ProHoster > Blog > Administrazioa > Datu zentroko informazioaren segurtasuna

Datu zentroko informazioaren segurtasuna

Datu zentroko informazioaren segurtasuna
Horrelakoa da Moskun kokatutako NORD-2 datu-zentroaren monitorizazio zentroak

Behin baino gehiagotan irakurri duzu informazioaren segurtasuna (IS) bermatzeko zer neurri hartzen diren. Bere burua errespetatzen duen edozein informatikaren espezialistak erraz izenda ditzake 5-10 informazioaren segurtasun-arau. Cloud4Y-k datu-zentroen informazio-segurtasunari buruz hitz egitea eskaintzen du.

Datu-zentro baten informazioaren segurtasuna bermatzean, gehien β€œbabestutako” objektuak hauek dira:

  • informazio baliabideak (datuak);
  • informazioa biltzeko, tratatzeko, gordetzeko eta transmititzeko prozesuak;
  • sistemaren erabiltzaileak eta mantentze-langileak;
  • informazio-azpiegitura, informazioa prozesatu, transmititu eta bistaratzeko hardware- eta software-tresnak barne, informazioa trukatzeko bideak, informazioaren segurtasun-sistemak eta lokalak barne.

Datu-zentroaren ardura-eremua eskaintzen diren zerbitzuen ereduaren araberakoa da (IaaS/PaaS/SaaS). Nola ikusten duen, ikusi beheko irudia:

Datu zentroko informazioaren segurtasuna
Datu-zentroaren segurtasun-politikaren esparrua eskaintzen den zerbitzu-ereduaren arabera

Informazioaren segurtasun politika garatzeko zatirik garrantzitsuena mehatxuen eta urratzaileen eredu bat eraikitzea da. Zer bihur daiteke datu-zentro baterako mehatxu?

  1. Izaera naturala, gizakiak sortutako eta sozialeko gertakari kaltegarriak
  2. Terroristak, elementu kriminalak, etab.
  3. Hornitzaile, hornitzaile, bazkide, bezeroekiko menpekotasuna
  4. Hutsegiteak, hutsegiteak, suntsipena, software eta hardwarearen kalteak
  5. Datu-zentroko langileek informazioaren segurtasun-mehatxuak ezartzen dituztenak legez emandako eskubideak eta ahalmenak erabiliz (informazioaren segurtasunaren barne-urratzaileak)
  6. Datu-zentroko langileak, legez emandako eskubide eta eskumenetatik kanpo informazioaren segurtasun-mehatxuak ezartzen dituztenak, bai eta datu-zentroko langileekin zerikusirik ez duten entitateak ere, baina baimenik gabe sartzen saiatzen eta baimenik gabeko ekintzak (informazioaren segurtasunaren kanpoko urratzaileak)
  7. Gainbegiratze- eta arau-agintarien eskakizunak ez betetzea, indarrean dagoen legeria

Arriskuen analisiak -mehatxu potentzialak identifikatzea eta horiek ezartzearen ondorioen tamaina ebaluatzea- lagungarri izango da datu-zentroko informazio-segurtasuneko espezialistek ebatzi behar dituzten lehentasunezko zereginak zuzen hautatzen eta hardware eta softwarea erosteko aurrekontuak planifikatzen.

Segurtasuna bermatzea informazio-segurtasun sistemaren plangintza, ezarpen eta funtzionamendu, jarraipena, analisi eta hobekuntza faseak barne hartzen dituen etengabeko prozesu bat da. Informazioaren segurtasuna kudeatzeko sistemak sortzeko, "Deming zikloa'.

Segurtasun-politiken zati garrantzitsu bat langileen rolak eta erantzukizunak ezartzea da. Politikak etengabe berrikusi behar dira, legeriaren aldaketak, mehatxu berriak eta sortzen ari diren defentsak islatzeko. Eta, jakina, langileei informazioaren segurtasun baldintzak helarazi eta prestakuntza ematea.

Antolamendu-neurriak

Aditu batzuk eszeptiko dira "paperezko" segurtasunari buruz, gauza nagusia hacking saiakerei aurre egiteko trebetasun praktikoak direla kontuan hartuta. Bankuetan informazioaren segurtasuna bermatzeko benetako esperientziak kontrakoa iradokitzen du. Informazioaren segurtasuneko espezialistek esperientzia bikaina izan dezakete arriskuak identifikatzeko eta arintzeko, baina datu-zentroko langileek beren argibideak betetzen ez badituzte, dena alferrik izango da.

Segurtasunak, oro har, ez du dirua ekartzen, arriskuak gutxitzen ditu soilik. Hori dela eta, askotan kezkagarria eta bigarren mailako zerbait bezala tratatzen da. Eta segurtasuneko espezialistak haserretzen hasten direnean (horretarako eskubide osoz), gatazkak sortzen dira askotan langileekin eta operazio-sailetako buruekin.

