Sécurité des informations du centre de données

Voici à quoi ressemble le centre de surveillance du centre de données NORD-2 situé à Moscou

Vous avez lu à maintes reprises des articles sur les mesures prises pour assurer la sécurité de l'information (SI). Tout informaticien qui se respecte peut facilement citer 5 à 10 règles de SI. Cloud4Y vous propose d'aborder la sécurité de l'information dans les centres de données.

Pour assurer la sécurité des informations d’un centre de données, les objets les plus « protégés » sont :

• ressources d'information (données) ;
• processus de collecte, de traitement, de stockage et de transmission d’informations ;
• utilisateurs du système et personnel de service ;
• infrastructure d'information, y compris les moyens techniques et logiciels de traitement, de transmission et d'affichage de l'information, y compris les canaux d'échange d'informations, les systèmes de sécurité de l'information et les locaux.

Le périmètre de responsabilité du centre de données dépend du modèle de services fourni (IaaS/PaaS/SaaS). L'illustration ci-dessous illustre ce schéma :

Portée de la politique de sécurité du centre de données en fonction du modèle de services fournis

L'étape la plus importante de l'élaboration d'une politique de sécurité de l'information consiste à établir un modèle de menaces et d'intrusions. Quelles pourraient être les menaces pour un centre de données ?

1. Événements indésirables de nature naturelle, humaine et sociale
2. Terroristes, éléments criminels, etc.
3. Dépendance envers les fournisseurs, prestataires, partenaires, clients
4. Pannes, pannes, destructions, dommages aux logiciels et au matériel
5. Employés du centre de données mettant en œuvre des menaces à la sécurité de l'information en utilisant les droits et pouvoirs qui leur sont légalement accordés (violateurs internes de la sécurité de l'information)
6. Les employés du centre de données qui mettent en œuvre des menaces à la sécurité de l'information en dehors des droits et pouvoirs qui leur sont légalement accordés, ainsi que les entités qui ne font pas partie du personnel du centre de données mais tentent un accès non autorisé et des actions non autorisées (violateurs externes de la sécurité de l'information)
7. Non-respect des exigences des autorités de contrôle et de régulation, de la législation en vigueur

L'analyse des risques - identifier les menaces potentielles et évaluer l'ampleur des conséquences de leur mise en œuvre - aidera à sélectionner correctement les tâches prioritaires que les spécialistes de la sécurité de l'information des centres de données doivent résoudre et à planifier les budgets pour l'achat de matériel et de logiciels.

Assurer la sécurité est un processus continu qui comprend les étapes de planification, de mise en œuvre et d'exploitation, de surveillance, d'analyse et d'amélioration du système de sécurité de l'information. Pour créer des systèmes de gestion de la sécurité de l'information, on utilise ce que l'on appelle « les systèmes de gestion de la sécurité de l'information ».cycle de Deming».

Un aspect important des politiques de sécurité réside dans la répartition des rôles et des responsabilités du personnel pour leur mise en œuvre. Ces politiques doivent être constamment revues en fonction de l'évolution de la législation, des nouvelles menaces et des nouveaux moyens de protection. Bien entendu, les exigences en matière de sécurité de l'information doivent être communiquées au personnel et celui-ci doit bénéficier d'une formation.

Mesures organisationnelles

Certains experts sont sceptiques quant à la sécurité « papier », considérant que les compétences pratiques pour résister aux tentatives de piratage sont primordiales. L'expérience concrète en matière de sécurité de l'information dans les banques suggère le contraire. Les spécialistes de la sécurité de l'information peuvent posséder une excellente expertise pour identifier et réduire les risques, mais si le personnel du centre de données ne suit pas leurs instructions, tout sera vain.

En règle générale, la sécurité ne rapporte pas d'argent, mais minimise les risques. Elle est donc souvent considérée comme un élément secondaire et gênant. Et lorsque les spécialistes de la sécurité commencent à se plaindre (et ils ont parfaitement le droit de le faire), des conflits avec le personnel et les responsables des services opérationnels surgissent souvent.

