ProHoster > blog > administrasi > Keamanan informasi pusat data

Keamanan informasi pusat data

Keamanan informasi pusat data
Seperti inilah pusat pemantauan pusat data NORD-2 yang berlokasi di Moskow

Anda telah membaca lebih dari sekali tentang tindakan apa yang diambil untuk memastikan keamanan informasi (IS). Setiap spesialis TI yang menghargai diri sendiri dapat dengan mudah menyebutkan 5-10 aturan keamanan informasi. Cloud4Y menawarkan untuk berbicara tentang keamanan informasi pusat data.

Saat memastikan keamanan informasi pusat data, objek yang paling “dilindungi” adalah:

  • sumber informasi (data);
  • proses pengumpulan, pemrosesan, penyimpanan dan transmisi informasi;
  • pengguna sistem dan personel pemeliharaan;
  • infrastruktur informasi, termasuk perangkat keras dan perangkat lunak untuk memproses, mengirimkan dan menampilkan informasi, termasuk saluran pertukaran informasi, sistem dan tempat keamanan informasi.

Area tanggung jawab pusat data bergantung pada model layanan yang diberikan (IaaS/PaaS/SaaS). Bagaimana tampilannya, lihat gambar di bawah ini:

Keamanan informasi pusat data
Ruang lingkup kebijakan keamanan pusat data tergantung pada model layanan yang diberikan

Bagian terpenting dalam mengembangkan kebijakan keamanan informasi adalah membangun model ancaman dan pelanggar. Apa yang bisa menjadi ancaman bagi pusat data?

  1. Peristiwa buruk yang bersifat alami, buatan manusia, dan sosial
  2. Teroris, unsur kriminal, dll.
  3. Ketergantungan pada pemasok, penyedia, mitra, klien
  4. Kegagalan, kegagalan, kehancuran, kerusakan perangkat lunak dan perangkat keras
  5. Karyawan pusat data menerapkan ancaman keamanan informasi menggunakan hak dan wewenang yang diberikan secara hukum (pelanggar keamanan informasi internal)
  6. Karyawan pusat data yang menerapkan ancaman keamanan informasi di luar hak dan wewenang yang diberikan secara hukum, serta entitas yang tidak terkait dengan personel pusat data, tetapi mencoba melakukan akses tidak sah dan tindakan tidak sah (pelanggar keamanan informasi eksternal)
  7. Ketidakpatuhan terhadap persyaratan otoritas pengawas dan pengatur, undang-undang saat ini

Analisis risiko - mengidentifikasi potensi ancaman dan menilai skala konsekuensi penerapannya - akan membantu memilih dengan benar tugas prioritas yang harus diselesaikan oleh spesialis keamanan informasi pusat data, dan merencanakan anggaran untuk pembelian perangkat keras dan perangkat lunak.

Penjaminan keamanan merupakan suatu proses berkesinambungan yang meliputi tahapan perencanaan, implementasi dan pengoperasian, pemantauan, analisis dan peningkatan sistem keamanan informasi. Untuk menciptakan sistem manajemen keamanan informasi, yang disebut “siklus Deming'.

Bagian penting dari kebijakan keamanan adalah pembagian peran dan tanggung jawab personel dalam pelaksanaannya. Kebijakan harus terus ditinjau untuk mencerminkan perubahan dalam undang-undang, ancaman baru, dan pertahanan yang muncul. Dan, tentu saja, mengomunikasikan persyaratan keamanan informasi kepada staf dan memberikan pelatihan.

Langkah-langkah organisasi

Beberapa ahli skeptis terhadap keamanan “kertas”, mengingat hal utama adalah keterampilan praktis untuk melawan upaya peretasan. Pengalaman nyata dalam memastikan keamanan informasi di bank menunjukkan hal sebaliknya. Spesialis keamanan informasi mungkin memiliki keahlian yang sangat baik dalam mengidentifikasi dan memitigasi risiko, namun jika personel pusat data tidak mengikuti instruksi mereka, semuanya akan sia-sia.

Keamanan, sebagai suatu peraturan, tidak menghasilkan uang, tetapi hanya meminimalkan risiko. Oleh karena itu, seringkali dianggap sebagai sesuatu yang mengganggu dan sekunder. Dan ketika spesialis keamanan mulai marah (dengan hak untuk melakukannya), konflik sering kali muncul dengan staf dan kepala departemen operasional.

