So sieht das Überwachungszentrum des NORD-2-Rechenzentrums in Moskau aus
Sie haben mehr als einmal gelesen, welche Maßnahmen zur Gewährleistung der Informationssicherheit (IS) ergriffen werden. Jeder IT-Spezialist mit Selbstachtung kann problemlos 5-10 Regeln zur Informationssicherheit nennen. Cloud4Y bietet an, über die Informationssicherheit von Rechenzentren zu sprechen.
Bei der Gewährleistung der Informationssicherheit eines Rechenzentrums sind die am meisten „geschützten“ Objekte:
- Informationsressourcen (Daten);
- Prozesse zum Sammeln, Verarbeiten, Speichern und Übertragen von Informationen;
- Systembenutzer und Wartungspersonal;
- Informationsinfrastruktur, einschließlich Hardware- und Softwaretools zur Verarbeitung, Übertragung und Anzeige von Informationen, einschließlich Informationsaustauschkanälen, Informationssicherheitssystemen und Räumlichkeiten.
Der Verantwortungsbereich des Rechenzentrums richtet sich nach dem Modell der bereitgestellten Dienste (IaaS/PaaS/SaaS). Wie es aussieht, sehen Sie im Bild unten:
Der Umfang der Sicherheitsrichtlinie für das Rechenzentrum hängt vom Modell der bereitgestellten Dienste ab
Der wichtigste Teil der Entwicklung einer Informationssicherheitsrichtlinie ist die Erstellung eines Modells von Bedrohungen und Verstößen. Was kann eine Bedrohung für ein Rechenzentrum darstellen?
- Unerwünschte Ereignisse natürlicher, vom Menschen verursachter und sozialer Natur
- Terroristen, kriminelle Elemente usw.
- Abhängigkeit von Lieferanten, Anbietern, Partnern, Kunden
- Ausfälle, Ausfälle, Zerstörung, Beschädigung von Soft- und Hardware
- Mitarbeiter von Rechenzentren, die Bedrohungen der Informationssicherheit mithilfe gesetzlich gewährter Rechte und Befugnisse umsetzen (interne Verstöße gegen die Informationssicherheit)
- Mitarbeiter des Rechenzentrums, die Bedrohungen der Informationssicherheit außerhalb der gesetzlich gewährten Rechte und Befugnisse umsetzen, sowie Unternehmen, die nicht mit dem Personal des Rechenzentrums verbunden sind, aber unbefugten Zugriff und unbefugte Handlungen versuchen (externe Verstöße gegen die Informationssicherheit).
- Nichteinhaltung der Anforderungen der Aufsichts- und Regulierungsbehörden sowie der geltenden Gesetzgebung
Die Risikoanalyse – die Identifizierung potenzieller Bedrohungen und die Bewertung des Ausmaßes der Folgen ihrer Umsetzung – hilft dabei, die vorrangigen Aufgaben, die Spezialisten für Informationssicherheit in Rechenzentren lösen müssen, richtig auszuwählen und Budgets für den Kauf von Hardware und Software zu planen.
Die Gewährleistung der Sicherheit ist ein kontinuierlicher Prozess, der die Phasen Planung, Implementierung und Betrieb, Überwachung, Analyse und Verbesserung des Informationssicherheitssystems umfasst. Um Informationssicherheitsmanagementsysteme zu schaffen, die sogenannten „".
Ein wichtiger Teil der Sicherheitsrichtlinien ist die Verteilung der Rollen und Verantwortlichkeiten des Personals für deren Umsetzung. Richtlinien sollten kontinuierlich überprüft werden, um Änderungen in der Gesetzgebung, neuen Bedrohungen und neuen Abwehrmaßnahmen Rechnung zu tragen. Und natürlich kommunizieren Sie die Anforderungen an die Informationssicherheit an die Mitarbeiter und bieten Schulungen an.
Organisatorische Maßnahmen
Einige Experten stehen der „Papier“-Sicherheit skeptisch gegenüber und halten praktische Fähigkeiten zur Abwehr von Hacking-Versuchen für das Wichtigste. Echte Erfahrungen bei der Gewährleistung der Informationssicherheit in Banken legen das Gegenteil nahe. Spezialisten für Informationssicherheit verfügen zwar über hervorragende Fachkenntnisse in der Identifizierung und Minderung von Risiken, aber wenn das Personal im Rechenzentrum seinen Anweisungen nicht Folge leistet, ist alles umsonst.
Sicherheit bringt in der Regel kein Geld, sondern minimiert nur Risiken. Daher wird es oft als etwas Beunruhigendes und Zweitrangiges behandelt. Und wenn Sicherheitsspezialisten anfangen zu empören (zu Recht), kommt es oft zu Konflikten mit Mitarbeitern und Leitern operativer Abteilungen.
