Jen kiel aspektas la monitora centro de la datumcentro NORD-2 situanta en Moskvo
Vi legis pli ol unufoje pri kiaj mezuroj estas prenitaj por certigi informan sekurecon (IS). Ajna memrespekta IT-specialisto povas facile nomi 5-10 regulojn pri informa sekureco. Cloud4Y proponas paroli pri informa sekureco de datumcentroj.
Kiam vi certigas informan sekurecon de datumcentro, la plej "protektitaj" objektoj estas:
- informrimedoj (datenoj);
- procezoj de kolektado, prilaborado, stokado kaj elsendado de informoj;
- sistemuzantoj kaj prizorgado-personaro;
- informinfrastrukturo, inkluzive de aparataro kaj programaro iloj por prilaborado, elsendado kaj montrado de informoj, inkluzive de informinterŝanĝaj kanaloj, informsekurecaj sistemoj kaj ejoj.
La areo de respondeco de la datumcentro dependas de la modelo de servoj provizitaj (IaaS/PaaS/SaaS). Kiel ĝi aspektas, vidu la bildon sube:
La amplekso de la datumcentra sekurecpolitiko depende de la modelo de servoj provizitaj
La plej grava parto de evoluigado de informsekureca politiko estas konstrui modelon de minacoj kaj malobservantoj. Kio povas fariĝi minaco al datumcentro?
- Malfavoraj eventoj de natura, homfarita kaj socia naturo
- Teroristoj, krimaj elementoj, ktp.
- Dependeco de provizantoj, provizantoj, partneroj, klientoj
- Fiaskoj, misfunkciadoj, detruo, damaĝo al programaro kaj aparataro
- Datencentrodungitoj efektivigante informajn sekurecminacojn uzante laŭleĝe konceditajn rajtojn kaj potencojn (internaj informsekurecaj malobservantoj)
- Datencentrodungitoj kiuj efektivigas informajn sekurecminacojn ekster la laŭleĝe konceditaj rajtoj kaj potencoj, same kiel entoj ne rilataj al la datumcentropersonaro, sed provanta neaŭtorizitan aliron kaj neaŭtorizitajn agojn (eksteraj informsekurecaj malobservantoj)
- Nerespekto de la postuloj de kontrolaj kaj reguligaj aŭtoritatoj, aktuala leĝaro
Analizo de risko - identigi eblajn minacojn kaj taksi la amplekson de la sekvoj de ilia efektivigo - helpos ĝuste elekti la prioritatajn taskojn, kiujn specialistoj pri informa sekureco de datumcentroj devas solvi, kaj plani buĝetojn por aĉeto de aparataro kaj programaro.
Certigi sekurecon estas kontinua procezo, kiu inkluzivas la etapojn de planado, efektivigo kaj operacio, monitorado, analizo kaj plibonigo de la informsekureca sistemo. Por krei informajn sekurecajn administradsistemojn, la t.n.".
Grava parto de sekurecpolitikoj estas la distribuado de roloj kaj respondecoj de dungitaro por ilia efektivigo. Politikoj devas esti kontinue reviziitaj por reflekti ŝanĝojn en leĝaro, novajn minacojn kaj emerĝantajn defendojn. Kaj, kompreneble, komunikas informsekurecajn postulojn al dungitaro kaj provizi trejnadon.
Organizaj mezuroj
Iuj fakuloj estas skeptikaj pri "papera" sekureco, konsiderante ke la ĉefa afero estas praktikaj kapabloj por rezisti piratajn provojn. Reala sperto pri certigi informan sekurecon en bankoj sugestas la malon. Specialistoj pri informa sekureco povas havi bonegan kompetentecon por identigi kaj mildigi riskojn, sed se la dungitaro de datumcentro ne sekvas siajn instrukciojn, ĉio estos vana.
Sekureco, kiel regulo, ne alportas monon, sed nur minimumigas riskojn. Sekve, ĝi estas ofte traktata kiel io ĝena kaj malĉefa. Kaj kiam sekurecaj specialistoj komencas indigni (kun ĉiu rajto fari tion), ofte aperas konfliktoj kun dungitoj kaj estroj de operaciaj fakoj.
La ĉeesto de industriaj normoj kaj reguligaj postuloj helpas sekurecprofesiulojn defendi siajn poziciojn en intertraktadoj kun administrado, kaj aprobitaj informsekurecaj politikoj, regularoj kaj regularoj permesas al dungitaro plenumi la postulojn fiksitajn tie, provizante la bazon por ofte nepopularaj decidoj.
