Деректер орталығының ақпараттық қауіпсіздігі

Мәскеуде орналасқан NORD-2 деректер орталығының мониторинг орталығы осылай көрінеді

Ақпараттық қауіпсіздікті (АЖ) қамтамасыз ету бойынша қандай шаралар қабылданатыны туралы бірнеше рет оқыдыңыз. Кез келген өзін құрметтейтін IT маманы 5-10 ақпараттық қауіпсіздік ережесін оңай атай алады. Cloud4Y деректер орталықтарының ақпараттық қауіпсіздігі туралы айтуды ұсынады.

Деректер орталығының ақпараттық қауіпсіздігін қамтамасыз ету кезінде ең «қорғалатын» объектілер:

• ақпараттық ресурстар (деректер);
• ақпаратты жинау, өңдеу, сақтау және беру процестері;
• жүйені пайдаланушылар мен техникалық қызмет көрсету персоналы;
• ақпарат алмасу арналарын, ақпараттық қауіпсіздік жүйелері мен үй-жайларды қоса алғанда, ақпаратты өңдеуге, беруге және көрсетуге арналған аппараттық және бағдарламалық құралдарды қамтитын ақпараттық инфрақұрылым.

Деректер орталығының жауапкершілік аймағы ұсынылатын қызметтер үлгісіне байланысты (IaaS/PaaS/SaaS). Бұл қалай көрінеді, төмендегі суретті қараңыз:

Дата орталығының қауіпсіздік саясатының көлемі ұсынылатын қызметтер үлгісіне байланысты

Ақпараттық қауіпсіздік саясатын әзірлеудің ең маңызды бөлігі қауіптер мен бұзушылардың моделін құру болып табылады. Деректер орталығына не қауіп төндіруі мүмкін?

1. Табиғи, техногендік және әлеуметтік сипаттағы келеңсіз оқиғалар
2. Террористер, қылмыстық элементтер және т.б.
3. Жабдықтаушыларға, жеткізушілерге, серіктестерге, клиенттерге тәуелділік
4. Сәтсіздіктер, ақаулар, бұзылулар, бағдарламалық және аппараттық құралдардың зақымдануы
5. Заңмен берілген құқықтар мен өкілеттіктерді пайдалана отырып, ақпараттық қауіпсіздікке қатер төндіретін деректер орталығының қызметкерлері (ішкі ақпараттық қауіпсіздікті бұзушылар)
6. Заңмен берілген құқықтар мен өкілеттіктерден тыс ақпараттық қауіпсіздік қатерлерін жүзеге асыратын деректер орталығының қызметкерлері, сондай-ақ деректер орталығының қызметкерлеріне қатысы жоқ, бірақ рұқсат етілмеген қол жеткізуге және рұқсат етілмеген әрекеттерге әрекеттенетін тұлғалар (ақпараттық қауіпсіздікті сыртқы бұзушылар)
7. Бақылау және бақылау органдарының талаптарын, қолданыстағы заңнаманы сақтамау

Тәуекелдерді талдау – ықтимал қауіптерді анықтау және оларды іске асыру салдарының ауқымын бағалау – деректер орталығының ақпараттық қауіпсіздік мамандары шешуі тиіс басым міндеттерді дұрыс таңдауға, аппараттық және бағдарламалық құралдарды сатып алу бюджеттерін жоспарлауға көмектеседі.

Қауіпсіздікті қамтамасыз ету – ақпараттық қауіпсіздік жүйесін жоспарлау, енгізу және пайдалану, бақылау, талдау және жетілдіру кезеңдерін қамтитын үздіксіз процесс. Ақпараттық қауіпсіздікті басқару жүйелерін құру үшін «Деминг циклі«.

Қауіпсіздік саясатының маңызды бөлігі оларды жүзеге асыру үшін персоналдың рөлдері мен жауапкершілігін бөлу болып табылады. Заңнамадағы өзгерістерді, жаңа қауіптерді және пайда болған қорғаныс құралдарын көрсету үшін саясаттар үнемі қайта қаралуы керек. Және, әрине, қызметкерлерге ақпараттық қауіпсіздік талаптарын хабарлаңыз және оқытуды қамтамасыз етіңіз.

