Questu hè u centru di surviglianza di u centru di dati NORD-2 situatu in Mosca
Avete lettu più di una volta nantu à quali misure sò pigliate per assicurà a sicurità di l'infurmazioni (IS). Qualchese specialista in IT chì si rispettu pò facilmente nome 5-10 regule di sicurità di l'infurmazioni. Cloud4Y prupone di parlà di a sicurità di l'infurmazioni di i centri di dati.
Quandu assicurendu a sicurità di l'infurmazioni di un centru di dati, l'uggetti più "protetti" sò:
- risorse d'infurmazione (dati);
- prucessi di cullizzioni, trasfurmazioni, almacenà è trasmette infurmazioni;
- l'utilizatori di u sistema è u persunale di mantenimentu;
- infrastruttura di l'infurmazioni, cumpresi i strumenti hardware è software per u processu, a trasmissione è a visualizazione di l'infurmazioni, cumpresi i canali di scambiu di l'infurmazioni, i sistemi di sicurezza di l'infurmazioni è i locali.
L'area di rispunsabilità di u centru di dati dipende da u mudellu di servizii furniti (IaaS/PaaS/SaaS). Cumu si vede, vede a stampa sottu:
U scopu di a pulitica di sicurità di u centru di dati secondu u mudellu di servizii furniti
A parte più impurtante di sviluppà una pulitica di sicurità di l'infurmazioni hè di custruisce un mudellu di minacce è violatori. Chì pò diventà una minaccia per un centru di dati?
- Avvenimenti avversi di natura naturali, artificiale è suciale
- Terroristi, elementi criminali, etc.
- Dipendenza da i fornitori, i fornitori, i partenarii, i clienti
- Fallimenti, fallimenti, distruzzioni, danni à u software è u hardware
- Impiegati di u centru di dati chì implementanu e minacce à a sicurità di l'infurmazioni utilizendu diritti è puteri legalmente cuncessi (violatori di a sicurezza interna di l'infurmazioni)
- Impiegati di u centru di dati chì implementanu minacce à a sicurità di l'infurmazioni fora di i diritti è i puteri legalmente cuncessi, è ancu entità chì ùn sò micca ligati à u persunale di u centru di dati, ma chì tentanu un accessu micca autorizatu è azioni micca autorizate (violatori di sicurezza di l'infurmazioni esterni)
- Non-cunformità cù i requisiti di l'autorità di surviglianza è regulatori, a legislazione attuale
L'analisi di risichi - identificà e minacce potenziali è valutà a scala di e cunsequenze di a so implementazione - aiuterà à selezziunà currettamente i travaglii prioritari chì i specialisti di sicurezza di l'infurmazioni di u centru di dati anu da risolve, è pianificà i bilanci per l'acquistu di hardware è software.
Assicurendu a sicurità hè un prucessu cuntinuu chì include e tappe di pianificazione, implementazione è operazione, monitoraghju, analisi è migliuramentu di u sistema di sicurità di l'infurmazioni. Per creà sistemi di gestione di a sicurità di l'infurmazioni, i cosiddetti "».
Una parte impurtante di e pulitiche di sicurità hè a distribuzione di roli è responsabilità di u persunale per a so implementazione. E pulitiche devenu esse continuamente riviste per riflette i cambiamenti in a legislazione, e novi minacce è e difese emergenti. È, sicuru, cumunicà i bisogni di sicurezza di l'infurmazioni à u persunale è furnisce furmazione.
Misure urganisazione
Certi sperti sò scettichi nantu à a sicurità di "paper", cunsiderendu a cosa principale per esse cumpetenze pratiche per resiste à i tentativi di pirate. A vera sperienza per assicurà a sicurità di l'infurmazioni in i banche suggerisce u cuntrariu. I spezialisti di sicurezza di l'infurmazioni ponu avè una sperienza eccellente in l'identificazione è a mitigazione di i risichi, ma se u persunale di u centru di dati ùn seguita micca e so struzzioni, tuttu serà in vain.
A sicurezza, in regula, ùn porta micca soldi, ma solu minimizza i risichi. Per quessa, hè spessu trattatu cum'è qualcosa disturbante è secundariu. È quandu i spezialisti di sicurità cumincianu à esse indignati (cù tutti i dritti di fà), i cunflitti spessu nascenu cù u persunale è i capi di dipartimenti operativi.
