ProHoster > Blog > Adminisztráció > Adatközpont információbiztonság

Adatközpont információbiztonság

Adatközpont információbiztonság
Így néz ki a NORD-2 adatközpont Moszkvában található felügyeleti központja

Nem egyszer olvasott már arról, hogy milyen intézkedéseket tesznek az információbiztonság (IS) biztosítása érdekében. Bármely magát tisztelő informatikus könnyedén megnevez 5-10 információbiztonsági szabályt. A Cloud4Y felajánlja, hogy beszéljen az adatközpontok információbiztonságáról.

Egy adatközpont információbiztonságának biztosítása során a leginkább „védett” objektumok a következők:

  • információs források (adatok);
  • információgyűjtési, -feldolgozási, -tárolási és -továbbítási folyamatok;
  • rendszerhasználók és karbantartó személyzet;
  • információs infrastruktúra, beleértve az információ feldolgozására, továbbítására és megjelenítésére szolgáló hardver- és szoftvereszközöket, beleértve az információcsere-csatornákat, információbiztonsági rendszereket és helyiségeket.

Az adatközpont felelősségi köre a nyújtott szolgáltatások modelljétől függ (IaaS/PaaS/SaaS). Hogy néz ki, lásd az alábbi képet:

Adatközpont információbiztonság
Az adatközpont biztonsági szabályzatának hatálya a nyújtott szolgáltatások modelljétől függően

Az információbiztonsági politika kialakításának legfontosabb része a fenyegetések és jogsértők modelljének felépítése. Mi jelenthet veszélyt egy adatközpontra?

  1. Természetes, ember által előidézett és társadalmi jellegű káros események
  2. Terroristák, bűnözői elemek stb.
  3. Beszállítóktól, szolgáltatóktól, partnerektől, ügyfelektől való függés
  4. Meghibásodások, meghibásodások, megsemmisülések, szoftver- és hardverkárosodások
  5. Az információbiztonsági fenyegetéseket törvényben biztosított jogokkal és jogosítványokkal végrehajtó adatközponti alkalmazottak (belső információbiztonsági jogsértők)
  6. Adatközponti alkalmazottak, akik a törvényben biztosított jogokon és jogosítványokon kívül információbiztonsági fenyegetést valósítanak meg, valamint az adatközpont személyzetéhez nem kapcsolódó, de jogosulatlan hozzáférést és jogosulatlan cselekvést megkísérlő entitások (külső információbiztonsági megsértők)
  7. A felügyeleti és szabályozó hatóságok követelményeinek, a hatályos jogszabályoknak való be nem tartása

A kockázatelemzés - a lehetséges fenyegetések azonosítása és megvalósításuk következményeinek mértékének felmérése - segít abban, hogy helyesen válasszák ki azokat a kiemelt feladatokat, amelyeket az adatközponti információbiztonsági szakembereknek meg kell oldaniuk, valamint megtervezik a hardver- és szoftverbeszerzés költségvetését.

A biztonság biztosítása egy folyamatos folyamat, amely magában foglalja az információbiztonsági rendszer tervezésének, megvalósításának és üzemeltetésének, monitorozásának, elemzésének és fejlesztésének szakaszait. Az információbiztonsági irányítási rendszerek létrehozásához az ún.Deming ciklus".

A biztonsági politikák fontos része a személyzet szerep- és felelősségi körének megosztása a végrehajtásuk érdekében. A politikákat folyamatosan felül kell vizsgálni, hogy tükrözzék a jogszabályi változásokat, az új fenyegetéseket és a kialakuló védekezési módokat. És természetesen kommunikálja az információbiztonsági követelményeket a személyzettel, és biztosítson képzést.

Szervezeti intézkedések

Egyes szakértők szkeptikusak a „papír” biztonsággal kapcsolatban, mivel a fő dolognak a gyakorlati készségeket tartják a feltörési kísérletekkel szemben. A bankok információbiztonságának biztosításában szerzett valós tapasztalatok ennek az ellenkezőjét sugallják. Az információbiztonsági szakemberek kiváló szakértelemmel rendelkeznek a kockázatok azonosításában és mérséklésében, de ha az adatközpont munkatársai nem tartják be az utasításaikat, minden hiábavaló lesz.

A biztonság általában nem hoz pénzt, csak minimalizálja a kockázatokat. Ezért gyakran zavaró és másodlagos dologként kezelik. És amikor a biztonsági szakemberek kezdenek felháborodni (minden joggal), gyakran konfliktusok merülnek fel a személyzettel és az operatív osztályok vezetőivel.

