ProHoster > Блог > администрация > Информационна сигурност на центъра за данни

Информационна сигурност на центъра за данни

Информационна сигурност на центъра за данни
Ето как изглежда центърът за наблюдение на центъра за данни NORD-2, разположен в Москва

Неведнъж сте чели какви мерки се предприемат за осигуряване на информационна сигурност (ИС). Всеки уважаващ себе си IT специалист може лесно да назове 5-10 правила за информационна сигурност. Cloud4Y предлага да говорим за информационната сигурност на центровете за данни.

При осигуряване на информационна сигурност на център за данни най-защитените обекти са:

  • информационни ресурси (данни);
  • процеси на събиране, обработка, съхраняване и предаване на информация;
  • потребители на системата и персонал по поддръжката;
  • информационна инфраструктура, включително хардуерни и софтуерни инструменти за обработка, предаване и показване на информация, включително канали за обмен на информация, системи за информационна сигурност и помещения.

Зоната на отговорност на центъра за данни зависи от модела на предоставяните услуги (IaaS/PaaS/SaaS). Как изглежда вижте на снимката по-долу:

Информационна сигурност на центъра за данни
Обхватът на политиката за сигурност на центъра за данни в зависимост от модела на предоставяните услуги

Най-важната част от разработването на политика за информационна сигурност е изграждането на модел на заплахи и нарушители. Какво може да се превърне в заплаха за центъра за данни?

  1. Неблагоприятни събития от природен, техногенен и социален характер
  2. Терористи, криминални елементи и др.
  3. Зависимост от доставчици, доставчици, партньори, клиенти
  4. Откази, повреди, унищожаване, повреда на софтуера и хардуера
  5. Служители на центъра за данни, прилагащи заплахи за информационната сигурност, използвайки законно предоставени права и правомощия (нарушители на вътрешната информационна сигурност)
  6. Служители на центъра за данни, които прилагат заплахи за информационната сигурност извън законово предоставените права и правомощия, както и субекти, които не са свързани с персонала на центъра за данни, но се опитват да осъществят неоторизиран достъп и неразрешени действия (външни нарушители на информационната сигурност)
  7. Несъответствие с изискванията на надзорните и регулаторните органи, действащото законодателство

Анализът на риска - идентифициране на потенциални заплахи и оценка на мащаба на последствията от тяхното прилагане - ще помогне да се изберат правилно приоритетните задачи, които специалистите по информационна сигурност в центъра за данни трябва да решат, и да планират бюджети за закупуване на хардуер и софтуер.

Гарантирането на сигурността е непрекъснат процес, който включва етапите на планиране, внедряване и експлоатация, наблюдение, анализ и подобряване на системата за информационна сигурност. За създаване на системи за управление на информационната сигурност, т.нар.Цикъл на Деминг".

Важна част от политиките за сигурност е разпределението на ролите и отговорностите на персонала за тяхното прилагане. Политиките трябва непрекъснато да се преразглеждат, за да отразяват промените в законодателството, новите заплахи и възникващите защити. И, разбира се, съобщаване на изискванията за информационна сигурност на персонала и осигуряване на обучение.

Организационни мерки

Някои експерти са скептични по отношение на „хартиената“ сигурност, като смятат, че основното нещо са практическите умения да се противопоставят на опитите за хакване. Реалният опит в осигуряването на информационна сигурност в банките показва обратното. Специалистите по информационна сигурност може да имат отличен опит в идентифицирането и намаляването на рисковете, но ако персоналът на центъра за данни не следва техните инструкции, всичко ще бъде напразно.

Сигурността по правило не носи пари, а само минимизира рисковете. Затова често се третира като нещо обезпокоително и второстепенно. И когато специалистите по сигурността започнат да се възмущават (с пълно право на това), често възникват конфликти с персонала и ръководителите на оперативни отдели.

Наличието на индустриални стандарти и регулаторни изисквания помага на професионалистите по сигурността да защитят позициите си в преговорите с ръководството, а одобрените политики, разпоредби и разпоредби за информационна сигурност позволяват на служителите да спазват изискванията, изложени там, осигурявайки основата за често непопулярни решения.

Защита на помещения

Когато центърът за данни предоставя услуги, използвайки модела на колокация, осигуряването на физическа сигурност и контрол на достъпа до оборудването на клиента е на преден план. За целта се използват заграждения (оградени части от залата), които са под видеонаблюдение на клиента и до които е ограничен достъпът на персонала на ЦОД.

В държавните компютърни центрове с физическа охрана нещата не бяха зле в края на миналия век. Имаше контрол на достъпа, контрол на достъпа до помещенията, дори без компютри и видеокамери, пожарогасителна система - при пожар фреонът автоматично се пускаше в машинното помещение.

В днешно време физическата сигурност е осигурена още по-добре. Системите за контрол и управление на достъп (ACS) станаха интелигентни и се въвеждат биометрични методи за ограничаване на достъпа.

