Svona lítur eftirlitsstöð NORD-2 gagnaversins sem staðsett er í Moskvu út
Þú hefur lesið þig oftar en einu sinni um hvaða ráðstafanir eru gerðar til að tryggja upplýsingaöryggi (IS). Sérhver upplýsingatæknisérfræðingur sem ber virðingu fyrir sjálfum sér getur auðveldlega nefnt 5-10 upplýsingaöryggisreglur. Cloud4Y býðst til að ræða um upplýsingaöryggi gagnavera.
Þegar tryggt er upplýsingaöryggi gagnavera eru „vernduðustu“ hlutirnir:
- upplýsingaauðlindir (gögn);
- ferli við að safna, vinna, geyma og senda upplýsingar;
- kerfisnotendur og viðhaldsfólk;
- upplýsingainnviði, þar á meðal vél- og hugbúnaðarverkfæri til að vinna, senda og birta upplýsingar, þar með talið upplýsingaskiptarásir, upplýsingaöryggiskerfi og húsnæði.
Ábyrgðarsvið gagnaversins fer eftir líkani þjónustunnar (IaaS/PaaS/SaaS). Hvernig það lítur út, sjáðu myndina hér að neðan:
Umfang öryggisstefnu gagnaversins fer eftir gerð þjónustu sem veitt er
Mikilvægasti hluti þess að þróa upplýsingaöryggisstefnu er að byggja upp líkan af ógnum og brotamönnum. Hvað getur orðið ógn við gagnaver?
- Aukaviðburðir af náttúrulegum, manngerðum og félagslegum toga
- Hryðjuverkamenn, glæpamenn o.fl.
- Háð birgjum, veitendum, samstarfsaðilum, viðskiptavinum
- Bilanir, bilanir, eyðilegging, skemmdir á hugbúnaði og vélbúnaði
- Starfsmenn gagnavera sem innleiða upplýsingaöryggisógnir með því að nota löglega veitt réttindi og vald (innri upplýsingaöryggisbrjóta)
- Starfsmenn gagnavera sem innleiða upplýsingaöryggisógnir utan lögbundinna réttinda og valdheimilda, svo og aðilar sem ekki tengjast starfsfólki gagnaversins, en reyna óviðkomandi aðgang og óheimilar aðgerðir (ytri upplýsingaöryggisbrjótar)
- Ekki er farið að kröfum eftirlits- og eftirlitsyfirvalda, gildandi lögum
Áhættugreining - að bera kennsl á hugsanlegar ógnir og meta umfang afleiðinga framkvæmdar þeirra - mun hjálpa til við að velja rétt forgangsverkefni sem sérfræðingar í upplýsingaöryggi gagnavera verða að leysa og skipuleggja fjárveitingar til kaupa á vél- og hugbúnaði.
Að tryggja öryggi er samfellt ferli sem felur í sér áætlanagerð, framkvæmd og rekstur, eftirlit, greiningu og endurbætur á upplýsingaöryggiskerfinu. Til að búa til stjórnunarkerfi upplýsingaöryggis, svokallað „'.
Mikilvægur hluti af öryggisstefnu er skipting hlutverka og ábyrgðar starfsmanna við framkvæmd þeirra. Stefna ætti að vera stöðugt endurskoðuð til að endurspegla breytingar á löggjöf, nýjar ógnir og nýjar varnir. Og að sjálfsögðu miðla upplýsingaöryggiskröfum til starfsfólks og veita þjálfun.
Skipulagsaðgerðir
Sumir sérfræðingar eru efins um „pappírsöryggi“ og telja að aðalatriðið sé hagnýt færni til að standast reiðhestur. Raunveruleg reynsla af því að tryggja upplýsingaöryggi í bönkum bendir til hins gagnstæða. Upplýsingaöryggissérfræðingar kunna að hafa frábæra sérfræðiþekkingu í að greina og draga úr áhættu, en ef starfsmenn gagnavera fylgja ekki fyrirmælum þeirra verður allt til einskis.
Öryggi, að jafnaði, færir ekki peninga, heldur lágmarkar aðeins áhættu. Þess vegna er það oft meðhöndlað sem eitthvað truflandi og aukaatriði. Og þegar öryggissérfræðingar fara að reiðast (með fullan rétt til þess) koma oft upp átök við starfsfólk og yfirmenn rekstrardeilda.
