ProHoster > Blog > podávání > Informační bezpečnost datového centra

Informační bezpečnost datového centra

Informační bezpečnost datového centra
Tak vypadá monitorovací centrum datového centra NORD-2 umístěné v Moskvě

O tom, jaká opatření jsou přijímána k zajištění informační bezpečnosti (IS), jste četli již nejednou. Každý sebevědomý IT specialista může snadno vyjmenovat 5-10 pravidel informační bezpečnosti. Cloud4Y nabízí mluvit o informační bezpečnosti datových center.

Při zajišťování informační bezpečnosti datového centra jsou nejvíce „chráněnými“ objekty:

  • informační zdroje (data);
  • procesy shromažďování, zpracování, ukládání a přenosu informací;
  • uživatelé systému a pracovníci údržby;
  • informační infrastruktura, včetně hardwarových a softwarových nástrojů pro zpracování, přenos a zobrazování informací, včetně kanálů pro výměnu informací, informačních bezpečnostních systémů a prostor.

Oblast odpovědnosti datového centra závisí na modelu poskytovaných služeb (IaaS/PaaS/SaaS). Jak to vypadá, viz obrázek níže:

Informační bezpečnost datového centra
Rozsah bezpečnostní politiky datového centra v závislosti na modelu poskytovaných služeb

Nejdůležitější součástí rozvoje politiky informační bezpečnosti je vytvoření modelu hrozeb a narušitelů. Co se může stát hrozbou pro datové centrum?

  1. Nežádoucí události přírodní, člověkem způsobené a společenské povahy
  2. Teroristé, kriminální živly atd.
  3. Závislost na dodavatelích, poskytovatelích, partnerech, klientech
  4. Selhání, poruchy, zničení, poškození softwaru a hardwaru
  5. Zaměstnanci datových center implementující hrozby informační bezpečnosti s využitím práv a pravomocí udělených zákonem (interní porušovatelé informační bezpečnosti)
  6. Zaměstnanci datového centra, kteří implementují hrozby informační bezpečnosti mimo zákonem udělená práva a pravomoci, a dále subjekty, které nesouvisejí s personálem datového centra, ale pokoušejí se o neoprávněný přístup a neoprávněné akce (externí narušitelé informační bezpečnosti)
  7. Nesoulad s požadavky dozorových a regulačních orgánů, platné legislativy

Analýza rizik – identifikace potenciálních hrozeb a posouzení rozsahu důsledků jejich implementace – pomůže správně vybrat prioritní úkoly, které musí řešit specialisté na informační bezpečnost datových center, a naplánovat rozpočty na nákup hardwaru a softwaru.

Zajištění bezpečnosti je nepřetržitý proces, který zahrnuje fáze plánování, implementace a provozu, monitorování, analýzy a zlepšování systému informační bezpečnosti. Pro vytvoření systémů řízení bezpečnosti informací, tzv.Demingův cyklus".

Důležitou součástí bezpečnostních politik je rozdělení rolí a odpovědností personálu za jejich implementaci. Politiky by měly být neustále revidovány, aby odrážely změny v legislativě, nové hrozby a vznikající obranu. A samozřejmě sdělovat zaměstnancům požadavky na bezpečnost informací a poskytovat školení.

Organizační zajištění

Někteří odborníci jsou skeptičtí ohledně „papírové“ bezpečnosti, přičemž za hlavní věc považují praktické dovednosti, jak odolat pokusům o hackerské útoky. Reálné zkušenosti se zajišťováním informační bezpečnosti v bankách svědčí o opaku. Specialisté na informační bezpečnost mohou mít vynikající odborné znalosti v identifikaci a zmírňování rizik, ale pokud se personál datového centra nebude řídit jejich pokyny, bude vše marné.

Bezpečnost zpravidla nepřináší peníze, ale pouze minimalizuje rizika. Proto se s ním často zachází jako s něčím znepokojivým a druhotným. A když bezpečnostní specialisté začnou být rozhořčeni (s plným právem), často dochází ke konfliktům se zaměstnanci a vedoucími provozních oddělení.

Přítomnost oborových standardů a regulačních požadavků pomáhá bezpečnostním profesionálům obhajovat jejich pozice při vyjednávání s vedením a schválené zásady, předpisy a nařízení v oblasti informační bezpečnosti umožňují zaměstnancům dodržovat tam stanovené požadavky a poskytují základ pro často nepopulární rozhodnutí.

Ochrana areálu

Když datové centrum poskytuje služby využívající kolokační model, do popředí se dostává zajištění fyzické bezpečnosti a řízení přístupu k zařízení klienta. K tomuto účelu slouží výběhy (oplocené části haly), které jsou pod kamerovým dohledem klienta a do kterých je omezen přístup personálu datového centra.

Ve státních počítačových centrech s fyzickou ostrahou to na konci minulého století nebylo špatné. Nechyběla kontrola vstupu, kontrola vstupu do areálu i bez počítačů a videokamer, hasicí systém - v případě požáru byl freon automaticky vypuštěn do strojovny.

