Ovako izgleda nadzorni centar podatkovnog centra NORD-2 koji se nalazi u Moskvi
Više puta ste čitali o tome koje se mjere poduzimaju za osiguranje informacijske sigurnosti (IS). Svaki IT stručnjak koji poštuje sebe može lako navesti 5-10 pravila o sigurnosti informacija. Cloud4Y nudi razgovor o informacijskoj sigurnosti podatkovnih centara.
Pri osiguravanju informacijske sigurnosti podatkovnog centra, najzaštićeniji objekti su:
- informacijski izvori (podaci);
- procesi prikupljanja, obrade, pohrane i prijenosa informacija;
- korisnici sustava i osoblje za održavanje;
- informacijska infrastruktura, uključujući hardverske i softverske alate za obradu, prijenos i prikaz informacija, uključujući kanale za razmjenu informacija, informacijske sigurnosne sustave i prostore.
Područje odgovornosti podatkovnog centra ovisi o modelu pruženih usluga (IaaS/PaaS/SaaS). Kako to izgleda pogledajte na slici ispod:
Opseg sigurnosne politike podatkovnog centra ovisno o modelu pružene usluge
Najvažniji dio razvoja politike informacijske sigurnosti je izgradnja modela prijetnji i prekršitelja. Što može postati prijetnja podatkovnom centru?
- Štetni događaji prirodne, umjetno izazvane i društvene prirode
- Teroristi, kriminalni elementi itd.
- Ovisnost o dobavljačima, dobavljačima, partnerima, klijentima
- Kvarovi, kvarovi, uništenje, oštećenje softvera i hardvera
- Zaposlenici podatkovnog centra koji provode prijetnje informacijskoj sigurnosti korištenjem zakonski dodijeljenih prava i ovlasti (kršitelji interne informacijske sigurnosti)
- Zaposlenici podatkovnog centra koji provode prijetnje informacijskoj sigurnosti izvan zakonski dodijeljenih prava i ovlasti, kao i subjekti koji nisu povezani s osobljem podatkovnog centra, ali pokušavaju neovlašteni pristup i neovlaštene radnje (vanjski prekršitelji informacijske sigurnosti)
- Neusklađenost sa zahtjevima nadzornih i regulatornih tijela, važećeg zakonodavstva
Analiza rizika - prepoznavanje potencijalnih prijetnji i procjena razmjera posljedica njihove implementacije - pomoći će u pravilnom odabiru prioritetnih zadataka koje moraju riješiti stručnjaci za informacijsku sigurnost podatkovnog centra i planirati proračune za kupnju hardvera i softvera.
Osiguranje sigurnosti kontinuiran je proces koji uključuje faze planiranja, implementacije i rada, praćenja, analize i unapređenja sustava informacijske sigurnosti. Za stvaranje sustava upravljanja informacijskom sigurnošću, tzv.".
Važan dio sigurnosnih politika je raspodjela uloga i odgovornosti osoblja za njihovu provedbu. Politike treba stalno preispitivati kako bi odražavale promjene u zakonodavstvu, nove prijetnje i nove obrane. I, naravno, prenijeti zahtjeve za informacijsku sigurnost osoblju i osigurati obuku.
Organizacijske mjere
Neki su stručnjaci skeptični prema "papirnatoj" sigurnosti, smatrajući da su glavne praktične vještine odupiranja pokušajima hakiranja. Stvarno iskustvo u osiguravanju informacijske sigurnosti u bankama govori suprotno. Stručnjaci za informacijsku sigurnost mogu imati izvrsnu stručnost u prepoznavanju i ublažavanju rizika, ali ako osoblje podatkovnog centra ne slijedi njihove upute, sve će biti uzaludno.
Sigurnost u pravilu ne donosi novac, već samo minimizira rizike. Stoga se često tretira kao nešto uznemirujuće i sekundarno. A kad sigurnosni stručnjaci počnu negodovati (s punim pravom na to), često dolazi do sukoba s osobljem i voditeljima operativnih odjela.