Loka protekto
Kiam datumcentro disponigas servojn uzante la kolokadmodelon, certigi fizikan sekurecon kaj alirkontrolon al la ekipaĵo de la kliento venas al la unua loko. Por ĉi tiu celo, estas uzataj fermitaj partoj de la halo, kiuj estas sub videa gvatado de la kliento kaj al kiuj aliro al datumcentra personaro estas limigita.
En ŝtataj komputilcentroj kun fizika sekureco, aferoj ne estis malbonaj fine de la pasinta jarcento. Ekzistis alirkontrolo, alirkontrolo al la ejo, eĉ sen komputiloj kaj vidkameraoj, fajroestinga sistemo - en okazo de fajro, freono estis aŭtomate ellasita en la maŝinĉambron.
Nuntempe, fizika sekureco estas certigita eĉ pli bone. Alirkontrolo kaj administradsistemoj (ACS) fariĝis inteligentaj, kaj biometrikaj metodoj de alirlimigo estas lanĉitaj.
Fajroestingaj sistemoj fariĝis pli sekuraj por dungitaro kaj ekipaĵo, inter kiuj estas instalaĵoj por inhibicio, izolado, malvarmigo kaj hipoksaj efikoj sur la fajrozono. Kune kun devigaj fajroprotektsistemoj, datencentroj ofte uzas aspir-specan fruan fajrodetektosistemon.
Por protekti datumcentrojn kontraŭ eksteraj minacoj - fajroj, eksplodoj, kolapso de konstruaĵoj, inundo, korodaj gasoj - sekurecaj ĉambroj kaj monŝrankoj komencis esti uzataj, en kiuj servilaj ekipaĵoj estas protektitaj kontraŭ preskaŭ ĉiuj eksteraj damaĝaj faktoroj.
La malforta ligilo estas la persono
"Inteligentaj" videogvatsistemoj, volumetraj spuraj sensiloj (akustikaj, infraruĝaj, ultrasonaj, mikroondoj), alirkontrolaj sistemoj reduktis riskojn, sed ne solvis ĉiujn problemojn. Ĉi tiuj rimedoj ne helpos, ekzemple, kiam homoj, kiuj estis ĝuste akceptitaj en la datumcentron per la ĝustaj iloj, estis "hokitaj" al io. Kaj, kiel ofte okazas, hazarda kraĉo alportos maksimumajn problemojn.
La laboro de la datumcentro povas esti tuŝita de misuzo de ĝiaj rimedoj de dungitaro, ekzemple kontraŭleĝa minado. Sistemoj de administrado de infrastrukturaj centroj de datumoj (DCIM) povas helpi en ĉi tiuj kazoj.
Personaro ankaŭ postulas protekton, ĉar homoj ofte estas nomitaj la plej vundebla ligo en la protekta sistemo. Celitaj atakoj de profesiaj krimuloj plej ofte komenciĝas per la uzo de sociaj inĝenieraj metodoj. Ofte la plej sekuraj sistemoj kraŝas aŭ estas endanĝerigitaj post kiam iu klakis/elŝutis/faris ion. Tiaj riskoj povas esti minimumigitaj trejnante personaron kaj efektivigante tutmondajn plej bonajn praktikojn en la kampo de informa sekureco.
Protekto de inĝenieristiko-infrastrukturo
Tradiciaj minacoj al la funkciado de datencentro estas elektropaneoj kaj fiaskoj de malvarmigosistemoj. Ni jam alkutimiĝis al tiaj minacoj kaj lernis trakti ilin.
Nova tendenco fariĝis la ĝeneraligita enkonduko de "inteligenta" ekipaĵo konektita al reto: kontrolitaj UPSoj, inteligentaj malvarmigo- kaj ventoligaj sistemoj, diversaj regiloj kaj sensiloj konektitaj al monitoraj sistemoj. Dum konstruo de datumcentra minaca modelo, vi ne forgesu pri la verŝajneco de atako sur la infrastruktura reto (kaj, eble, sur la rilata IT-reto de la datumcentro). Komplika la situacio estas la fakto, ke iuj el la ekipaĵoj (ekzemple, malvarmigiloj) povas esti movitaj ekster la datumcentro, ekzemple, sur la tegmenton de luita konstruaĵo.