V dnešní době je fyzická bezpečnost zajištěna ještě lépe. Systémy kontroly a řízení přístupu (ACS) se staly inteligentními a zavádějí se biometrické metody omezení přístupu.

Hasicí systémy se staly bezpečnějšími pro personál a vybavení, mezi něž patří zařízení pro inhibici, izolaci, chlazení a hypoxické účinky na požární zónu. Spolu s povinnými systémy požární ochrany datová centra často používají systém včasné detekce požáru aspiračního typu.

K ochraně datových center před vnějšími hrozbami – požáry, výbuchy, kolapsem stavebních konstrukcí, záplavami, korozivními plyny – se začaly používat bezpečnostní místnosti a trezory, ve kterých je serverová zařízení chráněna téměř před všemi vnějšími škodlivými faktory.

Slabým článkem je člověk

„Inteligentní“ video monitorovací systémy, volumetrické sledovací senzory (akustické, infračervené, ultrazvukové, mikrovlnné), systémy kontroly přístupu snížily rizika, ale nevyřešily všechny problémy. Tyto prostředky nepomohou například v případě, kdy lidé, kteří byli správně přijati do datového centra se správnými nástroji, byli na něco „připnuti“. A jak se často stává, náhodný zádrhel přinese maximální problémy.

Práce datového centra může být ovlivněna zneužitím jeho zdrojů personálem, například nelegální těžbou. V těchto případech mohou pomoci systémy pro správu infrastruktury datových center (DCIM).

Personál také vyžaduje ochranu, protože lidé jsou často nazýváni nejzranitelnějším článkem v systému ochrany. Cílené útoky profesionálních zločinců nejčastěji začínají s využitím metod sociálního inženýrství. Nejbezpečnější systémy často havarují nebo jsou kompromitovány poté, co někdo na něco klikl/stáhl/udělal. Taková rizika lze minimalizovat školením personálu a zaváděním globálních osvědčených postupů v oblasti informační bezpečnosti.

Ochrana inženýrské infrastruktury

Tradiční hrozbou pro fungování datového centra jsou výpadky napájení a poruchy chladicích systémů. Na takové hrozby jsme si již zvykli a naučili se s nimi vypořádat.

Novým trendem se stalo plošné zavádění „chytrých“ zařízení připojených k síti: řízené UPS, inteligentní chladicí a ventilační systémy, různé ovladače a senzory připojené k monitorovacím systémům. Při budování modelu ohrožení datového centra byste neměli zapomínat na pravděpodobnost útoku na infrastrukturní síť (a případně na přidruženou IT síť datového centra). Situaci komplikuje fakt, že některá zařízení (například chillery) lze přesunout mimo datové centrum, řekněme na střechu pronajaté budovy.

Ochrana komunikačních kanálů

Pokud datové centrum poskytuje služby nejen podle kolokačního modelu, pak se bude muset vypořádat s cloudovou ochranou. Podle Check Pointu jen v loňském roce zaznamenalo 51 % organizací po celém světě útoky na své cloudové struktury. DDoS útoky zastavují podniky, šifrovací viry požadují výkupné, cílené útoky na bankovní systémy vedou ke krádežím prostředků z korespondenčních účtů.

Hrozby externích průniků znepokojují i ​​specialisty na informační bezpečnost datových center. Pro datová centra jsou nejrelevantnější distribuované útoky zaměřené na přerušení poskytování služeb a také hrozby hackingu, krádeže nebo úpravy dat obsažených ve virtuální infrastruktuře nebo úložných systémech.

K ochraně vnějšího perimetru datového centra se používají moderní systémy s funkcemi pro identifikaci a neutralizaci škodlivého kódu, kontrolu aplikací a možnost importovat technologii proaktivní ochrany Threat Intelligence. V některých případech jsou nasazeny systémy s funkcionalitou IPS (prevence narušení) s automatickým přizpůsobením sady signatur parametrům chráněného prostředí.

K ochraně před útoky DDoS ruské společnosti zpravidla používají externí specializované služby, které odvádějí provoz na jiné uzly a filtrují jej v cloudu. Ochrana na straně operátora je mnohem efektivnější než na straně klienta a datová centra fungují jako zprostředkovatelé prodeje služeb.

Interní útoky DDoS jsou možné i v datových centrech: útočník pronikne na slabě chráněné servery jedné společnosti, která hostuje její zařízení pomocí kolokačního modelu, a odtud provede útok typu denial of service na další klienty tohoto datového centra prostřednictvím interní sítě. .

Zaměřte se na virtuální prostředí

Je nutné zohlednit specifika chráněného objektu – využití virtualizačních nástrojů, dynamiku změn IT infrastruktur, provázanost služeb, kdy úspěšný útok na jednoho klienta může ohrozit bezpečnost sousedů. Například hacknutím frontend dockeru při práci v PaaS založeném na Kubernetes může útočník okamžitě získat všechny informace o hesle a dokonce i přístup k orchestračnímu systému.

