ProHoster > Blog > administration > Datacenter informationssikkerhed

Datacenter informationssikkerhed

Datacenter informationssikkerhed
Sådan ser overvågningscentret i NORD-2-datacentret i Moskva ud

Du har læst mere end én gang om, hvilke tiltag der tages for at sikre informationssikkerhed (IS). Enhver IT-specialist med respekt for sig selv kan nemt nævne 5-10 informationssikkerhedsregler. Cloud4Y tilbyder at tale om informationssikkerhed i datacentre.

Når man sikrer informationssikkerhed i et datacenter, er de mest "beskyttede" objekter:

  • informationsressourcer (data);
  • processer til indsamling, behandling, lagring og transmission af information;
  • systembrugere og vedligeholdelsespersonale;
  • informationsinfrastruktur, herunder hardware- og softwareværktøjer til behandling, transmission og visning af information, herunder informationsudvekslingskanaler, informationssikkerhedssystemer og lokaler.

Datacentrets ansvarsområde afhænger af modellen for de leverede tjenester (IaaS/PaaS/SaaS). Hvordan det ser ud, se billedet nedenfor:

Datacenter informationssikkerhed
Omfanget af datacentersikkerhedspolitikken afhænger af modellen for de leverede tjenester

Den vigtigste del af udviklingen af ​​en informationssikkerhedspolitik er at opbygge en model af trusler og krænkere. Hvad kan blive en trussel mod et datacenter?

  1. Uønskede hændelser af naturlig, menneskeskabt og social karakter
  2. Terrorister, kriminelle elementer mv.
  3. Afhængighed af leverandører, udbydere, partnere, kunder
  4. Fejl, fejl, ødelæggelse, skader på software og hardware
  5. Datacentermedarbejdere, der implementerer informationssikkerhedstrusler ved hjælp af lovligt tildelte rettigheder og beføjelser (interne informationssikkerhedsovertrædere)
  6. Datacentermedarbejdere, som implementerer informationssikkerhedstrusler uden for de lovligt tildelte rettigheder og beføjelser, såvel som enheder, der ikke er relateret til datacenterpersonalet, men som forsøger uautoriseret adgang og uautoriserede handlinger (eksterne datasikkerhedsovertrædere)
  7. Manglende overholdelse af kravene fra tilsyns- og regulerende myndigheder, gældende lovgivning

Risikoanalyse - identificering af potentielle trusler og vurdering af omfanget af konsekvenserne af deres implementering - vil hjælpe til korrekt at udvælge de prioriterede opgaver, som datacenterinformationssikkerhedsspecialister skal løse, og planlægge budgetter for indkøb af hardware og software.

Sikring af sikkerhed er en kontinuerlig proces, der omfatter stadierne planlægning, implementering og drift, overvågning, analyse og forbedring af informationssikkerhedssystemet. For at skabe informationssikkerhedsstyringssystemer, de såkaldte "Deming cyklus'.

En vigtig del af sikkerhedspolitikker er fordelingen af ​​roller og ansvar for personalet for deres implementering. Politikker bør løbende revideres for at afspejle ændringer i lovgivning, nye trusler og nye forsvar. Og selvfølgelig kommunikere informationssikkerhedskrav til personalet og sørge for træning.

Organisatoriske foranstaltninger

Nogle eksperter er skeptiske over for "papir"-sikkerhed, idet de overvejer, at det vigtigste er praktiske færdigheder til at modstå hackingforsøg. Reel erfaring med at sikre informationssikkerhed i banker tyder på det modsatte. Informationssikkerhedsspecialister kan have fremragende ekspertise i at identificere og afbøde risici, men hvis datacenterpersonalet ikke følger deres instruktioner, vil alt være forgæves.

Sikkerhed bringer som regel ikke penge, men minimerer kun risici. Derfor bliver det ofte behandlet som noget forstyrrende og sekundært. Og når sikkerhedsspecialister begynder at blive indignerede (med al mulig ret til det), opstår der ofte konflikter med personale og ledere af operationelle afdelinger.

