Dyma sut olwg sydd ar ganolfan fonitro canolfan ddata NORD-2 ym Moscow
Rydych wedi darllen fwy nag unwaith am ba fesurau a gymerir i sicrhau diogelwch gwybodaeth (IS). Gall unrhyw arbenigwr TG hunan-barch enwi 5-10 o reolau diogelwch gwybodaeth yn hawdd. Mae Cloud4Y yn cynnig siarad am ddiogelwch gwybodaeth canolfannau data.
Wrth sicrhau diogelwch gwybodaeth canolfan ddata, y gwrthrychau mwyaf “gwarchodedig” yw:
- adnoddau gwybodaeth (data);
- prosesau casglu, prosesu, storio a throsglwyddo gwybodaeth;
- defnyddwyr system a phersonél cynnal a chadw;
- seilwaith gwybodaeth, gan gynnwys offer caledwedd a meddalwedd ar gyfer prosesu, trosglwyddo ac arddangos gwybodaeth, gan gynnwys sianeli cyfnewid gwybodaeth, systemau diogelwch gwybodaeth ac adeiladau.
Mae maes cyfrifoldeb y ganolfan ddata yn dibynnu ar y model o wasanaethau a ddarperir (IaaS/PaaS/SaaS). Sut mae'n edrych, gweler y llun isod:
Mae cwmpas polisi diogelwch y ganolfan ddata yn dibynnu ar y model o wasanaethau a ddarperir
Y rhan bwysicaf o ddatblygu polisi diogelwch gwybodaeth yw adeiladu model o fygythiadau a throseddwyr. Beth all ddod yn fygythiad i ganolfan ddata?
- Digwyddiadau niweidiol o natur naturiol, o waith dyn a chymdeithasol
- Terfysgwyr, elfennau troseddol, ac ati.
- Dibyniaeth ar gyflenwyr, darparwyr, partneriaid, cleientiaid
- Methiannau, methiannau, dinistr, difrod i feddalwedd a chaledwedd
- Gweithwyr canolfan ddata yn gweithredu bygythiadau diogelwch gwybodaeth gan ddefnyddio hawliau a phwerau a roddwyd yn gyfreithiol (troseddwyr diogelwch gwybodaeth fewnol)
- Gweithwyr canolfan ddata sy'n gweithredu bygythiadau diogelwch gwybodaeth y tu allan i'r hawliau a phwerau a ganiateir yn gyfreithiol, yn ogystal ag endidau nad ydynt yn gysylltiedig â phersonél y ganolfan ddata, ond sy'n ceisio mynediad anawdurdodedig a chamau gweithredu anawdurdodedig (troseddwyr diogelwch gwybodaeth allanol)
- Diffyg cydymffurfio â gofynion awdurdodau goruchwylio a rheoleiddio, deddfwriaeth gyfredol
Bydd dadansoddi risg - nodi bygythiadau posibl ac asesu maint canlyniadau eu gweithredu - yn helpu i ddewis yn gywir y tasgau blaenoriaeth y mae'n rhaid i arbenigwyr diogelwch gwybodaeth canolfannau data eu datrys, a chynllunio cyllidebau ar gyfer prynu caledwedd a meddalwedd.
Mae sicrhau diogelwch yn broses barhaus sy'n cynnwys y camau cynllunio, gweithredu a gweithredu, monitro, dadansoddi a gwella'r system diogelwch gwybodaeth. I greu systemau rheoli diogelwch gwybodaeth, mae'r hyn a elwir yn “'.
Rhan bwysig o bolisïau diogelwch yw dosbarthiad rolau a chyfrifoldebau personél ar gyfer eu gweithredu. Dylid adolygu polisïau’n barhaus i adlewyrchu newidiadau mewn deddfwriaeth, bygythiadau newydd, ac amddiffynfeydd sy’n dod i’r amlwg. Ac, wrth gwrs, cyfathrebu gofynion diogelwch gwybodaeth i staff a darparu hyfforddiant.
