Tältä näyttää Moskovassa sijaitsevan NORD-2-palvelinkeskuksen valvontakeskus
Olet lukenut useammin kuin kerran toimenpiteistä tietoturvan (IS) varmistamiseksi. Jokainen itseään kunnioittava IT-asiantuntija osaa helposti nimetä 5-10 tietoturvasääntöä. Cloud4Y tarjoaa puheenvuoron datakeskusten tietoturvasta.
Tietokeskuksen tietoturvaa varmistettaessa "suojatuimpia" kohteita ovat:
- tietoresurssit (data);
- tietojen keruu-, käsittely-, tallennus- ja siirtoprosessit;
- järjestelmän käyttäjät ja huoltohenkilöstö;
- tietoinfrastruktuuri, mukaan lukien laitteisto- ja ohjelmistotyökalut tietojen käsittelyyn, siirtoon ja näyttämiseen, mukaan lukien tiedonvaihtokanavat, tietoturvajärjestelmät ja -tilat.
Palvelinkeskuksen vastuualue riippuu tarjottavien palveluiden mallista (IaaS/PaaS/SaaS). Miltä se näyttää, katso alla oleva kuva:
Palvelinkeskuksen tietoturvapolitiikan laajuus tarjottavien palveluiden mallin mukaan
Tietoturvapolitiikan kehittämisen tärkein osa on mallin rakentaminen uhista ja loukkauksista. Mistä voi tulla uhka palvelinkeskukselle?
- Luonnolliset, ihmisen aiheuttamat ja sosiaaliset haittatapahtumat
- Terroristit, rikolliset elementit jne.
- Riippuvuus tavarantoimittajista, palveluntarjoajista, kumppaneista, asiakkaista
- Virheet, viat, tuhoutuminen, ohjelmiston ja laitteiston vauriot
- Tietokeskuksen työntekijät, jotka toteuttavat tietoturvauhkia laillisesti myönnetyillä oikeuksilla ja valtuuksilla (sisäiset tietoturvaloukkaajat)
- Palvelinkeskuksen työntekijät, jotka toteuttavat tietoturvauhkia laillisesti myönnettyjen oikeuksien ja valtuuksien ulkopuolella, sekä tahot, jotka eivät liity palvelinkeskuksen henkilöstöön, mutta yrittävät luvatonta pääsyä ja luvatonta toimintaa (ulkoiset tietoturvaloukkaajat)
- Valvonta- ja sääntelyviranomaisten vaatimusten, voimassa olevan lainsäädännön noudattamatta jättäminen
Riskianalyysi - mahdollisten uhkien tunnistaminen ja niiden toteutumisen seurausten laajuuden arviointi - auttaa valitsemaan oikein ensisijaiset tehtävät, jotka konesalin tietoturvaasiantuntijoiden on ratkaistava, sekä suunnittelemaan budjetit laitteiston ja ohjelmiston hankintaan.
Turvallisuuden varmistaminen on jatkuva prosessi, joka sisältää tietoturvajärjestelmän suunnittelun, toteutuksen ja toiminnan, seurannan, analysoinnin ja parantamisen vaiheet. Tietoturvan hallintajärjestelmien luomiseksi ns.'.
Tärkeä osa turvallisuuspolitiikkaa on henkilöstön roolien ja vastuiden jakaminen niiden toteuttamiseksi. Politiikoita tulee jatkuvasti tarkistaa, jotta ne heijastavat lainsäädännön muutoksia, uusia uhkia ja uusia puolustuskeinoja. Ja tietysti tiedottaa tietoturvavaatimuksista henkilökunnalle ja tarjota koulutusta.
Organisatoriset toimenpiteet
Jotkut asiantuntijat suhtautuvat skeptisesti "paperilliseen" tietoturvaan, sillä tärkeintä on käytännön taidot vastustaa hakkerointiyrityksiä. Todellinen kokemus pankkien tietoturvan varmistamisesta viittaa päinvastaiseen. Tietoturva-asiantuntijoilla voi olla erinomaista osaamista riskien tunnistamisessa ja vähentämisessä, mutta jos konesalin henkilökunta ei noudata heidän ohjeitaan, kaikki on turhaa.
Turvallisuus ei pääsääntöisesti tuo rahaa, vaan vain minimoi riskit. Siksi sitä pidetään usein häiritsevänä ja toissijaisena. Ja kun turvallisuusasiantuntijat alkavat olla närkästyneitä (kaikilla oikeuksilla siihen), syntyy usein konflikteja henkilöstön ja operatiivisten osastojen päälliköiden kanssa.
