🥇データセンターの情報セキュリティ

モスクワにあるNORD-2データセンターの監視センターはこんな感じ

情報セキュリティ (IS) を確保するためにどのような対策が講じられているかについて、何度も読んだことがあります。自尊心のある IT スペシャリストであれば、5 ～ 10 個の情報セキュリティルールを簡単に挙げることができます。 Cloud4Y は、データセンターの情報セキュリティについてお話します。

データセンターの情報セキュリティを確保する場合、最も「保護」されるオブジェクトは次のとおりです。

情報リソース（データ）。
情報の収集、処理、保存、送信のプロセス。
システムのユーザーと保守担当者。
情報インフラストラクチャには、情報交換チャネル、情報セキュリティシステムおよび施設を含む、情報を処理、送信、表示するためのハードウェアおよびソフトウェアツールが含まれます。

データセンターの担当範囲は、提供されるサービスのモデル（IaaS/PaaS/SaaS）によって異なります。どのように見えるかは、下の写真を参照してください。

提供されるサービスのモデルに応じたデータセンターのセキュリティポリシーの範囲

情報セキュリティポリシーの策定で最も重要な部分は、脅威と違反者のモデルを構築することです。データセンターにとって何が脅威となり得るでしょうか?

自然、人為、社会的性質の有害事象
テロリスト、犯罪分子など
サプライヤー、プロバイダー、パートナー、クライアントへの依存
ソフトウェアおよびハードウェアの故障、障害、破壊、損傷
法的に付与された権利と権限を利用して情報セキュリティの脅威を実行するデータセンター従業員 (内部情報セキュリティ違反者)
法的に認められた権利や権限を超えて情報セキュリティ上の脅威を実行するデータセンター従業員、およびデータセンター従業員とは関係ないが不正アクセスや不正行為を試みる団体（外部情報セキュリティ違反者）
監督および規制当局の要件、現在の法律への違反

リスク分析 (潜在的な脅威を特定し、その導入による影響の規模を評価する) は、データセンターの情報セキュリティ専門家が解決しなければならない優先タスクを正しく選択し、ハードウェアとソフトウェアの購入予算を計画するのに役立ちます。

セキュリティの確保は、情報セキュリティシステムの計画、実装と運用、監視、分析、改善の各段階を含む継続的なプロセスです。情報セキュリティ管理体制、いわゆる「デミングサイクル'。

セキュリティポリシーの重要な部分は、その実装における担当者の役割と責任の配分です。法律の変更、新たな脅威、新たな防御策を反映するために、ポリシーを継続的に見直す必要があります。そしてもちろん、情報セキュリティ要件をスタッフに伝え、トレーニングを提供します。

組織的な対策

一部の専門家は、重要なのはハッキングの試みに抵抗する実践的なスキルであると考え、「紙」のセキュリティに懐疑的です。銀行における情報セキュリティの確保における実際の経験は、その逆を示唆しています。情報セキュリティの専門家は、リスクの特定と軽減に関して優れた専門知識を持っているかもしれませんが、データセンター担当者が彼らの指示に従わなければ、すべてが無駄になってしまいます。

原則として、セキュリティはお金をもたらしませんが、リスクを最小限に抑えるだけです。したがって、それはしばしば不穏なものとして、二次的なものとして扱われます。そして、セキュリティ専門家が憤慨し始めると（そうする権利は十分にありますが）、スタッフや運用部門の責任者との間で衝突が生じることがよくあります。

業界標準と規制要件の存在は、セキュリティ専門家が経営陣との交渉において自分の立場を守るのに役立ち、承認された情報セキュリティポリシー、規制、規定にスタッフがそこに定められた要件を遵守することを可能にし、しばしば不評な決定の根拠となります。

敷地の保護

データセンターがコロケーションモデルを使用してサービスを提供する場合、クライアントの機器への物理的なセキュリティとアクセス制御の確保が最優先になります。この目的のために、エンクロージャ (ホールの柵で囲まれた部分) が使用されます。エンクロージャはクライアントのビデオ監視下にあり、データセンター担当者のアクセスは制限されています。

物理的なセキュリティを備えた州立コンピューターセンターでは、前世紀末の状況は悪くありませんでした。コンピューターやビデオカメラがなくても、敷地内へのアクセス制御、消火システムがあり、火災が発生した場合には、フロンが自動的に機械室に放出されました。

現在では、物理的なセキュリティがさらに強化されています。アクセス制御管理システム (ACS) はインテリジェントになり、生体認証によるアクセス制限方法が導入されています。

Более безопасными для персонала и оборудования стали системы пожаротушения, среди которых можно выделить установки для ингибирования, изоляции, охлаждения и гипоксического воздействия на зону возгорания. Наряду с обязательными системами противопожарной защиты в ЦОДах часто используется система раннего обнаружения пожара аспирационного типа.