Industriako estandarrak eta arau-eskakizunak egoteak segurtasun-profesionalek zuzendaritzarekin dituzten negoziazioetan beren jarrerak defendatzen laguntzen die, eta onartutako informazioaren segurtasun-politikek, araudiek eta araudiek bertan ezarritako eskakizunak betetzeko aukera ematen dute, askotan ez diren erabakiak hartzeko oinarria.

Lokalen babesa

Datu-zentro batek kolokazio eredua erabiliz zerbitzuak eskaintzen dituenean, bezeroaren ekipoetarako segurtasun fisikoa eta sarbide-kontrola bermatzea nabarmentzen da. Horretarako, itxiturak (aretoaren zati hesituak) erabiltzen dira, bezeroaren bideo-zaintzapean daudenak eta datu-zentroko langileentzako sarbidea mugatuta daudenak.

Segurtasun fisikoa zuten estatuko informatika-zentroetan gauzak ez zeuden gaizki joan den mendearen amaieran. Sarbide-kontrola zegoen, lokaletarako sarbide-kontrola, ordenagailurik eta bideo-kamerarik gabe ere, sua itzaltzeko sistema bat -sute bat gertatuz gero, freoia automatikoki askatzen zen makina-gelara-.

Gaur egun, segurtasun fisikoa are hobeto bermatzen da. Sarbide-kontrol eta kudeaketa-sistemak (ACS) adimentsuak bihurtu dira, eta sarbidea murrizteko metodo biometrikoak sartzen ari dira.

Suak itzaltzeko sistemak seguruagoak bihurtu dira langileentzat eta ekipoentzat, eta horien artean daude suaren eremuan inhibitzeko, isolatzeko, hozteko eta efektu hipoxikoetarako instalazioak. Suteen babeserako derrigorrezko sistemekin batera, datu-zentroek sarritan aspirazio motako suteak detektatzeko sistema goiztiarra erabiltzen dute.

Datu-zentroak kanpoko mehatxuetatik babesteko (suteak, leherketak, eraikinen egituren kolapsoa, uholdeak, gas korrosiboak) segurtasun-gelak eta kutxa gotorrak erabiltzen hasi ziren, zeinetan zerbitzari-ekipoak kanpoko kalte-faktore ia guztietatik babestuta dauden.

Lotura ahula pertsona da

Bideozaintzako sistema "adimendunak", jarraipen-sentsore bolumetrikoak (akustikoak, infragorriak, ultrasoinuak, mikrouhinak), sarbideak kontrolatzeko sistemek arriskuak murriztu dituzte, baina ez dituzte arazo guztiak konpondu. Baliabide hauek ez dute lagunduko, adibidez, tresna egokiekin datu-zentroan behar bezala sartu ziren pertsonak zerbaitekin "engantxatuta" zeudenean. Eta, maiz gertatzen den bezala, ustekabeko traba batek arazo handienak ekarriko ditu.

Datu-zentroaren lana langileek baliabideen erabilera okerrak eragin dezakete, adibidez, legez kanpoko meatzaritza. Datu zentroen azpiegitura kudeatzeko (DCIM) sistemek lagun dezakete kasu hauetan.

Langileek ere babesa behar dute, askotan babes-sistemako loturarik ahulena deitzen zaielako. Gaizkile profesionalek zuzendutako erasoak ingeniaritza sozialeko metodoen erabilerarekin hasten dira gehienetan. Sarritan sistema seguruenak huts egiten dira edo arriskuan jartzen dira norbaitek zerbait egin ondoren klikatu/deskargatu/egin ostean. Arrisku horiek minimiza daitezke langileak prestatzen eta informazio-segurtasunaren alorrean praktika onen globalak ezarriz.

Ingeniaritza azpiegituren babesa

Datu-zentro baten funtzionamendurako mehatxu tradizionalak elektrizitate hutsegite eta hozte sistemen akatsak dira. Dagoeneko ohitu gara horrelako mehatxuetara eta haiei aurre egiten ikasi dugu.

Joera berri bat bihurtu da sare batera konektatutako ekipo "adimendunak" hedatu izana: UPS kontrolatuak, hozte eta aireztapen sistema adimendunak, monitorizazio sistemetara konektatuta dauden hainbat kontroladore eta sentsore. Datu-zentroko mehatxu-eredu bat eraikitzean, ez duzu ahaztu behar azpiegitura-sarean (eta, seguru asko, datu-zentroaren IT sarean) eraso bat gertatzeko probabilitateaz. Egoera zailtzen duena, ekipo batzuk (adibidez, hozkailuak) datu-zentrotik kanpo eraman daitezkeela, esate baterako, alokairuko eraikin baten teilatuan.