Kehadiran standar industri dan persyaratan peraturan membantu profesional keamanan mempertahankan posisi mereka dalam negosiasi dengan manajemen, dan kebijakan, peraturan, dan regulasi keamanan informasi yang disetujui memungkinkan staf untuk mematuhi persyaratan yang ditetapkan di sana, memberikan dasar untuk keputusan yang sering kali tidak populer.

Perlindungan tempat

Ketika pusat data menyediakan layanan menggunakan model kolokasi, keamanan fisik dan kontrol akses ke peralatan klien menjadi prioritas utama. Untuk tujuan ini, digunakan selungkup (bagian aula berpagar), yang berada di bawah pengawasan video klien dan akses ke personel pusat data dibatasi.

Di pusat-pusat komputer negara dengan keamanan fisik, keadaannya tidak buruk pada akhir abad yang lalu. Ada kontrol akses, kontrol akses ke tempat, bahkan tanpa komputer dan kamera video, sistem pemadam kebakaran - jika terjadi kebakaran, freon secara otomatis dilepaskan ke ruang mesin.

Saat ini, keamanan fisik terjamin lebih baik. Sistem kontrol dan manajemen akses (ACS) telah menjadi cerdas, dan metode biometrik untuk pembatasan akses mulai diperkenalkan.

Sistem pemadam kebakaran menjadi lebih aman bagi personel dan peralatan, termasuk instalasi penghambatan, isolasi, pendinginan dan efek hipoksia pada zona kebakaran. Selain sistem proteksi kebakaran wajib, pusat data sering kali menggunakan sistem deteksi dini kebakaran tipe aspirasi.

Untuk melindungi pusat data dari ancaman eksternal - kebakaran, ledakan, runtuhnya struktur bangunan, banjir, gas korosif - ruang keamanan dan brankas mulai digunakan, di mana peralatan server dilindungi dari hampir semua faktor eksternal yang merusak.

Mata rantai yang lemah adalah orangnya

Sistem pengawasan video “pintar”, sensor pelacakan volumetrik (akustik, inframerah, ultrasonik, gelombang mikro), sistem kontrol akses telah mengurangi risiko, tetapi belum menyelesaikan semua masalah. Cara-cara ini tidak akan membantu, misalnya, ketika orang-orang yang diterima dengan benar di pusat data dengan alat yang tepat “ketagihan” pada sesuatu. Dan, seperti yang sering terjadi, hambatan yang tidak disengaja akan membawa banyak masalah.

Pekerjaan pusat data mungkin terpengaruh oleh penyalahgunaan sumber dayanya oleh personel, misalnya penambangan ilegal. Sistem manajemen infrastruktur pusat data (DCIM) dapat membantu dalam kasus ini.

Personil juga memerlukan perlindungan, karena manusia sering disebut sebagai pihak yang paling rentan dalam sistem perlindungan. Serangan yang ditargetkan oleh penjahat profesional paling sering dimulai dengan penggunaan metode rekayasa sosial. Seringkali sistem yang paling aman mogok atau disusupi setelah seseorang mengklik/mengunduh/melakukan sesuatu. Risiko tersebut dapat diminimalkan dengan melatih staf dan menerapkan praktik terbaik global di bidang keamanan informasi.

Perlindungan infrastruktur teknik

Ancaman tradisional terhadap fungsi pusat data adalah kegagalan daya dan kegagalan sistem pendingin. Kita sudah terbiasa dengan ancaman-ancaman seperti itu dan telah belajar menghadapinya.

Tren baru adalah pengenalan luas peralatan “pintar” yang terhubung ke jaringan: UPS terkontrol, sistem pendingin dan ventilasi cerdas, berbagai pengontrol dan sensor yang terhubung ke sistem pemantauan. Saat membangun model ancaman pusat data, jangan lupakan kemungkinan serangan terhadap jaringan infrastruktur (dan, mungkin, pada jaringan TI terkait pusat data). Situasi yang rumit adalah kenyataan bahwa beberapa peralatan (misalnya pendingin) dapat dipindahkan ke luar pusat data, misalnya, ke atap gedung sewaan.

