Así luce el centro de monitoreo del centro de datos NORD-2 ubicado en Moscú
Ha leído más de una vez sobre las medidas que se toman para garantizar la seguridad de la información (SI). Cualquier especialista en TI que se precie puede nombrar fácilmente entre 5 y 10 reglas de seguridad de la información. Cloud4Y ofrece hablar sobre la seguridad de la información de los centros de datos.
A la hora de garantizar la seguridad de la información de un centro de datos, los objetos más "protegidos" son:
- recursos de información (datos);
- procesos de recopilación, procesamiento, almacenamiento y transmisión de información;
- usuarios del sistema y personal de mantenimiento;
- infraestructura de información, incluidas herramientas de hardware y software para procesar, transmitir y mostrar información, incluidos canales de intercambio de información, sistemas e instalaciones de seguridad de la información.
El área de responsabilidad del centro de datos depende del modelo de servicios prestados (IaaS/PaaS/SaaS). Cómo se ve, mira la imagen a continuación:
El alcance de la política de seguridad del centro de datos en función del modelo de servicios prestados.
La parte más importante del desarrollo de una política de seguridad de la información es construir un modelo de amenazas e infractores. ¿Qué puede convertirse en una amenaza para un centro de datos?
- Eventos adversos de naturaleza natural, provocada por el hombre y social.
- Terroristas, elementos criminales, etc.
- Dependencia de proveedores, proveedores, socios, clientes.
- Fallos, fallas, destrucción, daños al software y hardware.
- Empleados del centro de datos que implementan amenazas a la seguridad de la información utilizando derechos y poderes otorgados legalmente (violadores internos de la seguridad de la información)
- Empleados del centro de datos que implementen amenazas a la seguridad de la información fuera de los derechos y poderes legalmente otorgados, así como entidades no relacionadas con el personal del centro de datos, pero que intenten acceso no autorizado y acciones no autorizadas (violadores externos de la seguridad de la información)
- Incumplimiento de los requisitos de las autoridades supervisoras y reguladoras, legislación vigente.
El análisis de riesgos (identificar amenazas potenciales y evaluar la escala de las consecuencias de su implementación) ayudará a seleccionar correctamente las tareas prioritarias que deben resolver los especialistas en seguridad de la información del centro de datos y planificar presupuestos para la compra de hardware y software.
Garantizar la seguridad es un proceso continuo que incluye las etapas de planificación, implementación y operación, seguimiento, análisis y mejora del sistema de seguridad de la información. Para crear sistemas de gestión de seguridad de la información, los llamados “".
Una parte importante de las políticas de seguridad es la distribución de roles y responsabilidades del personal para su implementación. Las políticas deben revisarse continuamente para reflejar los cambios en la legislación, las nuevas amenazas y las defensas emergentes. Y, por supuesto, comunicar los requisitos de seguridad de la información al personal y brindar capacitación.
Arreglos organizacionales
Algunos expertos se muestran escépticos sobre la seguridad "en papel", considerando que lo principal son las habilidades prácticas para resistir los intentos de piratería. La experiencia real en materia de seguridad de la información en los bancos sugiere lo contrario. Los especialistas en seguridad de la información pueden tener una excelente experiencia en la identificación y mitigación de riesgos, pero si el personal del centro de datos no sigue sus instrucciones, todo será en vano.
La seguridad, por regla general, no genera dinero, solo minimiza los riesgos. Por eso, muchas veces se trata como algo inquietante y secundario. Y cuando los especialistas en seguridad empiezan a indignarse (con todo el derecho a hacerlo), a menudo surgen conflictos con el personal y los jefes de los departamentos operativos.
La presencia de estándares de la industria y requisitos reglamentarios ayuda a los profesionales de la seguridad a defender sus posiciones en las negociaciones con la gerencia, y las políticas, regulaciones y regulaciones de seguridad de la información aprobadas permiten al personal cumplir con los requisitos allí establecidos, proporcionando la base para decisiones a menudo impopulares.
Protección de locales
Cuando un centro de datos proporciona servicios utilizando el modelo de colocación, pasa a primer plano garantizar la seguridad física y el control de acceso a los equipos del cliente. Para ello se utilizan recintos (partes valladas de la sala), que están bajo videovigilancia del cliente y a los que el acceso del personal del centro de datos está limitado.
En los centros de cómputo estatales con seguridad física las cosas no estaban mal a finales del siglo pasado. Había control de acceso, control de acceso a las instalaciones, incluso sin ordenadores ni cámaras de vídeo, un sistema de extinción de incendios; en caso de incendio, el freón se liberaba automáticamente en la sala de máquinas.
Hoy en día, la seguridad física está aún mejor garantizada. Los sistemas de gestión y control de acceso (ACS) se han vuelto inteligentes y se están introduciendo métodos biométricos de restricción de acceso.
Los sistemas de extinción de incendios se han vuelto más seguros para el personal y los equipos, entre los que se encuentran las instalaciones de inhibición, aislamiento, enfriamiento y efectos hipóxicos en la zona del incendio. Además de los sistemas obligatorios de protección contra incendios, los centros de datos suelen utilizar un sistema de detección temprana de incendios de tipo aspiración.
