데이터센터 정보보안

모스크바에 위치한 NORD-2 데이터센터의 모니터링 센터는 이런 모습이다.

정보 보안(IS)을 보장하기 위해 어떤 조치가 취해지는지에 대해 여러 번 읽었습니다. 자존심이 강한 IT 전문가라면 누구나 5~10개의 정보 보안 규칙을 쉽게 지정할 수 있습니다. Cloud4Y는 데이터 센터의 정보 보안에 대해 이야기할 것을 제안합니다.

데이터 센터의 정보 보안을 보장할 때 가장 "보호되는" 개체는 다음과 같습니다.

• 정보 자원(데이터);
• 정보를 수집, 처리, 저장 및 전송하는 프로세스;
• 시스템 사용자 및 유지 관리 담당자
• 정보 교환 채널, 정보 보안 시스템 및 시설을 포함하여 정보 처리, 전송 및 표시를 위한 하드웨어 및 소프트웨어 도구를 포함한 정보 인프라.

데이터 센터의 책임 영역은 제공되는 서비스 모델(IaaS/PaaS/SaaS)에 따라 다릅니다. 어떻게 보이는지 아래 그림을 참조하십시오.

제공되는 서비스 모델에 따른 데이터센터 보안 정책의 범위

정보 보안 정책 개발에서 가장 중요한 부분은 위협과 위반자 모델을 구축하는 것입니다. 데이터 센터에 위협이 될 수 있는 것은 무엇입니까?

1. 자연적, 인공적, 사회적 성격의 불리한 사건
2. 테러리스트, 범죄요소 등
3. 공급자, 공급자, 파트너, 고객에 대한 의존성
4. 소프트웨어 및 하드웨어의 고장, 실패, 파괴, 손상
5. 데이터센터 직원이 법적으로 부여된 권리와 권한을 이용하여 정보보안 위협을 실행하는 행위(내부 정보보안 위반자)
6. 법적으로 부여된 권리와 권한을 넘어서 정보보안 위협을 가하는 데이터센터 직원 및 데이터센터 직원과 관련이 없지만 무단 접근 및 무단 행위를 시도하는 주체(외부 정보보안 위반자)
7. 감독 및 규제 당국의 요구 사항, 현행법을 준수하지 않음

위험 분석(잠재적 위협 식별 및 구현 결과 규모 평가)은 데이터 센터 정보 보안 전문가가 해결해야 하는 우선 순위 작업을 올바르게 선택하고 하드웨어 및 소프트웨어 구매 예산을 계획하는 데 도움이 됩니다.

보안 확보는 정보보안 시스템의 기획, 구현 및 운영, 모니터링, 분석, 개선 등의 단계를 포함하는 지속적인 프로세스입니다. 정보 보안 관리 시스템을 만들기 위해 소위 "데밍 사이클".

보안 정책의 중요한 부분은 보안 정책 구현을 위한 직원의 역할과 책임을 분배하는 것입니다. 정책은 법률 변경, 새로운 위협, 새로운 방어 수단을 반영하기 위해 지속적으로 검토되어야 합니다. 물론 정보 보안 요구 사항을 직원에게 전달하고 교육을 제공합니다.

조직적 조치

일부 전문가들은 해킹 시도에 저항할 수 있는 실용적인 기술이 가장 중요하다는 점을 고려하여 "종이" 보안에 회의적입니다. 은행의 정보 보안 보장에 대한 실제 경험은 그 반대를 시사합니다. 정보 보안 전문가는 위험을 식별하고 완화하는 데 뛰어난 전문성을 갖추고 있을 수 있지만 데이터 센터 직원이 지시를 따르지 않으면 모든 것이 헛될 것입니다.

보안은 원칙적으로 돈을 가져오지는 않지만 위험을 최소화할 뿐입니다. 그러므로 그것은 흔히 불안하고 부차적인 것으로 취급됩니다. 보안 전문가가 분개하기 시작하면(모든 권리를 갖고) 직원 및 운영 부서 책임자와 갈등이 발생하는 경우가 많습니다.

산업 표준 및 규제 요구 사항이 있으면 보안 전문가가 경영진과의 협상에서 자신의 입장을 방어하는 데 도움이 되며, 승인된 정보 보안 정책, 규정 및 규정을 통해 직원은 거기에 명시된 요구 사항을 준수할 수 있어 종종 인기 없는 결정의 기초가 제공됩니다.

