ProHoster > وبلاگ > اداره > امنیت اطلاعات مرکز داده

امنیت اطلاعات مرکز داده

امنیت اطلاعات مرکز داده
این چیزی است که مرکز مانیتورینگ مرکز داده NORD-2 واقع در مسکو به نظر می رسد

شما بیش از یک بار در مورد اقدامات انجام شده برای تضمین امنیت اطلاعات (IS) خوانده اید. هر متخصص فناوری اطلاعات که به خود احترام می گذارد می تواند به راحتی 5-10 قانون امنیت اطلاعات را نام ببرد. Cloud4Y ارائه می دهد تا در مورد امنیت اطلاعات مراکز داده صحبت کنید.

هنگام اطمینان از امنیت اطلاعات یک مرکز داده، "محافظت شده" ترین اشیاء عبارتند از:

  • منابع اطلاعاتی (داده)؛
  • فرآیندهای جمع آوری، پردازش، ذخیره و انتقال اطلاعات؛
  • کاربران سیستم و پرسنل تعمیر و نگهداری؛
  • زیرساخت‌های اطلاعاتی شامل ابزارهای سخت‌افزاری و نرم‌افزاری برای پردازش، انتقال و نمایش اطلاعات، از جمله کانال‌های تبادل اطلاعات، سیستم‌های امنیت اطلاعات و محل‌ها.

حوزه مسئولیت مرکز داده به مدل خدمات ارائه شده (IaaS/PaaS/SaaS) بستگی دارد. چگونه به نظر می رسد، تصویر زیر را ببینید:

امنیت اطلاعات مرکز داده
محدوده خط مشی امنیت مرکز داده بسته به مدل خدمات ارائه شده

مهمترین بخش تدوین سیاست امنیت اطلاعات، ایجاد مدلی از تهدیدها و ناقضان است. چه چیزی می تواند تهدیدی برای یک مرکز داده باشد؟

  1. رویدادهای نامطلوب طبیعت، انسان ساخته و اجتماعی
  2. تروریست ها، عناصر جنایتکار و غیره.
  3. وابستگی به تامین کنندگان، ارائه دهندگان، شرکا، مشتریان
  4. خرابی، خرابی، تخریب، آسیب به نرم افزار و سخت افزار
  5. کارکنان مرکز داده که تهدیدات امنیت اطلاعات را با استفاده از حقوق و اختیارات اعطا شده قانونی اجرا می کنند (ناقضان امنیت اطلاعات داخلی)
  6. کارکنان مرکز داده که تهدیدات امنیتی اطلاعات را خارج از حقوق و اختیارات قانونی اجرا می‌کنند و همچنین نهادهایی که با پرسنل مرکز داده مرتبط نیستند، اما اقدام به دسترسی غیرمجاز و اقدامات غیرمجاز می‌کنند (مخالفان خارجی امنیت اطلاعات)
  7. عدم رعایت الزامات مراجع نظارتی و نظارتی، قوانین جاری

تجزیه و تحلیل ریسک - شناسایی تهدیدهای بالقوه و ارزیابی مقیاس پیامدهای اجرای آنها - به انتخاب صحیح وظایف اولویتی که متخصصان امنیت اطلاعات مرکز داده باید حل کنند و برنامه ریزی بودجه برای خرید سخت افزار و نرم افزار کمک می کند.

تضمین امنیت فرآیندی مستمر است که شامل مراحل برنامه ریزی، اجرا و بهره برداری، نظارت، تحلیل و بهبود سیستم امنیت اطلاعات می باشد. برای ایجاد سیستم های مدیریت امنیت اطلاعات، به اصطلاح "چرخه دمینگ'.

بخش مهمی از سیاست های امنیتی، توزیع نقش ها و مسئولیت های پرسنل برای اجرای آنها است. سیاست ها باید به طور مستمر مورد بازنگری قرار گیرند تا منعکس کننده تغییرات در قوانین، تهدیدات جدید و دفاع های در حال ظهور باشند. و البته، الزامات امنیت اطلاعات را به کارکنان ابلاغ کنید و آموزش دهید.