A prisenza di i normi di l'industria è i requisiti regulatori aiuta i prufessiunali di sicurezza à difende e so pusizioni in i negoziati cù a gestione, è e pulitiche di sicurezza di l'infurmazioni appruvati, i rigulamenti è i rigulamenti permettenu à u persunale di rispettà i requisiti stabiliti quì, furnisce a basa per e decisioni spessu impopulare.
Prutezzione di u locu
Quandu un centru di dati furnisce servizii cù u mudellu di colocazione, assicurendu a sicurità fisica è u cuntrollu di l'accessu à l'equipaggiu di u cliente vene in prima. Per questu scopu, chjusi (parti vallate di a sala) sò utilizati, chì sò sottu video surviglianza di u cliente è à quale l'accessu à u persunale di u centru di dati hè limitatu.
In i centri informatichi statali cù a sicurità fisica, e cose ùn eranu micca male à a fine di u seculu passatu. Ci era u cuntrollu di l'accessu, u cuntrollu di l'accessu à u locu, ancu senza computer è videocamere, un sistema d'extinzione di u focu - in casu d'incendiu, freon hè stata liberata automaticamente in a sala di a machina.
Oghje, a sicurità fisica hè assicurata ancu megliu. I sistemi di cuntrollu è gestione di l'accessu (ACS) sò diventati intelligenti, è i metudi biometrici di restrizzioni di l'accessu sò intrudutti.
I sistemi di estinzione di u focu sò diventati più sicuri per u persunale è l'equipaggiu, trà e quali ci sò installazioni per l'inibizione, l'isolamentu, u rinfrescante è l'effetti ipossichi nantu à a zona di u focu. Inseme cù i sistemi di prutezzione di u focu ubligatoriu, i centri di dati spessu usanu un sistema di deteczione di u focu precoce à aspirazione.
Per prutege i centri di dati da minacce esterne - incendi, splusioni, colapsu di strutture di custruzzione, inundazioni, gasi corrosivi - stanze di sicurezza è cassaforti cuminciaru à esse utilizati, in quale l'equipaggiu di u servitore hè prutettu da quasi tutti i fatturi dannusu esterni.
U ligame debule hè a persona
Sistemi di sorveglianza video "intelligente", sensori di seguimentu volumetricu (acustic, infrared, ultrasonic, microwave), sistemi di cuntrollu di l'accessu anu riduciutu i risichi, ma ùn anu micca risoltu tutti i prublemi. Sti mezi ùn aiuterà, per esempiu, quandu e persone chì eranu ammessi currettamente in u centru di dati cù l'arnesi curretti eranu "attaccati" à qualcosa. E, cum'è spessu succèri, un snag accidintali portà i prublemi massimi.
U travagliu di u centru di dati pò esse affettatu da l'abusu di i so risorse da u persunale, per esempiu, a minera illegale. I sistemi di gestione di l'infrastruttura di u centru di dati (DCIM) ponu aiutà in questi casi.
U persunale hà ancu bisognu di prutezzione, postu chì e persone sò spessu chjamati u ligame più vulnerabile in u sistema di prutezzione. L'attacchi mirati da i criminali prufessiunali cumincianu più spessu cù l'usu di metudi di ingegneria suciale. Spessu i sistemi più sicuri crash o sò cumprumessi dopu chì qualchissia hà clicatu / scaricatu / hà fattu qualcosa. Tali risichi ponu esse minimizzati da a furmazione di u persunale è l'implementazione di e migliori pratiche glubale in u campu di a sicurità di l'infurmazioni.
Prutezzione di l'infrastruttura ingegneria
I minacce tradiziunali à u funziunamentu di un centru di dati sò fallimenti di energia è fallimenti di i sistemi di rinfrescamentu. Avemu digià abituatu à tali minacce è avemu amparatu à trattà cun elli.
Una nova tendenza hè diventata l'intruduzione generalizata di l'equipaggiu "intelligenti" cunnessu à una reta: UPS cuntrullati, sistemi intelligenti di raffreddamentu è di ventilazione, diversi controller è sensori cunnessi à i sistemi di monitoraghju. Quandu si custruisce un mudellu di minaccia di u centru di dati, ùn deve micca scurdate di a probabilità di un attaccu à a reta di l'infrastruttura (è, possibbilmente, à a reta IT assuciata di u centru di dati). Cumplicà a situazione hè u fattu chì alcuni di l'equipaggiu (per esempiu, chillers) ponu esse spustati fora di u centru di dati, per dì, nantu à u tettu di un edifiziu affittu.
