Ecco come appare il centro di monitoraggio del data center NORD-2 situato a Mosca
Hai letto più di una volta quali misure vengono adottate per garantire la sicurezza delle informazioni (IS). Qualsiasi specialista IT che si rispetti può facilmente nominare 5-10 regole di sicurezza delle informazioni. Cloud4Y offre di parlare della sicurezza delle informazioni dei data center.
Quando si garantisce la sicurezza delle informazioni di un data center, gli oggetti più “protetti” sono:
- risorse informative (dati);
- processi di raccolta, elaborazione, archiviazione e trasmissione delle informazioni;
- utenti del sistema e personale addetto alla manutenzione;
- infrastruttura informatica, compresi strumenti hardware e software per l'elaborazione, la trasmissione e la visualizzazione di informazioni, compresi canali di scambio di informazioni, sistemi e locali per la sicurezza delle informazioni.
L'area di responsabilità del data center dipende dal modello dei servizi forniti (IaaS/PaaS/SaaS). Come appare, guarda l'immagine qui sotto:
L'ambito della politica di sicurezza del data center dipende dal modello di servizi forniti
La parte più importante dello sviluppo di una politica di sicurezza delle informazioni è la costruzione di un modello di minacce e trasgressori. Cosa può diventare una minaccia per un data center?
- Eventi avversi di natura naturale, antropica e sociale
- Terroristi, elementi criminali, ecc.
- Dipendenza da fornitori, prestatori, partner, clienti
- Guasti, guasti, distruzione, danni a software e hardware
- Dipendenti del data center che implementano minacce alla sicurezza delle informazioni utilizzando i diritti e i poteri garantiti dalla legge (violatori della sicurezza delle informazioni interne)
- Dipendenti del data center che mettono in atto minacce alla sicurezza delle informazioni al di fuori dei diritti e dei poteri legalmente concessi, nonché entità non correlate al personale del data center, ma che tentano l'accesso non autorizzato e azioni non autorizzate (violatori esterni della sicurezza delle informazioni)
- Inosservanza dei requisiti delle autorità di vigilanza e di regolamentazione, normativa vigente
L'analisi del rischio, identificando potenziali minacce e valutando l'entità delle conseguenze della loro attuazione, aiuterà a selezionare correttamente i compiti prioritari che gli specialisti della sicurezza informatica dei data center devono risolvere e a pianificare i budget per l'acquisto di hardware e software.
Garantire la sicurezza è un processo continuo che comprende le fasi di pianificazione, implementazione e funzionamento, monitoraggio, analisi e miglioramento del sistema di sicurezza delle informazioni. Realizzare sistemi di gestione della sicurezza delle informazioni, i cosiddetti “'.
Una parte importante delle politiche di sicurezza è la distribuzione dei ruoli e delle responsabilità del personale per la loro attuazione. Le politiche dovrebbero essere continuamente riviste per riflettere i cambiamenti nella legislazione, le nuove minacce e le difese emergenti. E, naturalmente, comunicare i requisiti di sicurezza delle informazioni al personale e fornire formazione.
Misure organizzative
Alcuni esperti sono scettici riguardo alla sicurezza “cartacea”, considerando che la cosa principale sono le competenze pratiche per resistere ai tentativi di hacking. L’esperienza reale nel garantire la sicurezza delle informazioni nelle banche suggerisce il contrario. Gli specialisti della sicurezza informatica possono avere un’eccellente esperienza nell’identificazione e mitigazione dei rischi, ma se il personale del data center non segue le loro istruzioni, tutto sarà vano.
La sicurezza, di regola, non porta denaro, ma riduce solo al minimo i rischi. Pertanto, viene spesso trattato come qualcosa di inquietante e secondario. E quando gli specialisti della sicurezza cominciano a indignarsi (con tutto il diritto di farlo), spesso sorgono conflitti con il personale e i capi dei reparti operativi.