Alan standardien ja säädösten olemassaolo auttaa tietoturva-ammattilaisia puolustamaan asemaansa neuvotteluissa johdon kanssa, ja hyväksytyt tietoturvakäytännöt, -määräykset ja -määräykset antavat henkilöstölle mahdollisuuden noudattaa niissä asetettuja vaatimuksia, mikä muodostaa perustan usein epäsuosituille päätöksille.
Tilojen suojaus
Kun palvelinkeskus tarjoaa palveluita kolokaatiomallilla, fyysisen turvallisuuden varmistaminen ja asiakkaan laitteiden kulunvalvonta tulevat etusijalle. Tätä tarkoitusta varten käytetään aitauksia (hallin aidattuja osia), jotka ovat asiakkaan videovalvonnassa ja joihin konesalin henkilökunnan pääsy on rajoitettu.
Valtion tietokonekeskuksissa, joissa on fyysinen turvallisuus, asiat eivät olleet huonosti viime vuosisadan lopussa. Siellä oli kulunvalvonta, kulunvalvonta tiloihin, myös ilman tietokoneita ja videokameroita, palonsammutusjärjestelmä - tulipalon sattuessa freonia vapautui automaattisesti konehuoneeseen.
Nykyään fyysinen turvallisuus on taattu entistä paremmin. Kulunvalvonta- ja hallintajärjestelmistä (ACS) on tullut älykkäitä, ja biometrisiä pääsynrajoitusmenetelmiä otetaan käyttöön.
Palonsammutusjärjestelmät ovat tulleet turvallisemmiksi henkilökunnalle ja laitteille, mukaan lukien paloalueen esto-, eristys-, jäähdytys- ja hypoksiset asennukset. Pakollisten palontorjuntajärjestelmien ohella palvelinkeskukset käyttävät usein aspiraatiotyyppistä varhaisen palonhavaitsemisjärjestelmää.
Tietokeskusten suojaamiseksi ulkoisilta uhilta - tulipalot, räjähdykset, rakennusrakenteiden romahtaminen, tulvat, syövyttävät kaasut - alettiin käyttää turvahuoneita ja kassakaappeja, joissa palvelinlaitteet on suojattu lähes kaikilta ulkoisilta vahingollisilta tekijöiltä.
Heikko lenkki on ihminen
"Älykkäät" videovalvontajärjestelmät, tilavuusseuranta-anturit (akustinen, infrapuna, ultraääni, mikroaaltouuni), kulunvalvontajärjestelmät ovat vähentäneet riskejä, mutta eivät ole ratkaisseet kaikkia ongelmia. Nämä keinot eivät auta esimerkiksi silloin, kun palvelinkeskukseen oikein oikeilla työkaluilla päässeet ihmiset "kiinnittyivät" johonkin. Ja kuten usein tapahtuu, vahingossa tapahtuva pätkä tuo suurimmat ongelmat.
Palvelinkeskuksen toimintaan voi vaikuttaa henkilöstön resurssien väärinkäyttö, esimerkiksi laiton louhinta. Tietokeskusten infrastruktuurin hallintajärjestelmät (DCIM) voivat auttaa näissä tapauksissa.
Myös henkilöstö tarvitsee suojelua, sillä ihmisiä kutsutaan usein suojajärjestelmän haavoittuvimmiksi lenkkiksi. Ammattirikollisten kohdennetut hyökkäykset alkavat useimmiten sosiaalisen manipuloinnin menetelmillä. Usein turvallisimmat järjestelmät kaatuvat tai vaarantuvat, kun joku on napsauttanut/latannut/ tehnyt jotain. Tällaisia riskejä voidaan minimoida kouluttamalla henkilöstöä ja ottamalla käyttöön globaaleja parhaita käytäntöjä tietoturvan alalla.
Teknisen infrastruktuurin suojaaminen
Perinteisiä uhkia konesalin toiminnalle ovat sähkökatkot ja jäähdytysjärjestelmien viat. Olemme jo tottuneet tällaisiin uhkiin ja oppineet käsittelemään niitä.
Uutena trendinä on tullut laajalle levinnyt "älykkäiden" verkkoon kytkettyjen laitteiden käyttöönotto: ohjatut UPS:t, älykkäät jäähdytys- ja ilmanvaihtojärjestelmät, erilaiset valvontajärjestelmiin kytketyt säätimet ja anturit. Konesaliuhkamallia rakennettaessa ei pidä unohtaa hyökkäyksen todennäköisyyttä infrastruktuuriverkkoon (ja mahdollisesti myös siihen liittyvään konesalin IT-verkkoon). Tilannetta mutkistaa se, että osa laitteista (esimerkiksi jäähdyttimet) voidaan siirtää konesalin ulkopuolelle, vaikkapa vuokrarakennuksen katolle.