Mesurau trefniadol
Mae rhai arbenigwyr yn amheus ynghylch diogelwch “papur”, gan ystyried mai’r prif beth yw sgiliau ymarferol i wrthsefyll ymdrechion hacio. Mae profiad gwirioneddol o sicrhau diogelwch gwybodaeth mewn banciau yn awgrymu'r gwrthwyneb. Efallai y bydd gan arbenigwyr diogelwch gwybodaeth arbenigedd rhagorol mewn nodi a lliniaru risgiau, ond os na fydd personél y ganolfan ddata yn dilyn eu cyfarwyddiadau, bydd popeth yn ofer.
Nid yw diogelwch, fel rheol, yn dod ag arian, ond dim ond yn lleihau risgiau. Felly, mae'n aml yn cael ei drin fel rhywbeth annifyr ac eilaidd. A phan fydd arbenigwyr diogelwch yn dechrau bod yn ddig (gyda phob hawl i wneud hynny), mae gwrthdaro yn aml yn codi gyda staff a phenaethiaid adrannau gweithredol.
Mae presenoldeb safonau diwydiant a gofynion rheoliadol yn helpu gweithwyr diogelwch proffesiynol i amddiffyn eu safbwyntiau mewn trafodaethau gyda rheolwyr, ac mae polisïau, rheoliadau a rheoliadau diogelwch gwybodaeth cymeradwy yn caniatáu i staff gydymffurfio â'r gofynion a nodir yno, gan ddarparu sail ar gyfer penderfyniadau amhoblogaidd yn aml.
Gwarchod y safle
Pan fydd canolfan ddata yn darparu gwasanaethau gan ddefnyddio'r model cydleoli, mae sicrhau diogelwch corfforol a rheolaeth mynediad i offer y cleient yn dod i'r amlwg. At y diben hwn, defnyddir caeau (rhannau wedi'u ffensio o'r neuadd), sydd o dan wyliadwriaeth fideo o'r cleient ac y mae mynediad i bersonél y ganolfan ddata yn gyfyngedig iddynt.
Mewn canolfannau cyfrifiadurol y wladwriaeth gyda diogelwch corfforol, nid oedd pethau'n ddrwg ar ddiwedd y ganrif ddiwethaf. Roedd rheolaeth mynediad, rheolaeth mynediad i'r eiddo, hyd yn oed heb gyfrifiaduron a chamerâu fideo, system diffodd tân - pe bai tân, roedd Freon yn cael ei ryddhau'n awtomatig i'r ystafell beiriannau.
Y dyddiau hyn, mae diogelwch corfforol yn cael ei sicrhau hyd yn oed yn well. Mae systemau rheoli mynediad a rheoli (ACS) wedi dod yn ddeallus, ac mae dulliau biometrig o gyfyngu ar fynediad yn cael eu cyflwyno.
Mae systemau diffodd tân wedi dod yn fwy diogel i bersonél ac offer, ymhlith y rhain mae gosodiadau ar gyfer ataliad, ynysu, oeri ac effeithiau hypocsig ar y parth tân. Ynghyd â systemau diogelu rhag tân gorfodol, mae canolfannau data yn aml yn defnyddio system canfod tân yn gynnar tebyg i ddyhead.
Er mwyn amddiffyn canolfannau data rhag bygythiadau allanol - tanau, ffrwydradau, cwymp strwythurau adeiladu, llifogydd, nwyon cyrydol - dechreuwyd defnyddio ystafelloedd diogelwch a coffrau, lle mae offer gweinydd yn cael ei amddiffyn rhag bron pob ffactor niweidiol allanol.
Y cyswllt gwan yw'r person
Mae systemau gwyliadwriaeth fideo “smart”, synwyryddion olrhain cyfeintiol (acwstig, isgoch, ultrasonic, microdon), systemau rheoli mynediad wedi lleihau risgiau, ond nid ydynt wedi datrys pob problem. Ni fydd y dulliau hyn yn helpu, er enghraifft, pan oedd pobl a gafodd eu derbyn yn gywir i'r ganolfan ddata gyda'r offer cywir wedi “gwirioni” ar rywbeth. Ac, fel sy'n digwydd yn aml, bydd rhwystr damweiniol yn dod â'r problemau mwyaf posibl.