구내 보호

데이터 센터가 코로케이션 모델을 사용하여 서비스를 제공할 때 고객 장비에 대한 물리적 보안 및 액세스 제어를 보장하는 것이 가장 중요합니다. 이를 위해 고객의 비디오 감시 하에 있고 데이터 센터 직원의 접근이 제한된 인클로저(홀의 울타리 부분)가 사용됩니다.

물리적 보안을 갖춘 주립 컴퓨터 센터에서는 지난 세기 말에도 상황이 나쁘지 않았습니다. 컴퓨터와 비디오 카메라 없이도 출입 통제, 구내 출입 통제, 소화 시스템이있었습니다. 화재가 발생하면 프레온이 자동으로 기계실로 방출되었습니다.

요즘에는 물리적 보안이 더욱 강화되었습니다. 출입 통제 및 관리 시스템(ACS)이 지능화되고 생체 인식 방식의 출입 제한이 도입되고 있습니다.

소화 시스템은 화재 구역에 대한 억제, 격리, 냉각 및 저산소 효과를 위한 설비를 포함하여 인력과 장비에 있어 더욱 안전해졌습니다. 필수 화재 예방 시스템과 함께 데이터 센터에서는 흡입형 조기 화재 감지 시스템을 사용하는 경우가 많습니다.

화재, 폭발, 건물 구조 붕괴, 홍수, 부식성 가스 등 외부 위협으로부터 데이터 센터를 보호하기 위해 서버 장비를 거의 모든 외부 손상 요인으로부터 보호하는 보안실과 금고가 사용되기 시작했습니다.

약한 고리는 사람이다

"스마트" 비디오 감시 시스템, 체적 추적 센서(음향, 적외선, 초음파, 마이크로파), 출입 통제 시스템은 위험을 줄였으나 모든 문제를 해결하지는 못했습니다. 예를 들어, 올바른 도구를 사용하여 데이터 센터에 올바르게 입장한 사람들이 무언가에 "매혹"된 경우 이러한 수단은 도움이 되지 않습니다. 그리고 종종 발생하는 것처럼 우발적인 걸림돌은 최대의 문제를 가져올 것입니다.

데이터 센터의 작업은 직원의 자원 오용(예: 불법 채굴)으로 인해 영향을 받을 수 있습니다. 이러한 경우 데이터 센터 인프라 관리(DCIM) 시스템이 도움이 될 수 있습니다.

사람은 종종 보호 시스템에서 가장 취약한 연결고리로 불리기 때문에 직원도 보호가 필요합니다. 전문 범죄자의 표적 공격은 대부분 사회 공학적 방법을 사용하여 시작됩니다. 누군가가 무언가를 클릭/다운로드/실행한 후에 가장 안전한 시스템이 충돌하거나 손상되는 경우가 많습니다. 이러한 위험은 정보 보안 분야에서 직원을 교육하고 글로벌 모범 사례를 구현함으로써 최소화할 수 있습니다.

엔지니어링 인프라 보호

데이터 센터의 기능에 대한 전통적인 위협은 정전과 냉각 시스템의 장애입니다. 우리는 이미 그러한 위협에 익숙해졌고 이에 대처하는 방법을 배웠습니다.

제어되는 UPS, 지능형 냉각 및 환기 시스템, 모니터링 시스템에 연결된 다양한 컨트롤러 및 센서 등 네트워크에 연결된 "스마트" 장비가 널리 도입되는 새로운 추세가 되었습니다. 데이터 센터 위협 모델을 구축할 때 인프라 네트워크(및 데이터 센터와 관련된 IT 네트워크)에 대한 공격 가능성을 잊어서는 안 됩니다. 상황을 더욱 복잡하게 만드는 것은 일부 장비(예: 냉각기)를 데이터 센터 외부, 예를 들어 임대 건물 옥상으로 이동할 수 있다는 사실입니다.

의사소통 채널 보호

데이터 센터가 코로케이션 모델에 따라 서비스를 제공할 뿐만 아니라 클라우드 보호도 처리해야 합니다. Check Point에 따르면 작년에만 전 세계 조직의 51%가 클라우드 구조에 대한 공격을 경험했습니다. DDoS 공격은 비즈니스를 중단시키고, 암호화 바이러스는 몸값을 요구하며, 은행 시스템에 대한 표적 공격은 통신 계좌에서 자금을 훔치는 결과를 낳습니다.

