Kini ang hitsura sa sentro sa pag-monitor sa sentro sa datos sa NORD-2 nga nahimutang sa Moscow
Nakabasa ka labaw sa usa ka higayon bahin sa kung unsang mga lakang ang gihimo aron masiguro ang kasiguruhan sa kasayuran (IS). Ang bisan kinsa nga nagtahod sa kaugalingon nga espesyalista sa IT dali nga makangalan sa 5-10 nga mga lagda sa seguridad sa kasayuran. Nagtanyag ang Cloud4Y nga maghisgot bahin sa seguridad sa kasayuran sa mga sentro sa datos.
Kung gisiguro ang seguridad sa kasayuran sa usa ka sentro sa datos, ang labing "gipanalipdan" nga mga butang mao ang:
- mga kapanguhaan sa impormasyon (data);
- mga proseso sa pagkolekta, pagproseso, pagtipig ug pagpadala sa impormasyon;
- tiggamit sa sistema ug mga kawani sa pagmentinar;
- imprastraktura sa impormasyon, lakip ang hardware ug software nga mga himan alang sa pagproseso, pagpadala ug pagpakita sa impormasyon, lakip na ang mga channel sa pagbayloay sa impormasyon, mga sistema sa seguridad sa impormasyon ug mga lugar.
Ang lugar sa responsibilidad sa data center nagdepende sa modelo sa mga serbisyo nga gihatag (IaaS / PaaS / SaaS). Unsa ang hitsura niini, tan-awa ang litrato sa ubos:
Ang sakup sa palisiya sa seguridad sa data center depende sa modelo sa mga serbisyo nga gihatag
Ang labing importante nga bahin sa pagpalambo sa usa ka polisiya sa seguridad sa impormasyon mao ang pagtukod og usa ka modelo sa mga hulga ug mga malapason. Unsa ang mahimong usa ka hulga sa usa ka sentro sa datos?
- Dili maayo nga mga panghitabo sa natural, hinimo sa tawo ug sosyal nga kinaiyahan
- Mga terorista, kriminal nga elemento, ug uban pa.
- Pagsalig sa mga suppliers, providers, partners, kliyente
- Mga kapakyasan, kapakyasan, pagkaguba, kadaot sa software ug hardware
- Ang mga empleyado sa data center nga nagpatuman sa mga hulga sa seguridad sa impormasyon gamit ang legal nga gihatag nga mga katungod ug gahum (mga malapason sa seguridad sa impormasyon sa sulod)
- Ang mga empleyado sa data center nga nagpatuman sa mga hulga sa seguridad sa impormasyon sa gawas sa legal nga gihatag nga mga katungod ug gahum, ingon man ang mga entidad nga wala'y kalabutan sa mga kawani sa data center, apan misulay sa dili awtorisado nga pag-access ug dili awtorisado nga mga aksyon (mga naglapas sa seguridad sa gawas sa impormasyon)
- Ang dili pagsunod sa mga kinahanglanon sa mga awtoridad sa superbisor ug regulasyon, karon nga lehislasyon
Risk analysis - pag-ila sa mga potensyal nga mga hulga ug pagtimbang-timbang sa gidak-on sa mga sangputanan sa ilang pagpatuman - makatabang sa husto nga pagpili sa mga prayoridad nga mga buluhaton nga data center impormasyon sa seguridad espesyalista kinahanglan nga sulbaron, ug pagplano sa mga badyet alang sa pagpalit sa hardware ug software.
Ang pagsiguro sa seguridad usa ka padayon nga proseso nga naglakip sa mga yugto sa pagplano, pagpatuman ug operasyon, pag-monitor, pagtuki ug pagpaayo sa sistema sa seguridad sa impormasyon. Sa paghimo sa mga sistema sa pagdumala sa seguridad sa impormasyon, ang gitawag nga "".
Usa ka importante nga bahin sa mga polisiya sa seguridad mao ang pag-apod-apod sa mga tahas ug mga responsibilidad sa mga personahe alang sa ilang pagpatuman. Ang mga palisiya kinahanglan nga padayon nga susihon aron mapakita ang mga pagbag-o sa lehislasyon, bag-ong mga hulga, ug nag-uswag nga mga depensa. Ug, siyempre, ipahibalo ang mga kinahanglanon sa seguridad sa kasayuran sa mga kawani ug paghatag pagbansay.