Efallai y bydd camddefnydd o'i hadnoddau gan bersonél, er enghraifft, mwyngloddio anghyfreithlon, yn effeithio ar waith y ganolfan ddata. Gall systemau rheoli seilwaith canolfannau data (DCIM) helpu yn yr achosion hyn.
Mae angen amddiffyniad hefyd ar bersonél, gan fod pobl yn aml yn cael eu galw'n gyswllt mwyaf agored i niwed yn y system amddiffyn. Mae ymosodiadau wedi'u targedu gan droseddwyr proffesiynol gan amlaf yn dechrau gyda'r defnydd o ddulliau peirianneg gymdeithasol. Yn aml mae'r systemau mwyaf diogel yn chwalu neu'n cael eu peryglu ar ôl i rywun glicio / lawrlwytho / gwneud rhywbeth. Gellir lleihau risgiau o'r fath trwy hyfforddi staff a gweithredu arferion gorau byd-eang ym maes diogelwch gwybodaeth.
Diogelu seilwaith peirianneg
Bygythiadau traddodiadol i weithrediad canolfan ddata yw methiannau pŵer a methiannau systemau oeri. Rydym eisoes wedi dod i arfer â bygythiadau o'r fath ac wedi dysgu delio â nhw.
Tuedd newydd yw cyflwyniad eang offer “clyfar” sy'n gysylltiedig â rhwydwaith: UPSs rheoledig, systemau oeri ac awyru deallus, gwahanol reolwyr a synwyryddion sy'n gysylltiedig â systemau monitro. Wrth adeiladu model bygythiad canolfan ddata, ni ddylech anghofio am y tebygolrwydd o ymosodiad ar y rhwydwaith seilwaith (ac, o bosibl, ar rwydwaith TG cysylltiedig y ganolfan ddata). Cymhlethu'r sefyllfa yw'r ffaith y gellir symud rhywfaint o'r offer (er enghraifft, oeryddion) y tu allan i'r ganolfan ddata, dyweder, i do adeilad ar rent.
Diogelu sianeli cyfathrebu
Os yw'r ganolfan ddata yn darparu gwasanaethau nid yn unig yn ôl y model cydleoli, yna bydd yn rhaid iddo ddelio â diogelu cwmwl. Yn ôl Check Point, y llynedd yn unig, profodd 51% o sefydliadau ledled y byd ymosodiadau ar eu strwythurau cwmwl. Mae ymosodiadau DDoS yn atal busnesau, mae firysau amgryptio yn galw am bridwerth, mae ymosodiadau wedi'u targedu ar systemau bancio yn arwain at ddwyn arian o gyfrifon gohebwyr.
Mae bygythiadau o ymyrraeth allanol hefyd yn poeni arbenigwyr diogelwch gwybodaeth canolfannau data. Y rhai mwyaf perthnasol ar gyfer canolfannau data yw ymosodiadau dosranedig gyda'r nod o dorri ar draws y ddarpariaeth o wasanaethau, yn ogystal â bygythiadau o hacio, lladrad neu addasu data a gynhwysir yn y seilwaith rhithwir neu systemau storio.
Er mwyn amddiffyn perimedr allanol y ganolfan ddata, defnyddir systemau modern gyda swyddogaethau ar gyfer nodi a niwtraleiddio cod maleisus, rheoli cymhwysiad a'r gallu i fewnforio technoleg amddiffyn rhagweithredol Threat Intelligence. Mewn rhai achosion, mae systemau ag ymarferoldeb IPS (atal ymyrraeth) yn cael eu defnyddio gydag addasiad awtomatig o'r llofnod a osodwyd i baramedrau'r amgylchedd gwarchodedig.
Er mwyn amddiffyn rhag ymosodiadau DDoS, mae cwmnïau Rwsia, fel rheol, yn defnyddio gwasanaethau arbenigol allanol sy'n dargyfeirio traffig i nodau eraill ac yn ei hidlo yn y cwmwl. Mae amddiffyniad ar ochr y gweithredwr yn llawer mwy effeithiol nag ar ochr y cleient, ac mae canolfannau data yn gweithredu fel cyfryngwyr ar gyfer gwerthu gwasanaethau.
