ProHoster > Blog > Administratioun > Datenzenter Informatiounssécherheet

Datenzenter Informatiounssécherheet

Datenzenter Informatiounssécherheet
Dëst ass wéi den Iwwerwaachungszentrum vum NORD-2 Datenzenter zu Moskau ausgesäit

Dir hutt méi wéi eemol gelies iwwer wéi eng Moossname geholl gi fir Informatiounssécherheet (IS) ze garantéieren. All selbst respektéiert IT Spezialist kann einfach 5-10 Informatiounssécherheetsregelen nennen. Cloud4Y bitt iwwer Informatiounssécherheet vun Datenzenteren ze schwätzen.

Wann Dir Informatiounssécherheet vun engem Datenzenter assuréiert, sinn déi meescht "geschützt" Objeten:

  • Informatiounen Ressourcen (Daten);
  • Prozesser fir Informatioun ze sammelen, ze veraarbechten, ze späicheren an ze vermëttelen;
  • System Benotzer an Ënnerhalt Personal;
  • Informatiounsinfrastruktur, dorënner Hardware a Software Tools fir d'Veraarbechtung, d'Transmissioun an d'Informatioun ze weisen, dorënner Informatiounsaustauschkanäl, Informatiounssécherheetssystemer a Raimlechkeeten.

D'Responsabilitéitsberäich vum Rechenzentrum hänkt vum Modell vun de geliwwerte Servicer of (IaaS/PaaS/SaaS). Wéi et ausgesäit, kuckt d'Bild hei ënnen:

Datenzenter Informatiounssécherheet
Den Ëmfang vun der Datenzenter Sécherheetspolitik ofhängeg vum Modell vun de geliwwerte Servicer

De wichtegsten Deel vun der Entwécklung vun enger Informatiounssécherheetspolitik ass e Modell vu Geforen a Verstouss ze bauen. Wat kann eng Gefor fir en Datenzenter ginn?

  1. Negativ Evenementer vun natierlechen, Mënsch gemaach a sozial Natur
  2. Terroristen, kriminellen Elementer, etc.
  3. Ofhängegkeet vu Fournisseuren, Ubidder, Partner, Clienten
  4. Feeler, Feeler, Zerstéierung, Schued un Software an Hardware
  5. Datacenter Mataarbechter implementéieren Informatiounssécherheetsbedrohungen mat gesetzlech zougeloossene Rechter a Muechten (intern Informatiounssécherheetsverletzungen)
  6. Datenzenter Mataarbechter déi Informatiounssécherheetsbedrohungen ausserhalb vun de gesetzlech zougeloossene Rechter a Muechten implementéieren, souwéi Entitéiten déi net mam Datecenterpersonal verbonne sinn, awer versichen onerlaabten Zougang an onerlaabten Handlungen (extern Informatiounssécherheetsverletzer)
  7. Net-Konformitéit mat den Ufuerderunge vun Iwwerwaachungs- a Regulatiounsbehörden, aktuell Gesetzgebung

Risikoanalyse - d'Identifikatioun vun potenziellen Geforen an d'Bewäertung vun der Skala vun de Konsequenze vun hirer Ëmsetzung - hëlleft fir déi prioritär Aufgaben korrekt ze wielen, déi d'Datenzentrum Informatiounssécherheetsspezialisten léisen mussen, a Budgeten fir de Kaf vun Hardware a Software plangen.

D'Sécherheet assuréieren ass e kontinuéierleche Prozess deen d'Etappe vun der Planung, der Implementatioun an der Operatioun, der Iwwerwaachung, der Analyse an der Verbesserung vum Informatiounssécherheetssystem enthält. Fir Informatiounssécherheetsmanagementsystemer ze kreéieren, de sougenannte "Deming Zyklus".

E wichtege Bestanddeel vun der Sécherheetspolitik ass d'Verdeelung vu Rollen a Verantwortung vum Personal fir hir Ëmsetzung. D'Politik solle kontinuéierlech iwwerpréift ginn fir Ännerungen an der Gesetzgebung, nei Bedrohungen an opkomende Verteidegungen ze reflektéieren. An natierlech d'Informatiounssécherheetsfuerderunge fir d'Personal kommunizéieren an d'Formatioun ubidden.