La présence de normes industrielles et d’exigences réglementaires aide les professionnels de la sécurité à défendre leurs positions lors des négociations avec la direction, et les politiques, réglementations et procédures de sécurité de l’information approuvées permettent de garantir que le personnel se conforme aux exigences qui y sont énoncées, fournissant une base pour la mise en œuvre de décisions souvent impopulaires.

Protection des locaux

Lorsqu'un centre de données fournit des services en colocation, la sécurité physique et le contrôle d'accès aux équipements du client sont primordiaux. À cette fin, des enceintes (parties clôturées du hall) sont utilisées, sous vidéosurveillance du client et dont l'accès est restreint au personnel du centre de données.

Dans les centres informatiques de l'État, la sécurité physique n'était pas mauvaise non plus à la fin du siècle dernier. Il existait un système de laissez-passer, un contrôle d'accès aux locaux, bien que dépourvu d'ordinateurs ni de caméras vidéo, et des systèmes d'extinction d'incendie ; en cas d'incendie, du fréon était automatiquement libéré dans la salle des machines.

Aujourd'hui, la sécurité physique est encore renforcée. Les systèmes de contrôle et de gestion des accès (ACMS) sont devenus intelligents et des méthodes biométriques de restriction d'accès sont introduites.

Les systèmes d'extinction d'incendie sont désormais plus sûrs pour le personnel et les équipements, notamment grâce à des installations d'inhibition, d'isolement, de refroidissement et d'impact hypoxique sur la zone d'incendie. Outre les systèmes de protection incendie obligatoires, les centres de données utilisent souvent un système de détection précoce d'incendie par aspiration.

Pour protéger les centres de données des menaces externes - incendies, explosions, effondrement des structures des bâtiments, inondations, gaz corrosifs - des salles de sécurité et des coffres-forts ont commencé à être utilisés, dans lesquels les équipements des serveurs sont protégés de presque tous les facteurs externes dommageables.

Le maillon faible est l'homme

Les systèmes de vidéosurveillance « intelligents », les capteurs de suivi volumétrique (acoustiques, infrarouges, à ultrasons, à micro-ondes) et les systèmes de contrôle d'accès ont réduit les risques, mais n'ont pas résolu tous les problèmes. Ces outils ne seront d'aucune utilité, par exemple, si des personnes admises dans le centre de données avec un outil correctement transporté « attrapent » quelque chose. Et, comme c'est souvent le cas, une capture accidentelle peut engendrer des problèmes majeurs.

Le fonctionnement d'un centre de données peut être affecté par une mauvaise utilisation de ses ressources par son personnel, comme l'exploitation minière illégale. Dans ce cas, les systèmes de gestion de l'infrastructure des centres de données (DCIM) peuvent s'avérer utiles.

Le personnel a également besoin de protection, car les humains sont souvent considérés comme le maillon le plus vulnérable du système de sécurité. Les attaques ciblées des criminels professionnels commencent généralement par des méthodes d'ingénierie sociale. Souvent, les systèmes les plus sécurisés tombent en panne ou sont compromis après qu'un utilisateur, quelque part, ait cliqué, téléchargé ou créé quelque chose. Ces risques peuvent être minimisés par la formation du personnel et la mise en œuvre des meilleures pratiques mondiales en matière de sécurité de l'information.

Protection des infrastructures d'ingénierie

Les pannes de courant et de refroidissement sont les menaces traditionnelles qui pèsent sur le fonctionnement d'un centre de données. Nous nous sommes habitués à ces menaces et avons appris à les gérer.

Une nouvelle tendance est l'introduction généralisée d'équipements « intelligents » connectés à un réseau : onduleurs contrôlés, systèmes de refroidissement et de ventilation intelligents, contrôleurs et capteurs divers connectés à des systèmes de surveillance. Lors de l'élaboration d'un modèle de menace pour un centre de données, il ne faut pas oublier la probabilité d'une attaque sur le réseau d'infrastructure (et éventuellement sur le réseau informatique associé au centre de données). La situation est compliquée par le fait que certains équipements (par exemple, les refroidisseurs) peuvent être situés à l'extérieur du centre de données, par exemple sur le toit d'un bâtiment loué.