اقدامات سازمانی

برخی از کارشناسان در مورد امنیت "کاغذی" تردید دارند و نکته اصلی را مهارت های عملی برای مقاومت در برابر تلاش های هک می دانند. تجربه واقعی در تضمین امنیت اطلاعات در بانک ها خلاف این را نشان می دهد. متخصصان امنیت اطلاعات ممکن است در شناسایی و کاهش خطرات تخصص بسیار خوبی داشته باشند، اما اگر پرسنل مرکز داده دستورالعمل های آنها را رعایت نکنند، همه چیز بیهوده خواهد بود.

امنیت، به عنوان یک قاعده، پول نمی آورد، بلکه فقط خطرات را به حداقل می رساند. بنابراین، اغلب به عنوان چیزی آزاردهنده و ثانویه تلقی می شود. و هنگامی که متخصصان امنیتی شروع به خشمگین شدن می کنند (با حق انجام این کار)، اغلب درگیری با کارکنان و روسای بخش های عملیاتی ایجاد می شود.

وجود استانداردهای صنعت و الزامات نظارتی به متخصصان امنیتی کمک می کند تا از موقعیت خود در مذاکرات با مدیریت دفاع کنند و سیاست ها، مقررات و مقررات امنیت اطلاعات تایید شده به کارکنان اجازه می دهد تا با الزامات تعیین شده در آنجا مطابقت داشته باشند و مبنایی را برای تصمیمات اغلب نامطلوب فراهم می کند.

حفاظت از محل

هنگامی که یک مرکز داده خدماتی را با استفاده از مدل کولوکیشن ارائه می دهد، اطمینان از امنیت فیزیکی و کنترل دسترسی به تجهیزات مشتری برجسته می شود. برای این منظور از محفظه هایی (قسمت های حصاردار سالن) استفاده می شود که تحت نظارت تصویری کارفرما بوده و دسترسی پرسنل مرکز داده به آنها محدود است.

در مراکز کامپیوتر دولتی با امنیت فیزیکی، اوضاع در پایان قرن گذشته بد نبود. کنترل دسترسی، کنترل دسترسی به محل، حتی بدون کامپیوتر و دوربین های ویدئویی، یک سیستم اطفای حریق وجود داشت - در صورت آتش سوزی، فریون به طور خودکار به اتاق ماشین رها می شد.

امروزه امنیت فیزیکی حتی بهتر تضمین شده است. سیستم های کنترل و مدیریت دسترسی (ACS) هوشمند شده اند و روش های بیومتریک محدودیت دسترسی معرفی می شوند.

سیستم های اطفاء حریق برای پرسنل و تجهیزات ایمن تر شده اند که از جمله آنها می توان به تاسیسات مهار، ایزوله، خنک کننده و اثرات هیپوکسیک در منطقه آتش سوزی اشاره کرد. در کنار سیستم‌های حفاظت آتش اجباری، مراکز داده اغلب از یک سیستم تشخیص حریق اولیه از نوع آسپیراسیون استفاده می‌کنند.

برای محافظت از مراکز داده در برابر تهدیدات خارجی - آتش سوزی، انفجار، فروریختن سازه های ساختمان، سیل، گازهای خورنده - اتاق های امنیتی و گاوصندوق شروع به استفاده کردند که در آن تجهیزات سرور تقریباً از تمام عوامل آسیب رسان خارجی محافظت می شود.

حلقه ضعیف خود شخص است

سیستم های نظارت تصویری "هوشمند"، سنسورهای ردیابی حجمی (آکوستیک، مادون قرمز، اولتراسونیک، مایکروویو)، سیستم های کنترل دسترسی خطرات را کاهش داده اند، اما همه مشکلات را حل نکرده اند. به عنوان مثال، وقتی افرادی که به درستی با ابزارهای صحیح وارد مرکز داده شده اند، به چیزی «قلاب» شده اند، این ابزار کمکی نخواهد کرد. و همانطور که اغلب اتفاق می افتد، یک مشکل تصادفی حداکثر مشکلات را به همراه خواهد داشت.

