Taip atrodo Maskvoje esantis duomenų centro NORD-2 stebėjimo centras
Apie tai, kokių priemonių imamasi siekiant užtikrinti informacijos saugumą (IS), skaitėte ne kartą. Bet kuris save gerbiantis IT specialistas gali nesunkiai įvardyti 5-10 informacijos saugumo taisyklių. Cloud4Y siūlo pakalbėti apie duomenų centrų informacijos saugumą.
Užtikrinant duomenų centro informacijos saugumą, labiausiai „saugomi“ objektai yra:
- informaciniai ištekliai (duomenys);
- informacijos rinkimo, apdorojimo, saugojimo ir perdavimo procesai;
- sistemos naudotojai ir priežiūros personalas;
- informacinė infrastruktūra, įskaitant aparatinę ir programinę įrangą, skirtą informacijai apdoroti, perduoti ir rodyti, įskaitant keitimosi informacija kanalus, informacijos apsaugos sistemas ir patalpas.
Duomenų centro atsakomybės sritis priklauso nuo teikiamų paslaugų modelio (IaaS/PaaS/SaaS). Kaip tai atrodo, žiūrėkite paveikslėlį žemiau:
Duomenų centro saugumo politikos apimtis priklausomai nuo teikiamų paslaugų modelio
Svarbiausia informacijos saugumo politikos kūrimo dalis yra grėsmių ir pažeidėjų modelio kūrimas. Kas gali tapti grėsme duomenų centrui?
- Nepageidaujami gamtos, žmogaus sukeltų ir socialinio pobūdžio reiškiniai
- Teroristai, nusikalstami elementai ir kt.
- Priklausomybė nuo tiekėjų, tiekėjų, partnerių, klientų
- Gedimai, gedimai, sunaikinimas, programinės ir techninės įrangos sugadinimas
- Duomenų centro darbuotojai, įgyvendinantys informacijos saugumo grėsmes, naudodamiesi įstatymų suteiktomis teisėmis ir įgaliojimais (vidiniai informacijos saugumo pažeidėjai)
- Duomenų centro darbuotojai, įgyvendinantys informacijos saugumo grėsmes, neviršydami įstatymų suteiktų teisių ir įgaliojimų, taip pat subjektai, nesusiję su duomenų centro darbuotojais, tačiau bandantys neleistinai prieiti ir atlikti neleistinus veiksmus (išoriniai informacijos saugumo pažeidėjai)
- Priežiūros ir reguliavimo institucijų reikalavimų, galiojančių teisės aktų nesilaikymas
Rizikos analizė – galimų grėsmių nustatymas ir jų įgyvendinimo pasekmių masto įvertinimas – padės teisingai parinkti prioritetines užduotis, kurias turi spręsti duomenų centrų informacijos saugos specialistai, planuoti biudžetus techninei ir programinei įrangai įsigyti.
Saugumo užtikrinimas – tai nenutrūkstamas procesas, apimantis informacijos saugumo sistemos planavimo, įgyvendinimo ir veikimo, stebėjimo, analizės ir tobulinimo etapus. Norint sukurti informacijos saugumo valdymo sistemas, vadinamosios „".
Svarbi saugumo politikos dalis yra personalo vaidmenų ir atsakomybės už jų įgyvendinimą paskirstymas. Politika turėtų būti nuolat peržiūrima, kad atspindėtų teisės aktų pokyčius, naujas grėsmes ir atsirandančias gynybos priemones. Ir, žinoma, perteikti informacijos saugos reikalavimus darbuotojams ir organizuoti mokymus.
Organizacinės priemonės
Kai kurie ekspertai skeptiškai vertina „popierinį“ saugumą, manydami, kad pagrindinis dalykas yra praktiniai įgūdžiai atsispirti bandymams įsilaužti. Reali patirtis užtikrinant informacijos saugumą bankuose rodo priešingai. Informacijos saugumo specialistai gali turėti puikių žinių nustatydami ir sušvelnindami rizikas, tačiau jei duomenų centro darbuotojai nevykdys jų nurodymų, viskas nueis veltui.