Prutezzione di i canali di cumunicazione
Se u centru di dati furnisce servizii micca solu secondu u mudellu di colocazione, allora avarà da trattà cù a prutezzione di nuvola. Sicondu Check Point, solu l'annu passatu, u 51% di l'urganisazioni in u mondu hà sperimentatu attacchi à e so strutture di nuvola. L'attacchi DDoS fermanu l'imprese, i virus di criptografia dumandanu un riscattu, l'attacchi mirati à i sistemi bancari portanu à u furtu di fondi da i cunti currispundenti.
I minacce di intrusioni esterne preoccupanu ancu i specialisti di sicurezza di l'infurmazioni di u centru di dati. I più rilevanti per i centri di dati sò attacchi distribuiti destinati à interrompe a prestazione di servizii, è ancu minacce di pirate, robba o mudificazione di dati cuntenuti in l'infrastruttura virtuale o sistemi di almacenamento.
Per prutege u perimetru esternu di u centru di dati, i sistemi muderni sò usati cù funzioni per identificà è neutralizà u codice maliziusu, u cuntrollu di l'applicazioni è a capacità di impurtà a tecnulugia di prutezzione proattiva Threat Intelligence. In certi casi, i sistemi cù funziunalità IPS (prevenzione d'intrusioni) sò implementati cù l'aghjustamentu automaticu di a firma stabilita à i paràmetri di l'ambiente prutettu.
Per pruteggiri contra l'attacchi DDoS, l'imprese russe, in regula, utilizanu servizii specializati esterni chì devianu u trafficu à altri nodi è filtranu in u nuvulu. A prutezzione di u latu di l'operatore hè assai più efficace ch'è di u latu di u cliente, è i centri di dati agisce cum'è intermediari per a vendita di servizii.
L'attacchi DDoS internu sò ancu pussibuli in i centri di dati: un attaccu penetra in i servitori debbuli protetti di una sucità chì ospitu u so equipamentu utilizendu un mudellu di colocazione, è da quì porta un attaccu di denegazione di serviziu à l'altri clienti di stu centru di dati via a reta interna. .
Focus in ambienti virtuali
Hè necessariu di piglià in contu e specificità di l'ughjettu prutettu - l'usu di l'utili di virtualizazione, a dinamica di cambiamenti in l'infrastrutture IT, l'interconnessione di i servizii, quandu un attaccu successu à un cliente pò minaccia a sicurità di i vicini. Per esempiu, pirate u docker di frontend mentre travaglia in un PaaS basatu in Kubernetes, un attaccu pò ottene immediatamente tutte l'infurmazioni di password è ancu accessu à u sistema di orchestrazione.
I prudutti furniti sottu u mudellu di serviziu anu un altu gradu d'automatizazione. Per ùn interferiscenu micca cù l'affari, e misure di sicurezza di l'infurmazioni devenu esse applicate à un gradu micca menu di automatizazione è scala horizontale. A scala deve esse assicurata à tutti i livelli di sicurità di l'infurmazioni, cumprese l'automatizazione di u cuntrollu di l'accessu è a rotazione di e chjave d'accessu. Un compitu speciale hè a scala di moduli funziunali chì inspeccione u trafficu di a rete.
Per esempiu, u filtru di u trafficu di a rete à l'applicazioni, a rete è i livelli di sessione in centri di dati altamente virtualizzati deve esse realizatu à u livellu di i moduli di rete di ipervisori (per esempiu, u Firewall Distributed di VMware) o creendu catene di serviziu (firewalls virtuali da Palo Alto Networks) .
Se ci sò debbuli à u livellu di virtualizazione di e risorse di l'informatica, i sforzi per creà un sistema di sicurezza di l'infurmazioni cumpletu à u livellu di a piattaforma seranu inefficace.
Livelli di prutezzione di l'infurmazioni in u centru di dati
L'approcciu generale per a prutezzione hè l'usu di sistemi di sicurezza d'informazioni integrati, multi-livellu, cumpresa a macro-segmentazione à u livellu di u firewall (allocazione di segmenti per diversi spazii funziunali di l'affari), a micro-segmentazione basatu nantu à firewall virtuali o tagging trafficu di gruppi. (roli d'utilizatori o servizii) definiti da e pulitiche d'accessu.
