Selline näeb välja Moskvas asuva NORD-2 andmekeskuse seirekeskus
Olete rohkem kui korra lugenud selle kohta, milliseid meetmeid võetakse infoturbe (IS) tagamiseks. Iga endast lugupidav IT-spetsialist oskab vabalt nimetada 5-10 infoturbereeglit. Cloud4Y pakub juttu andmekeskuste infoturbest.
Andmekeskuse infoturbe tagamisel on enim “kaitstud” objektid:
- inforessursid (andmed);
- teabe kogumise, töötlemise, säilitamise ja edastamise protsessid;
- süsteemi kasutajad ja hoolduspersonal;
- infoinfrastruktuur, sealhulgas teabe töötlemise, edastamise ja kuvamise riist- ja tarkvaravahendid, sealhulgas teabevahetuskanalid, infoturbesüsteemid ja -ruumid.
Andmekeskuse vastutusala sõltub pakutavate teenuste mudelist (IaaS/PaaS/SaaS). Kuidas see välja näeb, vaata allolevat pilti:
Andmekeskuse turvapoliitika ulatus sõltuvalt pakutavate teenuste mudelist
Infoturbepoliitika väljatöötamise kõige olulisem osa on ohtude ja rikkujate mudeli loomine. Mis võib saada andmekeskusele ohuks?
- Looduslikud, tehislikud ja sotsiaalsed kõrvalnähud
- Terroristid, kriminaalsed elemendid jne.
- Sõltuvus tarnijatest, pakkujatest, partneritest, klientidest
- Tõrked, tõrked, hävimine, tarkvara ja riistvara kahjustused
- Andmekeskuse töötajad, kes rakendavad infoturbe ohte, kasutades selleks seadusega antud õigusi ja volitusi (sisemised infoturbe rikkujad)
- Andmekeskuse töötajad, kes rakendavad infoturbe ohte väljaspool seadusega antud õigusi ja volitusi, samuti andmekeskuse töötajatega mitteseotud, kuid volitamata juurdepääsu ja volitamata toiminguid püüdvad üksused (välised infoturbe rikkujad)
- Järelevalve- ja reguleerivate asutuste nõuete, kehtivate õigusaktide mittejärgimine
Riskianalüüs – võimalike ohtude tuvastamine ja nende realiseerimise tagajärgede ulatuse hindamine – aitab õigesti valida prioriteetsed ülesanded, mida andmekeskuse infoturbe spetsialistid peavad lahendama, ning planeerida eelarveid riist- ja tarkvara ostuks.
Turvalisuse tagamine on pidev protsess, mis hõlmab infoturbesüsteemi planeerimise, rakendamise ja toimimise, monitooringu, analüüsi ja täiustamise etappe. Infoturbe haldussüsteemide loomiseks kasutatakse nn.'.
Turvapoliitika oluliseks osaks on personali rollide ja vastutuse jaotus nende elluviimisel. Poliitikad tuleks pidevalt üle vaadata, et kajastada muudatusi õigusaktides, uusi ohte ja esilekerkivaid kaitsemeetmeid. Ja loomulikult edastada töötajatele infoturbenõuded ja pakkuda koolitusi.
Organisatsioonilised meetmed
Mõned eksperdid on “paberist” turvalisuse suhtes skeptilised, pidades peamiseks praktilisi oskusi häkkimiskatsetele vastu seista. Reaalne kogemus pankade infoturbe tagamisel viitab vastupidisele. Infoturbe spetsialistidel võivad olla suurepärased teadmised riskide tuvastamisel ja maandamisel, kuid kui andmekeskuse töötajad nende juhiseid ei järgi, on kõik asjata.
Turvalisus reeglina raha ei too, vaid ainult minimeerib riske. Seetõttu käsitletakse seda sageli kui midagi häirivat ja teisejärgulist. Ja kui turvaspetsialistid hakkavad nördima (selleks on täielik õigus), tekivad sageli konfliktid töötajate ja operatiivosakondade juhtidega.
Tööstusharu standardite ja regulatiivsete nõuete olemasolu aitab turvaspetsialistidel kaitsta oma positsioone läbirääkimistel juhtkonnaga ning heakskiidetud infoturbepoliitikad, regulatsioonid ja regulatsioonid võimaldavad töötajatel seal sätestatud nõudeid järgida, andes aluse sageli ebapopulaarsetele otsustele.