Organisasyonal nga mga lakang
Ang pipila ka mga eksperto nagduhaduha bahin sa "papel" nga seguridad, nga gikonsiderar nga ang panguna nga butang mao ang praktikal nga kahanas sa pagsukol sa mga pagsulay sa pag-hack. Ang tinuod nga kasinatian sa pagsiguro sa seguridad sa impormasyon sa mga bangko nagsugyot sa kaatbang. Ang mga espesyalista sa seguridad sa impormasyon mahimong adunay maayo kaayo nga kahanas sa pag-ila ug pagpagaan sa mga risgo, apan kung ang mga kawani sa data center dili mosunod sa ilang mga instruksyon, ang tanan mahimong kawang.
Ang seguridad, ingon nga usa ka lagda, wala magdala og salapi, apan makapamenos lamang sa mga risgo. Busa, kini sagad nga giisip nga usa ka butang nga makatugaw ug ikaduha. Ug kung ang mga espesyalista sa seguridad magsugod nga masuko (uban ang matag katungod sa pagbuhat sa ingon), ang mga panagbangi kanunay nga motungha sa mga kawani ug mga pinuno sa mga departamento sa operasyon.
Ang presensya sa mga sukdanan sa industriya ug mga kinahanglanon sa regulasyon makatabang sa mga propesyonal sa seguridad sa pagpanalipod sa ilang mga posisyon sa negosasyon sa pagdumala, ug ang giaprobahan nga mga palisiya sa seguridad sa impormasyon, mga regulasyon ug mga regulasyon nagtugot sa mga kawani sa pagtuman sa mga kinahanglanon nga gilatid didto, nga naghatag og basehan alang sa kanunay nga dili popular nga mga desisyon.
Proteksyon sa lugar
Kung ang usa ka sentro sa datos naghatag mga serbisyo gamit ang modelo sa colocation, pagsiguro nga ang pisikal nga seguridad ug kontrol sa pag-access sa kagamitan sa kliyente moabut sa unahan. Alang niini nga katuyoan, gigamit ang mga enclosure (mga bahin sa koral sa hawanan), nga naa sa ilawom sa video surveillance sa kliyente ug kung diin limitado ang pag-access sa mga kawani sa data center.
Sa mga sentro sa kompyuter sa estado nga adunay pisikal nga seguridad, ang mga butang dili daotan sa katapusan sa miaging siglo. Adunay kontrol sa pag-access, pagkontrol sa pag-access sa lugar, bisan kung wala ang mga kompyuter ug mga video camera, usa ka sistema sa pagpalong sa kalayo - kung adunay sunog, ang freon awtomatiko nga gipagawas sa kwarto sa makina.
Karong panahona, ang pisikal nga seguridad gisiguro nga labi ka maayo. Ang mga sistema sa pagkontrol ug pagdumala sa pag-access (ACS) nahimong intelihente, ug ang mga biometric nga pamaagi sa pagpugong sa pag-access gipaila.
Ang mga sistema sa pagpalong sa sunog nahimong mas luwas alang sa mga personahe ug kagamitan, lakip niini ang mga instalasyon alang sa pagpugong, pag-inusara, pagpabugnaw ug hypoxic nga mga epekto sa fire zone. Uban sa mandatory nga mga sistema sa pagpanalipod sa sunog, ang mga sentro sa datos kanunay nga naggamit sa usa ka tipo sa aspirasyon nga sayo nga sistema sa pag-ila sa sunog.
Aron mapanalipdan ang mga sentro sa datos gikan sa mga hulga sa gawas - mga sunog, pagbuto, pagkahugno sa mga istruktura sa pagtukod, pagbaha, mga makadaot nga gas - mga lawak sa seguridad ug mga luwas nga gigamit, diin ang kagamitan sa server gipanalipdan gikan sa hapit tanan nga makadaot nga mga hinungdan sa gawas.
Ang huyang nga sumpay mao ang tawo
Ang "Smart" nga mga sistema sa pagbantay sa video, mga sensor sa pagsubay sa volumetric (acoustic, infrared, ultrasonic, microwave), mga sistema sa pagkontrol sa pag-access nagpamenos sa mga peligro, apan wala masulbad ang tanan nga mga problema. Kini nga mga paagi dili makatabang, pananglitan, kung ang mga tawo nga husto nga gi-admit sa data center nga adunay husto nga mga himan "nagabit" sa usa ka butang. Ug, sama sa kanunay nga mahitabo, ang usa ka aksidente nga snag magdala sa labing kadaghan nga mga problema.