Tilstedeværelsen af ​​industristandarder og regulatoriske krav hjælper sikkerhedsprofessionelle med at forsvare deres positioner i forhandlinger med ledelsen, og godkendte informationssikkerhedspolitikker, -regulativer og -regulativer gør det muligt for personalet at overholde de krav, der er fastsat der, hvilket giver grundlaget for ofte upopulære beslutninger.

Beskyttelse af lokaler

Når et datacenter leverer tjenester ved hjælp af colocation-modellen, kommer sikring af fysisk sikkerhed og adgangskontrol til kundens udstyr i højsædet. Til dette formål anvendes indhegninger (indhegnede dele af hallen), som er under videoovervågning af klienten, og hvortil adgang til datacenterpersonale er begrænset.

I statslige computercentre med fysisk sikkerhed var det ikke dårligt i slutningen af ​​forrige århundrede. Der var adgangskontrol, adgangskontrol til lokalerne, også uden computere og videokameraer, brandslukningsanlæg - i tilfælde af brand blev freon automatisk sluppet ud i maskinrummet.

I dag er den fysiske sikkerhed sikret endnu bedre. Adgangskontrol- og styringssystemer (ACS) er blevet intelligente, og biometriske metoder til adgangsbegrænsning er ved at blive introduceret.

Brandslukningssystemer er blevet mere sikre for personale og udstyr, blandt andet installationer til hæmning, isolering, afkøling og hypoxiske effekter på brandzonen. Sammen med obligatoriske brandsikringssystemer bruger datacentre ofte et aspirations-type tidlig branddetektionssystem.

For at beskytte datacentre mod eksterne trusler - brande, eksplosioner, sammenbrud af bygningsstrukturer, oversvømmelser, ætsende gasser - begyndte man at bruge sikkerhedsrum og pengeskabe, hvor serverudstyr er beskyttet mod næsten alle eksterne skadelige faktorer.

Det svage led er personen

"Smarte" videoovervågningssystemer, volumetriske sporingssensorer (akustisk, infrarød, ultralyd, mikrobølge), adgangskontrolsystemer har reduceret risici, men har ikke løst alle problemer. Disse midler hjælper f.eks. ikke, når folk, der blev korrekt optaget i datacentret med de korrekte værktøjer, blev "hooked" på noget. Og som det ofte sker, vil en utilsigtet hage give maksimale problemer.

Datacentrets arbejde kan blive påvirket af personales misbrug af dets ressourcer, for eksempel ulovlig minedrift. Datacenterinfrastrukturstyringssystemer (DCIM) kan hjælpe i disse tilfælde.

Personale kræver også beskyttelse, da mennesker ofte kaldes det mest sårbare led i beskyttelsessystemet. Målrettede angreb fra professionelle kriminelle begynder oftest med brugen af ​​social engineering metoder. Ofte går de mest sikre systemer ned eller kompromitteres, efter at nogen har klikket/downloadet/gjort noget. Sådanne risici kan minimeres ved at uddanne personale og implementere global bedste praksis inden for informationssikkerhed.

Beskyttelse af teknisk infrastruktur

Traditionelle trusler mod et datacenters funktion er strømsvigt og fejl i kølesystemer. Vi har allerede vænnet os til sådanne trusler og har lært at håndtere dem.

En ny trend er blevet den udbredte introduktion af "smart" udstyr forbundet til et netværk: kontrollerede UPS'er, intelligente køle- og ventilationssystemer, forskellige controllere og sensorer forbundet til overvågningssystemer. Når du bygger en datacentertrusselsmodel, bør du ikke glemme sandsynligheden for et angreb på infrastrukturnetværket (og muligvis på datacentrets tilhørende IT-netværk). Det komplicerede situationen er, at noget af udstyret (f.eks. kølere) kan flyttes uden for datacentret, f.eks. op på taget af en lejet bygning.