Saugumas, kaip taisyklė, neatneša pinigų, o tik sumažina riziką. Todėl dažnai tai traktuojama kaip kažkas trikdančio ir antraeilio. O kai saugumo specialistai pradeda piktintis (turėdami visas teises), dažnai kyla konfliktų su darbuotojais ir operatyvinių padalinių vadovais.
Pramonės standartų ir reguliavimo reikalavimų buvimas padeda saugos specialistams apginti savo pozicijas derybose su vadovybe, o patvirtinta informacijos saugumo politika, reglamentai ir nuostatai leidžia darbuotojams laikytis ten nustatytų reikalavimų, o tai yra pagrindas dažnai nepopuliariems sprendimams.
Patalpų apsauga
Kai duomenų centras teikia paslaugas naudodamas kolokacijos modelį, išryškėja fizinės saugos užtikrinimas ir prieigos prie kliento įrangos kontrolė. Tam naudojami atitvarai (aptvertos salės dalys), kurias klientas stebi vaizdo kameromis ir prie kurių ribojamas duomenų centro darbuotojų priėjimas.
Valstybiniuose kompiuterių centruose su fizine apsauga praėjusio amžiaus pabaigoje buvo neblogai. Buvo įeigos kontrolė, patekimo į patalpas kontrolė, net be kompiuterių ir vaizdo kamerų, gaisro gesinimo sistema – kilus gaisrui freonas automatiškai paleisdavo į mašinų skyrių.
Šiais laikais fizinis saugumas užtikrinamas dar geriau. Prieigos kontrolės ir valdymo sistemos (ACS) tapo išmanios, diegiami biometriniai prieigos apribojimo metodai.
Gaisro gesinimo sistemos tapo saugesnės personalui ir įrangai, tarp kurių yra slopinimo, izoliavimo, aušinimo ir hipoksinio poveikio gaisro zonai įrenginiai. Kartu su privalomomis priešgaisrinėmis sistemomis duomenų centruose dažnai naudojama aspiracijos tipo ankstyvo gaisro aptikimo sistema.
Duomenų centrams apsaugoti nuo išorinių grėsmių – gaisrų, sprogimų, pastatų konstrukcijų griūčių, potvynių, korozinių dujų – pradėtos naudoti apsaugos patalpos ir seifai, kuriuose serverių įranga apsaugota nuo beveik visų išorinių žalingų veiksnių.
Silpnoji grandis yra žmogus
„Išmaniosios“ vaizdo stebėjimo sistemos, tūrio sekimo davikliai (akustiniai, infraraudonieji, ultragarsiniai, mikrobanginiai), įeigos kontrolės sistemos sumažino riziką, bet neišsprendė visų problemų. Šios priemonės nepadės, pavyzdžiui, kai teisingai į duomenų centrą su tinkamais įrankiais įleisti žmonės už ko nors „užsikabindavo“. Ir, kaip dažnai nutinka, atsitiktinis užkliuvimas atneš maksimalių problemų.
Duomenų centro darbui gali turėti įtakos personalo netinkamas jo išteklių naudojimas, pavyzdžiui, neteisėta kasyba. Tokiais atvejais gali padėti duomenų centrų infrastruktūros valdymo (DCIM) sistemos.
Apsaugos reikia ir personalui, nes žmonės dažnai vadinami pažeidžiamiausia apsaugos sistemos grandimi. Tikslinės profesionalių nusikaltėlių atakos dažniausiai prasideda pasitelkus socialinės inžinerijos metodus. Dažnai saugiausios sistemos sugenda arba yra pažeistos po to, kai kas nors spustelėjo / atsisiuntė / padarė ką nors. Tokią riziką galima sumažinti mokant darbuotojus ir diegiant geriausią pasaulinę praktiką informacijos saugumo srityje.
Inžinerinės infrastruktūros apsauga
Tradicinės grėsmės duomenų centro funkcionavimui yra elektros energijos tiekimo ir aušinimo sistemų gedimai. Prie tokių grėsmių jau pripratome ir išmokome su jomis susidoroti.
