта забываць аб верагоднасці нападу на сетку інфраструктуры (а, магчыма, і на звязаную з ёй ІТ-сетку ЦАД). Ускладняе сітуацыю той факт, што частка абсталявання (напрыклад, чылеры) можа быць вынесена за межы ЦАДа, скажам, на дах арандуемага будынка.
Абарона каналаў сувязі
Калі дата-цэнтр прадастаўляе паслугі не толькі па мадэлі colocation, то давядзецца займацца абаронай аблокаў. Па дадзеных Check Point, толькі ў мінулым годзе 51% арганізацый па ўсім свеце сутыкнуліся з атакамі на хмарныя структуры. DDoS-напады спыняюць бізнэс, вірусы-шыфравальшчыкі патрабуюць выкуп, мэтавыя атакі на банкаўскія сістэмы прыводзяць да крадзяжу сродкаў з карэспандэнцкія рахункі.
Пагрозы знешніх уварванняў турбуюць і спецыялістаў па інфармацыйнай бяспецы дата-цэнтраў. Найбольш актуальныя для ЦАД размеркаваныя атакі, накіраваныя на спыненне прадастаўлення паслуг, а таксама пагрозы ўзлому, крадзяжу або змены даных, якія змяшчаюцца ў віртуальнай інфраструктуры або сістэмах захоўвання.
Для абароны вонкавага перыметра ЦОДа служаць сучасныя сістэмы з функцыямі выяўлення і нейтралізацыі шкоднаснага кода, кантролю прыкладанняў і магчымасцю імпарту тэхналогіі проактивной абароны Threat Intelligence. У некаторых выпадках разгортваюць сістэмы з функцыяналам IPS (прадухіленні ўварванняў) c аўтаматычнай падладкай сігнатурнага набору пад параметры абараняемага асяроддзя.
Для абароны ад DDoS-нападаў расійскія кампаніі, як правіла, выкарыстоўваюць вонкавыя спецыялізаваныя сэрвісы, якія адводзяць трафік на іншыя вузлы і фільтруюць яго ў воблаку. Абарона на баку аператара выконваецца значна больш эфектыўна, чым на баку кліента, а ЦАД выступаюць у якасці пасрэднікаў па продажы паслуг.
У ЦАДах магчымыя і ўнутраныя DDoS-напады: зламыснік пранікае на слаба абароненыя серверы адной кампаніі, якая размяшчае сваё абсталяванне па мадэлі colocation, і з іх па ўнутранай сетцы праводзіць напад «адмова ў абслугоўванні» на іншых кліентаў гэтага дата-цэнтра.
Увага віртуальным асяроддзям
Трэба ўлічваць спецыфіку які абараняецца аб'екта – выкарыстанне сродкаў віртуалізацыі, дынамічнасць змены ІТ-інфраструктур, узаемазлучанасць сэрвісаў, калі паспяховая атака на аднаго кліента можа пагражаць бяспецы суседзяў. Напрыклад, узламаўшы frontend-докер пры працы ў PaaS на базе Kubernetes, зламыснік адразу можа атрымаць усю парольную інфармацыю і нават доступ да сістэмы аркестрацыі.
Прадукты, якія прадстаўляюцца па сэрвіснай мадэлі, маюць высокую ступень аўтаматызацыі. Каб не перашкаджаць бізнэсу, не меншую ступень аўтаматызацыі і гарызантальнага маштабавання павінны мець накладзеныя сродкі абароны інфармацыі. Маштабаванне павінна забяспечвацца на ўсіх узроўнях ИБ, уключаючы аўтаматызацыю кантролю доступу і ратацыю ключоў доступу. Асобна стаіць задача маштабавання функцыянальных модуляў, якія ажыццяўляюць інспекцыю сеткавага трафіку.
Напрыклад, фільтраванне сеткавага трафіку на прыкладным, сеткавым і сеансавым узроўнях у ЦАДах з высокай ступенню віртуалізацыі павінна выконвацца на ўзроўні сеткавых модуляў гіпервізара (напрыклад, Distributed Firewall кампаніі VMware) альбо шляхам стварэння ланцужкоў сэрвісаў (віртуальныя міжсеткавыя экраны ад Palo Alto Networks).
Пры наяўнасці слабых месцаў на ўзроўні віртуалізацыі вылічальных рэсурсаў намаганні па стварэнні комплекснай сістэмы інфармацыйнай бяспекі на ўзроўні платформы будуць неэфектыўнымі.
Узроўні абароны інфармацыі ў ЦАД
Агульны падыход да абароны - выкарыстанне інтэграваных, шматузроўневых сістэм забеспячэння ИБ, якія ўключаюць макрасегментацыю на ўзроўні міжсеткавага экрана (вылучэнне сегментаў пад розныя функцыянальныя напрамкі бізнесу), мікрасегментацыю на базе віртуальных міжсеткавых экранаў або маркіравання пазнакамі трафіку груп (роляў карыстальнікаў або сэрвісаў), пэўных палітыкамі доступ .