Beskyttelse af kommunikationskanaler

Hvis datacentret ikke kun leverer tjenester i henhold til colocation-modellen, så skal det beskæftige sig med skybeskyttelse. Ifølge Check Point, alene sidste år, oplevede 51 % af organisationer verden over angreb på deres cloud-strukturer. DDoS-angreb stopper virksomheder, krypteringsvirus kræver løsesum, målrettede angreb på banksystemer fører til tyveri af midler fra korrespondentkonti.

Trusler om eksterne indtrængen bekymrer også datacenterets informationssikkerhedsspecialister. De mest relevante for datacentre er distribuerede angreb, der har til formål at afbryde leveringen af ​​tjenester, samt trusler om hacking, tyveri eller ændring af data indeholdt i den virtuelle infrastruktur eller lagersystemer.

For at beskytte datacentrets eksterne perimeter bruges moderne systemer med funktioner til at identificere og neutralisere skadelig kode, applikationskontrol og muligheden for at importere Threat Intelligence proaktiv beskyttelsesteknologi. I nogle tilfælde implementeres systemer med IPS-funktionalitet (indtrængningsforebyggelse) med automatisk justering af signatursættet til parametrene for det beskyttede miljø.

For at beskytte mod DDoS-angreb bruger russiske virksomheder som regel eksterne specialiserede tjenester, der omdirigerer trafik til andre noder og filtrerer den i skyen. Beskyttelse på operatørsiden er meget mere effektiv end på klientsiden, og datacentre fungerer som mellemmænd for salg af tjenester.

Interne DDoS-angreb er også mulige i datacentre: en angriber trænger ind i de svagt beskyttede servere hos en virksomhed, der hoster dets udstyr ved hjælp af en colocation-model, og udfører derfra et lammelsesangreb på dette datacenters andre klienter via det interne netværk .

Fokus på virtuelle miljøer

Det er nødvendigt at tage højde for det beskyttede objekts detaljer - brugen af ​​virtualiseringsværktøjer, dynamikken i ændringer i IT-infrastrukturer, tjenesternes indbyrdes forbundne forbindelse, når et vellykket angreb på en klient kan true naboernes sikkerhed. For eksempel, ved at hacke frontend-dockeren, mens han arbejder i en Kubernetes-baseret PaaS, kan en angriber straks få alle adgangskodeoplysninger og endda adgang til orkestreringssystemet.

Produkter leveret under servicemodellen har en høj grad af automatisering. For ikke at forstyrre forretningen skal informationssikkerhedsforanstaltninger anvendes til en ikke mindre grad af automatisering og horisontal skalering. Skalering bør sikres på alle niveauer af informationssikkerhed, herunder automatisering af adgangskontrol og rotation af adgangsnøgler. En særlig opgave er skalering af funktionelle moduler, der inspicerer netværkstrafikken.

Filtrering af netværkstrafik på applikations-, netværks- og sessionsniveauer i stærkt virtualiserede datacentre bør f.eks. udføres på niveau med hypervisor-netværksmoduler (f.eks. VMwares distribuerede firewall) eller ved at oprette servicekæder (virtuelle firewalls fra Palo Alto Networks) .

Hvis der er svagheder med hensyn til virtualisering af computerressourcer, vil bestræbelserne på at skabe et omfattende informationssikkerhedssystem på platformsniveau være ineffektive.

Niveauer af informationsbeskyttelse i datacentret

Den generelle tilgang til beskyttelse er brugen af ​​integrerede informationssikkerhedssystemer på flere niveauer, herunder makrosegmentering på firewallniveau (allokering af segmenter til forskellige funktionelle forretningsområder), mikrosegmentering baseret på virtuelle firewalls eller tagging af gruppers trafik (brugerroller eller tjenester) defineret af adgangspolitikker .