Das Vorhandensein von Branchenstandards und behördlichen Anforderungen hilft Sicherheitsexperten, ihre Positionen in Verhandlungen mit dem Management zu verteidigen, und genehmigte Richtlinien, Vorschriften und Vorschriften zur Informationssicherheit ermöglichen es den Mitarbeitern, die dort festgelegten Anforderungen einzuhalten, und bilden so die Grundlage für oft unpopuläre Entscheidungen.
Schutz der Räumlichkeiten
Wenn ein Rechenzentrum Dienste mithilfe des Colocation-Modells bereitstellt, steht die Gewährleistung der physischen Sicherheit und Zugriffskontrolle für die Geräte des Kunden im Vordergrund. Hierzu werden Umzäunungen (umzäunte Hallenteile) genutzt, die vom Auftraggeber videoüberwacht werden und zu denen der Zugang für das Personal des Rechenzentrums beschränkt ist.
In staatlichen Rechenzentren mit physischer Sicherheit sah es Ende des letzten Jahrhunderts nicht schlecht aus. Es gab eine Zugangskontrolle, eine Zugangskontrolle zum Gelände, auch ohne Computer und Videokameras, eine Feuerlöschanlage – im Brandfall wurde Freon automatisch in den Maschinenraum freigesetzt.
Heutzutage wird die physische Sicherheit noch besser gewährleistet. Zugangskontroll- und -verwaltungssysteme (ACS) sind intelligent geworden und biometrische Methoden der Zugangsbeschränkung werden eingeführt.
Feuerlöschsysteme sind für Personal und Ausrüstung sicherer geworden, darunter Einrichtungen zur Hemmung, Isolierung, Kühlung und hypoxischen Wirkung auf die Brandzone. Neben vorgeschriebenen Brandschutzsystemen nutzen Rechenzentren häufig ein Aspirations-Brandfrüherkennungssystem.
Um Rechenzentren vor äußeren Bedrohungen – Bränden, Explosionen, Einsturz von Gebäudestrukturen, Überschwemmungen, korrosiven Gasen – zu schützen, wurden Sicherheitsräume und Tresore eingesetzt, in denen Servergeräte vor fast allen äußeren schädlichen Faktoren geschützt sind.
Das schwache Glied ist die Person
„Intelligente“ Videoüberwachungssysteme, volumetrische Tracking-Sensoren (akustisch, Infrarot, Ultraschall, Mikrowelle) und Zugangskontrollsysteme haben die Risiken verringert, aber nicht alle Probleme gelöst. Diese Mittel helfen beispielsweise nicht, wenn Personen, die ordnungsgemäß mit den richtigen Werkzeugen in das Rechenzentrum aufgenommen wurden, von etwas „süchtig“ wurden. Und wie so oft führt ein versehentliches Hängenbleiben zu maximalen Problemen.
Die Arbeit des Rechenzentrums kann durch den Missbrauch seiner Ressourcen durch das Personal, beispielsweise durch illegalen Bergbau, beeinträchtigt werden. In diesen Fällen können DCIM-Systeme (Data Center Infrastructure Management) Abhilfe schaffen.
Auch das Personal braucht Schutz, da der Mensch oft als das schwächste Glied im Schutzsystem bezeichnet wird. Gezielte Angriffe professioneller Krimineller beginnen meist mit dem Einsatz von Social-Engineering-Methoden. Oftmals stürzen die sichersten Systeme ab oder werden kompromittiert, nachdem jemand auf etwas geklickt, etwas heruntergeladen oder etwas getan hat. Solche Risiken können durch Schulung des Personals und die Implementierung globaler Best Practices im Bereich der Informationssicherheit minimiert werden.
Schutz der technischen Infrastruktur
Traditionelle Bedrohungen für den Betrieb eines Rechenzentrums sind Stromausfälle und Ausfälle von Kühlsystemen. Wir haben uns an solche Bedrohungen bereits gewöhnt und gelernt, mit ihnen umzugehen.
Ein neuer Trend ist die weit verbreitete Einführung „intelligenter“ Geräte, die an ein Netzwerk angeschlossen sind: gesteuerte USVs, intelligente Kühl- und Lüftungssysteme, verschiedene Steuerungen und Sensoren, die an Überwachungssysteme angeschlossen sind. Bei der Erstellung eines Bedrohungsmodells für Rechenzentren sollten Sie die Wahrscheinlichkeit eines Angriffs auf das Infrastrukturnetzwerk (und möglicherweise auf das zugehörige IT-Netzwerk des Rechenzentrums) nicht vergessen. Erschwerend kommt hinzu, dass einige der Geräte (z. B. Kältemaschinen) außerhalb des Rechenzentrums, beispielsweise auf das Dach eines gemieteten Gebäudes, verlegt werden können.
