Dit is hoe't it tafersjochsintrum fan it NORD-2-datasintrum yn Moskou derút sjocht
Jo hawwe mear as ien kear lêzen oer hokker maatregels wurde nommen om ynformaasjefeiligens (IS) te garandearjen. Elke IT-spesjalist mei respekt foar himsels kin maklik 5-10 regels foar ynformaasjefeiligens neame. Cloud4Y biedt oan om te praten oer ynformaasjefeiligens fan datasintra.
By it garandearjen fan ynformaasjefeiligens fan in datasintrum binne de meast "beskerme" objekten:
- ynformaasjeboarnen (gegevens);
- prosessen foar it sammeljen, ferwurkjen, opslaan en ferstjoeren fan ynformaasje;
- systeem brûkers en ûnderhâld personiel;
- ynformaasjeynfrastruktuer, ynklusyf hardware- en software-ark foar it ferwurkjen, ferstjoeren en werjaan fan ynformaasje, ynklusyf ynformaasje-útwikselingskanalen, ynformaasjefeiligenssystemen en pânen.
It ferantwurdlikensgebiet fan it datasintrum hinget ôf fan it model fan levere tsjinsten (IaaS / PaaS / SaaS). Hoe't it derút sjocht, sjoch de ôfbylding hjirûnder:
De omfang fan it befeiligingsbelied foar datasintrum ôfhinklik fan it model fan levere tsjinsten
It wichtichste diel fan it ûntwikkeljen fan in ynformaasjefeiligensbelied is it bouwen fan in model fan bedrigingen en oertreders. Wat kin in bedriging wurde foar in datasintrum?
- Neidielige barrens fan natuerlike, troch de minske makke en sosjale natuer
- Terroristen, kriminele eleminten, ensfh.
- Ofhinklikens fan leveransiers, oanbieders, partners, kliïnten
- Mislearrings, mislearrings, ferneatiging, skea oan software en hardware
- Meiwurkers fan gegevenssintrum dy't bedrigingen foar ynformaasjefeiligens ymplementearje mei legaal ferliende rjochten en foegen (ynterne oertreders fan ynformaasjefeiligens)
- Datacentermeiwurkers dy't bedrigingen foar ynformaasjefeiligens ymplementearje bûten de wetlik ferliende rjochten en foegen, lykas entiteiten dy't net relatearre binne oan it personiel fan it datasintrum, mar besykje sûnder foech tagong en unautorisearre aksjes (eksterne oertreders fan ynformaasjefeiligens)
- Net-neilibjen fan 'e easken fan tafersjoch- en regeljouwende autoriteiten, hjoeddeistige wetjouwing
Risiko-analyze - it identifisearjen fan potinsjele bedrigingen en it beoardieljen fan 'e skaal fan' e gefolgen fan har ymplemintaasje - sil helpe om de prioriteittaken korrekt te selektearjen dy't spesjalisten foar datacenterynformaasjefeiligens moatte oplosse, en budzjetten planne foar de oankeap fan hardware en software.
It garandearjen fan feiligens is in trochgeand proses dat de stadia fan planning, ymplemintaasje en eksploitaasje, tafersjoch, analyse en ferbettering fan it ynformaasjefeiligenssysteem omfettet. Om ynformaasjefeiligensbehearsystemen te meitsjen, de saneamde "".
In wichtich ûnderdiel fan feiligensbelied is de ferdieling fan rollen en ferantwurdlikheden fan personiel foar har ymplemintaasje. Belied moat kontinu hifke wurde om feroarings yn wetjouwing, nije bedrigingen en opkommende ferdigeningswurken te reflektearjen. En, fansels, kommunisearje ynformaasje feiligens easken oan personiel en soargje foar training.
Organisatoaryske maatregels
Guon saakkundigen binne skeptysk oer "papier" feiligens, beskôgje it wichtichste ding te wêzen praktyske feardichheden te wjerstean hacking besykjen. Echte ûnderfining yn it garandearjen fan ynformaasjefeiligens yn banken suggerearret it tsjinoerstelde. Spesjalisten foar ynformaasjefeiligens kinne poerbêste saakkundigens hawwe yn it identifisearjen en ferminderjen fan risiko's, mar as personiel fan datacenters har ynstruksjes net folgje, sil alles om 'e nocht wêze.
Feiligens bringt as regel gjin jild, mar minimalisearret allinich risiko's. Dêrom wurdt it faak behannele as wat fersteurend en sekundêr. En as feiligensspesjalisten fergriemd wurde (mei alle rjochten om dat te dwaan), ûntsteane faak konflikten mei personiel en haaden fan operasjonele ôfdielingen.