Az iparági szabványok és szabályozási követelmények jelenléte segíti a biztonsági szakembereket abban, hogy megvédjék álláspontjukat a vezetőséggel folytatott tárgyalásokon, a jóváhagyott információbiztonsági szabályzatok, előírások és szabályozások pedig lehetővé teszik a munkatársak számára, hogy megfeleljenek az ott megfogalmazott követelményeknek, alapot adva a gyakran népszerűtlen döntésekhez.

Helyiségvédelem

Amikor egy adatközpont kolokációs modellt használva nyújt szolgáltatásokat, előtérbe kerül a fizikai biztonság és az ügyfél berendezéseihez való hozzáférés szabályozása. Erre a célra olyan burkolatokat (a csarnok bekerített részeit) használnak, amelyek az ügyfél videós megfigyelése alatt állnak, és amelyekhez az adatközpont személyzetének hozzáférése korlátozott.

A fizikai biztonságot nyújtó állami számítástechnikai központokban a múlt század végén sem volt rossz a helyzet. Volt beléptető, beléptető a helyiségekbe, számítógép és videokamerák nélkül is, tűzoltó rendszer - tűz esetén automatikusan freon került a gépterembe.

Manapság a fizikai biztonság még jobban biztosított. A beléptető- és felügyeleti rendszerek (ACS) intelligenssé váltak, és biometrikus hozzáférés-korlátozási módszereket vezetnek be.

A tűzoltó rendszerek biztonságosabbá váltak a személyzet és a berendezések számára, köztük a tűzzónát gátló, szigetelő, hűtési és hipoxiás hatású berendezések. A kötelező tűzvédelmi rendszerek mellett az adatközpontok gyakran alkalmaznak aspirációs típusú korai tűzjelző rendszert.

Az adatközpontok külső fenyegetések – tüzek, robbanások, épületszerkezetek összeomlása, áradások, korrozív gázok – elleni védelmére biztonsági helyiségeket és széfeket kezdtek használni, amelyekben a szerverberendezések szinte minden külső károsító tényezőtől védettek.

A gyenge láncszem az ember

Az „intelligens” videó megfigyelő rendszerek, térfogatkövető érzékelők (akusztikus, infravörös, ultrahangos, mikrohullámú), beléptető rendszerek csökkentették a kockázatokat, de nem oldottak meg minden problémát. Ezek az eszközök például nem segítenek abban, hogy az adatközpontba a megfelelő eszközökkel helyesen beengedett embereket „akasztottak” valamire. És ahogy ez gyakran megtörténik, egy véletlen akadozás maximális problémákat okoz.

Az adatközpont munkáját befolyásolhatja, ha a személyzet visszaél az erőforrásaival, például illegális bányászat. Az adatközpont infrastruktúra menedzsment (DCIM) rendszerek segíthetnek ezekben az esetekben.

A személyzet is védelmet igényel, mivel az embereket gyakran a védelmi rendszer legsebezhetőbb láncszemének nevezik. A hivatásos bûnözõk célzott támadásai leggyakrabban social engineering módszerek alkalmazásával kezdõdnek. Gyakran a legbiztonságosabb rendszerek összeomlanak vagy feltörnek, miután valaki rákattintott/letöltött/csinált valamit. Az ilyen kockázatok minimálisra csökkenthetők a személyzet képzésével és az információbiztonság területén a legjobb globális gyakorlatok bevezetésével.

Mérnöki infrastruktúra védelme

Az adatközpontok működését hagyományosan az áramkimaradások és a hűtőrendszerek meghibásodásai fenyegetik. Már megszoktuk az ilyen fenyegetéseket, és megtanultuk kezelni őket.

Új irányzat lett a hálózatra kapcsolt „okos” berendezések széles körben elterjedt megjelenése: vezérelt UPS-ek, intelligens hűtési és szellőztető rendszerek, különféle vezérlők, felügyeleti rendszerekhez kapcsolódó érzékelők. Az adatközponti fenyegetettségi modell felépítésénél nem szabad megfeledkezni az infrastruktúra-hálózat (és esetleg az adatközpont kapcsolódó informatikai hálózata) elleni támadások valószínűségéről sem. Bonyolítja a helyzetet, hogy a berendezések egy része (például hűtők) áthelyezhető az adatközponton kívülre, mondjuk egy bérelt épület tetejére.