외부 침입의 위협은 데이터 센터 정보 보안 전문가에게도 걱정거리입니다. 데이터 센터와 가장 관련성이 높은 것은 서비스 제공을 방해하기 위한 분산 공격뿐만 아니라 가상 인프라나 스토리지 시스템에 포함된 데이터에 대한 해킹, 도난 또는 수정 위협입니다.

데이터 센터의 외부 경계를 보호하기 위해 악성 코드 식별 및 중화 기능, 애플리케이션 제어, 위협 인텔리전스 사전 보호 기술을 가져오는 기능과 함께 최신 시스템이 사용됩니다. 어떤 경우에는 IPS(침입 방지) 기능이 있는 시스템이 보호 환경의 매개변수에 맞게 설정된 시그니처를 자동으로 조정하여 배포됩니다.

DDoS 공격으로부터 보호하기 위해 러시아 회사는 일반적으로 트래픽을 다른 노드로 전환하고 클라우드에서 필터링하는 외부 전문 서비스를 사용합니다. 운영자 측의 보호는 클라이언트 측보다 훨씬 더 효과적이며 데이터 센터는 서비스 판매를 위한 중개자 역할을 합니다.

내부 DDoS 공격은 데이터 센터에서도 가능합니다. 공격자는 코로케이션 모델을 사용하여 장비를 호스팅하는 한 회사의 취약하게 보호되는 서버에 침투하고 거기에서 내부 네트워크를 통해 이 데이터 센터의 다른 클라이언트에 대한 서비스 거부 공격을 수행합니다. .

가상 환경에 집중

한 클라이언트에 대한 성공적인 공격이 이웃의 보안을 위협할 수 있는 경우 가상화 도구 사용, IT 인프라 변경의 역학, 서비스 상호 연결성 등 보호 개체의 세부 사항을 고려해야 합니다. 예를 들어, Kubernetes 기반 PaaS에서 작업하는 동안 프런트엔드 도커를 해킹하면 공격자는 즉시 모든 비밀번호 정보를 얻고 오케스트레이션 시스템에 액세스할 수도 있습니다.

서비스 모델에 따라 제공되는 제품은 높은 수준의 자동화를 갖추고 있습니다. 비즈니스를 방해하지 않기 위해서는 정보 보안 조치를 최소한의 자동화 및 수평적 확장으로 적용해야 합니다. 액세스 제어 자동화 및 액세스 키 순환을 포함하여 정보 보안의 모든 수준에서 확장이 보장되어야 합니다. 특별한 작업은 네트워크 트래픽을 검사하는 기능 모듈을 확장하는 것입니다.

예를 들어 고도로 가상화된 데이터 센터의 애플리케이션, 네트워크 및 세션 수준에서 네트워크 트래픽 필터링은 하이퍼바이저 네트워크 모듈(예: VMware의 분산 방화벽) 수준에서 수행하거나 서비스 체인(Palo Alto Networks의 가상 방화벽)을 생성하여 수행해야 합니다. .

컴퓨팅 자원의 가상화 수준에 약점이 있다면 플랫폼 수준에서 종합적인 정보보안 시스템을 구축하려는 노력은 무익할 것이다.

데이터 센터의 정보 보호 수준

보호에 대한 일반적인 접근 방식은 방화벽 수준의 매크로 세분화(다양한 비즈니스 기능 영역에 대한 세그먼트 할당), 가상 방화벽을 기반으로 한 마이크로 세분화 또는 그룹 트래픽 태그 지정을 포함한 통합된 다단계 정보 보안 시스템을 사용하는 것입니다. (사용자 역할 또는 서비스)은 액세스 정책에 의해 정의됩니다.

다음 단계는 세그먼트 내 및 세그먼트 간의 이상 현상을 식별하는 것입니다. 네트워크 스캐닝, DDoS 공격 시도, 데이터 다운로드(예: 데이터베이스 파일을 슬라이싱하고 긴 간격으로 주기적으로 나타나는 세션으로 출력)와 같은 악성 활동의 존재를 나타낼 수 있는 트래픽 역학을 분석합니다. 엄청난 양의 트래픽이 데이터 센터를 통과하므로 이상 현상을 식별하려면 패킷 분석 없이 고급 검색 알고리즘을 사용해야 합니다. Cisco 솔루션(Stealthwatch)에서 제안하는 것처럼 악의적이고 변칙적인 활동의 징후를 인식할 뿐만 아니라, 암호화된 트래픽에서도 이를 복호화하지 않고 악성코드의 작동을 감지하는 것이 중요합니다.