Protekto de komunikadkanaloj
Se la datumcentro provizas servojn ne nur laŭ la koloka modelo, tiam ĝi devos trakti nuban protekton. Laŭ Check Point, nur pasintjare, 51% de organizoj tutmonde spertis atakojn kontraŭ siaj nubaj strukturoj. DDoS-atakoj ĉesigas entreprenojn, ĉifradaj virusoj postulas elaĉetomonon, celitaj atakoj kontraŭ bankaj sistemoj kondukas al ŝtelo de financoj de korespondkontoj.
Minacoj de eksteraj entrudiĝoj ankaŭ maltrankviligas specialistojn pri informa sekureco de datencentroj. La plej gravaj por datumcentroj estas distribuitaj atakoj celantaj interrompi la provizon de servoj, same kiel minacoj de hakado, ŝtelo aŭ modifo de datumoj enhavitaj en la virtuala infrastrukturo aŭ stokadsistemoj.
Por protekti la eksteran perimetron de la datumcentro, modernaj sistemoj estas uzataj kun funkcioj por identigi kaj neŭtraligi malican kodon, aplikan kontrolon kaj la kapablo importi Threat Intelligence proaktivan protektoteknologion. En iuj kazoj, sistemoj kun funkcieco de IPS (preventado de entrudiĝoj) estas deplojitaj kun aŭtomata alĝustigo de la subskribo aro al la parametroj de la protektita medio.
Por protekti kontraŭ DDoS-atakoj, rusaj kompanioj kutime uzas eksterajn specialajn servojn, kiuj deturnas trafikon al aliaj nodoj kaj filtras ĝin en la nubo. Protekto ĉe la operaciisto estas multe pli efika ol ĉe la klienta flanko, kaj datumcentroj funkcias kiel perantoj por la vendo de servoj.
Internaj atakoj DDoS ankaŭ estas eblaj en datumcentroj: atakanto penetras la malforte protektitajn servilojn de unu firmao, kiu gastigas sian ekipaĵon uzante kolokan modelon, kaj de tie faras nean servon atakon al aliaj klientoj de ĉi tiu datumcentro per la interna reto. .
Fokusu sur virtualaj medioj
Necesas konsideri la specifaĵojn de la protektita objekto - la uzon de virtualigo-iloj, la dinamikon de ŝanĝoj en IT-infrastrukturoj, la interkonektecon de servoj, kiam sukcesa atako kontraŭ unu kliento povas minaci la sekurecon de najbaroj. Ekzemple, hakante la fasaddocker laborante en Kubernetes-bazita PaaS, atakanto povas tuj akiri ĉiujn pasvortinformojn kaj eĉ aliron al la orkestra sistemo.
Produktoj provizitaj sub la servomodelo havas altan gradon de aŭtomatigo. Por ne malhelpi komercon, informaj sekurecaj mezuroj devas esti aplikataj al ne malplia grado de aŭtomatigo kaj horizontala skalo. Skalado devus esti certigita sur ĉiuj niveloj de informa sekureco, inkluzive de aŭtomatigo de alirkontrolo kaj rotacio de alirŝlosiloj. Speciala tasko estas la skalado de funkciaj moduloj, kiuj inspektas retan trafikon.
Ekzemple, filtrado de rettrafiko ĉe la aplikaĵo, reto kaj sesioniveloj en tre virtualigitaj datumcentroj devus esti farita sur la nivelo de hiperviziaj retmoduloj (ekzemple, Distributed Firewall de VMware) aŭ kreante servoĉenojn (virtualajn fajromurojn de Palo Alto Networks) .
Se estas malfortoj ĉe la nivelo de virtualigo de komputikresursoj, klopodoj krei ampleksan informan sekurecsistemon ĉe la platformnivelo estos senefika.
Niveloj de informa protekto en la datumcentro
La ĝenerala aliro al protekto estas la uzo de integraj, plurnivelaj informsekurecaj sistemoj, inkluzive de makro-segmentado ĉe la fajromurnivelo (asigno de segmentoj por diversaj funkciaj areoj de komerco), mikro-segmentado bazita sur virtualaj fajromuroj aŭ etikedtrafiko de grupoj. (uzantroloj aŭ servoj) difinitaj de alirpolitikoj.
