Así é o centro de seguimento do centro de datos NORD-2 situado en Moscova
Leu máis dunha vez sobre as medidas que se toman para garantir a seguridade da información (IS). Calquera especialista en TI que se prece pode nomear facilmente entre 5 e 10 regras de seguridade da información. Cloud4Y ofrécese para falar da seguridade da información dos centros de datos.
Ao garantir a seguridade da información dun centro de datos, os obxectos máis "protexidos" son:
- recursos de información (datos);
- procesos de recollida, tratamento, almacenamento e transmisión de información;
- usuarios do sistema e persoal de mantemento;
- infraestrutura de información, incluíndo ferramentas de hardware e software para procesar, transmitir e mostrar información, incluíndo canles de intercambio de información, sistemas e instalacións de seguridade da información.
A área de responsabilidade do centro de datos depende do modelo de servizos prestados (IaaS/PaaS/SaaS). Como se ve, mira a seguinte imaxe:
O alcance da política de seguridade do centro de datos en función do modelo de servizos prestados
A parte máis importante do desenvolvemento dunha política de seguridade da información é construír un modelo de ameazas e infractores. Que pode converterse nunha ameaza para un centro de datos?
- Eventos adversos de natureza natural, artificial e social
- Terroristas, elementos criminais, etc.
- Dependencia de provedores, provedores, socios, clientes
- Fallos, fallos, destrución, danos no software e hardware
- Empregados do centro de datos que implementan ameazas de seguridade da información utilizando dereitos e poderes concedidos legalmente (infractores internos da seguridade da información)
- Empregados do centro de datos que implementan ameazas de seguridade da información fóra dos dereitos e poderes legalmente concedidos, así como entidades non relacionadas co persoal do centro de datos, pero que tentan acceder e accións non autorizadas (infractores externos á seguridade da información)
- Incumprimento dos requisitos das autoridades supervisoras e reguladoras, lexislación vixente
A análise de riscos -identificando ameazas potenciais e avaliando a magnitude das consecuencias da súa implantación- axudará a seleccionar correctamente as tarefas prioritarias que deben resolver os especialistas en seguridade da información do centro de datos e planificar os orzamentos para a compra de hardware e software.
A garantía da seguridade é un proceso continuo que inclúe as fases de planificación, implantación e explotación, seguimento, análise e mellora do sistema de seguridade da información. Para crear sistemas de xestión da seguridade da información, os denominados “».
Unha parte importante das políticas de seguridade é a distribución de roles e responsabilidades do persoal para a súa implementación. As políticas deben revisarse continuamente para reflectir os cambios na lexislación, as novas ameazas e as defensas emerxentes. E, por suposto, comunicar os requisitos de seguridade da información ao persoal e proporcionar formación.
Medidas organizativas
Algúns expertos son escépticos sobre a seguridade "en papel", considerando que o principal son as habilidades prácticas para resistir os intentos de hackeo. A experiencia real en garantir a seguridade da información nos bancos suxire o contrario. Os especialistas en seguridade da información poden ter unha excelente experiencia para identificar e mitigar os riscos, pero se o persoal do centro de datos non segue as súas instrucións, todo será en balde.
A seguridade, por regra xeral, non trae diñeiro, senón que só minimiza os riscos. Polo tanto, a miúdo trátase como algo perturbador e secundario. E cando os especialistas en seguridade comezan a indignarse (con todo o dereito a facelo), moitas veces xorden conflitos co persoal e os xefes dos departamentos operativos.
A presenza de estándares e requisitos regulamentarios do sector axuda aos profesionais da seguridade a defender as súas posicións nas negociacións coa dirección, e as políticas, regulamentos e regulamentos de seguridade da información aprobados permiten ao persoal cumprir cos requisitos alí establecidos, proporcionando a base para decisións moitas veces impopulares.
Protección de locais
Cando un centro de datos ofrece servizos mediante o modelo de colocación, a garantía de seguridade física e o control de acceso aos equipos do cliente pasa a primer plano. Para tal fin, utilízanse recintos (partes valadas do salón), que están baixo videovixilancia do cliente e aos que se limita o acceso ao persoal do centro de datos.
Nos centros informáticos estatais con seguridade física as cousas non estaban mal a finais do século pasado. Había control de acceso, control de acceso ao local, aínda sen ordenadores e cámaras de vídeo, un sistema de extinción de incendios -en caso de incendio, o freón soltaba automaticamente na sala de máquinas.
Hoxe en día, a seguridade física está asegurada aínda mellor. Os sistemas de control e xestión de acceso (ACS) convertéronse en intelixentes e estanse introducindo métodos biométricos de restrición de acceso.
Os sistemas de extinción de incendios foron máis seguros para o persoal e os equipos, entre os que se atopan instalacións de inhibición, illamento, refrixeración e efectos hipóxicos na zona do lume. Xunto cos sistemas de protección contra incendios obrigatorios, os centros de datos adoitan empregar un sistema de detección precoz de incendios de tipo aspiración.