Organisatoresch Moossnamen

E puer Experten sinn skeptesch iwwer "Pabeier" Sécherheet, betruecht den Haapt Saach praktesch Fäegkeeten ze widderstoen Hacking Versich. Real Erfahrung an der Informatiounssécherheet an de Banken assuréieren seet de Géigendeel. Informatiounssécherheetsspezialisten kënnen eng exzellent Expertise hunn fir Risiken z'identifizéieren an ze reduzéieren, awer wann d'Datenzenterpersonal hir Instruktiounen net befollegen, wäert alles ëmsoss sinn.

Sécherheet, als Regel, bréngt net Suen, mee just Risiken miniméiert. Dofir gëtt et dacks als eppes beonrouegend a sekundär behandelt. A wann d'Sécherheetsspezialisten ufänken indignéiert ze sinn (mat all Recht dozou), entstinn dacks Konflikter mat Personal a Chef vun den operationellen Departementer.

D'Präsenz vun Industrie Standarden a reglementaresche Ufuerderunge hëlleft Sécherheet professionell hir Positiounen an Verhandlunge mat Gestioun ze verdeedegen, an guttgeheescht Informatiounen Sécherheet Politiken, Reglementer a Reglementer erlaben Personal mat den Ufuerderunge ze verflichten, déi do festgeluecht ginn, d'Basis fir dacks onpopulär Décisiounen.

Raimlechkeeten Schutz

Wann e Rechenzentrum Servicer mat dem Kolokatiounsmodell ubitt, suergt fir kierperlech Sécherheet an Zougangskontrolle fir d'Ausrüstung vum Client op de Virdergrond. Fir dësen Zweck ginn Uschloss (gefiermt Deeler vun der Hal) benotzt, déi ënner Videoiwwerwaachung vum Client sinn an op déi den Zougang zum Datenzenterpersonal limitéiert ass.

A staatleche Computerzentere mat kierperlecher Sécherheet war et um Enn vum leschte Joerhonnert net schlecht. Et gouf Zougangskontroll, Zougangskontrolle fir d'Raimlechkeeten, och ouni Computeren a Videokameraen, e Feierläscher - am Fall vun engem Feier gouf Freon automatesch an d'Maschinnenraum verëffentlecht.

Hautdesdaags ass kierperlech Sécherheet nach besser gesuergt. Zougangskontroll a Gestiounssystemer (ACS) sinn intelligent ginn, a biometresch Methoden fir Zougangsbeschränkung ginn agefouert.

Feierläschsystemer si méi sécher fir Personal an Ausrüstung ginn, dorënner Installatiounen fir Hemmung, Isolatioun, Ofkillung an hypoxesch Effekter op der Feierzone. Zesumme mat obligatoresche Feierschutzsystemer benotzen d'Datenzentren dacks en Aspiratiounstyp fréi Feierdetektiounssystem.

Fir Datenzentere vu externe Bedrohungen ze schützen - Bränn, Explosiounen, Zesummebroch vu Gebaierstrukturen, Iwwerschwemmungen, ätzend Gasen - hunn d'Sécherheetsraim a Safe ugefaangen ze benotzen, an deenen d'Serverausrüstung vu bal all externen schiedleche Faktoren geschützt ass.

De schwaache Link ass d'Persoun

"Smart" Video Iwwerwaachungssystemer, Volumetresch Tracking Sensoren (akustesch, Infrarout, Ultraschall, Mikrowell), Zougangskontrollsystemer hunn d'Risiken reduzéiert, awer net all Probleemer geléist. Dës Moyenen hëllefen net, zum Beispill, wann Leit, déi richteg an den Datenzenter mat de richtegen Tools opgeholl goufen, op eppes "gehaakt" sinn. A wéi dacks geschitt, bréngt en zoufälleger Schnëtt maximal Probleemer.