Schutz der Kommunikationskanäle
Wenn das Rechenzentrum Dienste nicht nur nach dem Colocation-Modell bereitstellt, muss es sich mit dem Cloud-Schutz befassen. Laut Check Point erlebten allein im letzten Jahr 51 % der Unternehmen weltweit Angriffe auf ihre Cloud-Strukturen. DDoS-Angriffe stoppen Unternehmen, Verschlüsselungsviren fordern Lösegeld, gezielte Angriffe auf Bankensysteme führen zum Diebstahl von Geldern von Korrespondenzkonten.
Bedrohungen durch externe Eindringlinge beunruhigen auch Spezialisten für Informationssicherheit in Rechenzentren. Am relevantesten für Rechenzentren sind verteilte Angriffe, die darauf abzielen, die Bereitstellung von Diensten zu unterbrechen, sowie Bedrohungen durch Hacking, Diebstahl oder Änderung von Daten, die in der virtuellen Infrastruktur oder in Speichersystemen enthalten sind.
Zum Schutz des externen Perimeters des Rechenzentrums werden moderne Systeme mit Funktionen zur Identifizierung und Neutralisierung von Schadcode, Anwendungskontrolle und der Möglichkeit zum Import der proaktiven Schutztechnologie Threat Intelligence eingesetzt. Teilweise werden Systeme mit IPS-Funktionalität (Intrusion Prevention) eingesetzt, bei denen der Signatursatz automatisch an die Parameter der geschützten Umgebung angepasst wird.
Zum Schutz vor DDoS-Angriffen nutzen russische Unternehmen in der Regel externe Spezialdienste, die den Datenverkehr auf andere Knoten umleiten und in der Cloud filtern. Der Schutz auf der Betreiberseite ist wesentlich effektiver als auf der Kundenseite, und Rechenzentren fungieren als Vermittler für den Verkauf von Diensten.
Auch interne DDoS-Angriffe sind in Rechenzentren möglich: Ein Angreifer dringt in die schwach geschützten Server eines Unternehmens ein, das seine Geräte im Colocation-Modell hostet, und führt von dort aus über das interne Netzwerk einen Denial-of-Service-Angriff auf andere Clients dieses Rechenzentrums durch .
Konzentrieren Sie sich auf virtuelle Umgebungen
Es ist notwendig, die Besonderheiten des geschützten Objekts zu berücksichtigen – den Einsatz von Virtualisierungstools, die Dynamik von Veränderungen in IT-Infrastrukturen, die Vernetzung von Diensten, wenn ein erfolgreicher Angriff auf einen Client die Sicherheit von Nachbarn gefährden kann. Durch das Hacken des Frontend-Dockers während der Arbeit in einem Kubernetes-basierten PaaS kann ein Angreifer beispielsweise sofort alle Passwortinformationen und sogar Zugriff auf das Orchestrierungssystem erhalten.
Die im Rahmen des Servicemodells bereitgestellten Produkte weisen einen hohen Automatisierungsgrad auf. Um das Geschäft nicht zu beeinträchtigen, müssen Informationssicherheitsmaßnahmen mit einem nicht geringeren Grad an Automatisierung und horizontaler Skalierung angewendet werden. Die Skalierung sollte auf allen Ebenen der Informationssicherheit gewährleistet sein, einschließlich der Automatisierung der Zugriffskontrolle und der Rotation von Zugriffsschlüsseln. Eine besondere Aufgabe ist die Skalierung von Funktionsmodulen, die den Netzwerkverkehr untersuchen.
Beispielsweise sollte die Filterung des Netzwerkverkehrs auf Anwendungs-, Netzwerk- und Sitzungsebene in stark virtualisierten Rechenzentren auf der Ebene von Hypervisor-Netzwerkmodulen (z. B. VMware Distributed Firewall) oder durch die Erstellung von Serviceketten (virtuelle Firewalls von Palo Alto Networks) erfolgen. .
Wenn es Schwachstellen auf der Ebene der Virtualisierung von Rechenressourcen gibt, werden Bemühungen zur Schaffung eines umfassenden Informationssicherheitssystems auf Plattformebene wirkungslos sein.
Informationsschutzniveaus im Rechenzentrum
Der allgemeine Schutzansatz ist der Einsatz integrierter, mehrstufiger Informationssicherheitssysteme, einschließlich Makrosegmentierung auf Firewall-Ebene (Zuteilung von Segmenten für verschiedene Funktionsbereiche des Unternehmens), Mikrosegmentierung auf Basis virtueller Firewalls oder Tagging des Gruppenverkehrs (Benutzerrollen oder Dienste), definiert durch Zugriffsrichtlinien.