Ang trabaho sa data center mahimong maapektuhan sa sayop nga paggamit sa mga kahinguhaan niini sa mga personahe, pananglitan, ilegal nga pagmina. Ang mga sistema sa pagdumala sa imprastraktura sa sentro sa datos (DCIM) makatabang sa kini nga mga kaso.
Ang mga kawani nanginahanglan usab og proteksyon, tungod kay ang mga tawo kanunay nga gitawag nga labing huyang nga link sa sistema sa pagpanalipod. Ang gipunting nga mga pag-atake sa mga propesyonal nga mga kriminal kasagaran nagsugod sa paggamit sa mga pamaagi sa social engineering. Kasagaran ang labing luwas nga mga sistema nag-crash o nakompromiso pagkahuman sa usa ka tawo nga nag-klik / nag-download / nakahimo usa ka butang. Ang ingon nga mga risgo mahimong maminusan pinaagi sa pagbansay sa mga kawani ug pagpatuman sa labing kaayo nga mga gawi sa kalibutan sa natad sa kasiguruhan sa kasayuran.
Proteksyon sa imprastraktura sa engineering
Ang tradisyonal nga mga hulga sa pag-andar sa usa ka sentro sa datos mao ang pagkapakyas sa kuryente ug pagkapakyas sa mga sistema sa pagpabugnaw. Naanad na kami sa maong mga hulga ug nakakat-on na sa pag-atubang niini.
Ang usa ka bag-ong uso nahimong kaylap nga pagpaila sa "smart" nga kagamitan nga konektado sa usa ka network: kontrolado nga mga UPS, intelihenteng mga sistema sa pagpabugnaw ug bentilasyon, lainlaing mga controller ug mga sensor nga konektado sa mga sistema sa pag-monitor. Kung nagtukod usa ka modelo sa hulga sa data center, dili nimo kinahanglan kalimtan ang bahin sa posibilidad sa usa ka pag-atake sa network sa imprastraktura (ug, posible, sa kauban nga IT network sa data center). Ang makapakomplikado sa sitwasyon mao ang kamatuoran nga ang pipila sa mga ekipo (pananglitan, mga chiller) mahimong ibalhin sa gawas sa data center, ingnon ta, ngadto sa atop sa usa ka giabangan nga bilding.
Pagpanalipod sa mga channel sa komunikasyon
Kung ang data center naghatag mga serbisyo dili lamang sumala sa modelo sa colocation, nan kinahanglan nga atubangon ang proteksyon sa panganod. Sumala sa Check Point, sa miaging tuig lamang, 51% sa mga organisasyon sa tibuok kalibutan nakasinati og mga pag-atake sa ilang mga cloud structure. Ang mga pag-atake sa DDoS nagpahunong sa mga negosyo, ang mga virus sa pag-encrypt nangayo og lukat, ang gipunting nga mga pag-atake sa mga sistema sa pagbabangko nagdala sa pagpangawat sa mga pondo gikan sa mga account sa koresponden.
Ang mga hulga sa mga eksternal nga pagsulod nabalaka usab sa mga espesyalista sa seguridad sa impormasyon sa data center. Ang labing may kalabutan alang sa mga sentro sa datos mao ang gipang-apod-apod nga mga pag-atake nga nagtumong sa paghunong sa paghatag sa mga serbisyo, ingon man mga hulga sa pag-hack, pagpangawat o pagbag-o sa datos nga naa sa virtual nga imprastraktura o mga sistema sa pagtipig.
Aron mapanalipdan ang gawas nga perimeter sa sentro sa datos, ang mga modernong sistema gigamit nga adunay mga gimbuhaton alang sa pag-ila ug pag-neutralize sa malisyosong code, pagkontrol sa aplikasyon ug ang abilidad sa pag-import sa Threat Intelligence proactive protection technology. Sa pipila ka mga kaso, ang mga sistema nga adunay pag-andar sa IPS (intrusion prevention) gipakatap nga adunay awtomatik nga pag-adjust sa pirma nga gitakda sa mga parameter sa gipanalipdan nga palibot.