Mae ymosodiadau DDoS mewnol hefyd yn bosibl mewn canolfannau data: mae ymosodwr yn treiddio i weinyddion un cwmni sydd wedi'u diogelu'n wan sy'n cynnal ei offer gan ddefnyddio model cydleoli, ac oddi yno mae'n cynnal ymosodiad gwrthod gwasanaeth ar gleientiaid eraill y ganolfan ddata hon trwy'r rhwydwaith mewnol .
Canolbwyntiwch ar amgylcheddau rhithwir
Mae angen ystyried manylion y gwrthrych gwarchodedig - y defnydd o offer rhithwiroli, dynameg newidiadau mewn seilweithiau TG, cydgysylltiad gwasanaethau, pan all ymosodiad llwyddiannus ar un cleient fygwth diogelwch cymdogion. Er enghraifft, trwy hacio'r docwr blaen wrth weithio mewn PaaS yn Kubernetes, gall ymosodwr gael yr holl wybodaeth cyfrinair ar unwaith a hyd yn oed mynediad i'r system offeryniaeth.
Mae gan gynhyrchion a ddarperir o dan y model gwasanaeth lefel uchel o awtomeiddio. Er mwyn peidio ag ymyrryd â busnes, rhaid cymhwyso mesurau diogelwch gwybodaeth i raddau dim llai o awtomeiddio a graddio llorweddol. Dylid sicrhau graddio ar bob lefel o ddiogelwch gwybodaeth, gan gynnwys awtomeiddio rheolaeth mynediad a chylchdroi allweddi mynediad. Tasg arbennig yw graddio modiwlau swyddogaethol sy'n archwilio traffig rhwydwaith.
Er enghraifft, dylid cyflawni hidlo traffig rhwydwaith ar lefelau cymhwysiad, rhwydwaith a sesiwn mewn canolfannau data hynod rithwir ar lefel modiwlau rhwydwaith hypervisor (er enghraifft, Mur Tân Dosbarthedig VMware) neu trwy greu cadwyni gwasanaeth (waliau tân rhithwir gan Palo Alto Networks) .
Os oes gwendidau ar lefel rhithwiroli adnoddau cyfrifiadurol, bydd ymdrechion i greu system diogelwch gwybodaeth gynhwysfawr ar lefel platfform yn aneffeithiol.
Lefelau diogelu gwybodaeth yn y ganolfan ddata
Y dull cyffredinol o amddiffyn yw defnyddio systemau diogelwch gwybodaeth integredig, aml-lefel, gan gynnwys macro-segmentu ar lefel wal dân (dyrannu segmentau ar gyfer gwahanol feysydd swyddogaethol busnes), micro-segmentu yn seiliedig ar waliau tân rhithwir neu draffig tagio grwpiau. (rolau defnyddwyr neu wasanaethau) a ddiffinnir gan bolisïau mynediad .
Y lefel nesaf yw nodi anomaleddau o fewn segmentau a rhyngddynt. Dadansoddir deinameg traffig, a all ddangos presenoldeb gweithgareddau maleisus, megis sganio rhwydwaith, ymdrechion i ymosodiadau DDoS, lawrlwytho data, er enghraifft, trwy dorri ffeiliau cronfa ddata a'u hallbynnu mewn sesiynau sy'n ymddangos o bryd i'w gilydd ar gyfnodau hir. Mae llawer iawn o draffig yn mynd trwy'r ganolfan ddata, felly i nodi anghysondebau, mae angen i chi ddefnyddio algorithmau chwilio uwch, a heb ddadansoddi pecynnau. Mae'n bwysig cydnabod nid yn unig arwyddion o weithgaredd maleisus ac anomalaidd, ond hefyd gweithrediad malware hyd yn oed mewn traffig wedi'i amgryptio heb ei ddadgryptio, fel y cynigir yn Cisco Solutions (Stealthwatch).