Пожарогасителните системи станаха по-безопасни за персонала и оборудването, сред които инсталации за инхибиране, изолация, охлаждане и хипоксично въздействие върху зоната на пожара. Наред със задължителните системи за противопожарна защита, центровете за данни често използват система за ранно откриване на пожар от аспирационен тип.

За защита на центровете за данни от външни заплахи - пожари, експлозии, срутване на строителни конструкции, наводнения, корозивни газове - започнаха да се използват помещения за сигурност и сейфове, в които сървърното оборудване е защитено от почти всички външни увреждащи фактори.

Слабото звено е човекът

„Умните“ системи за видеонаблюдение, сензорите за обемно проследяване (акустични, инфрачервени, ултразвукови, микровълнови), системите за контрол на достъп намаляват рисковете, но не решават всички проблеми. Тези средства няма да помогнат, например, когато хора, които са били правилно приети в центъра за данни с правилните инструменти, са били „закачени“ за нещо. И както често се случва, случайно засичане ще донесе максимум проблеми.

Работата на центъра за данни може да бъде засегната от злоупотреба с неговите ресурси от персонал, например нелегален добив. Системите за управление на инфраструктурата на центъра за данни (DCIM) могат да помогнат в тези случаи.

Персоналът също се нуждае от защита, тъй като хората често се наричат ​​най-уязвимото звено в системата за защита. Целенасочените атаки от професионални престъпници най-често започват с използването на методи на социално инженерство. Често най-сигурните системи се сриват или са компрометирани, след като някой щракне/изтегли/направи нещо. Такива рискове могат да бъдат сведени до минимум чрез обучение на персонала и прилагане на най-добрите световни практики в областта на информационната сигурност.

Защита на инженерната инфраструктура

Традиционните заплахи за функционирането на центъра за данни са прекъсвания на захранването и откази на охладителни системи. Вече сме свикнали с подобни заплахи и сме се научили да се справяме с тях.

Нова тенденция се превърна в широкото въвеждане на „умно“ оборудване, свързано към мрежа: управлявани UPS, интелигентни системи за охлаждане и вентилация, различни контролери и сензори, свързани към системи за наблюдение. Когато изграждате модел на заплаха за център за данни, не трябва да забравяте за вероятността от атака върху инфраструктурната мрежа (и евентуално върху свързаната ИТ мрежа на центъра за данни). Ситуацията се усложнява от факта, че част от оборудването (например чилъри) може да бъде преместено извън центъра за данни, да речем, на покрива на наета сграда.

Защита на комуникационните канали

Ако центърът за данни предоставя услуги не само според модела на колокация, тогава той ще трябва да се справи с облачната защита. Според Check Point само през миналата година 51% от организациите по света са преживели атаки срещу своите облачни структури. DDoS атаките спират бизнеса, вирусите за криптиране изискват откуп, целенасочените атаки срещу банковите системи водят до кражба на средства от кореспондентски сметки.

Заплахите от външни прониквания също тревожат специалистите по информационна сигурност в центровете за данни. Най-важните за центровете за данни са разпределени атаки, насочени към прекъсване на предоставянето на услуги, както и заплахи за хакване, кражба или модификация на данни, съдържащи се във виртуалната инфраструктура или системи за съхранение.

За защита на външния периметър на центъра за данни се използват модерни системи с функции за идентифициране и неутрализиране на злонамерен код, контрол на приложенията и възможност за импортиране на технология за проактивна защита Threat Intelligence. В някои случаи се внедряват системи с IPS (предотвратяване на проникване) функционалност с автоматична настройка на набора от подписи към параметрите на защитената среда.

За да се предпазят от DDoS атаки, руските компании като правило използват външни специализирани услуги, които пренасочват трафика към други възли и го филтрират в облака. Защитата от страна на оператора е много по-ефективна, отколкото от страна на клиента, а центровете за данни действат като посредници за продажба на услуги.

В центровете за данни са възможни и вътрешни DDoS атаки: нападателят прониква в слабо защитените сървъри на една компания, която хоства нейното оборудване, използвайки модел на колокация, и оттам извършва атака за отказ на услуга на други клиенти на този център за данни чрез вътрешна мрежа .

Фокусирайте се върху виртуални среди

Необходимо е да се вземат предвид спецификите на защитения обект - използването на инструменти за виртуализация, динамиката на промените в ИТ инфраструктурите, взаимосвързаността на услугите, когато успешна атака срещу един клиент може да застраши сигурността на съседите. Например, чрез хакване на предния докер, докато работите в базиран на Kubernetes PaaS, нападателят може незабавно да получи цялата информация за паролата и дори достъп до системата за оркестрация.

Продуктите, предоставяни по сервизния модел, са с висока степен на автоматизация. За да не се пречи на бизнеса, мерките за информационна сигурност трябва да се прилагат в не по-малка степен на автоматизация и хоризонтално мащабиране. Мащабирането трябва да бъде осигурено на всички нива на информационна сигурност, включително автоматизация на контрола на достъпа и ротация на ключовете за достъп. Специална задача е мащабирането на функционални модули, които проверяват мрежовия трафик.