Para protexer os centros de datos de ameazas externas -incendios, explosións, colapso de estruturas de edificios, inundacións, gases corrosivos- comezaron a utilizarse salas de seguridade e caixas fortes, nas que os equipos de servidores están protexidos de case todos os factores danos externos.
O elo débil é a persoa
Os sistemas de videovixilancia "intelixentes", os sensores de seguimento volumétrico (acústico, infravermello, ultrasónico, microondas), os sistemas de control de acceso reduciron os riscos, pero non resolveron todos os problemas. Estes medios non axudarán, por exemplo, cando as persoas que foron ingresadas correctamente no centro de datos coas ferramentas correctas estaban "enganchadas" a algo. E, como adoita suceder, un inconveniente accidental traerá o máximo de problemas.
O traballo do centro de datos pode verse afectado polo mal uso dos seus recursos por parte do persoal, por exemplo, a minería ilegal. Os sistemas de xestión da infraestrutura do centro de datos (DCIM) poden axudar nestes casos.
O persoal tamén require protección, xa que a miúdo se lles chama ás persoas o elo máis vulnerable do sistema de protección. Os ataques dirixidos por criminais profesionais comezan a maioría das veces co uso de métodos de enxeñería social. Moitas veces, os sistemas máis seguros fallan ou vense comprometidos despois de que alguén fixo clic/descarga/fixe algo. Estes riscos pódense minimizar formando o persoal e implementando as mellores prácticas globais no campo da seguridade da información.
Protección de infraestruturas de enxeñería
As ameazas tradicionais para o funcionamento dun centro de datos son os fallos de alimentación e os fallos dos sistemas de refrixeración. Xa nos afacemos a este tipo de ameazas e aprendemos a enfrontarnos a elas.
Unha nova tendencia converteuse na introdución xeneralizada de equipos "intelixentes" conectados a unha rede: UPS controlados, sistemas intelixentes de refrixeración e ventilación, varios controladores e sensores conectados a sistemas de monitorización. Ao construír un modelo de ameaza do centro de datos, non debe esquecerse da probabilidade dun ataque á rede de infraestrutura (e, posiblemente, á rede de TI asociada do centro de datos). Complicando a situación é o feito de que algúns dos equipos (por exemplo, refrixeradores) poden moverse fóra do centro de datos, por exemplo, ao tellado dun edificio alugado.
Protección das canles de comunicación
Se o centro de datos ofrece servizos non só segundo o modelo de colocación, entón terá que xestionar a protección da nube. Segundo Check Point, só o ano pasado, o 51% das organizacións de todo o mundo sufriron ataques ás súas estruturas de nube. Os ataques DDoS deteñen as empresas, os virus de cifrado esixen rescate, os ataques dirixidos aos sistemas bancarios levan ao roubo de fondos das contas dos correspondentes.
As ameazas de intrusións externas tamén preocupan aos especialistas en seguridade da información dos centros de datos. Os máis relevantes para os centros de datos son os ataques distribuídos dirixidos a interromper a prestación dos servizos, así como as ameazas de piratería, roubo ou modificación dos datos contidos na infraestrutura virtual ou nos sistemas de almacenamento.
Para protexer o perímetro externo do centro de datos, utilízanse sistemas modernos con funcións para identificar e neutralizar códigos maliciosos, control de aplicacións e capacidade de importar tecnoloxía de protección proactiva Threat Intelligence. Nalgúns casos, os sistemas con funcionalidade IPS (prevención de intrusións) despréganse con axuste automático do conxunto de sinaturas aos parámetros do contorno protexido.
Para protexerse contra ataques DDoS, as empresas rusas, por regra xeral, usan servizos especializados externos que desvían o tráfico a outros nodos e o filtran na nube. A protección no lado do operador é moito máis eficaz que no lado do cliente, e os centros de datos actúan como intermediarios para a venda de servizos.
Os ataques DDoS internos tamén son posibles nos centros de datos: un atacante penetra nos servidores débilmente protexidos dunha empresa que aloxa os seus equipos mediante un modelo de colocación e desde aí realiza un ataque de denegación de servizo a outros clientes deste centro de datos a través da rede interna. .
Concéntrase en ambientes virtuais
É necesario ter en conta as características específicas do obxecto protexido: o uso de ferramentas de virtualización, a dinámica dos cambios nas infraestruturas informáticas, a interconexión dos servizos, cando un ataque exitoso a un cliente pode ameazar a seguridade dos veciños. Por exemplo, ao piratear o acoplador frontend mentres traballa nun PaaS baseado en Kubernetes, un atacante pode obter inmediatamente toda a información do contrasinal e mesmo acceder ao sistema de orquestración.