火災、爆発、建物構造の倒壊、浸水、腐食性ガスなどの外部の脅威からデータセンターを保護するために、サーバー機器をほぼすべての外部損傷要因から保護するセキュリティルームと金庫が使用され始めました。

弱いつながりは人です

「スマート」ビデオ監視システム、体積追跡センサー (音響、赤外線、超音波、マイクロ波)、アクセス制御システムはリスクを軽減していますが、すべての問題を解決したわけではありません。これらの手段は、たとえば、適切なツールを使用してデータセンターへの入場を正しく許可された人々が何かに「夢中になった」場合には役に立ちません。そして、よくあることですが、偶発的な引っ掛かりは最大の問題を引き起こします。

データセンターの業務は、違法採掘などの職員によるリソースの悪用によって影響を受ける可能性があります。このような場合には、データセンターインフラストラクチャ管理 (DCIM) システムが役に立ちます。

人間は保護システムの中で最も脆弱な部分と呼ばれることが多いため、職員にも保護が必要です。プロの犯罪者による標的型攻撃は、ほとんどの場合、ソーシャルエンジニアリング手法の使用から始まります。多くの場合、最も安全なシステムは、誰かが何かをクリックしたりダウンロードしたりした後、クラッシュしたり侵害されたりします。このようなリスクは、スタッフをトレーニングし、情報セキュリティの分野で世界的なベストプラクティスを導入することで最小限に抑えることができます。

エンジニアリングインフラの保護

データセンターの機能に対する従来の脅威は、停電と冷却システムの故障です。私たちはすでにそのような脅威に慣れており、それに対処する方法を学びました。

新しい傾向として、ネットワークに接続された「スマート」機器、つまり制御された UPS、インテリジェントな冷却および換気システム、監視システムに接続されたさまざまなコントローラーやセンサーが広く導入されるようになりました。データセンターの脅威モデルを構築するときは、インフラストラクチャネットワーク (場合によってはデータセンターの関連 IT ネットワーク) に対する攻撃の可能性を忘れてはなりません。状況を複雑にしているのは、一部の機器 (冷却装置など) がデータセンターの外、たとえば賃貸建物の屋上に移動できることです。

通信チャネルの保護

データセンターがコロケーションモデルだけではなくサービスを提供する場合、クラウド保護にも対処する必要があります。 Check Point によると、昨年だけで、世界中の組織の 51% がクラウド構造に対する攻撃を経験しました。 DDoS 攻撃はビジネスを停止させ、暗号化ウイルスは身代金を要求し、銀行システムに対する標的型攻撃は取引先口座からの資金の盗難につながります。

データセンターの情報セキュリティ専門家は、外部からの侵入の脅威も心配しています。データセンターに最も関係があるのは、サービスの提供を妨害することを目的とした分散型攻撃と、仮想インフラストラクチャやストレージシステムに含まれるデータのハッキング、盗難、改ざんの脅威です。

データセンターの外部境界を保護するために、最新のシステムには、悪意のあるコードを特定して無力化する機能、アプリケーション制御、脅威インテリジェンスのプロアクティブな保護テクノロジーをインポートする機能が組み込まれています。場合によっては、IPS (侵入防止) 機能を備えたシステムが、保護された環境のパラメータに合わせて署名セットを自動調整して展開されます。

DDoS 攻撃から保護するために、ロシア企業は原則として、トラフィックを他のノードに転送し、クラウドでフィルタリングする外部の特殊なサービスを使用します。オペレーター側の保護はクライアント側よりもはるかに効果的であり、データセンターはサービス販売の仲介者として機能します。

データセンターでも内部 DDoS 攻撃が発生する可能性があります。攻撃者は、コロケーションモデルを使用して自社の機器をホストしているある企業の脆弱に保護されているサーバーに侵入し、そこから内部ネットワーク経由でこのデータセンターの他のクライアントに対してサービス拒否攻撃を実行します。。

仮想環境に焦点を当てる

XNUMX つのクライアントに対する攻撃が成功すると近隣のセキュリティを脅かす可能性がある場合、仮想化ツールの使用、IT インフラストラクチャの変化のダイナミクス、サービスの相互接続など、保護オブジェクトの詳細を考慮する必要があります。たとえば、Kubernetes ベースの PaaS で作業中にフロントエンド Docker をハッキングすると、攻撃者はすぐにすべてのパスワード情報を取得し、オーケストレーションシステムにアクセスすることさえできます。

サービスモデルで提供される製品は、高度な自動化が施されています。業務に支障をきたさないようにするためには、情報セキュリティ対策の自動化と水平展開を少なからず行う必要があります。アクセス制御の自動化やアクセスキーのローテーションなど、情報セキュリティのあらゆるレベルでスケーリングを確保する必要があります。特別なタスクは、ネットワークトラフィックを検査する機能モジュールの拡張です。