Viestintäkanavien suojaus
Jos palvelinkeskus tarjoaa palveluita paitsi kolokaatiomallin mukaan, sen on käsiteltävä pilvisuojausta. Check Pointin mukaan pelkästään viime vuonna 51 % organisaatioista ympäri maailmaa koki hyökkäyksiä pilvirakenteisiinsa. DDoS-hyökkäykset pysäyttävät yrityksiä, salausvirukset vaativat lunnaita, kohdistetut hyökkäykset pankkijärjestelmiin johtavat varojen varastamiseen kirjeenvaihtajatileiltä.
Ulkopuolisten tunkeutumisten uhka huolestuttaa myös konesalin tietoturva-asiantuntijoita. Tietokeskusten kannalta oleellisimmat ovat hajautetut hyökkäykset, joiden tarkoituksena on keskeyttää palvelujen tarjoaminen, sekä virtuaalisen infrastruktuurin tai tallennusjärjestelmien sisältämien tietojen hakkeroinnin, varkauden tai muuttamisen uhkat.
Palvelinkeskuksen ulkoreunan suojaamiseksi käytetään nykyaikaisia järjestelmiä, joissa on toimintoja haitallisen koodin tunnistamiseen ja neutralointiin, sovellusten hallintaan ja mahdollisuus tuoda Threat Intelligence -proaktiivista suojaustekniikkaa. Joissakin tapauksissa järjestelmiä, joissa on IPS-toiminto (tunkeutumisen esto), otetaan käyttöön siten, että allekirjoitusjoukko säädetään automaattisesti suojatun ympäristön parametrien mukaan.
Suojautuakseen DDoS-hyökkäyksiltä venäläiset yritykset käyttävät yleensä ulkoisia erikoispalveluita, jotka ohjaavat liikenteen muihin solmuihin ja suodattavat sen pilvessä. Suojaus operaattoripuolella on paljon tehokkaampaa kuin asiakaspuolella, ja palvelinkeskukset toimivat välittäjinä palvelujen myynnissä.
Sisäiset DDoS-hyökkäykset ovat mahdollisia myös palvelinkeskuksissa: hyökkääjä tunkeutuu laitteistoaan isännöivän yrityksen heikosti suojatuille palvelimille kolokaatiomallilla ja suorittaa sieltä palvelunestohyökkäyksen tämän palvelinkeskuksen muihin asiakkaisiin sisäisen verkon kautta. .
Keskity virtuaaliympäristöihin
On tarpeen ottaa huomioon suojatun kohteen erityispiirteet - virtualisointityökalujen käyttö, IT-infrastruktuurien muutosten dynamiikka, palvelujen yhteenliitettävyys, kun onnistunut hyökkäys yhtä asiakasta vastaan voi uhata naapureiden turvallisuutta. Esimerkiksi hakkeroimalla käyttöliittymän telakointiaseman työskennellessään Kubernetes-pohjaisessa PaaS:ssä, hyökkääjä voi saada välittömästi kaikki salasanatiedot ja jopa pääsyn orkestrointijärjestelmään.
Palvelumallin alla toimitetuissa tuotteissa on korkea automaatioaste. Jotta liiketoimintaa ei häiritä, tietoturvatoimenpiteitä tulee soveltaa yhtä vähän automaatioasteessa ja horisontaalisessa skaalauksessa. Skaalaus tulisi varmistaa kaikilla tietoturvan tasoilla, mukaan lukien kulunvalvonnan automatisointi ja pääsyavaimien kierto. Erityinen tehtävä on verkkoliikennettä tarkastelevien toiminnallisten moduulien skaalaus.
Esimerkiksi verkkoliikenteen suodatus sovellus-, verkko- ja istuntotasoilla pitkälle virtualisoiduissa datakeskuksissa tulisi suorittaa hypervisor-verkkomoduulien tasolla (esim. VMwaren Distributed Firewall) tai luomalla palveluketjuja (palo Alto Networksin virtuaalipalomuurit) .
Jos laskentaresurssien virtualisoinnin tasolla on heikkouksia, ponnistelut kattavan tietoturvajärjestelmän luomiseksi alustatasolla ovat tehottomia.
Tietosuojan tasot palvelinkeskuksessa
Yleinen lähestymistapa suojaukseen on integroitujen, monitasoisten tietoturvajärjestelmien käyttö, mukaan lukien palomuuritason makrosegmentointi (segmenttien allokointi eri toiminnallisille liiketoiminta-alueille), mikrosegmentointi virtuaalipalomuuriin tai ryhmien liikenteen koodaus. (käyttäjäroolit tai palvelut), jotka määritellään käyttöoikeuskäytännöissä .