Det næste niveau er at identificere anomalier inden for og mellem segmenter. Trafikdynamikken analyseres, hvilket kan indikere tilstedeværelsen af ​​ondsindede aktiviteter, såsom netværksscanning, forsøg på DDoS-angreb, datadownload, for eksempel ved at opdele databasefiler og udlæse dem i periodiske sessioner med lange intervaller. Enorme mængder trafik passerer gennem datacentret, så for at identificere uregelmæssigheder skal du bruge avancerede søgealgoritmer og uden pakkeanalyse. Det er vigtigt, at ikke kun tegn på ondsindet og unormal aktivitet genkendes, men også driften af ​​malware selv i krypteret trafik uden at dekryptere den, som det foreslås i Cisco-løsninger (Stealthwatch).

Den sidste grænse er beskyttelsen af ​​slutenheder på det lokale netværk: servere og virtuelle maskiner, for eksempel ved hjælp af agenter installeret på slutenheder (virtuelle maskiner), som analyserer I/O-operationer, sletninger, kopier og netværksaktiviteter, overføre data til sky, hvor der udføres beregninger, der kræver stor regnekraft. Der udføres analyse ved hjælp af Big Data-algoritmer, maskinlogiktræer bygges og anomalier identificeres. Algoritmer er selvlærende baseret på en enorm mængde data leveret af et globalt netværk af sensorer.

Du kan undvære at installere agenter. Moderne informationssikkerhedsværktøjer skal være agentløse og integreret i operativsystemer på hypervisorniveau.
De anførte tiltag reducerer informationssikkerhedsrisici markant, men det er muligvis ikke nok for datacentre, der giver automatisering af højrisikoproduktionsprocesser, for eksempel atomkraftværker.

Lovmæssige krav

Afhængigt af den information, der behandles, skal fysiske og virtualiserede datacenterinfrastrukturer opfylde forskellige sikkerhedskrav, der er fastsat i love og industristandarder.

Sådanne love omfatter loven "om personlige data" (152-FZ) og loven "om sikkerheden af ​​KII-faciliteter i Den Russiske Føderation" (187-FZ), som trådte i kraft i år - anklagemyndigheden er allerede blevet interesseret undervejs i implementeringen. Tvister om, hvorvidt datacentre tilhører CII-fag, er stadig i gang, men højst sandsynligt vil datacentre, der ønsker at levere tjenester til CII-fag, skulle overholde kravene i den nye lovgivning.

Det vil ikke være let for datacentre, der hoster offentlige informationssystemer. I henhold til dekret fra den russiske føderations regering af 11.05.2017. maj 555 nr. XNUMX, bør informationssikkerhedsproblemer løses, før GIS'et sættes i kommerciel drift. Og et datacenter, der ønsker at være vært for et GIS, skal først opfylde regulatoriske krav.

I løbet af de seneste 30 år er datacentersikkerhedssystemer nået langt: Fra simple fysiske beskyttelsessystemer og organisatoriske tiltag, som dog ikke har mistet deres relevans, til komplekse intelligente systemer, som i stigende grad anvender elementer af kunstig intelligens. Men essensen af ​​tilgangen har ikke ændret sig. De mest moderne teknologier vil ikke redde dig uden organisatoriske foranstaltninger og personaleuddannelse, og papirarbejde vil ikke redde dig uden software og tekniske løsninger. Datacentersikkerhed kan ikke sikres én gang for alle; det er en konstant daglig indsats for at identificere prioriterede trusler og i vid udstrækning løse nye problemer.

Hvad kan du ellers læse på bloggen? Cloud4Y

Opsætning af toppen i GNU/Linux
Pentesters på forkant med cybersikkerhed
Kunstig intelligenss vej fra en fantastisk idé til den videnskabelige industri
4 måder at spare på cloud backups
Mutt historie

Abonner på vores Telegram-kanal, så du ikke går glip af den næste artikel! Vi skriver ikke mere end to gange om ugen og kun på forretningsrejse. Vi minder dig også om, at du kan test gratis cloud-løsninger Cloud4Y.

Kilde: www.habr.com

Tilføj en kommentar