Para proteger los centros de datos de amenazas externas (incendios, explosiones, colapso de estructuras de edificios, inundaciones, gases corrosivos), se comenzaron a utilizar salas de seguridad y cajas fuertes, en las que los equipos de servidores están protegidos de casi todos los factores dañinos externos.
El eslabón débil es la persona.
Los sistemas de videovigilancia “inteligentes”, los sensores de seguimiento volumétrico (acústicos, infrarrojos, ultrasónicos, microondas) y los sistemas de control de acceso han reducido los riesgos, pero no han resuelto todos los problemas. Estos medios no ayudarán, por ejemplo, cuando las personas que fueron admitidas correctamente en el centro de datos con las herramientas adecuadas quedaron "enganchadas" a algo. Y, como suele suceder, un problema accidental traerá el máximo de problemas.
El trabajo del centro de datos puede verse afectado por el mal uso de sus recursos por parte del personal, por ejemplo, la minería ilegal. Los sistemas de gestión de infraestructura de centros de datos (DCIM) pueden ayudar en estos casos.
El personal también requiere protección, ya que a menudo se considera que las personas son el eslabón más vulnerable del sistema de protección. Los ataques dirigidos por delincuentes profesionales suelen comenzar con el uso de métodos de ingeniería social. A menudo, los sistemas más seguros fallan o se ven comprometidos después de que alguien hizo clic, descargó o hizo algo. Estos riesgos pueden minimizarse capacitando al personal e implementando las mejores prácticas globales en el campo de la seguridad de la información.
Protección de la infraestructura de ingeniería.
Las amenazas tradicionales al funcionamiento de un centro de datos son los cortes de energía y los fallos de los sistemas de refrigeración. Ya nos hemos acostumbrado a esas amenazas y hemos aprendido a afrontarlas.
Una nueva tendencia se ha convertido en la introducción generalizada de equipos "inteligentes" conectados a una red: UPS controlados, sistemas inteligentes de refrigeración y ventilación, varios controladores y sensores conectados a sistemas de monitoreo. Al construir un modelo de amenazas para el centro de datos, no se debe olvidar la probabilidad de un ataque a la red de infraestructura (y, posiblemente, a la red de TI asociada del centro de datos). Lo que complica la situación es el hecho de que algunos de los equipos (por ejemplo, enfriadores) se pueden trasladar fuera del centro de datos, por ejemplo, al techo de un edificio alquilado.
Protección de los canales de comunicación.
Si el centro de datos proporciona servicios no sólo según el modelo de colocación, entonces tendrá que ocuparse de la protección de la nube. Según Check Point, sólo el año pasado, el 51% de las organizaciones de todo el mundo sufrieron ataques a sus estructuras en la nube. Los ataques DDoS detienen a las empresas, los virus de cifrado exigen un rescate, los ataques dirigidos a los sistemas bancarios provocan el robo de fondos de las cuentas corresponsales.
Las amenazas de intrusiones externas también preocupan a los especialistas en seguridad de la información de los centros de datos. Los más relevantes para los centros de datos son los ataques distribuidos destinados a interrumpir la prestación de servicios, así como las amenazas de piratería, robo o modificación de datos contenidos en la infraestructura virtual o sistemas de almacenamiento.
Para proteger el perímetro externo del centro de datos, se utilizan sistemas modernos con funciones para identificar y neutralizar códigos maliciosos, control de aplicaciones y la capacidad de importar tecnología de protección proactiva Threat Intelligence. En algunos casos, se implementan sistemas con funcionalidad IPS (prevención de intrusiones) con ajuste automático de la firma establecida a los parámetros del entorno protegido.
Para protegerse contra los ataques DDoS, las empresas rusas suelen utilizar servicios externos especializados que desvían el tráfico a otros nodos y lo filtran en la nube. La protección del lado del operador es mucho más efectiva que del lado del cliente, y los centros de datos actúan como intermediarios para la venta de servicios.
Los ataques DDoS internos también son posibles en los centros de datos: un atacante penetra en los servidores débilmente protegidos de una empresa que aloja sus equipos utilizando un modelo de colocación y desde allí lleva a cabo un ataque de denegación de servicio a otros clientes de este centro de datos a través de la red interna. .
Centrarse en entornos virtuales
Es necesario tener en cuenta las características específicas del objeto protegido: el uso de herramientas de virtualización, la dinámica de los cambios en las infraestructuras de TI, la interconexión de los servicios, cuando un ataque exitoso a un cliente puede amenazar la seguridad de los vecinos. Por ejemplo, al piratear la ventana acoplable frontal mientras trabaja en una PaaS basada en Kubernetes, un atacante puede obtener inmediatamente toda la información de la contraseña e incluso acceder al sistema de orquestación.
