Sigurnost informacija centara podataka

Ovako izgleda centar za praćenje data centra NORD-2 koji se nalazi u Moskvi

Pročitali ste više puta o tome koje mjere se poduzimaju za osiguranje sigurnosti informacija (IS). Svaki IT stručnjak koji poštuje sebe može lako navesti 5-10 pravila o sigurnosti informacija. Cloud4Y nudi razgovor o informacionoj sigurnosti data centara.

Prilikom osiguravanja informacione sigurnosti data centra, najzaštićeniji objekti su:

• informacioni izvori (podaci);
• procesi prikupljanja, obrade, skladištenja i prenošenja informacija;
• korisnici sistema i osoblje za održavanje;
• informaciona infrastruktura, uključujući hardverske i softverske alate za obradu, prijenos i prikazivanje informacija, uključujući kanale za razmjenu informacija, informacijske sigurnosne sisteme i prostorije.

Područje odgovornosti data centra zavisi od modela usluga koje se pružaju (IaaS/PaaS/SaaS). Kako to izgleda pogledajte na slici ispod:

Opseg bezbednosne politike data centra zavisi od modela usluga koje se pružaju

Najvažniji dio razvoja politike informacione sigurnosti je izgradnja modela prijetnji i kršitelja. Šta može postati prijetnja data centru?

1. Neželjeni događaji prirodne, ljudske i društvene prirode
2. Teroristi, kriminalni elementi itd.
3. Ovisnost o dobavljačima, dobavljačima, partnerima, klijentima
4. Greške, kvarovi, uništenje, oštećenje softvera i hardvera
5. Zaposleni u podatkovnim centrima koji implementiraju prijetnje po informatičku sigurnost koristeći zakonski odobrena prava i ovlasti (interni prekršioci informacione sigurnosti)
6. Zaposleni u podatkovnom centru koji sprovode prijetnje informacionoj sigurnosti mimo zakonom dodijeljenih prava i ovlaštenja, kao i subjekti koji nisu povezani sa osobljem podatkovnog centra, ali pokušavaju neovlašteni pristup i neovlaštene radnje (eksterni narušioci informacijske sigurnosti)
7. Neusklađenost sa zahtjevima nadzornih i regulatornih organa, važećim zakonodavstvom

Analiza rizika - utvrđivanje potencijalnih prijetnji i procjena razmjera posljedica njihove implementacije - pomoći će da se pravilno odaberu prioritetni zadaci koje stručnjaci za sigurnost informacija u podatkovnim centrima moraju riješiti, te planiraju budžeti za kupovinu hardvera i softvera.

Osiguravanje sigurnosti je kontinuiran proces koji uključuje faze planiranja, implementacije i rada, praćenja, analize i unapređenja sistema informacione sigurnosti. Za kreiranje sistema upravljanja sigurnošću informacija tzv.Demingov ciklus".

Važan dio sigurnosnih politika je raspodjela uloga i odgovornosti osoblja za njihovu implementaciju. Politika bi se trebala kontinuirano revidirati kako bi se odrazile promjene u zakonodavstvu, nove prijetnje i nove odbrane. I, naravno, prenijeti osoblju zahtjeve za sigurnost informacija i obezbijediti obuku.

Organizacione mjere

Neki stručnjaci su skeptični po pitanju „papirne“ sigurnosti, smatrajući da su glavna stvar praktične vještine za odupiranje pokušajima hakovanja. Pravo iskustvo u osiguravanju informacione sigurnosti u bankama govori suprotno. Stručnjaci za informacijsku sigurnost mogu imati izvrsnu stručnost u prepoznavanju i ublažavanju rizika, ali ako osoblje data centra ne slijedi njihova uputstva, sve će biti uzaludno.

Sigurnost, po pravilu, ne donosi novac, već samo minimizira rizike. Stoga se često tretira kao nešto uznemirujuće i sporedno. A kada stručnjaci za sigurnost počnu da budu ogorčeni (s punim pravom na to), često dolazi do sukoba sa osobljem i šefovima operativnih odjela.