Tilvist iðnaðarstaðla og reglugerðarkrafna hjálpar öryggissérfræðingum að verja stöðu sína í samningaviðræðum við stjórnendur og samþykktar stefnur, reglugerðir og reglugerðir um upplýsingaöryggi gera starfsfólki kleift að fara að þeim kröfum sem þar eru settar fram, sem er grundvöllur að oft óvinsælum ákvörðunum.
Húsnæðisvernd
Þegar gagnaver veitir þjónustu með því að nota samstillingarlíkanið kemur til greina að tryggja líkamlegt öryggi og aðgangsstýringu að búnaði viðskiptavinarins. Í þessu skyni eru notaðar girðingar (girtir hlutar salarins) sem eru undir myndbandseftirliti viðskiptavinar og aðgangur að starfsfólki gagnavera er takmarkaður við.
Í ríkistölvumiðstöðvum með líkamlegt öryggi var ekki slæmt í lok síðustu aldar. Þar var aðgangsstýring, aðgangsstýring að húsnæðinu, jafnvel án tölvu- og myndbandsupptökuvéla, slökkvikerfi - ef eldur kviknaði var freon sjálfkrafa sleppt inn í vélarrúmið.
Nú á dögum er líkamlegt öryggi tryggt enn betur. Aðgangsstýringar- og stjórnunarkerfi (ACS) eru orðin greind og verið er að taka upp líffræðilegar aðferðir við takmarkanir á aðgangi.
Slökkvikerfi eru orðin öruggari fyrir starfsfólk og búnað, þar á meðal uppsetningar fyrir hindrun, einangrun, kælingu og súrefnisáhrif á brunasvæðið. Samhliða lögboðnum brunavarnarkerfum nota gagnaver oft snemmskynjunarkerfi af tegund eldsvoða.
Til að vernda gagnaver fyrir utanaðkomandi ógnum - eldum, sprengingum, hruni byggingarmannvirkja, flóðum, ætandi lofttegundum - var farið að nota öryggisherbergi og öryggishólf, þar sem netþjónabúnaður er varinn fyrir næstum öllum utanaðkomandi skaðlegum þáttum.
Veiki hlekkurinn er manneskjan
„Snjöll“ myndbandseftirlitskerfi, rúmmálsmælingarskynjarar (hljóð-, innrautt, úthljóð, örbylgjuofn), aðgangsstýringarkerfi hafa dregið úr áhættu en hafa ekki leyst öll vandamál. Þessar aðferðir munu ekki hjálpa, til dæmis þegar fólk sem var rétt hleypt inn í gagnaverið með réttu verkfærin, var „heklaður“ á eitthvað. Og, eins og oft gerist, mun óviljandi hængur valda hámarksvandamálum.
Starf gagnaversins getur orðið fyrir áhrifum af misnotkun starfsmanna á auðlindum þess, til dæmis ólögleg námuvinnsla. Innviðastjórnunarkerfi gagnavera (DCIM) geta hjálpað í þessum tilvikum.
Starfsfólk þarf einnig vernd þar sem fólk er oft kallað viðkvæmasti hlekkurinn í verndarkerfinu. Markvissar árásir atvinnuglæpamanna byrja oftast með því að beita félagslegum verkfræðiaðferðum. Oft hrynja öruggustu kerfin eða eru í hættu eftir að einhver smellti/halaði niður/gerði eitthvað. Hægt er að lágmarka slíka áhættu með því að þjálfa starfsfólk og innleiða bestu starfsvenjur á heimsvísu á sviði upplýsingaöryggis.
Verndun verkfræðiinnviða
Hefðbundnar ógnir við starfsemi gagnavera eru rafmagnsbilanir og bilanir í kælikerfi. Við höfum þegar vanist slíkum hótunum og höfum lært að takast á við þær.
Ný stefna hefur orðið útbreidd kynning á „snjöllum“ búnaði sem er tengdur við netkerfi: stýrðar UPS, snjöll kæli- og loftræstikerfi, ýmsir stýringar og skynjarar tengdir vöktunarkerfum. Þegar þú byggir upp ógnunarlíkan gagnavera ættirðu ekki að gleyma líkum á árás á innviðakerfi (og hugsanlega á tilheyrandi upplýsingatæknineti gagnaversins). Það sem flækir málið er sú staðreynd að hægt er að færa hluta búnaðarins (til dæmis kælivélar) út fyrir gagnaverið, td upp á þak leiguhúsnæðis.