Nauja tendencija tapo plačiai paplitusi „išmanioji“ įranga, prijungta prie tinklo: valdomi UPS, išmaniosios vėsinimo ir vėdinimo sistemos, įvairūs valdikliai ir jutikliai, prijungti prie stebėjimo sistemų. Kurdami duomenų centro grėsmės modelį, neturėtumėte pamiršti apie infrastruktūros tinklo (ir, galbūt, susijusio duomenų centro IT tinklo) atakos tikimybę. Situaciją apsunkina tai, kad dalį įrangos (pavyzdžiui, aušintuvų) galima perkelti už duomenų centro, tarkime, ant nuomojamo pastato stogo.
Ryšio kanalų apsauga
Jeigu duomenų centras teikia paslaugas ne tik pagal kolokacijos modelį, tuomet teks susitvarkyti su debesų apsauga. „Check Point“ duomenimis, vien praėjusiais metais 51% organizacijų visame pasaulyje patyrė atakas prieš savo debesų struktūras. DDoS atakos stabdo verslą, šifravimo virusai reikalauja išpirkos, tikslinės atakos prieš bankines sistemas veda prie lėšų vagysčių iš korespondentinių sąskaitų.
Išorės įsilaužimo grėsmės nerimauja ir duomenų centrų informacijos saugos specialistams. Duomenų centrams aktualiausios yra paskirstytos atakos, kuriomis siekiama nutraukti paslaugų teikimą, taip pat virtualioje infrastruktūroje ar saugojimo sistemose esančių duomenų įsilaužimo, vagystės ar modifikavimo grėsmės.
Duomenų centro išoriniam perimetrui apsaugoti naudojamos modernios sistemos su kenkėjiško kodo atpažinimo ir neutralizavimo funkcijomis, programų valdymu ir galimybe importuoti Threat Intelligence proaktyviosios apsaugos technologiją. Kai kuriais atvejais sistemos su IPS (įsilaužimo prevencijos) funkcionalumu diegiamos automatiškai koreguojant parašo rinkinį pagal saugomos aplinkos parametrus.
Norėdami apsisaugoti nuo DDoS atakų, Rusijos įmonės paprastai naudoja išorines specializuotas paslaugas, kurios nukreipia srautą į kitus mazgus ir filtruoja jį debesyje. Apsauga operatoriaus pusėje yra daug efektyvesnė nei kliento, o duomenų centrai veikia kaip paslaugų pardavimo tarpininkai.
Duomenų centruose galimos ir vidinės DDoS atakos: užpuolikas įsiskverbia į vienos įmonės, kuri talpina savo įrangą, serverius naudodamas kolokacijos modelį ir iš ten vidiniu tinklu įvykdo paslaugų atsisakymo ataką kitiems šio duomenų centro klientams. .
Sutelkite dėmesį į virtualią aplinką
Būtina atsižvelgti į saugomo objekto specifiką – virtualizacijos įrankių naudojimą, IT infrastruktūrų pokyčių dinamiką, paslaugų tarpusavio ryšį, kai sėkmingas vieno kliento puolimas gali kelti grėsmę kaimynų saugumui. Pavyzdžiui, įsilaužęs į frontend dokerį dirbdamas Kubernetes pagrindu veikiančiame PaaS, užpuolikas gali iš karto gauti visą slaptažodžio informaciją ir net prieigą prie orkestravimo sistemos.
Pagal paslaugų modelį teikiami produktai turi aukštą automatizavimo laipsnį. Kad netrukdytų verslui, informacijos saugumo priemonės turi būti taikomos ne mažesniam automatizavimo laipsniui ir horizontaliam mastelio keitimui. Mastelio keitimas turėtų būti užtikrintas visais informacijos saugumo lygiais, įskaitant prieigos kontrolės automatizavimą ir prieigos raktų sukimąsi. Ypatinga užduotis yra funkcinių modulių, tikrinančių tinklo srautą, mastelio keitimas.