کار مرکز داده ممکن است تحت تأثیر سوء استفاده پرسنل از منابع آن قرار گیرد، به عنوان مثال، استخراج غیرقانونی. سیستم های مدیریت زیرساخت مرکز داده (DCIM) می توانند در این موارد کمک کنند.

پرسنل نیز نیاز به محافظت دارند، زیرا مردم اغلب آسیب پذیرترین حلقه در سیستم حفاظتی نامیده می شوند. حملات هدفمند توسط مجرمان حرفه ای اغلب با استفاده از روش های مهندسی اجتماعی آغاز می شود. اغلب امن‌ترین سیستم‌ها پس از کلیک/دانلود/انجام کاری توسط شخصی خراب می‌شوند یا در معرض خطر قرار می‌گیرند. چنین خطراتی را می توان با آموزش کارکنان و اجرای بهترین شیوه های جهانی در زمینه امنیت اطلاعات به حداقل رساند.

حفاظت از زیرساخت های مهندسی

تهدیدهای سنتی برای عملکرد یک مرکز داده، قطع برق و خرابی سیستم های خنک کننده است. ما قبلاً به چنین تهدیدهایی عادت کرده ایم و یاد گرفته ایم که با آنها مقابله کنیم.

یک روند جدید به معرفی گسترده تجهیزات "هوشمند" متصل به یک شبکه تبدیل شده است: UPS های کنترل شده، سیستم های خنک کننده و تهویه هوشمند، کنترلرها و سنسورهای مختلف متصل به سیستم های نظارت. هنگام ساخت یک مدل تهدید مرکز داده، نباید احتمال حمله به شبکه زیرساخت (و احتمالاً به شبکه فناوری اطلاعات مربوط به مرکز داده) را فراموش کنید. پیچیدگی وضعیت این واقعیت است که برخی از تجهیزات (به عنوان مثال، چیلرها) را می توان به خارج از مرکز داده، مثلاً، روی پشت بام یک ساختمان اجاره ای منتقل کرد.

حفاظت از کانال های ارتباطی

اگر مرکز داده خدماتی را نه تنها بر اساس مدل کولوکیشن ارائه دهد، باید با حفاظت از ابر نیز مقابله کند. طبق چک پوینت، تنها در سال گذشته، 51 درصد از سازمان‌ها در سراسر جهان حملاتی را به ساختارهای ابری خود تجربه کردند. حملات DDoS کسب‌وکارها را متوقف می‌کند، ویروس‌های رمزگذاری باج می‌خواهند، حملات هدفمند به سیستم‌های بانکی منجر به سرقت وجوه از حساب‌های خبرنگار می‌شود.

تهدیدات نفوذ خارجی نیز متخصصان امنیت اطلاعات مرکز داده را نگران می کند. مرتبط ترین حملات برای مراکز داده، حملات توزیع شده با هدف قطع ارائه خدمات، و همچنین تهدیدهای هک، سرقت یا تغییر داده های موجود در زیرساخت مجازی یا سیستم های ذخیره سازی است.

برای محافظت از محیط خارجی مرکز داده، از سیستم‌های مدرن با عملکردهایی برای شناسایی و خنثی کردن کدهای مخرب، کنترل برنامه‌ها و قابلیت وارد کردن فناوری حفاظت پیشگیرانه Threat Intelligence استفاده می‌شود. در برخی موارد، سیستم هایی با عملکرد IPS (جلوگیری از نفوذ) با تنظیم خودکار مجموعه امضا بر روی پارامترهای محیط محافظت شده مستقر می شوند.

برای محافظت در برابر حملات DDoS، شرکت های روسی معمولاً از خدمات تخصصی خارجی استفاده می کنند که ترافیک را به گره های دیگر هدایت می کند و آن را در فضای ابری فیلتر می کند. حفاظت در سمت اپراتور بسیار مؤثرتر از سمت مشتری است و مراکز داده به عنوان واسطه برای فروش خدمات عمل می کنند.