La presenza di standard di settore e requisiti normativi aiuta i professionisti della sicurezza a difendere le proprie posizioni nelle negoziazioni con il management, mentre le politiche, i regolamenti e i regolamenti approvati sulla sicurezza delle informazioni consentono al personale di conformarsi ai requisiti ivi stabiliti, fornendo la base per decisioni spesso impopolari.
Protezione dei locali
Quando un data center fornisce servizi utilizzando il modello di colocation, diventa fondamentale garantire la sicurezza fisica e il controllo degli accessi alle apparecchiature del cliente. A questo scopo vengono utilizzati recinti (parti recintate del padiglione), che sono videosorvegliati dal cliente e ai quali è limitato l'accesso al personale del data center.
Nei centri informatici statali dotati di sicurezza fisica, alla fine del secolo scorso le cose non andavano male. C'era il controllo degli accessi, il controllo degli accessi ai locali, anche senza computer e videocamere, un sistema di estinzione: in caso di incendio, il freon veniva automaticamente rilasciato nella sala macchine.
Al giorno d'oggi, la sicurezza fisica è garantita ancora meglio. I sistemi di controllo e gestione degli accessi (ACS) sono diventati intelligenti e vengono introdotti metodi biometrici di limitazione degli accessi.
I sistemi di estinzione incendi sono diventati più sicuri per il personale e le attrezzature, tra cui le installazioni per l'inibizione, l'isolamento, il raffreddamento e gli effetti ipossici sulla zona dell'incendio. Oltre ai sistemi di protezione antincendio obbligatori, i data center utilizzano spesso un sistema di rilevamento precoce degli incendi di tipo ad aspirazione.
Per proteggere i data center dalle minacce esterne - incendi, esplosioni, crollo di strutture edili, inondazioni, gas corrosivi - hanno iniziato ad essere utilizzate stanze di sicurezza e casseforti, in cui le apparecchiature server sono protette da quasi tutti i fattori dannosi esterni.
L'anello debole è la persona
Sistemi di videosorveglianza “intelligenti”, sensori di tracciamento volumetrico (acustici, infrarossi, ultrasuoni, microonde), sistemi di controllo accessi hanno ridotto i rischi, ma non hanno risolto tutti i problemi. Questi mezzi non saranno d’aiuto, ad esempio, quando le persone che sono state correttamente ammesse nel data center con gli strumenti corretti sono state “agganciate” a qualcosa. E, come spesso accade, un intoppo accidentale porterà i massimi problemi.
Il lavoro del data center può essere compromesso dall'uso improprio delle sue risorse da parte del personale, ad esempio da attività minerarie illegali. I sistemi di gestione dell'infrastruttura del data center (DCIM) possono aiutare in questi casi.
Anche il personale ha bisogno di protezione, poiché spesso viene considerato l’anello più vulnerabile del sistema di protezione. Gli attacchi mirati da parte di criminali professionisti iniziano molto spesso con l'uso di metodi di ingegneria sociale. Spesso i sistemi più sicuri si bloccano o vengono compromessi dopo che qualcuno ha cliccato/scaricato/fatto qualcosa. Tali rischi possono essere ridotti al minimo formando il personale e implementando le migliori pratiche globali nel campo della sicurezza delle informazioni.
Protezione delle infrastrutture ingegneristiche
Le minacce tradizionali al funzionamento di un data center sono le interruzioni di corrente e i guasti dei sistemi di raffreddamento. Ci siamo già abituati a tali minacce e abbiamo imparato ad affrontarle.
Una nuova tendenza è diventata l'introduzione diffusa di apparecchiature “intelligenti” collegate a una rete: UPS controllati, sistemi intelligenti di raffreddamento e ventilazione, vari controller e sensori collegati a sistemi di monitoraggio. Quando si crea un modello di minaccia per il data center, non bisogna dimenticare la probabilità di un attacco alla rete dell'infrastruttura (e, possibilmente, alla rete IT associata del data center). A complicare la situazione è il fatto che alcune apparecchiature (ad esempio i refrigeratori) possono essere spostate all'esterno del data center, ad esempio sul tetto di un edificio in affitto.