Los productos proporcionados bajo el modelo de servicio tienen un alto grado de automatización. Para no interferir con los negocios, las medidas de seguridad de la información deben aplicarse con un grado no menor de automatización y escalamiento horizontal. Se debe garantizar la ampliación en todos los niveles de seguridad de la información, incluida la automatización del control de acceso y la rotación de claves de acceso. Una tarea especial es el escalado de módulos funcionales que inspeccionan el tráfico de la red.
Por ejemplo, el filtrado del tráfico de red a nivel de aplicación, red y sesión en centros de datos altamente virtualizados debe realizarse a nivel de módulos de red de hipervisor (por ejemplo, el firewall distribuido de VMware) o mediante la creación de cadenas de servicios (firewalls virtuales de Palo Alto Networks). .
Si existen debilidades a nivel de virtualización de los recursos informáticos, los esfuerzos por crear un sistema integral de seguridad de la información a nivel de plataforma serán ineficaces.
Niveles de protección de la información en el centro de datos
El enfoque general de protección es el uso de sistemas integrados de seguridad de la información de varios niveles, incluida la macrosegmentación a nivel de firewall (asignación de segmentos para diversas áreas funcionales del negocio), la microsegmentación basada en firewalls virtuales o el etiquetado del tráfico de grupos. (roles de usuario o servicios) definidos por políticas de acceso.
El siguiente nivel es identificar anomalías dentro y entre segmentos. Se analiza la dinámica del tráfico, lo que puede indicar la presencia de actividades maliciosas, como escaneo de red, intentos de ataques DDoS, descarga de datos, por ejemplo, cortando archivos de bases de datos y generándolos en sesiones que aparecen periódicamente a intervalos prolongados. Por el centro de datos pasan enormes cantidades de tráfico, por lo que para identificar anomalías es necesario utilizar algoritmos de búsqueda avanzados y sin análisis de paquetes. Es importante que no sólo se reconozcan signos de actividad maliciosa y anómala, sino también el funcionamiento del malware incluso en tráfico cifrado sin descifrarlo, como se propone en las soluciones de Cisco (Stealthwatch).
La última frontera es la protección de los dispositivos finales de la red local: servidores y máquinas virtuales, por ejemplo, con la ayuda de agentes instalados en los dispositivos finales (máquinas virtuales), que analizan las operaciones de E/S, eliminaciones, copias y actividades de la red. transmitir datos a , donde se realizan cálculos que requieren una gran potencia informática. Allí se realizan análisis mediante algoritmos de Big Data, se construyen árboles lógicos de máquina y se identifican anomalías. Los algoritmos son de autoaprendizaje y se basan en una enorme cantidad de datos suministrados por una red global de sensores.
Puede prescindir de instalar agentes. Las herramientas modernas de seguridad de la información deben carecer de agentes y estar integradas en los sistemas operativos a nivel de hipervisor.
Las medidas enumeradas reducen significativamente los riesgos de seguridad de la información, pero esto puede no ser suficiente para los centros de datos que automatizan procesos de producción de alto riesgo, por ejemplo, las centrales nucleares.
Los requisitos reglamentarios
Dependiendo de la información que se procese, las infraestructuras de los centros de datos físicos y virtualizados deben cumplir diferentes requisitos de seguridad establecidos en las leyes y estándares de la industria.
Estas leyes incluyen la ley "Sobre datos personales" (152-FZ) y la ley "Sobre la seguridad de las instalaciones KII de la Federación de Rusia" (187-FZ), que entró en vigor este año; la fiscalía ya se ha interesado en el progreso de su implementación. Las disputas sobre si los centros de datos pertenecen a sujetos de ICI aún están en curso, pero lo más probable es que los centros de datos que deseen prestar servicios a sujetos de ICI tendrán que cumplir con los requisitos de la nueva legislación.
No será fácil para los centros de datos que albergan sistemas de información gubernamentales. Según el Decreto del Gobierno de la Federación de Rusia del 11.05.2017 de mayo de 555 No. XNUMX, los problemas de seguridad de la información deben resolverse antes de poner el SIG en funcionamiento comercial. Y un centro de datos que quiera albergar un SIG primero debe cumplir con los requisitos reglamentarios.
En los últimos 30 años, los sistemas de seguridad de los centros de datos han recorrido un largo camino: desde simples sistemas de protección física y medidas organizativas, que, sin embargo, no han perdido su relevancia, hasta complejos sistemas inteligentes, que utilizan cada vez más elementos de inteligencia artificial. Pero la esencia del enfoque no ha cambiado. Las tecnologías más modernas no le salvarán sin medidas organizativas y sin formación del personal, y el papeleo no le salvará sin software y soluciones técnicas. La seguridad del centro de datos no se puede garantizar de una vez por todas; es un esfuerzo diario constante para identificar amenazas prioritarias y resolver de manera integral los problemas emergentes.
¿Qué más puedes leer en el blog?
→
→
→
→
→
Suscríbase a nuestro -canal para que no te pierdas el próximo artículo! No escribimos más de dos veces por semana y solo por negocios. También te recordamos que puedes soluciones en la nube Cloud4Y.
Fuente: habr.com