Prisutnost industrijskih standarda i regulatornih zahtjeva pomaže stručnjacima za sigurnost u obrani svojih pozicija u pregovorima s upravom, a odobrene politike, propisi i propisi o informacijskoj sigurnosti omogućuju osoblju da se pridržava tamo postavljenih zahtjeva, pružajući osnovu za često nepopularne odluke.
Zaštita prostorija
Kada podatkovni centar pruža usluge korištenjem colocation modela, osiguravanje fizičke sigurnosti i kontrole pristupa opremi klijenta dolazi u prvi plan. U tu svrhu koriste se enclosure (ograđeni dijelovi hale) koji su pod video nadzorom naručitelja i kojima je ograničen pristup osoblju data centra.
U državnim računalnim centrima s fizičkim osiguranjem nije bilo loše ni krajem prošlog stoljeća. Postojala je kontrola pristupa, kontrola pristupa prostorijama, čak i bez računala i video kamera, sustav za gašenje požara - u slučaju požara freon se automatski ispuštao u strojarnicu.
Danas je fizička sigurnost još bolje osigurana. Sustavi kontrole i upravljanja pristupom (ACS) postali su inteligentni, a uvode se biometrijske metode ograničenja pristupa.
Sustavi za gašenje požara postali su sigurniji za osoblje i opremu, među kojima su instalacije za inhibiciju, izolaciju, hlađenje i hipoksičko djelovanje na zonu požara. Uz obvezne sustave zaštite od požara, podatkovni centri često koriste sustav ranog otkrivanja požara aspiracijskog tipa.
Za zaštitu podatkovnih centara od vanjskih prijetnji – požara, eksplozija, urušavanja građevinskih konstrukcija, poplava, korozivnih plinova – počele su se koristiti sigurnosne sobe i sefovi u kojima je poslužiteljska oprema zaštićena od gotovo svih vanjskih štetnih čimbenika.
Slaba karika je osoba
„Pametni“ sustavi videonadzora, volumetrijski senzori za praćenje (akustični, infracrveni, ultrazvučni, mikrovalni), sustavi kontrole pristupa smanjili su rizike, ali nisu riješili sve probleme. Ova sredstva neće pomoći, na primjer, kada su ljudi koji su ispravno primljeni u podatkovni centar s ispravnim alatima bili "navučeni" na nešto. I, kao što se često događa, slučajni zastoj donijet će najviše problema.
Na rad podatkovnog centra može utjecati zlouporaba njegovih resursa od strane osoblja, na primjer, ilegalno rudarenje. Sustavi za upravljanje infrastrukturom podatkovnog centra (DCIM) mogu pomoći u tim slučajevima.
Osoblje također zahtijeva zaštitu, jer se ljudi često nazivaju najranjivijom karikom u sustavu zaštite. Ciljani napadi profesionalnih kriminalaca najčešće započinju korištenjem metoda društvenog inženjeringa. Često se najsigurniji sustavi ruše ili su ugroženi nakon što je netko nešto kliknuo/preuzeo/napravio. Takvi se rizici mogu minimizirati obukom osoblja i primjenom najboljih svjetskih praksi u području informacijske sigurnosti.
Zaštita inženjerske infrastrukture
Tradicionalne prijetnje funkcioniranju podatkovnog centra su nestanci struje i rashladni sustavi. Već smo se navikli na takve prijetnje i naučili se nositi s njima.
Novi trend postalo je rašireno uvođenje "pametne" opreme povezane s mrežom: kontrolirani UPS-ovi, inteligentni sustavi hlađenja i ventilacije, različiti upravljači i senzori povezani sa sustavima za nadzor. Prilikom izgradnje modela prijetnji podatkovnog centra ne smijete zaboraviti na vjerojatnost napada na infrastrukturnu mrežu (i, eventualno, na pridruženu IT mrežu podatkovnog centra). Situaciju komplicira činjenica da se dio opreme (primjerice, rashladni uređaji) može premjestiti izvan podatkovnog centra, recimo, na krov unajmljene zgrade.