Die nächste Ebene besteht darin, Anomalien innerhalb und zwischen Segmenten zu identifizieren. Es werden Verkehrsdynamiken analysiert, die auf das Vorhandensein bösartiger Aktivitäten wie Netzwerkscans, Versuche von DDoS-Angriffen oder das Herunterladen von Daten hinweisen können, beispielsweise durch Slicing von Datenbankdateien und deren Ausgabe in periodisch auftretenden Sitzungen in langen Zeitabständen. Durch das Rechenzentrum fließen enorme Mengen an Datenverkehr. Um Anomalien zu identifizieren, müssen Sie daher erweiterte Suchalgorithmen und keine Paketanalyse verwenden. Es ist wichtig, dass nicht nur Anzeichen bösartiger und anomaler Aktivitäten erkannt werden, sondern auch die Wirkung von Malware auch im verschlüsselten Datenverkehr ohne Entschlüsselung, wie es in Cisco-Lösungen (Stealthwatch) vorgeschlagen wird.
Die letzte Grenze ist der Schutz von Endgeräten des lokalen Netzwerks: Server und virtuelle Maschinen, beispielsweise mit Hilfe von auf Endgeräten (virtuellen Maschinen) installierten Agenten, die I/O-Vorgänge, Löschungen, Kopien und Netzwerkaktivitäten analysieren, Daten übermitteln an , wo Berechnungen durchgeführt werden, die große Rechenleistung erfordern. Dort werden Analysen mit Big-Data-Algorithmen durchgeführt, Maschinenlogikbäume aufgebaut und Anomalien identifiziert. Algorithmen sind selbstlernend und basieren auf einer riesigen Datenmenge, die von einem globalen Netzwerk von Sensoren bereitgestellt wird.
Sie können auf die Installation von Agenten verzichten. Moderne Informationssicherheitstools müssen agentenlos sein und auf Hypervisor-Ebene in Betriebssysteme integriert werden.
Die aufgeführten Maßnahmen verringern die Risiken der Informationssicherheit erheblich. Dies reicht jedoch möglicherweise nicht für Rechenzentren aus, die die Automatisierung risikoreicher Produktionsprozesse ermöglichen, beispielsweise Kernkraftwerke.
Regulatorischen Anforderungen
Abhängig von den verarbeiteten Informationen müssen physische und virtualisierte Rechenzentrumsinfrastrukturen unterschiedliche Sicherheitsanforderungen erfüllen, die in Gesetzen und Industriestandards festgelegt sind.
Zu diesen Gesetzen gehören das Gesetz „Über personenbezogene Daten“ (152-FZ) und das Gesetz „Über die Sicherheit von KII-Einrichtungen der Russischen Föderation“ (187-FZ), die dieses Jahr in Kraft traten – die Staatsanwaltschaft hat bereits Interesse gezeigt im Verlauf seiner Umsetzung. Streitigkeiten darüber, ob Rechenzentren zu CII-Subjekten gehören, dauern noch an, aber höchstwahrscheinlich müssen Rechenzentren, die Dienstleistungen für CII-Subjekte erbringen möchten, die Anforderungen der neuen Gesetzgebung erfüllen.
Für Rechenzentren, in denen staatliche Informationssysteme untergebracht sind, wird es nicht einfach sein. Gemäß dem Dekret der Regierung der Russischen Föderation vom 11.05.2017. Mai 555 Nr. XNUMX sollten Fragen der Informationssicherheit gelöst werden, bevor das GIS kommerziell in Betrieb genommen wird. Und ein Rechenzentrum, das ein GIS hosten möchte, muss zunächst die gesetzlichen Anforderungen erfüllen.
In den letzten 30 Jahren haben sich Sicherheitssysteme für Rechenzentren weiterentwickelt: von einfachen physischen Schutzsystemen und organisatorischen Maßnahmen, die jedoch nicht an Relevanz verloren haben, bis hin zu komplexen intelligenten Systemen, die zunehmend Elemente künstlicher Intelligenz nutzen. Am Kern des Ansatzes hat sich jedoch nichts geändert. Modernste Technologien retten Sie nicht ohne organisatorische Maßnahmen und Personalschulung, und Papierkram rettet Sie nicht ohne Software und technische Lösungen. Die Sicherheit von Rechenzentren kann nicht ein für alle Mal gewährleistet werden; es ist eine ständige tägliche Anstrengung, vorrangige Bedrohungen zu identifizieren und aufkommende Probleme umfassend zu lösen.
Was können Sie sonst noch auf dem Blog lesen?
→
→
→
→
→
Abonnieren Sie unseren -Kanal, damit Sie den nächsten Artikel nicht verpassen! Wir schreiben höchstens zweimal pro Woche und nur geschäftlich. Wir erinnern Sie auch daran, dass Sie es können Cloud-Lösungen Cloud4Y.
Source: habr.com