D'Aarbecht vum Rechenzentrum kann duerch de Mëssbrauch vu senge Ressourcen vum Personal beaflosst ginn, zum Beispill, illegal Biergbau. Data Center Infrastructure Management (DCIM) Systemer kënnen an dëse Fäll hëllefen.

D'Personal erfuerdert och Schutz, well d'Leit dacks als déi vulnérabel Link am Schutzsystem bezeechent ginn. Geziilt Attacke vu professionnelle Krimineller fänken am meeschten mat der Notzung vu sozialen Ingenieursmethoden un. Dacks falen déi sécherste Systemer of oder si kompromittéiert nodeems iergendeen eppes geklickt / erofgelueden / gemaach huet. Esou Risiken kënne miniméiert ginn andeems d'Personal trainéiert an d'global Best Practices am Beräich vun der Informatiounssécherheet implementéiert.

Schutz vun Ingenieursinfrastruktur

Traditionell Gefore fir de Fonctionnement vun engem Rechenzentrum sinn Stroumfehler a Feeler vu Killsystemer. Mir hu scho mat esou Gefore gewinnt an hu geléiert mat hinnen ëmzegoen.

En neien Trend ass déi verbreet Aféierung vun "Smart" Ausrüstung ginn, déi mat engem Netzwierk verbonne sinn: kontrolléiert UPSen, intelligente Kill- a Belëftungssystemer, verschidde Controller a Sensoren verbonne mat Iwwerwaachungssystemer. Wann Dir en Datenzenter Bedrohungsmodell baut, sollt Dir net iwwer d'Wahrscheinlechkeet vun engem Attack op d'Infrastrukturnetz vergiessen (an eventuell op den assoziéierten IT-Netz vum Rechenzentrum). Komplizéiert d'Situatioun ass d'Tatsaach datt e puer vun der Ausrüstung (zum Beispill Chiller) ausserhalb vum Rechenzentrum geplënnert ka ginn, zum Beispill, op den Daach vun engem gelounte Gebai.

Schutz vun Kommunikatioun Channels

Wann d'Datenzentrum Servicer net nëmmen no dem Colocation-Modell ubitt, da muss et mam Cloud-Schutz beschäftegen. Laut Check Point, eleng d'lescht Joer hunn 51% vun Organisatiounen weltwäit Attacken op hir Cloud Strukturen erlieft. DDoS Attacke stoppen Geschäfter, Verschlësselungsvirus fuerderen Léisegeld, geziilt Attacken op Bankesystemer féieren zum Vol vu Fongen aus Korrespondentkonten.

Gefore vun externen Andréngen besuergt och Datenzenter Informatiounssécherheetsspezialisten. Déi relevantst fir Datenzenteren sinn verdeelt Attacke fir d'Versuergung vu Servicer z'ënnerbriechen, souwéi Gefore vum Hacking, Déif oder Ännerung vun Daten an der virtueller Infrastruktur oder Späichersystemer.

Fir den externen Perimeter vum Datenzenter ze schützen, gi modern Systemer mat Funktiounen benotzt fir béiswëlleg Code z'identifizéieren an ze neutraliséieren, Applikatiounskontroll an d'Fäegkeet fir Threat Intelligence proaktiv Schutztechnologie z'importéieren. An e puer Fäll sinn Systemer mat IPS (Intrusion Prevention) Funktionalitéit mat automatescher Upassung vun der Ënnerschrëft op d'Parameteren vum geschützte Ëmfeld ofgesat.

Fir géint DDoS Attacken ze schützen, benotze russesch Firmen als Regel extern spezialiséiert Servicer, déi de Traffic op aner Wirbelen ofgeleent an an der Wollek filteren. De Schutz op der Bedreiwer Säit ass vill méi effektiv wéi op der Client Säit, an d'Datenzentren handelen als Intermédiairen fir de Verkaf vu Servicer.