Prisustvo industrijskih standarda i regulatornih zahtjeva pomaže sigurnosnim profesionalcima da brane svoje pozicije u pregovorima sa menadžmentom, a odobrene politike, propisi i propisi o sigurnosti informacija omogućavaju osoblju da se pridržava tamo postavljenih zahtjeva, pružajući osnovu za često nepopularne odluke.

Zaštita prostorija

Kada data centar pruža usluge po modelu kolokacije, do izražaja dolazi osiguranje fizičke sigurnosti i kontrole pristupa opremi klijenta. U tu svrhu koriste se ograđeni dijelovi (ograđeni dijelovi hale) koji su pod video nadzorom klijenta i kojima je ograničen pristup osoblju data centra.

U državnim kompjuterskim centrima sa fizičkim obezbeđenjem nije bilo loše krajem prošlog veka. Postojala je kontrola pristupa, kontrola pristupa prostorijama, čak i bez kompjutera i video kamera, sistem za gašenje požara - u slučaju požara freon se automatski ispuštao u mašinsku sobu.

Danas je fizička sigurnost još bolje osigurana. Sistemi kontrole i upravljanja pristupom (ACS) postali su inteligentni, a uvode se i biometrijske metode ograničenja pristupa.

Sistemi za gašenje požara postali su sigurniji za osoblje i opremu, među kojima su instalacije za inhibiciju, izolaciju, hlađenje i hipoksično djelovanje na zonu požara. Uz obavezne sisteme zaštite od požara, data centri često koriste sistem ranog otkrivanja požara aspiracionog tipa.

Za zaštitu podatkovnih centara od vanjskih prijetnji - požara, eksplozija, urušavanja građevinskih konstrukcija, poplava, korozivnih plinova - počele su se koristiti sigurnosne sobe i sefovi u kojima je serverska oprema zaštićena od gotovo svih vanjskih štetnih faktora.

Slaba karika je osoba

“Pametni” sistemi video nadzora, volumetrijski senzori za praćenje (akustični, infracrveni, ultrazvučni, mikrotalasni), sistemi kontrole pristupa su smanjili rizike, ali nisu rešili sve probleme. Ova sredstva neće pomoći, na primjer, kada su ljudi koji su ispravno primljeni u centar podataka s ispravnim alatima bili „navučeni“ na nešto. I, kao što se često dešava, slučajna zamka će donijeti maksimalne probleme.

Na rad data centra može uticati zloupotreba njegovih resursa od strane osoblja, na primjer, ilegalno rudarenje. Sistemi upravljanja infrastrukturom data centra (DCIM) mogu pomoći u ovim slučajevima.

Osoblje takođe zahteva zaštitu, jer se ljudi često nazivaju najranjivijom karikom u sistemu zaštite. Ciljani napadi profesionalnih kriminalaca najčešće počinju upotrebom metoda socijalnog inženjeringa. Često se najsigurniji sistemi sruše ili budu kompromitovani nakon što je neko nešto kliknuo/skinuo/učinio. Takvi rizici se mogu minimizirati obukom osoblja i primjenom najboljih svjetskih praksi u oblasti informacione sigurnosti.

Zaštita inženjerske infrastrukture

Tradicionalne pretnje funkcionisanju data centra su nestanci struje i kvarovi sistema za hlađenje. Već smo se navikli na takve prijetnje i naučili se nositi s njima.

Novi trend je postalo široko uvođenje „pametne“ opreme povezane na mrežu: kontrolisanih UPS-ova, inteligentnih sistema za hlađenje i ventilaciju, raznih kontrolera i senzora povezanih sa sistemima za praćenje. Kada gradite model prijetnje podatkovnog centra, ne biste trebali zaboraviti na vjerovatnoću napada na infrastrukturnu mrežu (i, eventualno, na pridruženu IT mrežu data centra). Situaciju komplikuje činjenica da se dio opreme (na primjer, rashladni uređaji) može premjestiti izvan data centra, recimo, na krov iznajmljene zgrade.