Ұйымдастырушылық шаралар

Кейбір сарапшылар «қағаз» қауіпсіздігіне күмәнмен қарайды, ең бастысы - бұзу әрекеттеріне қарсы тұрудың практикалық дағдылары деп санайды. Банктердегі ақпараттық қауіпсіздікті қамтамасыз етудегі нақты тәжірибе керісінше көрсетеді. Ақпараттық қауіпсіздік мамандарының тәуекелдерді анықтау және азайтуда тамаша тәжірибесі болуы мүмкін, бірақ деректер орталығының қызметкерлері олардың нұсқауларын орындамаса, бәрі бекер болады.

Қауіпсіздік, әдетте, ақша әкелмейді, тек тәуекелдерді азайтады. Сондықтан оны жиі алаңдататын және қайталама нәрсе ретінде қарастырады. Қауіпсіздік мамандары ашулана бастағанда (сондай жасауға құқығы бар) қызметкерлермен және жедел бөлім басшыларымен жиі қақтығыстар туындайды.

Салалық стандарттар мен реттеуші талаптардың болуы қауіпсіздік саласындағы мамандарға басшылықпен келіссөздер кезінде өз ұстанымдарын қорғауға көмектеседі, ал бекітілген ақпараттық қауіпсіздік саясаты, ережелері мен ережелері қызметкерлерге онда белгіленген талаптарды орындауға мүмкіндік береді, бұл көбінесе ұнамсыз шешімдер қабылдауға негіз болады.

Үй-жайларды қорғау

Деректер орталығы колокация үлгісін пайдалана отырып қызметтерді ұсынса, физикалық қауіпсіздікті қамтамасыз ету және клиент жабдығына қол жеткізуді басқару бірінші орынға шығады. Осы мақсатта клиенттің бейнебақылауында болатын және деректер орталығының қызметкерлеріне қолжетімділік шектелген қоршаулар (залдың қоршалған бөліктері) пайдаланылады.

Физикалық қауіпсіздігі бар мемлекеттік компьютерлік орталықтарда өткен ғасырдың аяғында жағдай жаман болған жоқ. Кіруді басқару, үй-жайларға кіруді басқару, тіпті компьютерлер мен бейнекамераларсыз, өрт сөндіру жүйесі болды - өрт болған жағдайда фреон автоматты түрде машина бөлмесіне шығарылды.

Қазіргі уақытта физикалық қауіпсіздік бұдан да жақсы қамтамасыз етілген. Қол жеткізуді басқару және басқару жүйелері (АБЖ) интеллектуалды болды, қол жеткізуді шектеудің биометриялық әдістері енгізілуде.

Өрт сөндіру жүйелері қызметкерлер мен жабдықтар үшін қауіпсіз болды, олардың ішінде өрт аймағына тежеу, оқшаулау, салқындату және гипоксиялық әсер ету қондырғылары бар. Міндетті өртке қарсы қорғаныс жүйелерімен қатар деректер орталықтары жиі аспирациялық типті өртті ерте анықтау жүйесін пайдаланады.

Деректер орталықтарын сыртқы қауіптерден - өрттерден, жарылыстардан, құрылыс құрылымдарының құлауынан, су басуынан, коррозиялық газдардан қорғау үшін серверлік жабдық барлық дерлік сыртқы зақымдаушы факторлардан қорғалған қауіпсіздік бөлмелері мен сейфтер қолданыла бастады.

Әлсіз буын - адам

«Ақылды» бейнебақылау жүйелері, көлемді бақылау сенсорлары (акустикалық, инфрақызыл, ультрадыбыстық, микротолқынды), қол жеткізуді басқару жүйелері тәуекелдерді азайтты, бірақ барлық мәселелерді шеше алмады. Бұл құралдар, мысалы, дұрыс құралдармен деректер орталығына дұрыс қабылданған адамдар бір нәрсеге «байланып қалғанда» көмектеспейді. Және, жиі болатындай, кездейсоқ тосқауыл максималды проблемаларды әкеледі.