마지막 경계는 로컬 네트워크의 최종 장치를 보호하는 것입니다. 예를 들어 I/O 작업, 삭제, 복사 및 네트워크 활동을 분석하는 최종 장치(가상 머신)에 설치된 에이전트의 도움을 받아 서버 및 가상 머신을 보호합니다. 데이터를 전송하다 구름, 큰 컴퓨팅 성능이 필요한 계산이 수행됩니다. 그곳에서 빅데이터 알고리즘을 사용해 분석이 수행되고 머신 로직 트리가 구축되며 이상 현상이 식별됩니다. 알고리즘은 글로벌 센서 네트워크에서 제공되는 엄청난 양의 데이터를 기반으로 자가 학습됩니다.

에이전트를 설치하지 않고도 할 수 있습니다. 최신 정보 보안 도구는 에이전트가 필요 없으며 하이퍼바이저 수준에서 운영 체제에 통합되어야 합니다.
나열된 조치는 정보 보안 위험을 크게 줄이지만 원자력 발전소와 같이 위험도가 높은 생산 프로세스의 자동화를 제공하는 데이터 센터에는 충분하지 않을 수 있습니다.

규제 요구 사항

처리되는 정보에 따라 물리적 및 가상화된 데이터 센터 인프라는 법률 및 업계 표준에 명시된 다양한 보안 요구 사항을 충족해야 합니다.

이러한 법률에는 "개인 데이터에 관한 법률"(152-FZ) 및 올해 발효된 "러시아 연방의 KII 시설 보안에 관한 법률"(187-FZ)이 포함됩니다. 검찰청은 이미 관심을 갖게 되었습니다. 구현이 진행 중입니다. 데이터 센터가 CII 주제에 속하는지 여부에 대한 논쟁은 여전히 ​​진행 중이지만 CII 주제에 서비스를 제공하려는 데이터 센터는 새로운 법률의 요구 사항을 준수해야 할 가능성이 높습니다.

정부 정보 시스템을 호스팅하는 데이터 센터에서는 쉽지 않을 것입니다. 11.05.2017년 555월 XNUMX일자 러시아 연방 정부 법령 No. XNUMX에 따르면 GIS를 상업적으로 운영하기 전에 정보 보안 문제를 해결해야 합니다. 그리고 GIS를 호스팅하려는 데이터 센터는 먼저 규제 요구 사항을 충족해야 합니다.

지난 30년 동안 데이터 센터 보안 시스템은 관련성을 잃지 않은 단순한 물리적 보호 시스템과 조직적 조치부터 점점 더 인공 지능 요소를 사용하는 복잡한 지능형 시스템에 이르기까지 많은 발전을 이루었습니다. 그러나 접근 방식의 본질은 변하지 않았습니다. 가장 현대적인 기술은 조직적 조치와 직원 교육 없이는 귀하를 구할 수 없으며 서류 작업은 소프트웨어 및 기술 솔루션 없이는 귀하를 구할 수 없습니다. 데이터센터 보안은 단번에 보장될 수 없으며 우선순위 위협을 식별하고 새로운 문제를 종합적으로 해결하기 위한 끊임없는 매일의 노력입니다.

블로그에서 무엇을 더 읽을 수 있습니까? 클라우드4Y

→ GNU/Linux에서 top 설정하기
→ 사이버 보안의 최전선에 있는 침투 테스터
→ 환상적인 아이디어에서 과학산업으로 이어지는 인공지능의 길
→ 클라우드 백업을 저장하는 4가지 방법
→ 머트스토리

우리의 구독 텔레그램-다음 기사를 놓치지 않도록 채널을 구독하세요! 우리는 일주일에 두 번 이상 사업에 대해서만 글을 씁니다. 우리는 또한 당신이 할 수 있다는 것을 상기시켜줍니다 무료로 테스트해 보세요 클라우드 솔루션 Cloud4Y.

출처 : habr.com