Zaštita komunikacijskih kanala
Ako podatkovni centar pruža usluge ne samo prema colocation modelu, tada će se morati pozabaviti zaštitom u oblaku. Prema Check Pointu, samo prošle godine 51% organizacija u svijetu doživjelo je napade na svoje strukture u oblaku. DDoS napadi zaustavljaju poslovanje, enkripcijski virusi traže otkupninu, ciljani napadi na bankarske sustave dovode do krađe sredstava s korespondentnih računa.
Prijetnje vanjskih upada također brinu stručnjake za informacijsku sigurnost podatkovnih centara. Najrelevantniji za podatkovne centre su distribuirani napadi usmjereni na prekid pružanja usluga, kao i prijetnje hakiranja, krađe ili izmjene podataka sadržanih u virtualnoj infrastrukturi ili sustavima za pohranu.
Za zaštitu vanjskog perimetra podatkovnog centra koriste se moderni sustavi s funkcijama za identifikaciju i neutralizaciju zlonamjernog koda, kontrolu aplikacija i mogućnost uvoza tehnologije proaktivne zaštite Threat Intelligence. U nekim slučajevima implementiraju se sustavi s IPS (intrusion prevention) funkcionalnošću s automatskim prilagođavanjem skupa potpisa parametrima zaštićenog okruženja.
Za zaštitu od DDoS napada ruske tvrtke u pravilu koriste vanjske specijalizirane usluge koje preusmjeravaju promet na druge čvorove i filtriraju ga u oblaku. Zaštita na strani operatera puno je učinkovitija nego na strani klijenta, a podatkovni centri djeluju kao posrednici u prodaji usluga.
U podatkovnim centrima mogući su i interni DDoS napadi: napadač prodire u slabo zaštićene servere jedne tvrtke koja hostira svoju opremu koristeći colocation model, te odatle provodi napad uskraćivanjem usluge na druge klijente tog podatkovnog centra putem interne mreže. .
Usredotočite se na virtualna okruženja
Potrebno je uzeti u obzir specifičnosti štićenog objekta – korištenje virtualizacijskih alata, dinamiku promjena u IT infrastrukturama, međusobnu povezanost usluga, kada uspješan napad na jednog klijenta može ugroziti sigurnost susjeda. Na primjer, hakiranjem frontend dockera dok radi u PaaS-u temeljenom na Kubernetesu, napadač može odmah dobiti sve podatke o zaporci, pa čak i pristup sustavu orkestracije.
Proizvodi koji se pružaju u okviru servisnog modela imaju visok stupanj automatizacije. Kako ne bi ometali poslovanje, mjere informacijske sigurnosti moraju biti primijenjene u ništa manjem stupnju automatizacije i horizontalnog skaliranja. Skaliranje treba osigurati na svim razinama informacijske sigurnosti, uključujući automatizaciju kontrole pristupa i rotaciju pristupnih ključeva. Poseban zadatak je skaliranje funkcionalnih modula koji nadziru mrežni promet.
Na primjer, filtriranje mrežnog prometa na razini aplikacije, mreže i sesije u visoko virtualiziranim podatkovnim centrima trebalo bi se izvoditi na razini mrežnih modula hipervizora (na primjer, VMwareov Distributed Firewall) ili stvaranjem lanaca usluga (virtualni vatrozidi tvrtke Palo Alto Networks) .
Ako postoje slabosti na razini virtualizacije računalnih resursa, napori da se stvori sveobuhvatni sustav informacijske sigurnosti na razini platforme bit će neučinkoviti.
Razine zaštite informacija u podatkovnom centru
Opći pristup zaštiti je korištenje integriranih sustava informacijske sigurnosti na više razina, uključujući makrosegmentaciju na razini vatrozida (raspodjela segmenata za različita funkcionalna područja poslovanja), mikrosegmentaciju temeljenu na virtualnim vatrozidima ili označavanje prometa grupa (korisničke uloge ili usluge) definirane pravilima pristupa.