Деректер орталығының жұмысына оның ресурстарын қызметкерлердің теріс пайдалануы әсер етуі мүмкін, мысалы, заңсыз өндіру. Деректер орталығының инфрақұрылымын басқару (DCIM) жүйелері бұл жағдайларда көмектесе алады.

Персонал да қорғауды қажет етеді, өйткені адамдар көбінесе қорғаныс жүйесіндегі ең осал буын деп аталады. Кәсіби қылмыскерлердің мақсатты шабуылдары көбінесе әлеуметтік инженерия әдістерін қолданудан басталады. Көбінесе ең қауіпсіз жүйелер біреу басқан/жүктеп алған/бірдеңе жасағаннан кейін бұзылады немесе бұзылады. Мұндай тәуекелдерді қызметкерлерді оқыту және ақпараттық қауіпсіздік саласындағы озық әлемдік тәжірибені енгізу арқылы азайтуға болады.

Инженерлік инфрақұрылымды қорғау

Деректер орталығының жұмысына дәстүрлі қатер - электр қуатының үзілуі және салқындату жүйелерінің істен шығуы. Біз мұндай қауіп-қатерге үйреніп, олармен күресуді үйрендік.

Желіге қосылған «ақылды» жабдықты кеңінен енгізу жаңа тренд болды: басқарылатын UPS, интеллектуалды салқындату және желдету жүйелері, бақылау жүйелеріне қосылған әртүрлі контроллерлер мен сенсорлар. Деректер орталығының қауіп үлгісін құру кезінде инфрақұрылымдық желіге (және, мүмкін, деректер орталығының байланысты АТ желісіне) шабуыл жасау ықтималдығы туралы ұмытпау керек. Жағдайды қиындатқаны - кейбір жабдықты (мысалы, салқындатқыштарды) деректер орталығының сыртына, айталық, жалға алынған ғимараттың шатырына жылжытуға болатындығы.

Байланыс арналарын қорғау

Егер деректер орталығы тек колокация үлгісіне сәйкес қызмет көрсетпесе, онда бұлтты қорғаумен айналысуға тура келеді. Check Point мәліметтері бойынша, өткен жылдың өзінде дүние жүзіндегі ұйымдардың 51%-ы бұлттық құрылымдарына шабуыл жасаған. DDoS шабуылдары бизнесті тоқтатады, шифрлау вирустары төлемді талап етеді, банк жүйесіне мақсатты шабуылдар корреспонденттік шоттардан қаражаттың ұрлануына әкеледі.

Сыртқы ену қаупі деректер орталығының ақпараттық қауіпсіздік мамандарын да алаңдатады. Деректер орталықтары үшін ең өзекті болып қызмет көрсетуді тоқтатуға бағытталған таратылған шабуылдар, сондай-ақ виртуалды инфрақұрылымда немесе сақтау жүйелерінде қамтылған деректерді бұзу, ұрлау немесе өзгерту қаупі бар.

Деректер орталығының сыртқы периметрін қорғау үшін зиянды кодты анықтау және бейтараптандыру функциялары, қолданбаларды басқару және Threat Intelligence проактивті қорғау технологиясын импорттау мүмкіндігі бар заманауи жүйелер қолданылады. Кейбір жағдайларда IPS (интрузияның алдын алу) функционалдығы бар жүйелер қолтаңбаны қорғалатын ортаның параметрлеріне автоматты түрде реттеу арқылы орналастырылады.

DDoS шабуылдарынан қорғау үшін ресейлік компаниялар, әдетте, трафикті басқа түйіндерге бағыттайтын және оны бұлтта сүзетін сыртқы мамандандырылған қызметтерді пайдаланады. Оператор тарапынан қорғау клиентке қарағанда әлдеқайда тиімді, ал деректер орталықтары қызметтерді сатуда делдал ретінде әрекет етеді.