Komunikazio bideak babestea

Datu-zentroak kokapen-ereduaren arabera ez ezik zerbitzuak eskaintzen baditu, orduan hodeiko babesari aurre egin beharko dio. Check Point-en arabera, iaz bakarrik, mundu osoko erakundeen % 51ek hodeiko egituretan erasoak jasan zituzten. DDoS erasoek negozioak geldiarazten dituzte, enkriptatze birusek erreskatea eskatzen dute, banku-sistemei zuzendutako erasoek korrespontsalen kontuetatik funtsak lapurtzea eragiten dute.

Kanpoko intrusioen mehatxuek ere kezkatzen dituzte datu zentroko informazioaren segurtasuneko espezialistak. Datu-zentroetarako garrantzitsuenak zerbitzuen eskaintza etetera zuzendutako eraso banatuak dira, bai eta azpiegitura birtualetan edo biltegiratze-sistemetan dauden datuak pirateatzeko, lapurtzeko edo aldatzeko mehatxuak ere.

Datu-zentroaren kanpoko perimetroa babesteko, sistema modernoak erabiltzen dira kode gaiztoa identifikatzeko eta neutralizatzeko funtzioekin, aplikazioen kontrola eta Threat Intelligence babes proaktiboaren teknologia inportatzeko gaitasunarekin. Zenbait kasutan, IPS (intrusioen prebentzioa) funtzionaltasuna duten sistemak babestutako ingurunearen parametroetara ezarritako sinadura automatikoki doitzen dira.

DDoS erasoetatik babesteko, Errusiako konpainiek, oro har, trafikoa beste nodo batzuetara desbideratzen duten eta hodeian iragazten duten kanpoko zerbitzu espezializatuak erabiltzen dituzte. Operadorearen aldetik babesa bezeroaren aldetik baino askoz eraginkorragoa da, eta datu-zentroek bitartekari gisa jarduten dute zerbitzuak saltzeko.

Barne DDoS erasoak ere gerta daitezke datu-zentroetan: erasotzaile batek bere ekipamenduak ostatatzen dituen enpresa baten zerbitzarietan sartzen da kolokazio-eredu bat erabiliz, eta hortik zerbitzu ukatze-eraso bat egiten du datu-zentro honetako beste bezero batzuen aurka barne sarearen bidez. .

Ingurune birtualetan zentratu

Babestutako objektuaren berezitasunak kontuan hartu behar dira: birtualizazio tresnen erabilera, IT azpiegituren aldaketen dinamika, zerbitzuen interkonexioa, bezero baten aurkako eraso arrakastatsu batek bizilagunen segurtasuna arriskuan jar dezakeenean. Adibidez, Kubernetes-en oinarritutako PaaS batean lanean ari den frontend-a hackeatzen baduzu, erasotzaileak berehala lor dezake pasahitzaren informazio guztia eta baita orkestrazio sistemarako sarbidea ere.

Zerbitzu ereduaren arabera eskaintzen diren produktuek automatizazio maila handia dute. Negozioa ez oztopatzeko, informazioaren segurtasun-neurriak automatizazio eta eskalatze horizontal maila gutxiagorekin aplikatu behar dira. Eskalatzea informazioaren segurtasun-maila guztietan bermatu behar da, sarbide-kontrolaren automatizazioa eta sarbide-gakoen biraketa barne. Zeregin berezi bat sareko trafikoa ikuskatzen duten modulu funtzionalak eskalatzea da.

Esate baterako, sareko trafikoa iragaztea oso birtualizatutako datu-zentroetan aplikazio, sare eta saio mailetan hipervisor sareko moduluen mailan egin behar da (adibidez, VMwareren Distributed Firewall) edo zerbitzu kateak sortuz (Palo Alto Networks-en suebaki birtualak) .

Baliabide informatikoen birtualizazio mailan ahuleziak badaude, plataforma mailan informazio-segurtasun sistema integral bat sortzeko ahaleginak ez dira eraginkorrak izango.

Datu-zentroan informazioa babesteko mailak

Babesaren ikuspegi orokorra maila anitzeko informazioaren segurtasun sistema integratuak erabiltzea da, suebaki mailan makro-segmentazioa barne (segmentuen esleipena negozio-eremu funtzional ezberdinetarako), suebaki birtualetan oinarritutako mikro-segmentazioa edo taldeen trafikoa etiketatzea barne. (erabiltzaile-rolak edo zerbitzuak) sarbide-politikek definituta.