Perlindungan saluran komunikasi

Jika pusat data menyediakan layanan tidak hanya berdasarkan model kolokasi, maka pusat data harus berurusan dengan perlindungan cloud. Menurut Check Point, tahun lalu saja, 51% organisasi di seluruh dunia mengalami serangan terhadap struktur cloud mereka. Serangan DDoS menghentikan bisnis, virus enkripsi meminta tebusan, serangan yang ditargetkan pada sistem perbankan menyebabkan pencurian dana dari rekening koresponden.

Ancaman intrusi eksternal juga mengkhawatirkan para spesialis keamanan informasi pusat data. Yang paling relevan untuk pusat data adalah serangan terdistribusi yang bertujuan mengganggu penyediaan layanan, serta ancaman peretasan, pencurian, atau modifikasi data yang terdapat dalam infrastruktur virtual atau sistem penyimpanan.

Untuk melindungi perimeter eksternal pusat data, sistem modern digunakan dengan fungsi untuk mengidentifikasi dan menetralisir kode berbahaya, kontrol aplikasi, dan kemampuan untuk mengimpor teknologi perlindungan proaktif Threat Intelligence. Dalam beberapa kasus, sistem dengan fungsionalitas IPS (pencegahan intrusi) dikerahkan dengan penyesuaian otomatis set tanda tangan ke parameter lingkungan yang dilindungi.

Untuk melindungi dari serangan DDoS, perusahaan Rusia biasanya menggunakan layanan khusus eksternal yang mengalihkan lalu lintas ke node lain dan memfilternya di cloud. Perlindungan di sisi operator jauh lebih efektif daripada di sisi klien, dan pusat data bertindak sebagai perantara penjualan layanan.

Serangan DDoS internal juga mungkin terjadi di pusat data: penyerang menembus server yang dilindungi dengan lemah dari satu perusahaan yang menghosting peralatannya menggunakan model kolokasi, dan dari sana melakukan serangan penolakan layanan terhadap klien lain dari pusat data ini melalui jaringan internal .

Fokus pada lingkungan virtual

Penting untuk mempertimbangkan secara spesifik objek yang dilindungi - penggunaan alat virtualisasi, dinamika perubahan infrastruktur TI, keterhubungan layanan, ketika serangan yang berhasil terhadap satu klien dapat mengancam keamanan tetangga. Misalnya, dengan meretas buruh pelabuhan frontend saat bekerja di PaaS berbasis Kubernetes, penyerang dapat segera memperoleh semua informasi kata sandi dan bahkan akses ke sistem orkestrasi.

Produk yang disediakan dalam model layanan memiliki otomatisasi tingkat tinggi. Agar tidak mengganggu bisnis, langkah-langkah keamanan informasi harus diterapkan pada tingkat otomatisasi dan penskalaan horizontal. Penskalaan harus dipastikan di semua tingkat keamanan informasi, termasuk otomatisasi kontrol akses dan rotasi kunci akses. Tugas khusus adalah penskalaan modul fungsional yang memeriksa lalu lintas jaringan.

Misalnya, memfilter lalu lintas jaringan pada tingkat aplikasi, jaringan, dan sesi di pusat data yang sangat tervirtualisasi harus dilakukan pada tingkat modul jaringan hypervisor (misalnya, Firewall Terdistribusi VMware) atau dengan membuat rantai layanan (firewall virtual dari Palo Alto Networks) .

Jika terdapat kelemahan pada level virtualisasi sumber daya komputasi, maka upaya menciptakan sistem keamanan informasi yang komprehensif pada level platform akan menjadi tidak efektif.

Tingkat perlindungan informasi di pusat data

Pendekatan umum terhadap perlindungan adalah penggunaan sistem keamanan informasi multi-level yang terintegrasi, termasuk segmentasi makro di tingkat firewall (alokasi segmen untuk berbagai area fungsional bisnis), segmentasi mikro berdasarkan firewall virtual, atau penandaan lalu lintas grup (peran atau layanan pengguna) ditentukan oleh kebijakan akses.