Vernd boðleiða
Ef gagnaverið veitir þjónustu ekki aðeins samkvæmt samstillingarlíkaninu, þá verður það að takast á við skýjavörn. Samkvæmt Check Point upplifðu 51% stofnana um allan heim árás á skýjakerfi þeirra á síðasta ári einu saman. DDoS árásir stöðva fyrirtæki, dulkóðunarvírusar krefjast lausnargjalds, markvissar árásir á bankakerfi leiða til þjófnaðar á fjármunum af reikningum bréfritara.
Hótun um utanaðkomandi innbrot veldur einnig gagnaöryggissérfræðingum áhyggjum. Það sem skiptir mestu máli fyrir gagnaver eru dreifðar árásir sem miða að því að trufla veitingu þjónustu, svo og hótanir um innbrot, þjófnað eða breytingar á gögnum sem eru í sýndarinnviðum eða geymslukerfum.
Til að vernda ytri jaðar gagnaversins eru nútímaleg kerfi notuð með aðgerðum til að bera kennsl á og hlutleysa skaðlegan kóða, stjórnun forrita og getu til að flytja inn Threat Intelligence fyrirbyggjandi verndartækni. Í sumum tilfellum eru kerfi með IPS (innbrotsvörn) virkni notuð með sjálfvirkri aðlögun á undirskriftarstillingu að breytum verndar umhverfisins.
Til að verjast DDoS árásum nota rússnesk fyrirtæki að jafnaði utanaðkomandi sérhæfða þjónustu sem beina umferð til annarra hnúta og sía hana í skýinu. Vörn rekstraraðila megin er mun áhrifaríkari en viðskiptavinamegin og gagnaver hafa milligöngu um sölu á þjónustu.
Innri DDoS árásir eru einnig mögulegar í gagnaverum: árásarmaður kemst inn í veikt varna netþjóna eins fyrirtækis sem hýsir búnað þess með því að nota colocation líkan og gerir þaðan afneitun á þjónustu á aðra viðskiptavini þessa gagnaver í gegnum innra netið .
Einbeittu þér að sýndarumhverfi
Nauðsynlegt er að taka tillit til sérstöðu verndaðs hlutar - notkun sýndarverkfæra, gangverki breytinga á upplýsingatækniinnviðum, samtengingu þjónustu, þegar árangursrík árás á einn viðskiptavin getur ógnað öryggi nágranna. Til dæmis, með því að hakka framenda tengikví á meðan hann vinnur í Kubernetes-undirstaða PaaS, getur árásarmaður strax fengið allar upplýsingar um lykilorð og jafnvel aðgang að hljómsveitarkerfinu.
Vörur sem veittar eru samkvæmt þjónustulíkaninu hafa mikla sjálfvirkni. Til þess að trufla ekki viðskipti verður að beita upplýsingaöryggisráðstöfunum í ekki síður sjálfvirkni og láréttri stærðargráðu. Tryggja skal stærðarstærð á öllum stigum upplýsingaöryggis, þar með talið sjálfvirkni í aðgangsstýringu og snúningi aðgangslykla. Sérstakt verkefni er mælikvarði á virkum einingum sem skoða netumferð.
Til dæmis ætti síun netumferðar á forrita-, net- og lotustigum í mjög sýndarvæddum gagnaverum að fara fram á stigi hypervisor neteininga (til dæmis VMware's Distributed Firewall) eða með því að búa til þjónustukeðjur (sýndareldveggir frá Palo Alto Networks) .
Ef það eru veikleikar á stigi sýndarvæðingar tölvuauðlinda mun viðleitni til að búa til alhliða upplýsingaöryggiskerfi á vettvangsstigi vera árangurslaus.
Stig upplýsingaverndar í gagnaverinu
Almenn nálgun við vernd er notkun samþættra, fjölþrepa upplýsingaöryggiskerfa, þar á meðal stórskiptingu á eldveggsstigi (úthlutun hluta fyrir ýmis virknisvið viðskipta), örskipting byggð á sýndareldveggjum eða merkingarumferð hópa (notendahlutverk eða þjónusta) skilgreind af aðgangsreglum .