Ішкі DDoS шабуылдары деректер орталықтарында да мүмкін: шабуылдаушы өз жабдығын орналастыратын бір компанияның әлсіз қорғалған серверлеріне колокация үлгісін пайдаланып еніп, сол жерден ішкі желі арқылы осы деректер орталығының басқа клиенттеріне қызмет көрсетуден бас тарту шабуылын жасайды. .

Виртуалды орталарға назар аударыңыз

Бір клиентке сәтті шабуыл көршілердің қауіпсіздігіне қатер төндіруі мүмкін болғанда қорғалатын объектінің ерекшеліктерін – виртуализация құралдарын пайдалануды, АТ-инфрақұрылымдарының өзгеру динамикасын, қызметтердің өзара байланысын ескеру қажет. Мысалы, Kubernetes негізіндегі PaaS жүйесінде жұмыс істеу кезінде фронтон докерін бұзу арқылы шабуылдаушы барлық құпия сөз туралы ақпаратты және тіпті оркестрлік жүйеге кіруді бірден ала алады.

Сервистік үлгі бойынша ұсынылатын өнімдер автоматтандырудың жоғары дәрежесіне ие. Бизнеске кедергі келтірмеу үшін ақпараттық қауіпсіздік шараларын автоматтандыру мен көлденең масштабтау деңгейінде қолдану қажет. Ақпараттық қауіпсіздіктің барлық деңгейлерінде, оның ішінде қол жеткізуді басқаруды автоматтандыруды және кіру кілттерін айналдыруды масштабтау қамтамасыз етілуі керек. Арнайы тапсырма желілік трафикті тексеретін функционалдық модульдерді масштабтау болып табылады.

Мысалы, жоғары виртуализацияланған деректер орталықтарындағы қолданба, желі және сеанс деңгейлерінде желілік трафикті сүзу гипервизорлық желі модульдері деңгейінде (мысалы, VMware's Distributed Firewall) немесе қызмет көрсету тізбектерін (Palo Alto Networks виртуалды желіаралық қалқандары) жасау арқылы орындалуы керек. .

Есептеу ресурстарын виртуализациялау деңгейінде осал тұстар болса, платформа деңгейінде кешенді ақпараттық қауіпсіздік жүйесін құру әрекеті тиімсіз болады.

Мәліметтер орталығында ақпаратты қорғау деңгейлері

Қорғаудың жалпы тәсілі ақпараттық қауіпсіздіктің біріктірілген көп деңгейлі жүйелерін пайдалану болып табылады, оның ішінде брандмауэр деңгейінде макросегментация (бизнестің әртүрлі функционалдық бағыттары үшін сегменттерді бөлу), виртуалды желіаралық қалқандар негізінде микросегментация немесе топтардың трафикті тегтеу. (пайдаланушы рөлдері немесе қызметтері) қатынас саясаттарымен анықталады.

Келесі деңгей сегменттер ішіндегі және арасындағы ауытқуларды анықтау болып табылады. Трафик динамикасы талданады, ол желіні сканерлеу, DDoS шабуылдарына әрекет жасау, деректерді жүктеу сияқты зиянды әрекеттердің болуын көрсетуі мүмкін, мысалы, дерекқор файлдарын кесу және оларды ұзақ уақыт аралығымен мерзімді түрде пайда болатын сеанстарға шығару арқылы. Деректер орталығы арқылы трафиктің үлкен көлемі өтеді, сондықтан аномалияларды анықтау үшін пакеттік талдаусыз кеңейтілген іздеу алгоритмдерін пайдалану қажет. Cisco шешімдерінде (Stealthwatch) ұсынылғандай, зиянды және аномальды әрекеттің белгілері ғана емес, сонымен қатар шифрланған трафикте оның шифрын шешпей зиянды бағдарламаның жұмыс істеуі маңызды.