Ruumide kaitse
Kui andmekeskus osutab teenuseid kolokatsioonimudelil, siis tuleb esiplaanile füüsilise turvalisuse tagamine ja ligipääsu kontroll kliendi seadmetele. Selleks kasutatakse piirdeid (saali aiaga piiratud osad), mis on kliendi videovalve all ja millele on andmekeskuse töötajate juurdepääs piiratud.
Füüsilise turvalisusega riigiarvutikeskustes ei olnud asjad eelmise sajandi lõpus halvad. Seal oli läbipääsukontroll, ruumidele ligipääsukontroll, ka ilma arvutite ja videokaamerateta, tulekustutussüsteem - tulekahju korral vabanes freoon automaatselt masinaruumi.
Tänapäeval on füüsiline turvalisus veelgi paremini tagatud. Juurdepääsukontrolli- ja haldussüsteemid (ACS) on muutunud intelligentseks ning juurutatakse juurdepääsupiirangu biomeetrilisi meetodeid.
Tulekustutussüsteemid on muutunud personali ja seadmete jaoks ohutumaks, sealhulgas paigaldised inhibeerimiseks, isoleerimiseks, jahutamiseks ja tuletsooni hüpoksiliseks mõjuks. Koos kohustuslike tuletõrjesüsteemidega kasutavad andmekeskused sageli aspiratsioonitüüpi varajase tulekahju avastamise süsteemi.
Andmekeskuste kaitsmiseks väliste ohtude eest - tulekahjud, plahvatused, ehituskonstruktsioonide kokkuvarisemine, üleujutused, söövitavad gaasid - hakati kasutama turvaruume ja seife, milles serveriseadmed on kaitstud peaaegu kõigi väliste kahjustavate tegurite eest.
Nõrk lüli on inimene
“Nutikad” videovalvesüsteemid, mahujälgimisandurid (akustilised, infrapuna-, ultraheli-, mikrolaineahjud), läbipääsusüsteemid on küll riske vähendanud, kuid pole kõiki probleeme lahendanud. Need vahendid ei aita näiteks siis, kui õigete vahenditega andmekeskusesse õigesti sisse lastud inimesed millegi külge “konksusid”. Ja nagu sageli juhtub, toob juhuslik tüügas kaasa maksimaalseid probleeme.
Andmekeskuse tööd võib mõjutada selle ressursside väärkasutus personali poolt, näiteks ebaseaduslik kaevandamine. Nendel juhtudel võivad abiks olla andmekeskuse infrastruktuuri haldussüsteemid (DCIM).
Kaitset vajavad ka töötajad, kuna inimesi nimetatakse sageli kaitsesüsteemi kõige haavatavamaks lüliks. Professionaalsete kurjategijate sihipärased rünnakud algavad enamasti sotsiaalse manipuleerimise meetodite kasutamisega. Sageli jooksevad kõige turvalisemad süsteemid kokku või satuvad ohtu pärast seda, kui keegi midagi klõpsas/alla laadis/tegi. Selliseid riske saab minimeerida personali koolitamise ja ülemaailmsete parimate tavade rakendamisega infoturbe vallas.
Inseneritaristu kaitse
Traditsioonilised ohud andmekeskuse toimimisele on elektrikatkestused ja jahutussüsteemide rikked. Oleme selliste ohtudega juba harjunud ja õppinud nendega toime tulema.
Uueks trendiks on saanud võrku ühendatud “nutikate” seadmete laialdane kasutuselevõtt: juhitavad UPS-id, intelligentsed jahutus- ja ventilatsioonisüsteemid, mitmesugused seiresüsteemidega ühendatud kontrollerid ja andurid. Andmekeskuse ohumudeli ehitamisel ei tohiks unustada ründe tõenäosust taristuvõrgule (ja võimalik, et ka sellega seotud andmekeskuse IT-võrgule). Olukorra teeb keerulisemaks asjaolu, et osa seadmeid (näiteks jahutid) saab viia andmekeskusest väljapoole, näiteks üüritud hoone katusele.