A kommunikációs csatornák védelme

Ha az adatközpont nem csak a kolokációs modell szerint nyújt szolgáltatásokat, akkor a felhővédelemmel kell foglalkoznia. A Check Point szerint csak tavaly a szervezetek 51%-a tapasztalt támadást felhőstruktúrái ellen. A DDoS támadások megállítják a vállalkozásokat, a titkosító vírusok váltságdíjat követelnek, a bankrendszerek elleni célzott támadások pénzeszközök ellopásához vezetnek a levelező számlákról.

A külső behatolás veszélye az adatközpontok információbiztonsági szakembereit is aggasztja. Az adatközpontok szempontjából a legrelevánsabbak az elosztott támadások, amelyek célja a szolgáltatásnyújtás megszakítása, valamint a virtuális infrastruktúrában vagy tárolórendszerekben található adatok hackelésével, ellopásával vagy módosításával való fenyegetés.

Az adatközpont külső kerületének védelme érdekében modern rendszereket használnak a rosszindulatú kódok azonosítására és semlegesítésére, az alkalmazásvezérlésre és a Threat Intelligence proaktív védelmi technológia importálására. Egyes esetekben az IPS (behatolás-megelőzés) funkcióval rendelkező rendszereket az aláíráskészletnek a védett környezet paramétereihez való automatikus igazításával telepítik.

A DDoS-támadások elleni védelem érdekében az orosz vállalatok általában külső speciális szolgáltatásokat használnak, amelyek a forgalmat más csomópontokhoz irányítják, és a felhőben szűrik. Az üzemeltetői oldalon a védelem sokkal hatékonyabb, mint az ügyféloldalon, az adatközpontok pedig közvetítőként működnek a szolgáltatások értékesítésében.

Belső DDoS támadások adatközpontokban is lehetségesek: a támadó kolokációs modellel behatol egy, a berendezéseit üzemeltető cég gyengén védett szervereire, és onnan a belső hálózaton keresztül szolgáltatásmegtagadási támadást hajt végre az adatközpont többi kliense ellen. .

Koncentráljon a virtuális környezetekre

Figyelembe kell venni a védett objektum sajátosságait - a virtualizációs eszközök használatát, az IT-infrastruktúrák változásainak dinamikáját, a szolgáltatások összekapcsoltságát, amikor egy ügyfél elleni sikeres támadás veszélyeztetheti a szomszédok biztonságát. Ha például feltöri a frontend dockert, miközben egy Kubernetes-alapú PaaS-ben dolgozik, a támadó azonnal megszerezheti az összes jelszóadatot, és még az irányító rendszerhez is hozzáférhet.

A szolgáltatási modell keretében biztosított termékek magas fokú automatizáltsággal rendelkeznek. Annak érdekében, hogy ne zavarják az üzleti életet, az információbiztonsági intézkedéseket nem kevésbé automatizált és horizontális skálázás mellett kell alkalmazni. A skálázást az információbiztonság minden szintjén biztosítani kell, beleértve a hozzáférés-szabályozás automatizálását és a hozzáférési kulcsok elforgatását. Speciális feladat a hálózati forgalmat ellenőrző funkcionális modulok skálázása.

Például a nagymértékben virtualizált adatközpontokban a hálózati forgalom alkalmazás-, hálózati és munkamenet-szintű szűrését a hypervisor hálózati modulok szintjén (például a VMware Distributed Firewall) vagy szolgáltatási láncok létrehozásával (virtuális tűzfalak a Palo Alto Networkstől) kell végrehajtani. .

Ha hiányosságok mutatkoznak a számítási erőforrások virtualizálásának szintjén, akkor az átfogó információbiztonsági rendszer platformszintű létrehozására irányuló erőfeszítések eredménytelenek lesznek.

Információvédelem szintjei az adatközpontban

A védelem általános megközelítése az integrált, többszintű információbiztonsági rendszerek alkalmazása, beleértve a tűzfal szintű makroszegmentálást (szegmensek kiosztása az üzlet különböző funkcionális területeihez), a virtuális tűzfalakon alapuló mikroszegmentálást vagy a csoportok forgalmának címkézését. (felhasználói szerepkörök vagy szolgáltatások), amelyeket a hozzáférési szabályzatok határoznak meg.