Intern DDoS Attacke sinn och méiglech an Datenzenteren: en Ugräifer penetréiert déi schwaach geschützte Server vun enger Firma déi seng Ausrüstung mat engem Kolokatiounsmodell hostt, a vun do aus mécht en Denial of Service Attack op aner Cliente vun dësem Rechenzentrum iwwer dat internt Netzwierk. .

Fokus op virtuell Ëmfeld

Et ass noutwendeg fir d'Spezifizitéiten vum geschützte Objet ze berücksichtegen - d'Benotzung vu Virtualiséierungsinstrumenter, d'Dynamik vun Ännerungen an IT-Infrastrukturen, d'Verbindung vu Servicer, wann en erfollegräichen Attack op ee Client d'Sécherheet vun den Noperen bedroht. Zum Beispill, andeems Dir de Frontend Docker hackt wärend Dir an engem Kubernetes-baséiert PaaS schafft, kann en Ugräifer direkt all Passwuertinformatioun kréien an och Zougang zum Orchestersystem kréien.

Produkter, déi ënner dem Servicemodell geliwwert ginn, hunn en héije Grad vun Automatisatioun. Fir d'Geschäft net ze stéieren, mussen d'Informatiounssécherheetsmoossnamen op en net manner Grad vun Automatisatioun an horizontaler Skala applizéiert ginn. Skaléieren soll op all Niveau vun Informatiounssécherheet gesuergt ginn, dorënner Automatisatioun vun Zougang Kontroll an Rotatioun vun Zougang Schlësselen. Eng speziell Aufgab ass d'Skaléierung vu funktionnelle Moduler déi den Netzverkéier inspektéieren.

Zum Beispill, Filteren vum Netzverkéier op der Applikatioun, Netz- a Sessiounsniveauen an héich virtualiséierte Rechenzentren sollten um Niveau vun Hypervisor-Netzmoduler (zum Beispill VMware's Distributed Firewall) oder duerch d'Erstelle vu Serviceketten (virtuell Firewalls vu Palo Alto Networks) ausgefouert ginn. .

Wann et Schwächen um Niveau vun der Virtualiséierung vu Rechenressourcen sinn, wäerten d'Efforte fir e komplette Informatiounssécherheetssystem op der Plattformniveau net effikass sinn.

Niveau vum Informatiounsschutz am Rechenzentrum

Déi allgemeng Approche zum Schutz ass d'Benotzung vun integréierten, Multi-Level Informatiounssécherheetssystemer, dorënner Makro-Segmentatioun um Firewall-Niveau (Allokatioun vu Segmenter fir verschidde funktionell Gebidder vum Geschäft), Mikro-Segmentatioun baséiert op virtuelle Firewalls oder Tagging Traffic vu Gruppen (Benotzerrollen oder Servicer) definéiert duerch Zougangspolitik.

Den nächsten Niveau ass Anomalien bannent an tëscht Segmenter z'identifizéieren. D'Verkéiersdynamik gëtt analyséiert, wat d'Präsenz vu béiswëlleg Aktivitéiten uginn kann, wéi Netzscannen, Versuche bei DDoS Attacken, Daten eroflueden, zum Beispill, andeems d'Datebankdateien ofgeschnidden ginn an se a periodesch erscheinend Sessiounen mat laangen Intervalle ausginn. Enorme Quantitéite vum Traffic passéieren duerch den Rechenzentrum, also fir Anomalien z'identifizéieren, musst Dir fortgeschratt Sichalgorithmen benotzen, an ouni Paketanalyse. Et ass wichteg datt net nëmmen Unzeeche vu béiswëlleg an anomaler Aktivitéit unerkannt ginn, awer och d'Operatioun vu Malware och am verschlësselten Traffic ouni et ze entschlësselen, wéi et an Cisco Léisungen (Stealthwatch) proposéiert gëtt.