Наступны ўзровень - выяўленне анамалій ўнутры сегментаў і паміж імі. Аналізуецца дынаміка трафіку, якая можа сведчыць аб наяўнасці шкоднасных актыўнасцяў, такіх як сканаванне сеткі, спробы DDoS-нападаў, запампоўка дадзеных, напрыклад шляхам нарэзкі файлаў базы дадзеных і высновы іх перыядычна якія з'яўляюцца сесіямі праз працяглыя прамежкі часу. Унутры ЦАД праходзяць гіганцкія аб'ёмы трафіку, так што для выяўлення анамалій трэба выкарыстоўваць прасунутыя алгарытмы пошуку, прычым без пакетнага аналізу. Важна, каб распазнаваліся не толькі прыкметы шкоднаснай і анамальнай актыўнасці, але і праца шкоднаснага ПА нават у зашыфраваным трафіку без яго расшыфроўкі, як гэта прапануецца ў рашэннях Cisco (Stealthwatch).
Апошняя мяжа - абарона канцавых прылад лакальнай сеткі: сервераў і віртуальных машын, напрыклад, з дапамогай агентаў, усталёўваных на канцавыя прылады (віртуальныя машыны), якія аналізуюць аперацыі ўводу-высновы, выдаленні, капіяванні і сеткавыя актыўнасці, перадаюць дадзеныя ў , Дзе і праводзяцца якія патрабуюць вялікіх вылічальных магутнасцяў разлікі. Там праводзіцца аналіз з дапамогай алгарытмаў Big Data, будуюцца дрэвы машыннай логікі і выяўляюцца анамаліі. Алгарытмы саманавучаюцца на базе велізарнай колькасці дадзеных, якія пастаўляюцца глабальнай сеткай сэнсараў.
Можна абыйсціся і без усталёўкі агентаў. Сучасныя сродкі абароны інфармацыі павінны быць безагентнымі і інтэгравацца ў аперацыйныя сістэмы на ўзроўні гіпервізара.
Пералічаныя меры значна зніжаюць рызыкі інфармацыйнай бяспекі, але гэтага можа быць недастаткова для дата-цэнтраў, якія забяспечваюць аўтаматызацыю вытворчых працэсаў падвышанай небяспекі, напрыклад, атамных станцый.
Патрабаванні рэгулятараў
У залежнасці ад апрацоўванай інфармацыі фізічныя і віртуалізаваныя інфраструктуры дата-цэнтра павінны задавальняць розным патрабаванням па бяспецы, сфармуляваным у законах і галіновых стандартах.
Да такіх законаў ставіцца закон "Аб персанальных дадзеных" (152-ФЗ) і які ўступіў у гэтым годзе ў сілу закон "Аб бяспецы аб'ектаў КІІ РФ" (187-ФЗ) - пракуратура ўжо стала цікавіцца ходам яго выканання. Спрэчкі аб прыналежнасці ЦАД да суб'ектаў КІІ яшчэ ідуць але, хутчэй за ўсё, дата-цэнтрам, якія жадаюць прадастаўляць паслугі суб'ектам КІІ, давядзецца выконваць патрабаванні новага заканадаўства.
Няпроста прыйдзецца ЦАДам, якія размяшчаюць у сябе дзяржаўныя інфармацыйныя сістэмы. Згодна з Пастановай Урада РФ ад 11.05.2017 № 555, пытанні інфармацыйнай бяспекі трэба вырашыць да ўводу ГІС у прамысловую эксплуатацыю. І ЦАД, які хоча размяшчаць у сябе ГІС, загадзя павінен адпавядаць патрабаванням рэгулятараў.
За апошнія 30 гадоў сістэмы забеспячэння бяспекі ЦАД прайшлі велізарны шлях: ад простых сістэм фізічнай абароны і арганізацыйных мер, якія не страцілі, зрэшты, сваёй актуальнасці, да складаных інтэлектуальных сістэм, у якіх усё часцей выкарыстоўваюцца элементы штучнага інтэлекту. Але сутнасць падыходу пры гэтым не змянілася. Самыя сучасныя тэхналогіі не выратуюць без арганізацыйных мер і навучання персаналу, а паперы - без праграмных і тэхнічных рашэнняў. Бяспеку ЦАДа нельга забяспечыць раз і назаўжды, гэта пастаянная штодзённая праца па выяўленні першачарговых пагроз і комплексным вырашэнні ўзнікаючых праблем.
Што яшчэ карыснага можна пачытаць у блогу
→
→
→
→
→
Падпісвайцеся на наш -канал, каб не прапусціць чарговы артыкул! Пішам не часцей за два разы на тыдзень і толькі па справе. Таксама нагадваем, што вы можаце хмарныя рашэнні Cloud4Y.
Крыніца: habr.com