حملات DDoS داخلی در مراکز داده نیز امکان پذیر است: یک مهاجم به سرورهای ضعیف محافظت شده یک شرکت که تجهیزات خود را با استفاده از یک مدل کولوکیشن میزبانی می کند نفوذ می کند و از آنجا از طریق شبکه داخلی به سایر مشتریان این مرکز داده حمله انکار سرویس را انجام می دهد. .

روی محیط های مجازی تمرکز کنید

لازم است مشخصات شی محافظت شده را در نظر گرفت - استفاده از ابزارهای مجازی سازی، پویایی تغییرات در زیرساخت های فناوری اطلاعات، به هم پیوستگی خدمات، زمانی که یک حمله موفقیت آمیز به یک مشتری می تواند امنیت همسایگان را تهدید کند. به عنوان مثال، با هک کردن داکر frontend در حین کار در PaaS مبتنی بر Kubernetes، یک مهاجم می‌تواند بلافاصله تمام اطلاعات رمز عبور و حتی دسترسی به سیستم ارکستراسیون را به دست آورد.

محصولات ارائه شده تحت مدل خدمات دارای درجه بالایی از اتوماسیون هستند. به منظور عدم تداخل در تجارت، اقدامات امنیت اطلاعات باید به میزان کم‌تری از اتوماسیون و مقیاس افقی اعمال شود. مقیاس بندی باید در تمام سطوح امنیت اطلاعات، از جمله اتوماسیون کنترل دسترسی و چرخش کلیدهای دسترسی، تضمین شود. یک کار ویژه مقیاس گذاری ماژول های کاربردی است که ترافیک شبکه را بررسی می کند.

به عنوان مثال، فیلتر کردن ترافیک شبکه در سطوح برنامه، شبکه و جلسات در مراکز داده بسیار مجازی سازی شده باید در سطح ماژول های شبکه هایپروایزر (به عنوان مثال، فایروال توزیع شده VMware) یا با ایجاد زنجیره های خدمات (دیوارهای آتش مجازی از شبکه های Palo Alto) انجام شود. .

در صورت وجود ضعف در سطح مجازی سازی منابع محاسباتی، تلاش برای ایجاد یک سیستم جامع امنیت اطلاعات در سطح پلت فرم بی نتیجه خواهد بود.

سطوح حفاظت از اطلاعات در مرکز داده

رویکرد کلی برای حفاظت، استفاده از سیستم‌های امنیت اطلاعات یکپارچه و چند سطحی، از جمله تقسیم‌بندی کلان در سطح فایروال (تخصیص بخش‌ها برای حوزه‌های عملکردی مختلف کسب‌وکار)، تقسیم‌بندی خرد بر اساس فایروال‌های مجازی یا برچسب‌گذاری ترافیک گروه‌ها است. (نقش های کاربر یا خدمات) که توسط سیاست های دسترسی تعریف شده است.

سطح بعدی شناسایی ناهنجاری ها در داخل و بین بخش ها است. پویایی ترافیک تجزیه و تحلیل می شود، که ممکن است نشان دهنده وجود فعالیت های مخرب باشد، مانند اسکن شبکه، تلاش برای حملات DDoS، دانلود داده، به عنوان مثال، با برش دادن فایل های پایگاه داده و خروجی آنها در جلسات نمایش دوره ای در فواصل زمانی طولانی. حجم عظیمی از ترافیک از مرکز داده عبور می کند، بنابراین برای شناسایی ناهنجاری ها، باید از الگوریتم های جستجوی پیشرفته و بدون تجزیه و تحلیل بسته استفاده کنید. مهم است که نه تنها نشانه‌های فعالیت مخرب و غیرعادی شناسایی شوند، بلکه عملکرد بدافزار حتی در ترافیک رمزگذاری شده بدون رمزگشایی آن، همانطور که در راه‌حل‌های سیسکو (Stealthwatch) پیشنهاد شده است، نیز مهم است.