Os produtos proporcionados baixo o modelo de servizo teñen un alto grao de automatización. Para non interferir no negocio, as medidas de seguridade da información deben aplicarse nun grao non menor de automatización e escalado horizontal. Debe garantirse a escala en todos os niveis de seguridade da información, incluíndo a automatización do control de acceso e a rotación das claves de acceso. Unha tarefa especial é a escala de módulos funcionais que inspeccionan o tráfico da rede.
Por exemplo, o filtrado do tráfico de rede a nivel de aplicación, rede e sesión en centros de datos altamente virtualizados debería realizarse a nivel de módulos de rede de hipervisores (por exemplo, Distributed Firewall de VMware) ou creando cadeas de servizos (firewalls virtuais de Palo Alto Networks). .
Se hai debilidades a nivel de virtualización dos recursos informáticos, os esforzos para crear un sistema integral de seguridade da información a nivel de plataforma serán ineficaces.
Niveis de protección da información no centro de datos
O enfoque xeral da protección é o uso de sistemas integrados de seguridade da información multinivel, incluíndo a macrosegmentación a nivel de firewall (asignación de segmentos para varias áreas funcionais do negocio), microsegmentación baseada en firewalls virtuais ou etiquetado de tráfico de grupos. (roles de usuario ou servizos) definidos polas políticas de acceso .
O seguinte nivel é identificar anomalías dentro e entre segmentos. Analízanse a dinámica do tráfico, que pode indicar a presenza de actividades maliciosas, como a exploración da rede, os intentos de ataques DDoS, a descarga de datos, por exemplo, cortando ficheiros de bases de datos e saíndoos en sesións que aparecen periodicamente a longos intervalos. Polo centro de datos pasan enormes cantidades de tráfico, polo que para identificar anomalías, é necesario utilizar algoritmos de busca avanzados e sen análise de paquetes. É importante que non só se recoñezan sinais de actividade maliciosa e anómala, senón tamén o funcionamento do malware incluso en tráfico cifrado sen descifralo, como se propón nas solucións de Cisco (Stealthwatch).
A última fronteira é a protección dos dispositivos finais da rede local: servidores e máquinas virtuais, por exemplo, coa axuda de axentes instalados en dispositivos finais (máquinas virtuais), que analizan as operacións de E/S, eliminacións, copias e actividades de rede, transmitir datos a , onde se realizan cálculos que requiren gran potencia de cálculo. Alí realízase a análise mediante algoritmos de Big Data, constrúense árbores lóxicas da máquina e identifícanse anomalías. Os algoritmos son de autoaprendizaxe baseados nunha enorme cantidade de datos proporcionados por unha rede global de sensores.
Podes prescindir de instalar axentes. As ferramentas modernas de seguridade da información deben ser sen axentes e integradas nos sistemas operativos a nivel de hipervisor.
As medidas enumeradas reducen significativamente os riscos de seguridade da información, pero isto pode non ser suficiente para os centros de datos que ofrecen automatización de procesos de produción de alto risco, por exemplo, as centrais nucleares.
Requisitos regulamentarios
Dependendo da información que se procese, as infraestruturas físicas e virtualizadas dos centros de datos deben cumprir diferentes requisitos de seguridade establecidos nas leis e os estándares do sector.
Tales leis inclúen a lei "Sobre datos persoais" (152-FZ) e a lei "Sobre a seguridade das instalacións KII da Federación Rusa" (187-FZ), que entrou en vigor este ano - o Ministerio Fiscal xa se interesou. no avance da súa implantación. As disputas sobre se os centros de datos pertencen a suxeitos CII seguen en curso, pero o máis probable é que os centros de datos que desexen prestar servizos a suxeitos CII terán que cumprir cos requisitos da nova lexislación.
Non será doado para os centros de datos que aloxan sistemas de información gobernamentais. Segundo o Decreto do Goberno da Federación Rusa do 11.05.2017 de maio de 555 n.º XNUMX, os problemas de seguridade da información deben resolverse antes de poñer o SIG en funcionamento comercial. E un centro de datos que quere aloxar un SIX debe primeiro cumprir os requisitos regulamentarios.
Nos últimos 30 anos, os sistemas de seguridade dos centros de datos percorreron un longo camiño: dende simples sistemas de protección física e medidas organizativas, que, porén, non perderon a súa relevancia, ata sistemas intelixentes complexos, que utilizan cada vez máis elementos de intelixencia artificial. Pero a esencia do enfoque non cambiou. As tecnoloxías máis modernas non o salvarán sen medidas organizativas e a formación do persoal, e os trámites non o salvarán sen software e solucións técnicas. A seguridade do centro de datos non se pode garantir dunha vez por todas; é un esforzo diario constante para identificar as ameazas prioritarias e resolver integralmente os problemas emerxentes.
Que máis podes ler no blog?
→
→
→
→
→
Subscríbete ao noso -canle para que non te perdas o seguinte artigo! Escribimos non máis de dúas veces por semana e só por negocios. Lembrámosche tamén que podes solucións na nube Cloud4Y.
Fonte: www.habr.com