Sljedeća razina je identificiranje anomalija unutar i između segmenata. Analizira se dinamika prometa, koja može ukazivati na prisutnost zlonamjernih aktivnosti, kao što su skeniranje mreže, pokušaji DDoS napada, preuzimanje podataka, na primjer, rezanjem datoteka baze podataka i njihovim ispisivanjem u sesijama koje se povremeno pojavljuju u dugim intervalima. Podatkovnim centrom prolazi ogromna količina prometa pa je za prepoznavanje anomalija potrebno koristiti napredne algoritme pretraživanja i to bez analize paketa. Važno je prepoznati ne samo znakove zlonamjerne i nepravilne aktivnosti, već i rad zlonamjernog softvera čak iu kriptiranom prometu bez dekriptiranja, kao što je predloženo u Ciscovim rješenjima (Stealthwatch).
Posljednja granica je zaštita krajnjih uređaja lokalne mreže: poslužitelja i virtualnih strojeva, na primjer, uz pomoć agenata instaliranih na krajnjim uređajima (virtualnim strojevima), koji analiziraju I/O operacije, brisanja, kopiranja i mrežne aktivnosti, prenijeti podatke na , gdje se provode proračuni koji zahtijevaju veliku računalnu snagu. Tamo se provodi analiza pomoću algoritama Big Data, izgrađuju se stabla strojne logike i identificiraju se anomalije. Algoritmi se sami uče na temelju ogromne količine podataka koje dostavlja globalna mreža senzora.
Možete i bez instaliranja agenata. Suvremeni alati za informacijsku sigurnost moraju biti bez agenta i integrirani u operativne sustave na razini hipervizora.
Navedene mjere značajno smanjuju rizike informacijske sigurnosti, no to možda neće biti dovoljno za podatkovne centre koji omogućuju automatizaciju visokorizičnih proizvodnih procesa, primjerice nuklearnih elektrana.
Regulatorni zahtjevi
Ovisno o informacijama koje se obrađuju, fizičke i virtualizirane infrastrukture podatkovnih centara moraju ispunjavati različite sigurnosne zahtjeve navedene u zakonima i industrijskim standardima.
Takvi zakoni uključuju zakon „O osobnim podacima” (152-FZ) i zakon „O sigurnosti KII objekata Ruske Federacije” (187-FZ), koji je stupio na snagu ove godine - tužiteljstvo se već zainteresiralo u tijeku njegove provedbe. Sporovi o tome pripadaju li podatkovni centri subjektima CII-ja još uvijek traju, no najvjerojatnije će podatkovni centri koji žele pružati usluge subjektima CII-ja morati ispuniti zahtjeve novog zakonodavstva.
Podatkovnim centrima u kojima se nalaze državni informacijski sustavi neće biti lako. Prema Uredbi Vlade Ruske Federacije od 11.05.2017. svibnja 555. br. XNUMX, prije stavljanja GIS-a u komercijalni rad potrebno je riješiti pitanja informacijske sigurnosti. A podatkovni centar koji želi ugostiti GIS prvo mora ispuniti regulatorne zahtjeve.
Tijekom proteklih 30 godina sigurnosni sustavi podatkovnih centara prošli su dug put: od jednostavnih sustava fizičke zaštite i organizacijskih mjera, koje, međutim, nisu izgubile na važnosti, do složenih inteligentnih sustava, koji sve više koriste elemente umjetne inteligencije. Ali bit pristupa se nije promijenila. Najsuvremenije tehnologije neće vas spasiti bez organizacijskih mjera i edukacije osoblja, a papirologija bez programskih i tehničkih rješenja. Sigurnost podatkovnog centra ne može se osigurati jednom zauvijek, stalni je svakodnevni napor da se identificiraju prioritetne prijetnje i sveobuhvatno rješavaju nastali problemi.
Što još možete pročitati na blogu?
→
→
→
→
→
Pretplatite se na naš -kanal kako ne biste propustili sljedeći članak! Pišemo ne više od dva puta tjedno i samo poslovno. Također vas podsjećamo da možete rješenja u oblaku Cloud4Y.
Izvor: www.habr.com