Protezione dei canali di comunicazione
Se il data center fornisce servizi non solo secondo il modello di colocation, dovrà occuparsi della protezione del cloud. Secondo Check Point, solo lo scorso anno, il 51% delle organizzazioni in tutto il mondo ha subito attacchi alle proprie strutture cloud. Gli attacchi DDoS fermano le aziende, i virus di crittografia richiedono un riscatto, gli attacchi mirati ai sistemi bancari portano al furto di fondi dai conti corrispondenti.
Le minacce di intrusioni esterne preoccupano anche gli specialisti della sicurezza informatica dei data center. I più rilevanti per i data center sono gli attacchi distribuiti volti a interrompere la fornitura di servizi, nonché le minacce di hacking, furto o modifica dei dati contenuti nell'infrastruttura virtuale o nei sistemi di storage.
Per proteggere il perimetro esterno del data center vengono utilizzati moderni sistemi con funzioni di identificazione e neutralizzazione del codice dannoso, controllo delle applicazioni e possibilità di importare la tecnologia di protezione proattiva Threat Intelligence. In alcuni casi vengono implementati sistemi con funzionalità IPS (prevenzione delle intrusioni) con adeguamento automatico della firma impostata ai parametri dell'ambiente protetto.
Per proteggersi dagli attacchi DDoS, le aziende russe, di norma, utilizzano servizi specializzati esterni che deviano il traffico verso altri nodi e lo filtrano nel cloud. La protezione lato operatore è molto più efficace che lato cliente e i data center fungono da intermediari per la vendita dei servizi.
Anche nei data center sono possibili attacchi DDoS interni: un utente malintenzionato penetra nei server poco protetti di un'azienda che ospita le sue apparecchiature secondo un modello di colocation e da lì esegue un attacco Denial of Service su altri client di questo data center attraverso la rete interna .
Focus sugli ambienti virtuali
È necessario tenere conto delle specificità dell'oggetto protetto: l'uso di strumenti di virtualizzazione, la dinamica dei cambiamenti nelle infrastrutture IT, l'interconnessione dei servizi, quando un attacco riuscito a un client può minacciare la sicurezza dei vicini. Ad esempio, hackerando la finestra mobile frontend mentre lavora in un PaaS basato su Kubernetes, un utente malintenzionato può ottenere immediatamente tutte le informazioni sulla password e persino l'accesso al sistema di orchestrazione.
I prodotti forniti nell'ambito del modello di servizio hanno un elevato grado di automazione. Per non interferire con il business, le misure di sicurezza delle informazioni devono essere applicate a un livello non inferiore di automazione e scalabilità orizzontale. Dovrebbe essere garantita la scalabilità a tutti i livelli di sicurezza delle informazioni, compresa l’automazione del controllo degli accessi e la rotazione delle chiavi di accesso. Un compito speciale è il ridimensionamento dei moduli funzionali che ispezionano il traffico di rete.
Ad esempio, il filtraggio del traffico di rete a livello di applicazione, rete e sessione in data center altamente virtualizzati dovrebbe essere eseguito a livello dei moduli di rete dell'hypervisor (ad esempio, il firewall distribuito di VMware) o creando catene di servizi (firewall virtuali di Palo Alto Networks) .
Se ci sono punti deboli a livello di virtualizzazione delle risorse informatiche, gli sforzi per creare un sistema completo di sicurezza delle informazioni a livello di piattaforma saranno inefficaci.
Livelli di protezione delle informazioni nel data center
L'approccio generale alla protezione prevede l'utilizzo di sistemi di sicurezza informatica integrati e multilivello, inclusa la macrosegmentazione a livello di firewall (allocazione di segmenti per varie aree funzionali del business), microsegmentazione basata su firewall virtuali o tagging del traffico di gruppi (ruoli o servizi utente) definiti dalle politiche di accesso.