Sidekanalite kaitse
Kui andmekeskus ei paku teenuseid ainult kolokatsioonimudeli järgi, siis peab ta tegelema pilvekaitsega. Check Pointi andmetel koges ainuüksi eelmisel aastal 51% organisatsioonidest kogu maailmas rünnakuid oma pilvestruktuuride vastu. DDoS-i rünnakud peatavad ettevõtted, krüpteerimisviirused nõuavad lunaraha, pangasüsteemide vastu suunatud rünnakud viivad korrespondentkontodelt raha varguseni.
Väliste sissetungide ohud valmistavad muret ka andmekeskuste infoturbe spetsialistidele. Andmekeskuste jaoks on kõige olulisemad hajutatud rünnakud, mille eesmärk on katkestada teenuste osutamine, samuti virtuaalses infrastruktuuris või salvestussüsteemides sisalduvate andmete häkkimise, varguse või muutmise oht.
Andmekeskuse välisperimeetri kaitsmiseks kasutatakse kaasaegseid süsteeme, millel on ründekoodi tuvastamise ja neutraliseerimise funktsioonid, rakenduste juhtimine ja võimalus importida Threat Intelligence proaktiivset kaitsetehnoloogiat. Mõnel juhul võetakse kasutusele IPS-i (sissetungimise vältimise) funktsiooniga süsteemid koos allkirjakomplekti automaatse reguleerimisega kaitstud keskkonna parameetritele.
DDoS-i rünnakute eest kaitsmiseks kasutavad Venemaa ettevõtted reeglina väliseid eriteenuseid, mis suunavad liikluse teistesse sõlmedesse ja filtreerivad selle pilves. Operaatoripoolne kaitse on palju tõhusam kui kliendipoolne ning andmekeskused toimivad teenuste müügi vahendajatena.
Sisemised DDoS-rünnakud on võimalikud ka andmekeskustes: ründaja tungib kolokatsioonimudeli abil oma seadmeid majutava ettevõtte nõrgalt kaitstud serveritesse ja sooritab sealt sisevõrgu kaudu teenuse keelamise rünnaku selle andmekeskuse teistele klientidele. .
Keskenduge virtuaalsetele keskkondadele
Arvestada tuleb kaitstava objekti spetsiifikaga – virtualiseerimisvahendite kasutamisega, IT-taristute muutuste dünaamikaga, teenuste omavahelisel seotusega, kui edukas rünnak ühele kliendile võib ohustada naabrite turvalisust. Näiteks kui häkkides Kubernetesel põhinevas PaaS-is töötades frontend dockeri, saab ründaja kohe hankida kogu parooliteabe ja isegi juurdepääsu orkestreerimissüsteemile.
Teenusmudeli alusel pakutavad tooted on kõrge automatiseerituse astmega. Et äritegevust mitte segada, tuleb infoturbe meetmeid rakendada mitte vähem automatiseerituse ja horisontaalse skaleerimisega. Skaleerimine tuleks tagada kõigil infoturbe tasanditel, sealhulgas juurdepääsu kontrolli automatiseerimisel ja juurdepääsuvõtmete pööramisel. Eriülesanne on võrguliiklust kontrollivate funktsionaalsete moodulite skaleerimine.
Näiteks tuleks võrguliikluse filtreerimine rakenduse, võrgu ja seansi tasemel kõrgelt virtualiseeritud andmekeskustes läbi viia hüperviisori võrgumoodulite tasemel (näiteks VMware's Distributed Firewall) või luues teenindusahelaid (palo Alto Networksi virtuaalsed tulemüürid). .
Kui arvutusressursside virtualiseerimise tasemel on nõrkusi, on jõupingutused tervikliku infoturbesüsteemi loomiseks platvormi tasemel ebaefektiivsed.
Andmekeskuse teabekaitse tasemed
Üldine lähenemine kaitsele on integreeritud, mitmetasandiliste infoturbesüsteemide kasutamine, sealhulgas tulemüüri tasemel makrosegmenteerimine (segmentide eraldamine äritegevuse erinevatele funktsionaalsetele valdkondadele), virtuaalsetel tulemüüridel põhinev mikrosegmenteerimine või rühmade liikluse märgistamine. (kasutajarollid või teenused), mis on määratletud juurdepääsupoliitikaga .