Næsta stig er að greina frávik innan og á milli hluta. Umferðarhreyfing er greind, sem getur bent til þess að illgjarn starfsemi sé til staðar, svo sem netskönnun, tilraunir til DDoS-árása, niðurhali gagna, til dæmis með því að sneiða gagnagrunnsskrár og gefa þær út í lotum sem birtast reglulega með löngu millibili. Gífurleg umferð fer í gegnum gagnaverið, svo til að greina frávik þarf að nota háþróaða leitarreiknirit og án pakkagreiningar. Mikilvægt er að ekki aðeins merki um illgjarn og afbrigðilega virkni séu þekkt, heldur einnig virkni spilliforrita jafnvel í dulkóðuðu umferð án þess að afkóða hana, eins og lagt er til í Cisco lausnum (Stealthwatch).
Síðustu landamærin eru verndun endatækja staðarnetsins: netþjóna og sýndarvéla, til dæmis með hjálp umboðsmanna sem eru uppsettir á endatækjum (sýndarvélum), sem greina I/O aðgerðir, eyðingar, afrit og netvirkni, senda gögn til , þar sem útreikningar sem krefjast mikils tölvuafls eru gerðir. Þar fer fram greining með Big Data reikniritum, smíðuð vélræn tré og frávik greind. Reiknirit eru sjálfsnám byggð á gríðarlegu magni af gögnum frá alþjóðlegu neti skynjara.
Þú getur gert án þess að setja upp umboðsmenn. Nútíma upplýsingaöryggisverkfæri verða að vera umboðslaus og samþætt við stýrikerfi á hypervisor stigi.
Þær ráðstafanir sem taldar eru upp draga verulega úr upplýsingaöryggisáhættu, en það er kannski ekki nóg fyrir gagnaver sem veita sjálfvirkni áhættusamra framleiðsluferla, til dæmis kjarnorkuver.
Reglugerðarkröfur
Það fer eftir upplýsingum sem unnið er með, efnisleg og sýndargerð gagnaver verða að uppfylla mismunandi öryggiskröfur sem settar eru fram í lögum og iðnaðarstöðlum.
Slík lög innihalda lögin „Um persónuupplýsingar“ (152-FZ) og lögin „Um öryggi KII aðstöðu í Rússlandi“ (187-FZ), sem tóku gildi á þessu ári - embætti saksóknara hefur þegar vakið áhuga við framgang framkvæmdar þess. Deilur um hvort gagnaver tilheyri CII viðfangsefnum eru enn í gangi, en líklega verða gagnaver sem vilja veita þjónustu við CII viðfangsefni að uppfylla kröfur nýju laganna.
Það verður ekki auðvelt fyrir gagnaver sem hýsa upplýsingakerfi ríkisins. Samkvæmt tilskipun ríkisstjórnar Rússlands frá 11.05.2017. maí 555 nr. XNUMX, ætti að leysa upplýsingaöryggisvandamál áður en GIS er sett í viðskiptalega notkun. Og gagnaver sem vill hýsa GIS verður fyrst að uppfylla reglugerðarkröfur.
Undanfarin 30 ár hafa öryggiskerfi gagnavera náð langt: allt frá einföldum líkamlegum verndarkerfum og skipulagsráðstöfunum, sem þó hafa ekki glatað mikilvægi sínu, til flókinna greindarkerfa sem nota í auknum mæli þætti gervigreindar. En kjarninn í nálguninni hefur ekki breyst. Nútímalegasta tækni mun ekki bjarga þér án skipulagsráðstafana og þjálfunar starfsfólks og pappírsvinna mun ekki bjarga þér án hugbúnaðar og tæknilausna. Ekki er hægt að tryggja öryggi gagnavera í eitt skipti fyrir öll; það er stöðugt daglegt viðleitni til að bera kennsl á forgangsógnir og leysa alhliða vandamál sem koma upp.
Hvað annað er hægt að lesa á blogginu?
→
→
→
→
→
Gerast áskrifandi að okkar -rás svo þú missir ekki af næstu grein! Við skrifum ekki oftar en tvisvar í viku og aðeins í viðskiptum. Við minnum líka á að þú getur skýjalausnir Cloud4Y.
Heimild: www.habr.com