Protection des canaux de communication

Si le centre de données fournit des services au-delà du modèle de colocation, il devra gérer la protection cloud. Selon Check Point, rien que l'année dernière, 51 % des organisations dans le monde ont été victimes d'attaques contre des structures cloud. Les attaques DDoS ont paralysé les entreprises, les rançongiciels exigent des rançons, et les attaques ciblées contre les systèmes bancaires ont entraîné le vol de fonds sur les comptes des correspondants.

Les menaces d'intrusions externes inquiètent également les spécialistes de la sécurité informatique des centres de données. Les plus importantes sont les attaques distribuées visant à interrompre la fourniture des services, ainsi que les menaces de piratage, de vol ou de modification des données contenues dans l'infrastructure virtuelle ou les systèmes de stockage.

Pour protéger le périmètre externe du centre de données, des systèmes modernes dotés de fonctions de détection et de neutralisation des codes malveillants, de contrôle des applications et de la possibilité d'importer des technologies de protection proactives (Threat Intelligence) sont utilisés. Dans certains cas, des systèmes dotés de fonctionnalités IPS (prévention des intrusions) sont déployés, avec ajustement automatique du jeu de signatures aux paramètres de l'environnement protégé.

Pour se protéger contre les attaques DDoS, les entreprises russes font généralement appel à des services externes spécialisés qui redirigent le trafic vers d'autres nœuds et le filtrent dans le cloud. La protection côté opérateur est bien plus efficace que côté client, et les centres de données servent d'intermédiaires pour la vente de services.

Les attaques DDoS internes sont également possibles dans les centres de données : un attaquant pénètre dans les serveurs faiblement protégés d'une entreprise qui place ses équipements en utilisant le modèle de colocation, et de là, via le réseau interne, effectue une attaque par déni de service sur d'autres clients de ce centre de données.

Attention aux environnements virtuels

Il est nécessaire de prendre en compte les spécificités de l'objet protégé : l'utilisation d'outils de virtualisation, l'évolution dynamique des infrastructures informatiques et l'interconnexion des services. Une attaque réussie sur un client peut menacer la sécurité des voisins. Par exemple, en piratant un docker front-end fonctionnant dans un PaaS basé sur Kubernetes, un attaquant peut obtenir instantanément tous les mots de passe et même accéder au système d'orchestration.

Les produits fournis dans le cadre du modèle de service présentent un haut degré d'automatisation. Afin de ne pas perturber l'activité, les moyens de protection des informations superposés doivent bénéficier d'un degré d'automatisation et d'une évolutivité horizontale équivalents. Cette évolutivité doit être assurée à tous les niveaux de sécurité de l'information, y compris l'automatisation du contrôle d'accès et de la rotation des clés d'accès. Une tâche particulière consiste à étendre les modules fonctionnels qui inspectent le trafic réseau.

Par exemple, le filtrage du trafic réseau aux niveaux de l'application, du réseau et de la session dans les centres de données hautement virtualisés doit être effectué au niveau des modules réseau de l'hyperviseur (par exemple, le pare-feu distribué de VMware) ou en créant des chaînes de services (pare-feu virtuels de Palo Alto Networks).

S’il existe des faiblesses au niveau de la virtualisation des ressources informatiques, les efforts visant à créer un système complet de sécurité de l’information au niveau de la plateforme seront inefficaces.

Niveaux de protection des informations dans les centres de données

L'approche générale de la protection est l'utilisation de systèmes de sécurité de l'information intégrés à plusieurs niveaux, y compris la macro-segmentation au niveau du pare-feu (allocation de segments pour différents domaines fonctionnels de l'entreprise), la micro-segmentation basée sur des pare-feu virtuels ou le marquage du trafic de groupe (rôles d'utilisateur ou services) défini par les politiques d'accès.