Il livello successivo è l'identificazione delle anomalie all'interno e tra i segmenti. Vengono analizzate le dinamiche del traffico, che possono indicare la presenza di attività dannose, come scansione della rete, tentativi di attacchi DDoS, download di dati, ad esempio suddividendo i file di database e visualizzandoli in sessioni che appaiono periodicamente a lunghi intervalli. Enormi quantità di traffico passano attraverso il data center, quindi per identificare anomalie è necessario utilizzare algoritmi di ricerca avanzati e senza analisi dei pacchetti. È importante che vengano riconosciuti non solo i segnali di attività dannose e anomale, ma anche il funzionamento del malware anche nel traffico crittografato senza decrittografarlo, come proposto nelle soluzioni Cisco (Stealthwatch).
L'ultima frontiera è la protezione dei dispositivi finali della rete locale: server e macchine virtuali, ad esempio, con l'aiuto di agenti installati sui dispositivi finali (macchine virtuali), che analizzano le operazioni di I/O, cancellazioni, copie e attività di rete, trasmettere dati a , dove vengono eseguiti calcoli che richiedono una grande potenza di calcolo. Lì si effettua l’analisi utilizzando algoritmi Big Data, si costruiscono alberi logici delle macchine e si identificano le anomalie. Gli algoritmi si autoapprendino basandosi su un’enorme quantità di dati forniti da una rete globale di sensori.
Puoi fare a meno di installare agenti. I moderni strumenti di sicurezza delle informazioni devono essere privi di agenti e integrati nei sistemi operativi a livello di hypervisor.
Le misure elencate riducono significativamente i rischi per la sicurezza delle informazioni, ma ciò potrebbe non essere sufficiente per i data center che forniscono l'automazione di processi produttivi ad alto rischio, ad esempio le centrali nucleari.
Requisiti normativi
A seconda delle informazioni elaborate, le infrastrutture dei data center fisici e virtualizzati devono soddisfare diversi requisiti di sicurezza stabiliti dalle leggi e dagli standard di settore.
Tali leggi includono la legge "Sui dati personali" (152-FZ) e la legge "Sulla sicurezza delle strutture KII della Federazione Russa" (187-FZ), entrata in vigore quest'anno - l'ufficio del pubblico ministero si è già interessato nel corso della sua attuazione. Le controversie sull'appartenenza dei data center ai soggetti CII sono ancora in corso, ma molto probabilmente i data center che desiderano fornire servizi ai soggetti CII dovranno conformarsi ai requisiti della nuova legislazione.
Non sarà facile per i data center che ospitano sistemi informativi governativi. Secondo il decreto del governo della Federazione Russa dell'11.05.2017 maggio 555 n. XNUMX, i problemi di sicurezza delle informazioni dovrebbero essere risolti prima di mettere in funzione il GIS. E un data center che desidera ospitare un GIS deve prima soddisfare i requisiti normativi.
Negli ultimi 30 anni i sistemi di sicurezza dei data center hanno fatto molta strada: da semplici sistemi di protezione fisica e misure organizzative, che però non hanno perso la loro rilevanza, a complessi sistemi intelligenti, che utilizzano sempre più elementi di intelligenza artificiale. Ma l’essenza dell’approccio non è cambiata. Le tecnologie più moderne non ti salveranno senza misure organizzative e formazione del personale, e le pratiche burocratiche non ti salveranno senza software e soluzioni tecniche. La sicurezza dei data center non può essere garantita una volta per tutte; è necessario uno sforzo quotidiano costante per identificare le minacce prioritarie e risolvere in modo completo i problemi emergenti.
Cos'altro puoi leggere sul blog?
→
→
→
→
→
Iscriviti al nostro -channel, per non perderti il prossimo articolo! Scriviamo non più di due volte a settimana e solo per lavoro. Ti ricordiamo anche che puoi soluzioni cloud Cloud4Y.
Fonte: habr.com