Déi lescht Grenz ass de Schutz vun Enngeräter vum lokalen Netzwierk: Serveren a virtuelle Maschinnen, zum Beispill, mat Hëllef vun Agenten, déi op Enngeräter installéiert sinn (virtuell Maschinnen), déi I/O Operatiounen analyséieren, Läschen, Kopien an Netzwierkaktivitéiten, Daten iwwerdroen Wolleken, wou Berechnungen duerchgefouert ginn, déi grouss Rechenkraaft erfuerderen. Do gëtt Analyse mat Big Data Algorithmen duerchgefouert, Maschinnelogikbeem gebaut an Anomalien identifizéiert. Algorithmen léiere selbstverständlech op Basis vun enger enormer Quantitéit un Daten, déi vun engem globalen Netzwierk vu Sensoren geliwwert ginn.

Dir kënnt ouni Agenten installéieren. Modern Informatiounssécherheetsinstrumenter musse Agentlos sinn an an de Betribssystemer um Hypervisor Niveau integréiert sinn.
Déi opgezielt Moossnamen reduzéieren däitlech Informatiounssécherheetsrisiken, awer dëst kann net genuch sinn fir Datenzenteren, déi Automatisatioun vun héich-Risiko Produktiounsprozesser ubidden, zum Beispill Atomkraaftwierker.

Regulatioun Ufuerderunge

Ofhängeg vun der Informatioun déi veraarbecht gëtt, musse physesch a virtualiséiert Datenzenterinfrastrukturen ënnerschiddlech Sécherheetsfuerderunge erfëllen, déi a Gesetzer an Industrienormen festgeluecht sinn.

Esou Gesetzer enthalen d'Gesetz "Iwwer Perséinlech Daten" (152-FZ) an d'Gesetz "Iwwer d'Sécherheet vun KII Ariichtungen vun der russescher Federatioun" (187-FZ), déi dëst Joer a Kraaft getrueden ass - de Parquet huet schonn interesséiert am Fortschrëtt vun hirer Ëmsetzung. Streidereien iwwer ob Datenzenter zu CII Themen gehéieren sinn nach ëmmer amgaang, awer héchstwahrscheinlech, Datenzenteren, déi Servicer un CII Themen ubidden, mussen den Ufuerderunge vun der neier Gesetzgebung erfëllen.

Et wäert net einfach sinn fir Datenzenteren déi staatlech Informatiounssystemer hosten. Laut dem Dekret vun der Regierung vun der russescher Federatioun vum 11.05.2017. Mee 555 Nr XNUMX, sollten Informatiounssécherheetsprobleemer geléist ginn, ier de GIS a kommerziell Operatioun gesat gëtt. An en Datenzenter deen e GIS wëll hosten muss fir d'éischt reglementaresch Ufuerderunge erfëllen.

An de leschten 30 Joer sinn d'Sécherheetssystemer vun den Datenzenter wäit komm: vun einfache kierperleche Schutzsystemer an organisatoresche Moossnamen, déi awer net hir Relevanz verluer hunn, bis op komplex intelligent Systemer, déi ëmmer méi Elementer vun der kënschtlecher Intelligenz benotzen. Awer d'Essenz vun der Approche huet net geännert. Déi modernst Technologien spueren Iech net ouni organisatoresch Moossnamen a Personalausbildung, an d'Dokumenter retten Iech net ouni Software an technesch Léisungen. Datenzenter Sécherheet kann net eemol a fir all gesuergt ginn; et ass e konstante deeglechen Effort fir prioritär Bedrohungen z'identifizéieren an opkomende Probleemer ëmfaassend ze léisen.

Wat soss kënnt Dir um Blog liesen? Cloud4Y

Top op GNU/Linux opsetzen
Pentesters un der Spëtzt vun der Cybersécherheet
De Wee vun der kënschtlecher Intelligenz vun enger fantastescher Iddi an d'wëssenschaftlech Industrie
4 Weeër fir op Cloud Backups ze spueren
Mutt Geschicht

Abonnéiert Iech op eis Hëllefe profitéieren-Kanal fir datt Dir den nächsten Artikel net verpasst! Mir schreiwen net méi wéi zweemol d'Woch an nëmmen op Betrib. Mir erënneren Iech och datt Dir kënnt gratis testen Cloud Léisunge Cloud4Y.

Source: will.com

Setzt e Commentaire