آخرین مرز حفاظت از دستگاه های پایانی شبکه محلی است: سرورها و ماشین های مجازی، به عنوان مثال، با کمک عوامل نصب شده بر روی دستگاه های پایانی (ماشین های مجازی)، که عملیات I/O، حذف ها، کپی ها و فعالیت های شبکه را تجزیه و تحلیل می کنند. انتقال داده به ابر، که در آن محاسباتی که به قدرت محاسباتی زیادی نیاز دارند انجام می شود. در آنجا، تجزیه و تحلیل با استفاده از الگوریتم های داده های بزرگ انجام می شود، درختان منطق ماشین ساخته می شوند و ناهنجاری ها شناسایی می شوند. الگوریتم ها بر اساس حجم عظیمی از داده های ارائه شده توسط شبکه جهانی حسگرها خودآموز هستند.

شما می توانید بدون نصب عوامل انجام دهید. ابزارهای مدرن امنیت اطلاعات باید بدون عامل و در سیستم عامل های سطح هایپروایزر یکپارچه باشند.
اقدامات ذکر شده به طور قابل توجهی خطرات امنیت اطلاعات را کاهش می دهد، اما این ممکن است برای مراکز داده که اتوماسیون فرآیندهای تولید پرخطر را فراهم می کنند، به عنوان مثال، نیروگاه های هسته ای کافی نباشد.

ملزومات قانونی

بسته به اطلاعات در حال پردازش، زیرساخت‌های مرکز داده فیزیکی و مجازی‌سازی شده باید الزامات امنیتی متفاوتی را که در قوانین و استانداردهای صنعتی ذکر شده است، برآورده کنند.

چنین قوانینی شامل قانون "در مورد داده های شخصی" (152-FZ) و قانون "در مورد امنیت تاسیسات KII فدراسیون روسیه" (187-FZ) است که در سال جاری لازم الاجرا شد - دادستانی قبلاً علاقه مند شده است. در پیشرفت اجرای آن. اختلافات در مورد اینکه آیا مراکز داده متعلق به افراد CII هستند یا خیر همچنان ادامه دارد، اما به احتمال زیاد، مراکز داده ای که مایل به ارائه خدمات به افراد CII هستند باید با الزامات قانون جدید مطابقت داشته باشند.

برای مراکز داده ای که سیستم های اطلاعاتی دولتی را میزبانی می کنند آسان نخواهد بود. طبق فرمان دولت فدراسیون روسیه مورخ 11.05.2017 مه 555 به شماره XNUMX، مسائل مربوط به امنیت اطلاعات باید قبل از قرار دادن GIS در عملیات تجاری حل شود. و مرکز داده ای که می خواهد یک GIS میزبانی کند باید ابتدا الزامات نظارتی را برآورده کند.

در طول 30 سال گذشته، سیستم‌های امنیتی مراکز داده راه طولانی را طی کرده‌اند: از سیستم‌های حفاظت فیزیکی ساده و اقدامات سازمانی، که با این حال، ارتباط خود را از دست نداده‌اند، تا سیستم‌های هوشمند پیچیده، که به طور فزاینده‌ای از عناصر هوش مصنوعی استفاده می‌کنند. اما ماهیت رویکرد تغییر نکرده است. مدرن ترین فناوری ها بدون اقدامات سازمانی و آموزش کارکنان شما را نجات نمی دهند و کاغذبازی نیز بدون نرم افزار و راهکارهای فنی شما را نجات نمی دهد. امنیت مرکز داده را نمی توان یکبار برای همیشه تضمین کرد؛ این یک تلاش مداوم روزانه برای شناسایی تهدیدهای اولویت دار و حل همه جانبه مشکلات نوظهور است.

چه چیز دیگری می توانید در وبلاگ بخوانید؟ Cloud4Y

راه اندازی تاپ در گنو/لینوکس
نفوذگران در خط مقدم امنیت سایبری
مسیر هوش مصنوعی از یک ایده خارق العاده به صنعت علمی
4 روش برای صرفه جویی در پشتیبان گیری ابری
داستان مات

مشترک ما شوید تلگرام-کانال تا مقاله بعدی را از دست ندهید! ما بیش از دو بار در هفته نمی نویسیم و فقط به صورت تجاری. همچنین به شما یادآوری می کنیم که می توانید تست رایگان راه حل های ابری Cloud4Y.

منبع: www.habr.com

اضافه کردن نظر