Aron mapanalipdan batok sa mga pag-atake sa DDoS, ang mga kompanya sa Russia, ingon nga usa ka lagda, naggamit sa mga espesyal nga serbisyo sa gawas nga nagbalhin sa trapiko sa ubang mga node ug nagsala niini sa panganod. Ang pagpanalipod sa bahin sa operator labi ka epektibo kaysa sa bahin sa kliyente, ug ang mga sentro sa datos molihok ingon mga tigpataliwala alang sa pagbaligya sa mga serbisyo.
Posible usab ang mga internal nga pag-atake sa DDoS sa mga sentro sa datos: ang usa ka tig-atake nakasulod sa huyang nga giprotektahan nga mga server sa usa ka kompanya nga nag-host sa mga kagamitan niini gamit ang usa ka modelo sa colocation, ug gikan didto nagdala usa ka pag-atake sa pagdumili sa serbisyo sa ubang mga kliyente sa kini nga sentro sa datos pinaagi sa internal nga network. .
Pag-focus sa mga virtual nga palibot
Kinahanglan nga tagdon ang mga detalye sa giprotektahan nga butang - ang paggamit sa mga gamit sa virtualization, ang dinamika sa mga pagbag-o sa mga imprastraktura sa IT, ang pagkadugtong sa mga serbisyo, kung ang usa ka malampuson nga pag-atake sa usa ka kliyente mahimong makahulga sa seguridad sa mga silingan. Pananglitan, pinaagi sa pag-hack sa frontend docker samtang nagtrabaho sa usa ka PaaS nga nakabase sa Kubernetes, ang usa ka tig-atake makakuha dayon sa tanang impormasyon sa password ug bisan sa pag-access sa sistema sa orkestrasyon.
Ang mga produkto nga gihatag sa ilawom sa modelo sa serbisyo adunay taas nga lebel sa automation. Aron dili makabalda sa negosyo, ang mga lakang sa seguridad sa impormasyon kinahanglan nga i-apply sa dili kaayo lebel sa automation ug horizontal scaling. Kinahanglan nga masiguro ang pag-scale sa tanan nga lebel sa seguridad sa kasayuran, lakip ang automation sa kontrol sa pag-access ug pag-rotate sa mga yawe sa pag-access. Ang usa ka espesyal nga buluhaton mao ang pag-scale sa mga functional modules nga nagsusi sa trapiko sa network.
Pananglitan, ang pagsala sa trapiko sa network sa aplikasyon, network ug lebel sa sesyon sa mga virtualized nga data center kinahanglan nga himuon sa lebel sa hypervisor network modules (pananglitan, VMware's Distributed Firewall) o pinaagi sa paghimo sa mga kadena sa serbisyo (virtual firewall gikan sa Palo Alto Networks) .
Kung adunay mga kahuyang sa lebel sa virtualization sa mga kapanguhaan sa pag-compute, ang mga paningkamot sa paghimo og usa ka komprehensibo nga sistema sa seguridad sa impormasyon sa lebel sa plataporma dili epektibo.
Mga lebel sa pagpanalipod sa impormasyon sa data center
Ang kinatibuk-ang pamaagi sa pagpanalipod mao ang paggamit sa integrated, multi-level information security systems, lakip na ang macro-segmentation sa firewall level (alokasyon sa mga bahin alang sa nagkalain-laing functional nga mga lugar sa negosyo), micro-segmentation base sa virtual firewalls o pag-tag sa trapiko sa mga grupo. (mga tahas o serbisyo sa tiggamit) gihubit sa mga palisiya sa pag-access.
Ang sunod nga lebel mao ang pag-ila sa mga anomaliya sa sulod ug taliwala sa mga bahin. Ang dynamics sa trapiko gi-analisa, nga mahimong magpakita sa presensya sa malisyosong mga kalihokan, sama sa pag-scan sa network, mga pagsulay sa pag-atake sa DDoS, pag-download sa datos, pananglitan, pinaagi sa paghiwa sa mga file sa database ug pag-output niini sa matag karon ug unya nga pagpakita sa mga sesyon sa taas nga mga agwat. Daghang gidaghanon sa trapiko ang moagi sa sentro sa datos, mao nga aron mahibal-an ang mga anomaliya, kinahanglan nimo nga mogamit mga advanced nga algorithm sa pagpangita, ug wala’y pagtuki sa pakete. Mahinungdanon nga dili lamang mga timailhan sa malisyoso ug anomaliya nga kalihokan ang giila, apan usab ang operasyon sa malware bisan sa naka-encrypt nga trapiko nga wala kini gi-decrypt, sama sa gisugyot sa mga solusyon sa Cisco (Stealthwatch).