Hurrengo maila segmentuen barruan eta artean anomaliak identifikatzea da. Trafiko-dinamikak aztertzen dira, eta horrek jarduera maltzurren presentzia adieraz dezake, hala nola sare-eskaneatzea, DDoS erasoen saiakerak, datuak deskargatzea, adibidez, datu-base-fitxategiak zatituz eta aldian-aldian agertzen diren saioetan irtetea. Datu-zentrotik trafiko kopuru izugarriak pasatzen dira, beraz, anomaliak identifikatzeko, bilaketa-algoritmo aurreratuak erabili behar dituzu eta paketeen azterketarik gabe. Garrantzitsua da jarduera maltzurren eta anomaliaren seinaleak aitortzeaz gain, malwarearen funtzionamendua ere deszifratu gabe enkriptatutako trafikoan ere, Cisco soluzioetan (Stealthwatch) proposatzen den bezala.

Azken muga sare lokalaren amaierako gailuen babesa da: zerbitzariak eta makina birtualak, adibidez, amaierako gailuetan instalatutako agenteen laguntzarekin (makina birtualak), I/O eragiketak, ezabaketak, kopiak eta sareko jarduerak aztertzen dituztenak. datuak transmititu hodeia, non konputazio potentzia handia eskatzen duten kalkuluak egiten diren. Bertan, Big Data algoritmoak erabiliz analisiak egiten dira, makinen zuhaitz logikoak eraikitzen dira eta anomaliak identifikatzen dira. Algoritmoak autoikaskuntza dira sentsore sare global batek emandako datu kopuru handi batean oinarrituta.

Agenteak instalatu gabe egin dezakezu. Informazioaren segurtasun tresna modernoek agenterik gabekoak izan behar dute eta hipervisore mailan sistema eragileetan integratuta egon behar dute.
Zerrendatutako neurriek informazioaren segurtasunaren arriskuak nabarmen murrizten dituzte, baina baliteke hori nahikoa ez izatea arrisku handiko ekoizpen-prozesuen automatizazioa eskaintzen duten datu-zentroentzat, adibidez, zentral nuklearrentzat.

Arau-eskakizunak

Prozesatzen ari den informazioaren arabera, datu-zentro fisiko eta birtualizatuen azpiegiturak legeetan eta industriako estandarretan ezarritako segurtasun-baldintza desberdinak bete behar dituzte.

Lege horien artean, aurten indarrean sartu den "Datu Pertsonalei buruzkoa" (152-FZ) eta "KII Instalazioen Segurtasunari buruzkoa Errusiako Federazioaren" legea (187-FZ) legeak daude - Fiskaltzak dagoeneko interesatu du. bere ezarpenaren aurrerapenean. Datu-zentroak CII subjektuei dagozkien ala ez eztabaidak jarraitzen dute oraindik, baina ziurrenik, CII subjektuei zerbitzuak eman nahi dizkieten datu-zentroek legedi berriaren eskakizunak bete beharko dituzte.

Ez da erraza izango gobernuaren informazio sistemak hartzen dituzten datu-zentroentzat. Errusiar Federazioko Gobernuaren 11.05.2017ko maiatzaren 555ko XNUMX zenbakiko Dekretuaren arabera, informazioaren segurtasun-arazoak konpondu behar dira GIS merkataritza-eragiketa jarri aurretik. Eta GIS bat jaso nahi duen datu-zentro batek arauzko baldintzak bete behar ditu lehenik.

Azken 30 urteotan, datu-zentroen segurtasun-sistemek bide luzea egin dute: babes fisikoko sistema soiletatik eta antolaketa-neurrietatik, baina ez dute garrantzia galdu, sistema adimendun konplexuetaraino, adimen artifizialaren elementuak gero eta gehiago erabiltzen dituztenetara. Baina ikuspegiaren funtsa ez da aldatu. Teknologia modernoenek ez zaituzte salbatuko antolakuntza-neurririk gabe eta langileen prestakuntzarik gabe, eta paperak ez zaitu salbatuko software eta irtenbide teknikorik gabe. Datu zentroen segurtasuna ezin da behingoz ziurtatu; lehentasunezko mehatxuak identifikatzeko eta sortzen diren arazoak modu integralean konpontzeko eguneroko ahalegina da etengabe.

Zer gehiago irakur dezakezu blogean? Hodeia4Y

β†’ GNU/Linux-en goiko konfigurazioa
β†’ Pentesterrak zibersegurtasunaren abangoardian
β†’ Adimen artifizialaren bidea ideia fantastiko batetik industria zientifikorako
β†’ Hodeiko babeskopietan aurrezteko 4 modu
β†’ Mutt istorioa

Harpidetu gure Telegrama-kanala hurrengo artikulua galdu ez dezazun! Astean bitan baino gehiago ez dugu idazten eta negozioetan bakarrik. Ahal duzula ere gogorarazten dizugu proba doan hodeiko irtenbideak Cloud4Y.

Iturria: www.habr.com

Gehitu iruzkin berria