Y ffin olaf yw amddiffyn dyfeisiau diwedd y rhwydwaith lleol: gweinyddwyr a pheiriannau rhithwir, er enghraifft, gyda chymorth asiantau sydd wedi'u gosod ar ddyfeisiau terfynol (peiriannau rhithwir), sy'n dadansoddi gweithrediadau I/O, dileadau, copïau a gweithgareddau rhwydwaith, trosglwyddo data i , lle mae cyfrifiadau sy'n gofyn am bŵer cyfrifiadurol mawr yn cael eu gwneud. Yno, cynhelir dadansoddiad gan ddefnyddio algorithmau Data Mawr, mae coed rhesymeg peiriant yn cael eu hadeiladu a nodir anghysondebau. Mae algorithmau yn hunan-ddysgu yn seiliedig ar lawer iawn o ddata a gyflenwir gan rwydwaith byd-eang o synwyryddion.
Gallwch chi wneud heb asiantau gosod. Rhaid i offer diogelwch gwybodaeth modern fod yn ddi-asiant ac wedi'u hintegreiddio i systemau gweithredu ar lefel hypervisor.
Mae'r mesurau rhestredig yn lleihau risgiau diogelwch gwybodaeth yn sylweddol, ond efallai na fydd hyn yn ddigon ar gyfer canolfannau data sy'n darparu awtomeiddio prosesau cynhyrchu risg uchel, er enghraifft, gweithfeydd ynni niwclear.
Gofynion rheoleiddio
Yn dibynnu ar y wybodaeth sy'n cael ei phrosesu, rhaid i seilweithiau canolfan ddata ffisegol a rhithwir fodloni gwahanol ofynion diogelwch a nodir mewn cyfreithiau a safonau diwydiant.
Mae cyfreithiau o'r fath yn cynnwys y gyfraith "Ar Ddata Personol" (152-FZ) a'r gyfraith "Ar Ddiogelwch Cyfleusterau KII Ffederasiwn Rwsia" (187-FZ), a ddaeth i rym eleni - mae swyddfa'r erlynydd eisoes wedi ennyn diddordeb yn natblygiad ei weithrediad. Mae anghydfodau ynghylch a yw canolfannau data yn perthyn i bynciau CII yn parhau, ond yn fwyaf tebygol, bydd yn rhaid i ganolfannau data sy'n dymuno darparu gwasanaethau i bynciau CII gydymffurfio â gofynion y ddeddfwriaeth newydd.
Ni fydd yn hawdd i ganolfannau data sy'n cynnal systemau gwybodaeth y llywodraeth. Yn ôl Archddyfarniad Llywodraeth Ffederasiwn Rwsia dyddiedig Mai 11.05.2017, 555 Rhif XNUMX, dylid datrys materion diogelwch gwybodaeth cyn rhoi'r GIS ar waith yn fasnachol. Ac mae'n rhaid i ganolfan ddata sydd am gynnal GIS fodloni gofynion rheoliadol yn gyntaf.
Dros y 30 mlynedd diwethaf, mae systemau diogelwch canolfannau data wedi dod yn bell: o systemau amddiffyn corfforol syml a mesurau sefydliadol, nad ydynt, fodd bynnag, wedi colli eu perthnasedd, i systemau deallus cymhleth, sy'n defnyddio elfennau deallusrwydd artiffisial yn gynyddol. Ond nid yw hanfod y dull gweithredu wedi newid. Ni fydd y technolegau mwyaf modern yn eich arbed heb fesurau sefydliadol a hyfforddiant staff, ac ni fydd gwaith papur yn eich arbed heb feddalwedd a datrysiadau technegol. Ni ellir sicrhau diogelwch canolfan ddata unwaith ac am byth; mae'n ymdrech ddyddiol gyson i nodi bygythiadau blaenoriaeth a datrys problemau sy'n dod i'r amlwg yn gynhwysfawr.
Beth arall allwch chi ei ddarllen ar y blog?
→
→
→
→
→
Tanysgrifiwch i'n -sianel fel nad ydych chi'n colli'r erthygl nesaf! Nid ydym yn ysgrifennu mwy na dwywaith yr wythnos a dim ond ar fusnes. Rydym hefyd yn eich atgoffa y gallwch datrysiadau cwmwl Cloud4Y.
Ffynhonnell: hab.com