De oanwêzigens fan yndustry noarmen en regeljouwing easken helpt feiligens professionals ferdigenje harren posysjes yn ûnderhannelings mei behear, en goedkard ynformaasje feiligens belied, regeljouwing en regeljouwing tastean personiel te foldwaan oan de easken fêstlein dêr, en jout de basis foar faak ympopulêre besluten.
Beskerming fan gebouwen
As in datasintrum tsjinsten leveret mei it kolokaasjemodel, komt it garandearjen fan fysike feiligens en tagongskontrôle oan 'e apparatuer fan' e kliïnt nei foaren. Foar dit doel wurde kasten (omheinde dielen fan 'e hal) brûkt, dy't ûnder fideobewaking fan 'e kliïnt steane en dêr't tagong ta gegevenssintrumpersoniel beheind is.
Yn steatskomputersintra mei fysike befeiliging wie it oan 'e ein fan 'e foarige ieu net min. Der wie tagongskontrôle, tagongskontrôle ta it terrein, sels sûnder kompjûters en fideokamera's, in brânblussysteem - yn gefal fan brân waard freon automatysk yn 'e masinekeamer frijlitten.
Tsjintwurdich wurdt de fysike feiligens noch better garandearre. Systemen foar tagongskontrôle en behear (ACS) binne yntelligint wurden, en biometryske metoaden foar tagongsbeheining wurde yntrodusearre.
Brânblussersystemen binne feiliger wurden foar personiel en apparatuer, wêrûnder ynstallaasjes foar remming, isolaasje, koeling en hypoxyske effekten op 'e brânsône. Tegearre mei ferplichte brânbeskermingssystemen brûke datasintra faak in aspiraasje-type iere brândeteksjesysteem.
Om datasintra te beskermjen fan eksterne bedrigingen - brânen, eksploazjes, ynstoarten fan geboustruktueren, oerstreamingen, korrosive gassen - begon te brûken befeiligingskeamers en safes, wêryn serverapparatuer beskerme is fan hast alle eksterne skealike faktoaren.
De swakke skeakel is de persoan
"Smart" video tafersjoch systemen, volumetryske tracking sensoren (akoestyske, ynfraread, ultrasone, magnetron), tagong kontrôle systemen hawwe redusearre risiko, mar hawwe net oplost alle problemen. Dizze middels sille net helpe, bygelyks as minsken dy't korrekt waarden talitten yn it datasintrum mei de juste ark, wiene "ferhaakt" oan wat. En, lykas faaks bart, sil in tafallige snag maksimale problemen bringe.
It wurk fan it datasintrum kin beynfloede wurde troch it misbrûk fan har middels troch personiel, bygelyks yllegale mining. Data center ynfrastruktuer behear (DCIM) systemen kinne helpe yn dizze gefallen.
Personiel hat ek beskerming nedich, om't minsken faaks de meast kwetsbere skeakel yn it beskermingssysteem wurde neamd. Rjochte oanfallen troch profesjonele kriminelen begjinne meastentiids mei it brûken fan sosjale technykmetoaden. Faak crashe de feilichste systemen of binne kompromittearre neidat immen klikt/downloade/die wat. Sokke risiko's kinne wurde minimalisearre troch it oplieden fan personiel en it útfieren fan wrâldwide bêste praktiken op it mêd fan ynformaasjefeiligens.
Beskerming fan engineering ynfrastruktuer
Tradisjonele bedrigingen foar it funksjonearjen fan in datasintrum binne stroomfalen en mislearrings fan koelsystemen. Oan sokke bedrigings binne wy al wend wurden en leard dermei om te gean.
In nije trend is de wiidfersprate yntroduksje wurden fan "tûke" apparatuer ferbûn oan in netwurk: kontroleare UPS's, yntelliginte koel- en fentilaasjesystemen, ferskate kontrôlers en sensoren ferbûn mei monitorsystemen. By it bouwen fan in bedrigingsmodel foar gegevenssintrum, moatte jo net ferjitte oer de kâns fan in oanfal op it ynfrastruktuernetwurk (en, mooglik, op it assosjearre IT-netwurk fan it datasintrum). De situaasje komplisearjend is it feit dat guon fan 'e apparatuer (bygelyks chillers) bûten it datasintrum kinne wurde ferpleatst, bygelyks op it dak fan in hierd gebou.