Например филтрирането на мрежовия трафик на ниво приложение, мрежа и сесия в силно виртуализирани центрове за данни трябва да се извършва на ниво мрежови модули на хипервайзор (например разпределената защитна стена на VMware) или чрез създаване на вериги за услуги (виртуални защитни стени от Palo Alto Networks) .

Ако има слабости на ниво виртуализация на изчислителните ресурси, усилията за създаване на цялостна система за информационна сигурност на ниво платформа ще бъдат неефективни.

Нива на защита на информацията в центъра за данни

Общият подход към защитата е използването на интегрирани, многостепенни системи за информационна сигурност, включително макросегментиране на ниво защитна стена (разпределение на сегменти за различни функционални области на бизнеса), микросегментиране на базата на виртуални защитни стени или маркиране на трафик на групи (потребителски роли или услуги), определени от политики за достъп.

Следващото ниво е идентифициране на аномалии вътре и между сегментите. Анализира се динамиката на трафика, която може да показва наличието на злонамерени дейности, като мрежово сканиране, опити за DDoS атаки, изтегляне на данни, например чрез нарязване на файлове на база данни и извеждането им в периодично появяващи се сесии на дълги интервали. Огромни количества трафик преминават през центъра за данни, така че за идентифициране на аномалии трябва да използвате разширени алгоритми за търсене и без анализ на пакети. Важно е да се разпознават не само признаци на злонамерена и аномална дейност, но и работата на зловреден софтуер дори в криптиран трафик, без да се дешифрира, както се предлага в решенията на Cisco (Stealthwatch).

Последната граница е защитата на крайните устройства на локалната мрежа: сървъри и виртуални машини, например, с помощта на агенти, инсталирани на крайни устройства (виртуални машини), които анализират I/O операции, изтривания, копия и мрежови дейности, предава данни на облак, където се извършват изчисления, изискващи голяма изчислителна мощност. Там анализът се извършва с помощта на алгоритми за големи данни, изграждат се машинни логически дървета и се идентифицират аномалии. Алгоритмите се самообучават въз основа на огромно количество данни, предоставени от глобална мрежа от сензори.

Можете да направите без инсталиране на агенти. Съвременните инструменти за информационна сигурност трябва да бъдат без агенти и интегрирани в операционните системи на ниво хипервайзор.
Изброените мерки значително намаляват рисковете за информационната сигурност, но това може да не е достатъчно за центрове за данни, които осигуряват автоматизация на високорискови производствени процеси, например атомни електроцентрали.

Нормативни изисквания

В зависимост от информацията, която се обработва, физическите и виртуализираните инфраструктури на центрове за данни трябва да отговарят на различни изисквания за сигурност, посочени в законите и индустриалните стандарти.

Такива закони включват закона „За личните данни“ (152-FZ) и закона „За сигурността на съоръженията на KII на Руската федерация“ (187-FZ), които влязоха в сила тази година - прокуратурата вече се заинтересува в хода на изпълнението му. Споровете за това дали центровете за данни принадлежат към субекти на CII все още продължават, но най-вероятно центровете за данни, които желаят да предоставят услуги на субекти на CII, ще трябва да отговарят на изискванията на новото законодателство.

Няма да е лесно за центровете за данни, хостващи държавни информационни системи. Съгласно постановление на правителството на Руската федерация от 11.05.2017 май 555 г. № XNUMX, проблемите с информационната сигурност трябва да бъдат решени преди пускането на ГИС в търговска експлоатация. А центърът за данни, който иска да хоства ГИС, трябва първо да отговаря на нормативните изисквания.

През последните 30 години системите за сигурност на центровете за данни изминаха дълъг път: от прости системи за физическа защита и организационни мерки, които обаче не са загубили своята актуалност, до сложни интелигентни системи, които все повече използват елементи на изкуствен интелект. Но същността на подхода не се е променила. Най-модерните технологии няма да ви спасят без организационни мерки и обучение на персонала, а документацията няма да ви спаси без софтуерни и технически решения. Сигурността на центъра за данни не може да бъде осигурена веднъж завинаги; това е постоянно ежедневно усилие за идентифициране на приоритетни заплахи и цялостно решаване на възникващи проблеми.

Какво друго можете да прочетете в блога? Cloud4Y

Настройване на върха в GNU/Linux
Pentesters в челните редици на киберсигурността
Пътят на изкуствения интелект от фантастична идея до научната индустрия
4 начина да спестите от резервни копия в облак
Mutt история

Абонирайте се за нашите Telegram-канал, за да не пропуснете следващата статия! Пишем не повече от два пъти седмично и само по работа. Също така ви напомняме, че можете тествайте безплатно облачни решения Cloud4Y.

Източник: www.habr.com

Добавяне на нов коментар