たとえば、高度に仮想化されたデータセンターのアプリケーション、ネットワーク、セッションレベルでのネットワークトラフィックのフィルタリングは、ハイパーバイザーネットワークモジュール (VMware の分散ファイアウォールなど) のレベルで実行するか、サービスチェーン (パロアルトネットワークの仮想ファイアウォール) を作成して実行する必要があります。。

コンピューティングリソースの仮想化レベルに弱点があると、プラットフォームレベルで包括的な情報セキュリティシステムを構築する取り組みは効果がありません。

データセンターにおける情報保護のレベル

保護への一般的なアプローチは、ファイアウォールレベルでのマクロセグメンテーション (ビジネスのさまざまな機能領域へのセグメントの割り当て)、仮想ファイアウォールまたはグループのトラフィックのタグ付けに基づくマイクロセグメンテーションを含む、統合されたマルチレベルの情報セキュリティシステムの使用です。 (ユーザーの役割またはサービス) は、アクセスポリシーによって定義されます。

次のレベルは、セグメント内およびセグメント間の異常を特定することです。トラフィックのダイナミクスが分析され、ネットワークスキャン、DDoS 攻撃の試み、データベースファイルをスライスして長い間隔で定期的に現れるセッションに出力することによるデータのダウンロードなど、悪意のあるアクティビティの存在が示される可能性があります。膨大な量のトラフィックがデータセンターを通過するため、異常を特定するには、パケット分析を行わずに高度な検索アルゴリズムを使用する必要があります。シスコのソリューション (Stealthwatch) で提案されているように、悪意のある異常なアクティビティの兆候を認識するだけでなく、暗号化されたトラフィックでも復号化せずにマルウェアの動作を認識することが重要です。

最後のフロンティアは、ローカルネットワークのエンドデバイス (サーバーや仮想マシン) の保護です。たとえば、エンドデバイス (仮想マシン) にインストールされたエージェントの助けを借りて、I/O 操作、削除、コピー、ネットワークアクティビティを分析します。データを送信する雲、大きな計算能力を必要とする計算が実行されます。そこでは、ビッグデータアルゴリズムを使用して分析が実行され、マシンロジックツリーが構築され、異常が特定されます。アルゴリズムは、センサーのグローバルネットワークから提供される膨大な量のデータに基づいて自己学習します。

エージェントをインストールしなくても実行できます。最新の情報セキュリティツールはエージェントレスであり、ハイパーバイザーレベルでオペレーティングシステムに統合されている必要があります。
リストされた対策は情報セキュリティのリスクを大幅に軽減しますが、原子力発電所などの高リスクの生産プロセスの自動化を提供するデータセンターには十分ではない可能性があります。

規制要件

処理される情報に応じて、物理データセンターインフラストラクチャと仮想データセンターインフラストラクチャは、法律や業界標準で規定されているさまざまなセキュリティ要件を満たす必要があります。

このような法律には、「個人データに関する法律」(152-FZ) や今年施行された「ロシア連邦の KII 施設の安全に関する法律」(187-FZ) が含まれており、検察庁はすでに関心を持っています。その実装の進捗状況。データセンターが CII 主体に属するかどうかに関する論争はまだ続いていますが、おそらく、CII 主体にサービスを提供したいデータセンターは、新しい法律の要件に準拠する必要があるでしょう。

政府の情報システムをホストするデータセンターにとって、それは容易ではないでしょう。 11.05.2017 年 555 月 XNUMX 日付けのロシア連邦政府令第 XNUMX 号によると、GIS を商業運用する前に、情報セキュリティの問題を解決する必要があります。また、GIS をホストしたいデータセンターは、まず規制要件を満たさなければなりません。

過去 30 年にわたり、データセンターのセキュリティシステムは長い道のりを歩んできました。単純な物理的保護システムと組織的対策 (ただしその関連性は失われていません) から、人工知能の要素をますます使用する複雑なインテリジェントシステムへと発展してきました。しかし、アプローチの本質は変わっていません。組織的な対策とスタッフのトレーニングがなければ、最新のテクノロジーでもあなたを救うことはできません。また、ソフトウェアと技術的なソリューションがなければ、事務処理でもあなたを救うことはできません。データセンターのセキュリティを一度に確保できるわけではありません。優先度の高い脅威を特定し、新たな問題を包括的に解決するために日々の継続的な努力が必要です。

ブログでは他に何が読めますか? クラウド4Y

→ GNU/Linux でのトップのセットアップ
→ サイバーセキュリティの最前線にいる侵入テスター
→ 素晴らしいアイデアから科学産業までの人工知能の道程
→ クラウドバックアップを節約する 4 つの方法
→ ムットの話

購読してください Telegram次の記事を見逃さないように - チャンネルをご覧ください。私たちは週に XNUMX 回まで、ビジネスに関するもののみを書きます。また、次のことも可能です。無料でテストクラウドソリューション Cloud4Y。

出所： habr.com

データセンターの情報セキュリティ