U prossimu livellu hè identificà anomalie in e trà i segmenti. A dinamica di u trafficu hè analizata, chì pò indicà a prisenza di attività maliziusi, cum'è scanning di rete, tentativi di attacchi DDoS, scaricamentu di dati, per esempiu, slicing files database and outputing them in periodically appearing sessions at long intervals. Enorme quantità di trafficu passanu per u centru di dati, cusì per identificà anomalie, avete bisognu di utilizà algoritmi di ricerca avanzati, è senza analisi di pacchetti. Hè impurtante chì micca solu i signali di attività maliciosa è anomala sò ricunnisciuti, ma ancu l'operazione di malware ancu in u trafficu criptatu senza decrypting, cum'è prupostu in Cisco suluzione (Stealthwatch).
L'ultima fruntiera hè a prutezzione di i dispositi finali di a reta lucale: servitori è macchine virtuali, per esempiu, cù l'aiutu di l'agenti installati nantu à i dispositi finali (macchine virtuali), chì analizanu l'operazioni I / O, eliminazioni, copie è attività di rete, trasmette dati à , induve i calculi chì necessitanu una grande putenza di calculu sò realizati. Là, l'analisi hè realizata cù l'algoritmi di Big Data, l'arburi logici di a macchina sò custruiti è l'anomali sò identificati. L'algoritmi sò auto-apprendimentu basatu annantu à una quantità enorme di dati furniti da una rete globale di sensori.
Pudete fà senza installà agenti. L'arnesi muderni di sicurità di l'infurmazioni devenu esse senza agenti è integrati in i sistemi operativi à u livellu di ipervisore.
E misure elencate reducenu significativamente i risichi per a sicurità di l'infurmazioni, ma questu pò esse micca abbastanza per i centri di dati chì furnisce l'automatizazione di i prucessi di produzzione d'altu risicu, per esempiu, e centrali nucleari.
Requisiti regulatori
Sicondu l'infurmazioni chì sò trattati, l'infrastrutture fisiche è virtualizzate di u centru di dati devenu risponde à e diverse esigenze di sicurezza stabilite in e lege è i normi di l'industria.
Tali liggi includenu a lege "Da Dati Personali" (152-FZ) è a lege "In a Sicurezza di l'Installazioni KII di a Federazione Russa" (187-FZ), chì hè entrata in vigore quist'annu - l'Uffiziu di u Procuratore hè digià interessatu. in u prugressu di a so implementazione. I disputi nantu à se i centri di dati appartenenu à i sughjetti CII sò sempre in corso, ma assai prubabilmente, i centri di dati chì vulianu furnisce servizii à i sughjetti CII anu da rispettà i requisiti di a nova legislazione.
Ùn serà micca faciule per i centri di dati chì ospitanu sistemi d'infurmazione di u guvernu. Sicondu u Decretu di u Guvernu di a Federazione Russa di u 11.05.2017 di maghju 555 N ° XNUMX, i prublemi di sicurità di l'infurmazioni devenu esse risolti prima di mette u GIS in operazione cummerciale. È un centru di dati chì vole accoglie un GIS deve prima risponde à i requisiti regulatori.
In l'ultimi 30 anni, i sistemi di sicurezza di u centru di dati anu fattu una longa strada: da simplici sistemi di prutezzione fisica è misure urganisazione, chì, però, ùn anu micca persu a so rilevanza, à sistemi intelligenti cumplessi, chì utilizanu sempre più elementi di intelligenza artificiale. Ma l'essenza di l'approcciu ùn hè micca cambiatu. I tecnulugii più muderni ùn vi salvà micca senza misure urganisazione è furmazione di u persunale, è i documenti ùn vi salveranu micca senza software è soluzioni tecniche. A sicurità di u centru di dati ùn pò esse assicurata una volta per tutte; hè un sforzu cuntinuu di ogni ghjornu per identificà e minacce prioritarie è risolve in modu cumpletu i prublemi emergenti.
Chì altru pudete leghje nantu à u blog?
→
→
→
→
→
Abbonate à u nostru -channel cusì ùn vi manca u prossimu articulu! Scrivemu micca più di duie volte à settimana è solu nantu à l'affari. Vi ricurdemu ancu chì pudete soluzioni cloud Cloud4Y.
Source: www.habr.com