Seuraava taso on poikkeamien tunnistaminen segmenttien sisällä ja välillä. Liikennedynamiikkaa analysoidaan, mikä voi viitata haitallisiin toimintoihin, kuten verkkoskannaukseen, DDoS-hyökkäysyritykset, tiedon lataaminen esimerkiksi viipaloimalla tietokantatiedostoja ja tulostamalla ne säännöllisesti ilmestyviin istuntoihin pitkiä väliajoin. Palvelinkeskuksen läpi kulkee valtava määrä liikennettä, joten poikkeamien tunnistamiseksi sinun on käytettävä kehittyneitä hakualgoritmeja ilman pakettianalyysiä. On tärkeää, että haitallisen ja poikkeavan toiminnan merkit ei tunnisteta, vaan myös haittaohjelmien toiminta jopa salatussa liikenteessä ilman salauksen purkamista, kuten Ciscon ratkaisuissa (Stealthwatch) ehdotetaan.
Viimeinen raja on lähiverkon päätelaitteiden suojaus: palvelimet ja virtuaalikoneet esimerkiksi päätelaitteisiin (virtuaalikoneisiin) asennettujen agenttien avulla, jotka analysoivat I/O-toimintoja, poistoja, kopioita ja verkkotoimintoja, lähettää tietoja , jossa suoritetaan suurta laskentatehoa vaativia laskelmia. Siellä analysoidaan Big Data -algoritmeilla, rakennetaan konelogiikkapuita ja tunnistetaan poikkeavuuksia. Algoritmit ovat itseoppivia, jotka perustuvat maailmanlaajuisen anturiverkoston tarjoamaan valtavaan tietomäärään.
Voit tehdä ilman agenttien asentamista. Nykyaikaisten tietoturvatyökalujen tulee olla agenttivapaita ja integroituja käyttöjärjestelmiin hypervisor-tasolla.
Listatut toimenpiteet vähentävät tietoturvariskejä merkittävästi, mutta tämä ei välttämättä riitä riskialttiita tuotantoprosesseja automatisoiville konesaleille, esimerkiksi ydinvoimalaitoksille.
Sääntelyvaatimukset
Käsiteltävistä tiedoista riippuen fyysisten ja virtualisoitujen konesaliinfrastruktuurien on täytettävä erilaiset lakien ja alan standardien mukaiset turvallisuusvaatimukset.
Tällaisia lakeja ovat laki "henkilötiedoista" (152-FZ) ja laki "Venäjän federaation KII-tilojen turvallisuudesta" (187-FZ), jotka tulivat voimaan tänä vuonna - syyttäjänvirasto on jo kiinnostunut täytäntöönpanon edetessä. Kiistat tietokeskusten kuulumisesta CII-kohteille ovat edelleen kesken, mutta todennäköisimmin tietokeskusten, jotka haluavat tarjota palveluita CII-kohteille, on noudatettava uuden lainsäädännön vaatimuksia.
Se ei tule olemaan helppoa palvelinkeskuksille, jotka isännöivät valtion tietojärjestelmiä. Venäjän federaation hallituksen 11.05.2017. toukokuuta 555 antaman asetuksen nro XNUMX mukaan tietoturvakysymykset tulee ratkaista ennen GIS:n kaupallista käyttöönottoa. Ja palvelinkeskuksen, joka haluaa isännöidä GIS:ää, on ensin täytettävä säädökset.
Viimeisen 30 vuoden aikana konesalien turvajärjestelmät ovat kulkeneet pitkän tien: yksinkertaisista fyysisistä suojajärjestelmistä ja organisatorisista toimenpiteistä, jotka eivät kuitenkaan ole menettäneet merkitystään, monimutkaisiin älykkäisiin järjestelmiin, joissa käytetään yhä enemmän tekoälyn elementtejä. Mutta lähestymistavan ydin ei ole muuttunut. Uusimmat tekniikat eivät pelasta ilman organisatorisia toimenpiteitä ja henkilöstön koulutusta, eikä paperityö pelasta ilman ohjelmistoja ja teknisiä ratkaisuja. Palvelinkeskuksen turvallisuutta ei voida taata lopullisesti, vaan se on jatkuvaa päivittäistä työtä ensisijaisten uhkien tunnistamiseksi ja esiin tulevien ongelmien kokonaisvaltaiseksi ratkaisemiseksi.
Mitä muuta voit lukea blogista?
→
→
→
→
→
Tilaa meidän -kanava, jotta et missaa seuraavaa artikkelia! Kirjoitamme korkeintaan kaksi kertaa viikossa ja vain työasioissa. Muistutamme myös, että voit pilviratkaisut Cloud4Y.
Lähde: will.com