Zaštita komunikacijskih kanala

Ako data centar pruža usluge ne samo prema modelu kolokacije, onda će morati da se bavi zaštitom u oblaku. Prema Check Pointu, samo prošle godine, 51% organizacija širom svijeta doživjelo je napade na svoje strukture oblaka. DDoS napadi zaustavljaju poslovanje, virusi za šifrovanje traže otkupninu, ciljani napadi na bankarske sisteme dovode do krađe sredstava sa korespondentnih računa.

Prijetnje od vanjskih upada također zabrinjavaju stručnjake za sigurnost informacija u podatkovnim centrima. Najrelevantniji za data centre su distribuirani napadi koji imaju za cilj prekid pružanja usluga, kao i prijetnje hakovanja, krađe ili modifikacije podataka sadržanih u virtuelnoj infrastrukturi ili sistemima za skladištenje podataka.

Za zaštitu vanjskog perimetra podatkovnog centra koriste se moderni sistemi sa funkcijama za identifikaciju i neutralizaciju zlonamjernog koda, kontrolu aplikacija i mogućnost uvoza Threat Intelligence tehnologije proaktivne zaštite. U nekim slučajevima, sistemi sa IPS (prevencija upada) funkcionalnosti se postavljaju uz automatsko prilagođavanje potpisa postavljenog parametrima zaštićenog okruženja.

Kako bi se zaštitile od DDoS napada, ruske kompanije u pravilu koriste eksterne specijalizirane usluge koje preusmjeravaju promet na druge čvorove i filtriraju ga u oblaku. Zaštita na strani operatera je mnogo efikasnija nego na strani klijenta, a data centri djeluju kao posrednici u prodaji usluga.

Interni DDoS napadi mogući su i u podatkovnim centrima: napadač prodire u slabo zaštićene servere jedne kompanije koja hostuje svoju opremu koristeći kolokacijski model, a odatle vrši napad uskraćivanja usluge na druge klijente ovog podatkovnog centra putem interne mreže. .

Fokusirajte se na virtuelna okruženja

Potrebno je uzeti u obzir specifičnosti zaštićenog objekta – korištenje alata za virtuelizaciju, dinamiku promjena IT infrastruktura, međusobnu povezanost servisa, kada uspješan napad na jednog klijenta može ugroziti sigurnost susjeda. Na primjer, hakovanjem frontend docker-a dok radi u PaaS-u zasnovanom na Kubernetesu, napadač može odmah dobiti sve informacije o lozinki, pa čak i pristup sistemu orkestracije.

Proizvodi koji se pružaju po modelu usluga imaju visok stepen automatizacije. Kako se ne bi ometalo poslovanje, mjere sigurnosti informacija moraju se primjenjivati ​​do ništa manjeg stepena automatizacije i horizontalnog skaliranja. Skaliranje treba osigurati na svim nivoima informacione sigurnosti, uključujući automatizaciju kontrole pristupa i rotaciju pristupnih ključeva. Poseban zadatak je skaliranje funkcionalnih modula koji provjeravaju mrežni promet.

Na primjer, filtriranje mrežnog prometa na nivou aplikacije, mreže i sesije u visoko virtueliziranim podatkovnim centrima trebalo bi se izvoditi na razini hipervizorskih mrežnih modula (na primjer, VMware-ov distribuirani zaštitni zid) ili kreiranjem lanaca usluga (virtuelni zaštitni zidovi iz Palo Alto Networks) .

Ako postoje slabosti na nivou virtuelizacije računarskih resursa, napori da se stvori sveobuhvatan sistem bezbednosti informacija na nivou platforme biće neefikasni.

Nivoi zaštite informacija u data centru

Opći pristup zaštiti je korištenje integriranih, višeslojnih informacijskih sigurnosnih sistema, uključujući makro-segmentaciju na nivou firewall-a (dodjela segmenata za različite funkcionalne oblasti poslovanja), mikro-segmentaciju zasnovanu na virtualnim zaštitnim zidovima ili označavanje prometa grupa (korisničke uloge ili usluge) definisane politikama pristupa.