Beskerming fan kommunikaasje kanalen
As it datasintrum tsjinsten net allinich neffens it colocation-model leveret, dan sil it te krijen hawwe mei wolkbeskerming. Neffens Check Point, allinich ferline jier, 51% fan organisaasjes wrâldwiid ûnderfûn oanfallen op har wolkstruktueren. DDoS-oanfallen stopje bedriuwen, fersiferingsfirussen freegje losjild, doelgerichte oanfallen op banksystemen liede ta de stellerij fan fûnsen fan korrespondint-akkounts.
Bedrigingen fan eksterne ynbraken meitsje ek soargen oer spesjalisten foar ynformaasjebefeiliging fan datasintrum. De meast relevante foar datasintra binne ferspraat oanfallen dy't rjochte binne op it ûnderbrekken fan it leverjen fan tsjinsten, lykas bedrigingen fan hacking, stellerij of wiziging fan gegevens yn 'e firtuele ynfrastruktuer of opslachsystemen.
Om de eksterne perimeter fan it datasintrum te beskermjen, wurde moderne systemen brûkt mei funksjes foar it identifisearjen en neutralisearjen fan kweade koade, applikaasjekontrôle en de mooglikheid om Threat Intelligence proaktive beskermingstechnology te ymportearjen. Yn guon gefallen wurde systemen mei IPS (ynbraakprevinsje) funksjonaliteit ynset mei automatyske oanpassing fan 'e hantekening ynsteld oan' e parameters fan 'e beskerme omjouwing.
Om te beskermjen tsjin DDoS-oanfallen, brûke Russyske bedriuwen yn 'e regel eksterne spesjalisearre tsjinsten dy't ferkear nei oare knopen omliede en it yn' e wolk filterje. Beskerming oan 'e operatorkant is folle effektiver as oan' e kliïntkant, en datasintra fungearje as intermediairs foar de ferkeap fan tsjinsten.
Ynterne DDoS-oanfallen binne ek mooglik yn datasintra: in oanfaller penetreart de swak beskerme servers fan ien bedriuw dat har apparatuer host mei in colocation-model, en fiert dêrwei in denial-of-service-oanfal út op oare kliïnten fan dit datasintrum fia it ynterne netwurk .
Fokus op firtuele omjouwings
It is needsaaklik om rekken te hâlden mei de spesifiken fan it beskerme objekt - it brûken fan virtualisaasje-ark, de dynamyk fan feroaringen yn IT-ynfrastruktuer, de ferbining fan tsjinsten, as in suksesfolle oanfal op ien kliïnt de feiligens fan buorlju bedrige kin. Bygelyks, troch it hacken fan de frontend docker by it wurkjen yn in Kubernetes-basearre PaaS, kin in oanfaller fuortendaliks alle wachtwurdynformaasje krije en sels tagong ta it orkestraasjesysteem.
Produkten levere ûnder it tsjinstmodel hawwe in hege graad fan automatisearring. Om it bedriuw net te bemuoien, moatte ynformaasjefeiligensmaatregels tapast wurde op in net minder graad fan automatisearring en horizontale skaalfergrutting. Skaalfergrutting moat wurde garandearre op alle nivo's fan ynformaasjefeiligens, ynklusyf automatisearring fan tagongskontrôle en rotaasje fan tagongskaaien. In spesjale taak is it skaalfergrutting fan funksjonele modules dy't netwurkferkear ynspektearje.
Bygelyks, it filterjen fan netwurkferkear op 'e applikaasje-, netwurk- en sesjenivo's yn heul virtualisearre datasintra moatte wurde útfierd op it nivo fan hypervisor netwurkmodules (bygelyks VMware's Distributed Firewall) of troch it meitsjen fan tsjinstketten (firtuele firewalls fan Palo Alto Networks) .
As d'r swakkens binne op it nivo fan virtualisaasje fan komputerboarnen, sille ynspanningen om in wiidweidich ynformaasjefeiligenssysteem op platfoarmnivo te meitsjen net effektyf wêze.
Nivo's fan ynformaasjebeskerming yn it datasintrum
De algemiene oanpak fan beskerming is it gebrûk fan yntegreare, mearnivo-ynformaasjefeiligenssystemen, ynklusyf makro-segmentaasje op it firewallnivo (tawizing fan segminten foar ferskate funksjonele gebieten fan bedriuw), mikro-segmentaasje basearre op firtuele firewalls of tagging fan ferkear fan groepen (brûkersrollen of tsjinsten) definieare troch tagongsbelied.