Соңғы шекара жергілікті желінің соңғы құрылғыларын қорғау болып табылады: серверлер мен виртуалды машиналар, мысалы, енгізу-шығару операцияларын, жоюларды, көшірмелерді және желілік әрекеттерді талдайтын соңғы құрылғыларда (виртуалды машиналар) орнатылған агенттердің көмегімен, мәліметтерді жіберу бұлт, мұнда үлкен есептеу қуатын қажет ететін есептеулер жүргізіледі. Онда Big Data алгоритмдері арқылы талдау жүргізіледі, машиналық логикалық ағаштар құрастырылады және аномалиялар анықталады. Алгоритмдер сенсорлардың жаһандық желісі арқылы берілетін деректердің үлкен көлеміне негізделген өздігінен білім алады.

Сіз агенттерді орнатусыз жасай аласыз. Ақпаратты қорғаудың заманауи құралдары агентсіз және гипервизор деңгейінде операциялық жүйелерге біріктірілген болуы керек.
Көрсетілген шаралар ақпараттық қауіпсіздік тәуекелдерін айтарлықтай төмендетеді, бірақ бұл аса қауіпті өндірістік процестерді автоматтандыруды қамтамасыз ететін деректер орталықтары үшін жеткіліксіз болуы мүмкін, мысалы, атом электр станциялары.

Нормативтік талаптар

Өңделетін ақпаратқа байланысты физикалық және виртуалдандырылған деректер орталығының инфрақұрылымдары заңдарда және салалық стандарттарда белгіленген әртүрлі қауіпсіздік талаптарына сай болуы керек.

Мұндай заңдарға биылғы жылы күшіне енген «Жеке деректер туралы» заң (152-ФЗ) және «Ресей Федерациясының ҚИИ объектілерінің қауіпсіздігі туралы» заңы (187-ФЗ) кіреді - прокуратура қазірдің өзінде қызығушылық танытты. оны жүзеге асыру барысында. Дата орталықтарының CII субъектілеріне тиесілілігі туралы даулар әлі де жалғасуда, бірақ, ең алдымен, CII субъектілеріне қызмет көрсеткісі келетін дата орталықтары жаңа заңнаманың талаптарын орындауы керек.

Мемлекеттік ақпараттық жүйелерді орналастыратын дата орталықтары үшін оңай болмайды. Ресей Федерациясы Үкіметінің 11.05.2017 жылғы 555 мамырдағы № XNUMX қаулысына сәйкес, ақпараттық қауіпсіздік мәселелері ГАЖ коммерциялық пайдалануға берілгенге дейін шешілуі керек. Ал ГАЖ орналастырғысы келетін деректер орталығы алдымен нормативтік талаптарға сай болуы керек.

Соңғы 30 жыл ішінде деректер орталығының қауіпсіздік жүйелері ұзақ жолдан өтті: қарапайым физикалық қорғаныс жүйелері мен ұйымдастыру шараларынан бастап, әлі де өзектілігін жоғалтпаған, жасанды интеллект элементтерін жиі қолданатын күрделі интеллектуалды жүйелерге дейін. Бірақ тәсілдің мәні өзгерген жоқ. Ең заманауи технологиялар ұйымдастыру шараларынсыз және қызметкерлерді оқытусыз құтқара алмайды, ал қағазбастылық бағдарламалық қамтамасыз ету мен техникалық шешімдерсіз құтқармайды. Деректер орталығының қауіпсіздігін біржола қамтамасыз ету мүмкін емес, бұл басым қауіптерді анықтауға және туындайтын мәселелерді кешенді шешуге арналған тұрақты күнделікті әрекет.

Блогта тағы не оқуға болады? Cloud4Y

→ GNU/Linux жүйесінде жоғарғы орнату
→ Пентестер киберқауіпсіздіктің алдыңғы қатарында
→ Фантастикалық идеядан ғылыми индустрияға дейінгі жасанды интеллект жолы
→ Бұлттық сақтық көшірмелерді сақтаудың 4 жолы
→ Мут оқиғасы

Біздің жазылым TelegramКелесі мақаланы жіберіп алмау үшін арна! Біз аптасына екі реттен көп емес және тек бизнес бойынша жазамыз. Сондай-ақ, мүмкін екенін еске саламыз тегін сынақ бұлтты шешімдер Cloud4Y.

Ақпарат көзі: www.habr.com