Sljedeći nivo je identifikacija anomalija unutar i između segmenata. Analizira se dinamika prometa, što može ukazivati ​​na prisustvo zlonamjernih aktivnosti, kao što su skeniranje mreže, pokušaji DDoS napada, preuzimanje podataka, na primjer, rezanjem datoteka baze podataka i njihovim izlazom u periodično sesijama koje se pojavljuju u dugim intervalima. Ogromne količine saobraćaja prolaze kroz data centar, pa je za identifikaciju anomalija potrebno koristiti napredne algoritme pretraživanja, i to bez analize paketa. Važno je da se prepoznaju ne samo znaci zlonamjerne i anomalne aktivnosti, već i rad zlonamjernog softvera čak i u šifriranom prometu bez njegovog dešifriranja, kao što je predloženo u Cisco rješenjima (Stealthwatch).

Poslednja granica je zaštita krajnjih uređaja lokalne mreže: servera i virtuelnih mašina, na primer, uz pomoć agenata instaliranih na krajnjim uređajima (virtuelnim mašinama), koji analiziraju I/O operacije, brisanja, kopije i mrežne aktivnosti, prenijeti podatke na oblak, gdje se izvode proračuni koji zahtijevaju veliku računarsku snagu. Tamo se vrši analiza pomoću Big Data algoritama, grade se stabla mašinske logike i identifikuju se anomalije. Algoritmi se samouče na osnovu ogromne količine podataka koje dostavlja globalna mreža senzora.

Možete i bez instaliranja agenata. Savremeni alati za sigurnost informacija moraju biti bez agenta i integrisani u operativne sisteme na nivou hipervizora.
Navedene mjere značajno smanjuju rizike informacione sigurnosti, ali to možda neće biti dovoljno za podatkovne centre koji omogućavaju automatizaciju visokorizičnih proizvodnih procesa, na primjer, nuklearne elektrane.

Regulatorni zahtjevi

U zavisnosti od informacija koje se obrađuju, fizička i virtuelizovana infrastruktura centara podataka moraju ispunjavati različite bezbednosne zahteve postavljene u zakonima i industrijskim standardima.

Takvi zakoni uključuju zakon "O ličnim podacima" (152-FZ) i zakon "O sigurnosti KII objekata Ruske Federacije" (187-FZ), koji je stupio na snagu ove godine - tužilaštvo se već zainteresiralo u toku njegove implementacije. Sporovi o tome da li centri podataka pripadaju subjektima KII su još uvijek u toku, ali najvjerovatnije će data centri koji žele da pružaju usluge subjektima KII morati da ispoštuju zahtjeve novog zakonodavstva.

Neće biti lako za centre podataka u kojima se nalaze vladini informacioni sistemi. Prema Uredbi Vlade Ruske Federacije od 11.05.2017. maja 555. br. XNUMX, prije puštanja GIS-a u komercijalni rad potrebno je riješiti pitanja sigurnosti informacija. A centar podataka koji želi da ugosti GIS prvo mora ispuniti regulatorne zahtjeve.

U proteklih 30 godina sigurnosni sistemi centara podataka prešli su dug put: od jednostavnih sistema fizičke zaštite i organizacionih mjera, koje, međutim, nisu izgubile na važnosti, do složenih inteligentnih sistema, koji sve više koriste elemente umjetne inteligencije. Ali suština pristupa se nije promijenila. Najsavremenije tehnologije vas neće spasiti bez organizacionih mjera i obuke kadrova, a papirologija vas neće spasiti bez softverskih i tehničkih rješenja. Sigurnost data centra ne može se osigurati jednom za svagda, to je stalni svakodnevni napor da se identifikuju prioritetne prijetnje i sveobuhvatno rješavaju problemi koji se pojavljuju.

Šta još možete pročitati na blogu? Cloud4Y

→ Postavljanje vrha u GNU/Linuxu
→ Pentesteri na čelu sajber sigurnosti
→ Put umjetne inteligencije od fantastične ideje do naučne industrije
→ 4 načina da uštedite na sigurnosnoj kopiji u oblaku
→ Mutt story

Pretplatite se na naše telegram-kanal da ne propustite sljedeći članak! Pišemo ne više od dva puta sedmično i samo poslovno. Također vas podsjećamo da možete besplatno testiranje cloud rješenja Cloud4Y.

izvor: www.habr.com