Järgmine tase on anomaaliate tuvastamine segmentides ja nende vahel. Analüüsitakse liikluse dünaamikat, mis võib viidata pahatahtlikele tegevustele, nagu võrguskannimine, DDoS-i rünnakute katsed, andmete allalaadimine, näiteks andmebaasifailide tükeldamine ja nende väljastamine perioodiliselt ilmuvates seanssides pikkade ajavahemike järel. Andmekeskust läbib tohutult palju liiklust, nii et kõrvalekallete tuvastamiseks peate kasutama täpsemaid otsingualgoritme ja ilma pakettanalüüsita. Oluline on mitte ainult pahatahtliku ja anomaalse tegevuse tunnuste tuvastamine, vaid ka pahavara toimimine isegi krüptitud liikluses ilma seda dekrüpteerimata, nagu on välja pakutud Cisco lahendustes (Stealthwatch).
Viimaseks piiriks on kohtvõrgu lõppseadmete kaitse: serverid ja virtuaalmasinad, näiteks lõppseadmetele (virtuaalmasinatele) paigaldatud agentide abil, mis analüüsivad I/O toiminguid, kustutamisi, koopiaid ja võrgutegevusi, edastada andmed , kus tehakse suurt arvutusvõimsust nõudvaid arvutusi. Seal tehakse Big Data algoritmide abil analüüs, ehitatakse masinloogikapuud ja tuvastatakse anomaaliaid. Algoritmid on iseõppivad, mis põhinevad tohutul hulgal andmetel, mida edastab globaalne andurite võrk.
Saate hakkama ilma agente installimata. Kaasaegsed infoturbe tööriistad peavad olema agentideta ja integreeritud operatsioonisüsteemidesse hüperviisori tasemel.
Loetletud meetmed vähendavad oluliselt infoturbe riske, kuid sellest ei pruugi piisata andmekeskuste jaoks, mis tagavad kõrge riskiga tootmisprotsesside automatiseerimise, näiteks tuumajaamad.
Regulatiivsed nõuded
Olenevalt töödeldavast teabest peavad füüsilised ja virtualiseeritud andmekeskuste infrastruktuurid vastama erinevatele seadustes ja tööstusharu standardites sätestatud turvanõuetele.
Selliste seaduste hulka kuuluvad sel aastal jõustunud seadus "Isikuandmete kohta" (152-FZ) ja seadus "Vene Föderatsiooni KII rajatiste turvalisuse kohta" (187-FZ) - prokuratuur on juba huvitatud selle rakendamise käigus. Vaidlused selle üle, kas andmekeskused kuuluvad CII subjektide hulka, on veel pooleli, kuid tõenäoliselt peavad andmekeskused, kes soovivad CII subjektidele teenuseid osutada, järgima uue seadusandluse nõudeid.
Valitsuse infosüsteeme majutavatel andmekeskustel ei saa olema kerge. Vastavalt Vene Föderatsiooni valitsuse 11.05.2017. mai 555 määrusele nr XNUMX tuleks enne GIS-i kommertskasutuselevõtmist lahendada infoturbe küsimused. Ja andmekeskus, mis soovib majutada GIS-i, peab esmalt vastama regulatiivsetele nõuetele.
Viimase 30 aasta jooksul on andmekeskuste turvasüsteemid jõudnud kaugele: alates lihtsatest füüsilistest kaitsesüsteemidest ja organisatsioonilistest meetmetest, mis pole aga oma aktuaalsust kaotanud, kuni keerukate intelligentsete süsteemideni, mis kasutavad üha enam tehisintellekti elemente. Kuid lähenemisviisi olemus pole muutunud. Kõige kaasaegsemad tehnoloogiad ei päästa teid ilma organisatsiooniliste meetmete ja personali koolituseta ning paberimajandus ei päästa teid ilma tarkvara ja tehniliste lahendusteta. Andmekeskuse turvalisust ei saa tagada lõplikult, see on pidev igapäevane pingutus prioriteetsete ohtude väljaselgitamiseks ja tekkivate probleemide kompleksseks lahendamiseks.
Mida veel blogist lugeda saab?
→
→
→
→
→
Telli meie -kanal, et te järgmisest artiklist ilma ei jääks! Kirjutame mitte rohkem kui kaks korda nädalas ja ainult tööasjades. Samuti tuletame teile meelde, et saate pilvelahendused Cloud4Y.
Allikas: www.habr.com