Ang katapusan nga utlanan mao ang pagpanalipod sa mga end device sa lokal nga network: mga server ug virtual machine, pananglitan, sa tabang sa mga ahente nga gi-install sa mga end device (virtual machine), nga nag-analisar sa mga operasyon sa I/O, pagtangtang, mga kopya ug mga kalihokan sa network, ipadala ang data sa , diin ang mga kalkulasyon nga nanginahanglan daghang gahum sa pag-compute gihimo. Didto, gihimo ang pag-analisar gamit ang mga algorithm sa Big Data, gitukod ang mga punoan sa logic sa makina ug nahibal-an ang mga anomaliya. Ang mga algorithm mao ang pagkat-on sa kaugalingon base sa daghang datos nga gihatag sa usa ka global nga network sa mga sensor.
Mahimo nimo nga wala mag-install sa mga ahente. Ang modernong mga himan sa seguridad sa impormasyon kinahanglan nga walay ahente ug gisagol sa mga operating system sa lebel sa hypervisor.
Ang nalista nga mga lakang makapakunhod pag-ayo sa mga risgo sa seguridad sa impormasyon, apan kini mahimong dili igo alang sa mga sentro sa datos nga naghatag og automation sa mga proseso sa produksyon nga adunay taas nga risgo, pananglitan, mga nuclear power plant.
Mga kinahanglanon sa regulasyon
Depende sa impormasyon nga giproseso, ang pisikal ug virtualized nga mga imprastraktura sa data center kinahanglan magtagbo sa lain-laing mga kinahanglanon sa seguridad nga gilatid sa mga balaod ug mga sumbanan sa industriya.
Ang ingon nga mga balaod naglakip sa balaod nga "Sa Personal nga Data" (152-FZ) ug ang balaod nga "Sa Seguridad sa KII Pasilidad sa Russian Federation" (187-FZ), nga gipatuman karong tuiga - ang opisina sa piskal nahimong interesado na. sa pag-uswag sa pagpatuman niini. Ang mga panaglalis bahin sa kung ang mga sentro sa datos nahisakop sa mga sakop sa CII nagpadayon pa, apan lagmit, ang mga sentro sa datos nga gusto maghatag serbisyo sa mga sakop sa CII kinahanglan nga motuman sa mga kinahanglanon sa bag-ong balaod.
Dili kini sayon alang sa mga sentro sa datos nga nag-host sa mga sistema sa impormasyon sa gobyerno. Sumala sa Dekreto sa Gobyerno sa Russian Federation nga gipetsahan sa Mayo 11.05.2017, 555 No. XNUMX, ang mga isyu sa seguridad sa impormasyon kinahanglan nga masulbad sa dili pa ibutang ang GIS sa komersyal nga operasyon. Ug ang usa ka sentro sa datos nga gusto mag-host sa usa ka GIS kinahanglan una nga makab-ot ang mga kinahanglanon sa regulasyon.
Sulod sa milabay nga 30 ka tuig, ang mga sistema sa seguridad sa data center miabut sa usa ka taas nga paagi: gikan sa yano nga pisikal nga proteksyon nga mga sistema ug organisasyonal nga mga lakang, nga, bisan pa niana, wala mawad-an sa ilang kalabutan, ngadto sa komplikado intelihenteng mga sistema, nga mas naggamit sa mga elemento sa artipisyal nga paniktik. Apan ang diwa sa pamaagi wala mausab. Ang pinakabag-o nga mga teknolohiya dili makaluwas kanimo kung wala ang mga lakang sa organisasyon ug pagbansay sa kawani, ug ang mga papeles dili makaluwas kanimo kung wala ang software ug teknikal nga mga solusyon. Ang seguridad sa data center dili masiguro sa makausa ug alang sa tanan; kini usa ka makanunayon nga adlaw-adlaw nga paningkamot sa pag-ila sa mga prayoridad nga hulga ug komprehensibo nga pagsulbad sa mga mitumaw nga mga problema.
Unsa pa ang imong mabasa sa blog?
→
→
→
→
→
Subscribe sa among -channel aron dili nimo masipyat ang sunod nga artikulo! Nagsulat kami dili molapas sa kaduha sa usa ka semana ug sa negosyo lamang. Gipahinumdoman ka usab namo nga mahimo nimo mga solusyon sa panganod Cloud4Y.
Source: www.habr.com