La sekva nivelo identigas anomaliojn ene de kaj inter segmentoj. Trafikdinamiko estas analizita, kiu povas indiki la ĉeeston de malicaj agadoj, kiel retskanado, provoj ĉe DDoS-atakoj, datumoj elŝutante, ekzemple, tranĉante datumbazdosierojn kaj eligante ilin en periode aperantaj sesioj je longaj intervaloj. Grandegaj kvantoj da trafiko pasas tra la datumcentro, do por identigi anomaliojn, vi devas uzi altnivelajn serĉalgoritmojn, kaj sen paka analizo. Gravas, ke ne nur signoj de malica kaj anomalia agado estas rekonitaj, sed ankaŭ la funkciado de malware eĉ en ĉifrita trafiko sen deĉifri ĝin, kiel estas proponita en Cisco-solvoj (Stealthwatch).
La lasta limo estas la protekto de finaj aparatoj de la loka reto: serviloj kaj virtualaj maŝinoj, ekzemple, kun la helpo de agentoj instalitaj sur finaj aparatoj (virtualaj maŝinoj), kiuj analizas I/O-operaciojn, forigojn, kopiojn kaj retajn agadojn, transdoni datumojn al , kie kalkuloj postulantaj grandan komputadpotencon estas aranĝitaj. Tie, analizo estas farita per Big Data algoritmoj, maŝinaj logikaj arboj estas konstruitaj kaj anomalioj estas identigitaj. Algoritmoj estas memlernado bazitaj sur grandega kvanto da datumoj provizitaj de tutmonda reto de sensiloj.
Vi povas fari sen instali agentojn. Modernaj informsekurecaj iloj devas esti senpagaj kaj integritaj en operaciumojn ĉe la hipervizora nivelo.
La listigitaj mezuroj signife reduktas informajn sekurecajn riskojn, sed tio eble ne sufiĉas por datumcentroj, kiuj provizas aŭtomatigon de altriskaj produktadprocezoj, ekzemple atomcentraloj.
Reguligaj postuloj
Depende de la prilaborado de informoj, fizikaj kaj virtualigitaj datumcentraj infrastrukturoj devas plenumi malsamajn sekurecpostulojn difinitajn en leĝoj kaj industriaj normoj.
Tiaj leĝoj inkluzivas la leĝon "Pri Personaj Datumoj" (152-FZ) kaj la leĝon "Pri la Sekureco de KII Instalaĵoj de la Rusa Federacio" (187-FZ), kiuj ekvalidis ĉi-jare - la prokurorejo jam interesiĝis. en la progreso de ĝia efektivigo. Disputoj pri ĉu datumcentroj apartenas al CII-subjektoj daŭre daŭras, sed plej verŝajne, datumcentroj dezirantaj provizi servojn al CII-subjektoj devos plenumi la postulojn de la nova leĝaro.
Ne estos facile por datumcentroj gastigantaj registarajn informsistemojn. Laŭ la Dekreto de la Registaro de la Rusa Federacio de la 11.05.2017-a de majo 555 n-ro XNUMX, problemoj pri informa sekureco devas esti solvitaj antaŭ ol meti la GIS en komercan operacion. Kaj datuma centro kiu volas gastigi GIS unue devas plenumi reguligajn postulojn.
Dum la pasintaj 30 jaroj, datumcentraj sekurecaj sistemoj multe iris: de simplaj fizikaj protektaj sistemoj kaj organizaj rimedoj, kiuj tamen ne perdis sian gravecon, ĝis kompleksaj inteligentaj sistemoj, kiuj ĉiam pli uzas elementojn de artefarita inteligenteco. Sed la esenco de la aliro ne ŝanĝiĝis. La plej modernaj teknologioj ne savos vin sen organizaj rimedoj kaj trejnado de dungitoj, kaj papero ne savos vin sen programaro kaj teknikaj solvoj. Sekureco de datumcentro ne povas esti certigita unufoje por ĉiam; ĝi estas konstanta ĉiutaga klopodo identigi prioritatajn minacojn kaj amplekse solvi emerĝantajn problemojn.
Kion alian vi povas legi en la blogo?
→
→
→
→
→
Abonu nian -kanalo por ke vi ne maltrafu la sekvan artikolon! Ni skribas ne pli ol dufoje semajne kaj nur pri komerco. Ni ankaŭ memorigas al vi, ke vi povas nubaj solvoj Cloud4Y.
fonto: www.habr.com