Produkty poskytované v rámci servisního modelu mají vysoký stupeň automatizace. Aby nedošlo k zasahování do podnikání, musí být opatření informační bezpečnosti aplikována na neméně stupeň automatizace a horizontálního škálování. Škálování by mělo být zajištěno na všech úrovních zabezpečení informací, včetně automatizace řízení přístupu a rotace přístupových klíčů. Speciálním úkolem je škálování funkčních modulů, které kontrolují síťový provoz.

Například filtrování síťového provozu na úrovni aplikací, sítě a relací ve vysoce virtualizovaných datových centrech by mělo být prováděno na úrovni síťových modulů hypervizoru (například Distributed Firewall od VMware) nebo vytvořením servisních řetězců (virtuální firewally od Palo Alto Networks) .

Pokud existují slabá místa na úrovni virtualizace výpočetních zdrojů, snahy o vytvoření komplexního systému zabezpečení informací na úrovni platformy budou neúčinné.

Úrovně ochrany informací v datovém centru

Obecným přístupem k ochraně je využití integrovaných, víceúrovňových systémů informační bezpečnosti, včetně makrosegmentace na úrovni firewallu (přidělování segmentů pro různé funkční oblasti podnikání), mikrosegmentace založené na virtuálních firewallech nebo tagování provozu skupin (uživatelské role nebo služby) definované politikami přístupu .

Další úrovní je identifikace anomálií v rámci segmentů a mezi nimi. Je analyzována dynamika provozu, která může naznačovat přítomnost škodlivých aktivit, jako je skenování sítě, pokusy o DDoS útoky, stahování dat, například rozřezáváním databázových souborů a jejich výstupem v periodicky se objevujících relacích v dlouhých intervalech. Datovým centrem prochází obrovské množství provozu, takže k identifikaci anomálií musíte použít pokročilé vyhledávací algoritmy a bez analýzy paketů. Je důležité, aby byly rozpoznány nejen známky škodlivé a anomální aktivity, ale také působení malwaru i v šifrovaném provozu bez jeho dešifrování, jak je navrhováno v řešeních Cisco (Stealthwatch).

Poslední hranicí je ochrana koncových zařízení lokální sítě: serverů a virtuálních strojů, například pomocí agentů nainstalovaných na koncových zařízeních (virtuálních strojích), kteří analyzují I/O operace, mazání, kopie a síťové aktivity, přenášet data do mrak, kde se provádějí výpočty vyžadující velký výpočetní výkon. Tam se provádí analýza pomocí algoritmů Big Data, sestaví se stromy strojové logiky a identifikují se anomálie. Algoritmy se samoučí na základě obrovského množství dat dodávaných globální sítí senzorů.

Můžete se obejít bez instalace agentů. Moderní nástroje zabezpečení informací musí být bez agentů a integrované do operačních systémů na úrovni hypervizorů.
Uvedená opatření výrazně snižují rizika informační bezpečnosti, ale to nemusí stačit pro datová centra, která zajišťují automatizaci vysoce rizikových výrobních procesů, například jaderné elektrárny.

Regulační požadavky

V závislosti na zpracovávaných informacích musí fyzické a virtualizované infrastruktury datových center splňovat různé bezpečnostní požadavky stanovené v zákonech a průmyslových standardech.

Mezi takové zákony patří zákon „O osobních údajích“ (152-FZ) a zákon „O bezpečnosti zařízení KII Ruské federace“ (187-FZ), které vstoupily v platnost letos - státní zastupitelství se již začalo zajímat v průběhu jeho realizace. Spory o to, zda datová centra patří subjektům KII stále probíhají, ale s největší pravděpodobností budou muset datová centra, která chtějí poskytovat služby subjektům KII, splnit požadavky nové legislativy.

Pro datová centra hostující vládní informační systémy to nebude snadné. Podle Nařízení vlády Ruské federace ze dne 11.05.2017. května 555 č. XNUMX by měly být otázky bezpečnosti informací vyřešeny před uvedením GIS do komerčního provozu. A datové centrum, které chce hostovat GIS, musí nejprve splnit regulační požadavky.

Za posledních 30 let ušly systémy zabezpečení datových center dlouhou cestu: od jednoduchých systémů fyzické ochrany a organizačních opatření, která však neztratila na aktuálnosti, až po komplexní inteligentní systémy, které stále více využívají prvky umělé inteligence. Ale podstata přístupu se nezměnila. Bez organizačních opatření a školení personálu vás nezachrání nejmodernější technologie a bez softwarového a technického řešení vás nezachrání papírování. Zabezpečení datových center nelze zajistit jednou provždy, jde o neustálou každodenní snahu identifikovat prioritní hrozby a komplexně řešit vznikající problémy.

Co dalšího si můžete přečíst na blogu? Cloud4Y

Nastavení top v GNU/Linuxu
Pentesters v popředí kybernetické bezpečnosti
Cesta umělé inteligence od fantastického nápadu k vědeckému průmyslu
4 způsoby, jak ušetřit na cloudových zálohách
Muttův příběh

Přihlaste se k odběru Telegram-kanál, aby vám neunikl další článek! Píšeme maximálně dvakrát týdně a pouze služebně. Také vám připomínáme, že můžete test zdarma cloudová řešení Cloud4Y.

Zdroj: www.habr.com

Přidat komentář