Tingkat selanjutnya adalah mengidentifikasi anomali di dalam dan antar segmen. Dinamika lalu lintas dianalisis, yang mungkin menunjukkan adanya aktivitas jahat, seperti pemindaian jaringan, upaya serangan DDoS, pengunduhan data, misalnya, dengan memotong file database dan mengeluarkannya dalam sesi yang muncul secara berkala dalam interval yang lama. Sejumlah besar lalu lintas melewati pusat data, jadi untuk mengidentifikasi anomali, Anda perlu menggunakan algoritma pencarian lanjutan, dan tanpa analisis paket. Penting agar tidak hanya tanda-tanda aktivitas jahat dan anomali yang dikenali, tetapi juga pengoperasian malware bahkan dalam lalu lintas terenkripsi tanpa mendekripsinya, seperti yang diusulkan dalam solusi Cisco (Stealthwatch).

Perbatasan terakhir adalah perlindungan perangkat akhir jaringan lokal: server dan mesin virtual, misalnya, dengan bantuan agen yang diinstal pada perangkat akhir (mesin virtual), yang menganalisis operasi I/O, penghapusan, penyalinan, dan aktivitas jaringan, mengirimkan data ke cloud, tempat dilakukannya penghitungan yang memerlukan daya komputasi besar. Di sana, analisis dilakukan menggunakan algoritma Big Data, pohon logika mesin dibangun dan anomali diidentifikasi. Algoritma bersifat belajar mandiri berdasarkan sejumlah besar data yang disediakan oleh jaringan sensor global.

Anda dapat melakukannya tanpa menginstal agen. Alat keamanan informasi modern harus tanpa agen dan terintegrasi ke dalam sistem operasi di tingkat hypervisor.
Langkah-langkah di atas secara signifikan mengurangi risiko keamanan informasi, namun hal ini mungkin tidak cukup untuk pusat data yang menyediakan otomatisasi proses produksi berisiko tinggi, misalnya pembangkit listrik tenaga nuklir.

Persyaratan peraturan

Bergantung pada informasi yang diproses, infrastruktur pusat data fisik dan virtual harus memenuhi persyaratan keamanan berbeda yang ditetapkan dalam undang-undang dan standar industri.

Undang-undang tersebut termasuk undang-undang “Tentang Data Pribadi” (152-FZ) dan undang-undang “Tentang Keamanan Fasilitas KII Federasi Rusia” (187-FZ), yang mulai berlaku tahun ini - kantor kejaksaan sudah tertarik. dalam kemajuan pelaksanaannya. Perselisihan mengenai apakah pusat data termasuk dalam subjek CII masih berlangsung, namun kemungkinan besar, pusat data yang ingin memberikan layanan kepada subjek CII harus mematuhi persyaratan undang-undang baru.

Tidak akan mudah bagi pusat data yang menampung sistem informasi pemerintah. Menurut Keputusan Pemerintah Federasi Rusia tanggal 11.05.2017 Mei 555 No. XNUMX, masalah keamanan informasi harus diselesaikan sebelum GIS dioperasikan secara komersial. Dan pusat data yang ingin menjadi tuan rumah GIS harus terlebih dahulu memenuhi persyaratan peraturan.

Selama 30 tahun terakhir, sistem keamanan pusat data telah berkembang pesat: dari sistem perlindungan fisik sederhana dan langkah-langkah organisasi, yang, bagaimanapun, tidak kehilangan relevansinya, hingga sistem cerdas yang kompleks, yang semakin banyak menggunakan elemen kecerdasan buatan. Namun inti dari pendekatan ini tidak berubah. Teknologi paling modern tidak akan menyelamatkan Anda tanpa langkah-langkah organisasi dan pelatihan staf, dan dokumen tidak akan menyelamatkan Anda tanpa perangkat lunak dan solusi teknis. Keamanan pusat data tidak dapat dijamin untuk selamanya; ini merupakan upaya terus-menerus setiap hari untuk mengidentifikasi ancaman prioritas dan memecahkan masalah yang muncul secara komprehensif.

Apa lagi yang bisa Anda baca di blog? Awan4Y

Menyiapkan top di GNU/Linux
Pentester berada di garis depan keamanan siber
Jalur kecerdasan buatan dari ide fantastis hingga industri ilmiah
4 cara untuk menghemat cadangan cloud
cerita anjing kampung

Berlangganan kami Telegram-channel agar tidak ketinggalan artikel selanjutnya! Kami menulis tidak lebih dari dua kali seminggu dan hanya untuk urusan bisnis. Kami juga mengingatkan Anda bahwa Anda bisa tes secara gratis solusi cloud Cloud4Y.

Sumber: www.habr.com

Tambah komentar