A következő szint a szegmenseken belüli és a szegmensek közötti rendellenességek azonosítása. A forgalom dinamikáját elemzik, amely rosszindulatú tevékenységek jelenlétére utalhat, mint például a hálózati szkennelés, a DDoS támadási kísérletek, az adatok letöltése, például az adatbázisfájlok szeletelésével és hosszú időközönként megjelenő munkamenetekben történő kiadásával. Hatalmas mennyiségű forgalom halad át az adatközponton, így az anomáliák azonosításához speciális keresési algoritmusokat kell használnia, és csomagelemzés nélkül. Fontos, hogy ne csak a rosszindulatú és rendellenes tevékenység jeleit ismerjék fel, hanem a rosszindulatú programok működését is titkosított forgalom esetén, dekódolás nélkül, ahogy azt a Cisco megoldások (Stealthwatch) javasolják.

Az utolsó határ a helyi hálózat végberendezéseinek védelme: szerverek és virtuális gépek, például végeszközökre (virtuális gépekre) telepített ügynökök segítségével, amelyek elemzik az I/O műveleteket, törléseket, másolásokat és hálózati tevékenységeket, adatokat továbbítani felhő, ahol nagy számítási teljesítményt igénylő számításokat végeznek. Ott Big Data algoritmusok segítségével elemzést végeznek, gépi logikai fákat építenek, és azonosítják az anomáliákat. Az algoritmusok öntanuló folyamatok az érzékelők globális hálózata által szolgáltatott hatalmas mennyiségű adaton alapulnak.

Megteheti ügynökök telepítése nélkül. A modern információbiztonsági eszközöknek ágens nélkülinek kell lenniük, és hipervizor szinten integráltnak kell lenniük az operációs rendszerekbe.
A felsorolt ​​intézkedések jelentősen csökkentik az információbiztonsági kockázatokat, de ez nem biztos, hogy elegendő a magas kockázatú gyártási folyamatok automatizálását biztosító adatközpontok, például az atomerőművek számára.

Szabályozási követelmények

A feldolgozott információktól függően a fizikai és a virtualizált adatközponti infrastruktúráknak meg kell felelniük a törvényekben és az iparági szabványokban meghatározott különböző biztonsági követelményeknek.

Ilyen törvények közé tartozik a „Személyes adatokról” (152-FZ) és az „Orosz Föderáció KII-létesítményeinek biztonságáról” (187-FZ) szóló törvény, amely idén lépett hatályba - az ügyészség már érdeklődött. megvalósításának folyamatában. Továbbra is folynak viták arról, hogy az adatközpontok CII alanyokhoz tartoznak-e, de nagy valószínűséggel azoknak az adatközpontoknak, amelyek CII alanyoknak kívánnak szolgáltatást nyújtani, meg kell felelniük az új jogszabály követelményeinek.

Nem lesz könnyű dolguk a kormányzati információs rendszereket befogadó adatközpontoknak. Az Orosz Föderáció kormányának 11.05.2017. május 555-én kelt, XNUMX. sz. rendelete értelmében az információbiztonsági kérdéseket a térinformatikai rendszer kereskedelmi üzembe helyezése előtt meg kell oldani. Egy GIS-t üzemeltetni kívánó adatközpontnak pedig először meg kell felelnie a szabályozási követelményeknek.

Az elmúlt 30 év során az adatközponti biztonsági rendszerek nagy utat tettek meg: az egyszerű fizikai védelmi rendszerektől és szervezési intézkedésektől, amelyek azonban nem veszítettek jelentőségükből, a bonyolult intelligens rendszerekig, amelyek egyre inkább alkalmazzák a mesterséges intelligencia elemeit. De a megközelítés lényege nem változott. A legmodernebb technológiák nem mentik meg Önt szervezési intézkedések és személyzeti képzés nélkül, a papírmunka pedig szoftverek és műszaki megoldások nélkül. Az adatközpontok biztonsága nem biztosítható egyszer s mindenkorra, a kiemelt veszélyek azonosítása és a felmerülő problémák átfogó megoldása folyamatos napi erőfeszítés.

Mit olvashatsz még a blogon? Cloud4Y

Beállítás GNU/Linux alatt
Pentesters a kiberbiztonság élvonalában
A mesterséges intelligencia útja egy fantasztikus ötlettől a tudományos iparig
4 mód a felhőalapú biztonsági mentések megtakarítására
Mutt történet

Iratkozzon fel a Telegram-csatorna, hogy ne maradj le a következő cikkről! Hetente legfeljebb kétszer írunk, és csak üzleti ügyben. Arra is emlékeztetünk, hogy megteheti teszt ingyen felhő megoldások Cloud4Y.

Forrás: will.com

Hozzászólás