It folgjende nivo is it identifisearjen fan anomalies binnen en tusken segminten. Ferkearsdynamyk wurdt analysearre, wat kin oanjaan op de oanwêzigens fan kweade aktiviteiten, lykas netwurkscannen, besykjen op DDoS-oanfallen, it downloaden fan gegevens, bygelyks troch it snijden fan databankbestannen en it útfieren fan se yn periodyk ferskinende sesjes mei lange yntervallen. Enoarme hoemannichten ferkear passe troch it datasintrum, dus om anomalies te identifisearjen, moatte jo avansearre sykalgoritmen brûke, en sûnder pakketanalyse. It is wichtich dat net allinnich tekens fan kweade en abnormale aktiviteit wurde erkend, mar ek de wurking fan malware sels yn fersifere ferkear sûnder it ûntsiferjen, lykas foarsteld yn Cisco oplossings (Stealthwatch).
De lêste grins is de beskerming fan einapparaten fan it lokale netwurk: servers en firtuele masines, bygelyks, mei help fan aginten ynstalleare op einapparaten (firtuele masines), dy't I/O-operaasjes, wiskjen, kopyen en netwurkaktiviteiten analysearje, gegevens oerjaan oan , wêrby't berekkeningen wurde útfierd dy't grutte rekkenkrêft fereaskje. Dêr wurdt analyse útfierd mei Big Data-algoritmen, wurde masinelogyske beammen boud en anomalies wurde identifisearre. Algoritmen binne selslearen basearre op in enoarme hoemannichte gegevens levere troch in wrâldwide netwurk fan sensoren.
Jo kinne dwaan sûnder aginten te ynstallearjen. Moderne ark foar ynformaasjefeiligens moatte agentless wêze en yntegreare yn bestjoeringssystemen op hypervisornivo.
De neamde maatregels ferminderje de risiko's fan ynformaasjefeiligens signifikant, mar dit kin net genôch wêze foar datasintra dy't automatisearring fan hege risiko produksjeprosessen leverje, bygelyks kearnsintrales.
Regeljouwing easken
Ofhinklik fan 'e ynformaasje dy't ferwurke wurdt, moatte fysike en virtualisearre datacenter-ynfrastruktueren foldwaan oan ferskate feiligenseasken fêststeld yn wetten en yndustrynormen.
Sokke wetten omfetsje de wet "On Persoanlike Gegevens" (152-FZ) en de wet "Oer de Feiligens fan KII-foarsjenningen fan 'e Russyske Federaasje" (187-FZ), dy't dit jier fan krêft binne - it kantoar fan 'e oanklager is al ynteressearre wurden yn 'e fuortgong fan syn útfiering. Diskusjes oer de fraach oft datasintra hearre ta CII-ûnderwerpen binne noch oanhâldend, mar nei alle gedachten sille datasintra dy't tsjinsten wolle leverje oan CII-ûnderwerpen moatte foldwaan oan de easken fan 'e nije wetjouwing.
It sil net maklik wêze foar datasintra dy't oerheidsynformaasjesystemen hostje. Neffens it Beslút fan 'e regearing fan' e Russyske Federaasje fan maaie 11.05.2017, 555 No. En in datasintrum dat in GIS hostje wol moat earst foldwaan oan regeljouwingeasken.
Yn 'e ôfrûne 30 jier binne befeiligingssystemen foar datacenters in lange wei kommen: fan ienfâldige fysike beskermingssystemen en organisatoaryske maatregels, dy't har relevânsje lykwols net ferlern hawwe, oant komplekse yntelliginte systemen, dy't hieltyd mear eleminten fan keunstmjittige yntelliginsje brûke. Mar de essinsje fan 'e oanpak is net feroare. De meast moderne technologyen sille jo net rêde sûnder organisatoaryske maatregels en training fan personiel, en papierwurk sil jo net rêde sûnder software en technyske oplossingen. Feiligens fan gegevenssintrum kin net ienris en foar altyd garandearre wurde, it is in konstante deistige poging om prioriteitsbedrigingen te identifisearjen en opkommende problemen wiidweidich op te lossen.
Wat kinne jo mear lêze op it blog?
→
→
→
→
→
Ynskriuwe op ús -kanaal sadat jo it folgjende artikel net misse! Wy skriuwe net mear as twa kear yn 'e wike en allinnich op saaklik. Wy herinnerje jo ek dat jo kinne wolk oplossings Cloud4Y.
Boarne: www.habr.com