L'étape suivante consiste à identifier les anomalies au sein des segments et entre eux. La dynamique du trafic est analysée, ce qui peut indiquer la présence d'activités malveillantes, telles que l'analyse du réseau, les tentatives d'attaques DDoS, le téléchargement de données, par exemple en coupant des fichiers de base de données et en les générant lors de sessions périodiques à intervalles prolongés. D'importants volumes de trafic transitant par le centre de données nécessitent l'utilisation d'algorithmes de recherche avancés pour identifier les anomalies, sans analyse des paquets. Il est important de reconnaître non seulement les signes d'activités malveillantes et anormales, mais aussi l'activité de logiciels malveillants, même dans le trafic chiffré sans déchiffrement, comme le proposent les solutions Cisco (Stealthwatch).

La dernière ligne de défense consiste à protéger les points de terminaison du réseau local : serveurs et machines virtuelles, par exemple, à l'aide d'agents installés sur les points de terminaison (machines virtuelles) qui analysent les entrées/sorties, la suppression, la copie et les activités réseau, et transmettent des données à nuage, où sont effectués des calculs intensifs. L'analyse est réalisée à l'aide d'algorithmes Big Data, les arbres logiques des machines sont construits et les anomalies sont identifiées. Les algorithmes s'auto-apprennent grâce à l'énorme quantité de données fournies par le réseau mondial de capteurs.

Il est possible de se passer d'agents. Les outils modernes de sécurité informatique devraient être sans agent et intégrés aux systèmes d'exploitation au niveau de l'hyperviseur.
Les mesures énumérées réduisent considérablement les risques de sécurité de l’information, mais cela peut ne pas être suffisant pour les centres de données qui assurent l’automatisation des processus de production à haut risque, tels que les centrales nucléaires.

Exigences réglementaires

En fonction des informations traitées, les infrastructures de centres de données physiques et virtualisées doivent répondre à différentes exigences de sécurité définies dans les lois et les normes industrielles.

Ces lois comprennent la loi « Sur les données personnelles » (152-FZ) et la loi « Sur la sécurité des infrastructures d'information critiques de la Fédération de Russie » (187-FZ), entrées en vigueur cette année. Le parquet s'intéresse déjà à l'avancement de leur mise en œuvre. Le débat sur l'affiliation des centres de données aux entités d'infrastructures d'information critiques est toujours en cours, mais il est fort probable que les centres de données souhaitant fournir des services à ces entités devront se conformer aux exigences de la nouvelle législation.

La tâche des centres de données hébergeant les systèmes d'information de l'État sera complexe. Conformément à la résolution n° 11.05.2017 du gouvernement de la Fédération de Russie du 555 mai XNUMX, les problèmes de sécurité informatique doivent être résolus avant la mise en service commerciale du SIG. De plus, tout centre de données souhaitant héberger un SIG doit satisfaire au préalable aux exigences des autorités de régulation.

Au cours des 30 dernières années, les systèmes de sécurité des centres de données ont considérablement évolué : des simples systèmes de protection physique et mesures organisationnelles, toujours d'actualité, aux systèmes intelligents complexes, qui font de plus en plus appel à l'intelligence artificielle. Mais l'essence de cette approche n'a pas changé. Les technologies les plus modernes ne suffiront pas sans mesures organisationnelles et formation du personnel, ni sans logiciels et solutions techniques. La sécurité des centres de données ne peut être assurée une fois pour toutes ; il s'agit d'un travail quotidien et constant visant à identifier les menaces prioritaires et à résoudre les problèmes émergents de manière globale.

Que pouvez-vous lire d'autre sur le blog ? Cloud4Y

→ Configuration de top dans GNU/Linux
→ Les pentesters à la pointe de la cybersécurité
→ Le chemin de l’intelligence artificielle d’une idée fantastique à l’industrie scientifique
→ 4 façons d'économiser sur les sauvegardes cloud
→ Histoire de Mutt

Abonnez-vous à notre Telegram-channel pour ne pas manquer le prochain article ! Nous n'écrivons pas plus de deux fois par semaine et uniquement pour affaires. Nous vous rappelons également que vous pouvez tester gratuitement solutions cloud Cloud4Y.

Source: habr.com