Pavyzdžiui, tinklo srauto filtravimas programos, tinklo ir seanso lygiais labai virtualizuotuose duomenų centruose turėtų būti atliekamas hipervizorių tinklo modulių lygiu (pavyzdžiui, VMware paskirstytoji ugniasienė) arba kuriant paslaugų grandines (virtualias užkardas iš Palo Alto Networks). .
Jei kompiuterinių išteklių virtualizacijos lygmenyje yra trūkumų, pastangos sukurti visapusišką informacijos apsaugos sistemą platformos lygmeniu bus neveiksmingos.
Informacijos apsaugos lygiai duomenų centre
Bendras požiūris į apsaugą yra integruotų, kelių lygių informacijos apsaugos sistemų naudojimas, įskaitant makrosegmentavimą ugniasienės lygiu (segmentų paskirstymą įvairioms funkcinėms verslo sritims), mikrosegmentavimą, pagrįstą virtualiomis ugniasienėmis arba grupių srauto žymėjimą. (vartotojo vaidmenys arba paslaugos), apibrėžtos prieigos politikos .
Kitas lygis yra anomalijų nustatymas segmentuose ir tarp jų. Analizuojama srauto dinamika, kuri gali rodyti kenkėjiškos veiklos buvimą, pvz., tinklo nuskaitymą, bandymus įvykdyti DDoS atakas, duomenų atsisiuntimą, pavyzdžiui, supjaustant duomenų bazės failus ir išvedant juos periodiškai pasirodančiose sesijose ilgais intervalais. Per duomenų centrą praeina didžiulis srautas, todėl norint nustatyti anomalijas, reikia naudoti išplėstinius paieškos algoritmus ir be paketų analizės. Svarbu, kad būtų atpažįstami ne tik kenkėjiškos ir anomalios veiklos požymiai, bet ir kenkėjiškų programų veikimas net šifruotame sraute jo neiššifruojant, kaip siūloma Cisco sprendimuose (Stealthwatch).
Paskutinė riba yra vietinio tinklo galinių įrenginių apsauga: serveriai ir virtualios mašinos, pavyzdžiui, naudojant galutiniuose įrenginiuose (virtualiose mašinose) įdiegtus agentus, kurie analizuoja įvesties / išvesties operacijas, trynimus, kopijas ir tinklo veiklą, perduoti duomenis į , kur atliekami didelės skaičiavimo galios reikalaujantys skaičiavimai. Ten atliekama analizė naudojant Big Data algoritmus, statomi mašinų logikos medžiai ir nustatomos anomalijos. Algoritmai mokosi savarankiškai, pagrįsti didžiuliu duomenų kiekiu, kurį pateikia pasaulinis jutiklių tinklas.
Galite išsiversti neįdiegę agentų. Šiuolaikinės informacijos saugos priemonės turi būti be agentų ir integruotos į operacines sistemas hipervizoriaus lygiu.
Išvardintos priemonės ženkliai sumažina informacijos saugumo rizikas, tačiau to gali nepakakti duomenų centrams, užtikrinantiems didelės rizikos gamybos procesų automatizavimą, pavyzdžiui, atominėms elektrinėms.
Norminiai reikalavimai
Priklausomai nuo apdorojamos informacijos, fizinė ir virtualizuota duomenų centrų infrastruktūra turi atitikti skirtingus saugos reikalavimus, nustatytus įstatymuose ir pramonės standartuose.
Tokie įstatymai apima šiemet įsigaliojusį įstatymą „Dėl asmens duomenų“ (152-FZ) ir įstatymą „Dėl Rusijos Federacijos KII įrenginių saugumo“ (187-FZ) - prokuratūra jau susidomėjo. jo įgyvendinimo eigoje. Ginčai dėl duomenų centrų priklauso CII subjektams tebevyksta, tačiau greičiausiai duomenų centrai, norintys teikti paslaugas CII subjektams, turės laikytis naujų teisės aktų reikalavimų.
Duomenų centrams, kuriuose yra valdiškos informacinės sistemos, nebus lengva. Remiantis Rusijos Federacijos Vyriausybės 11.05.2017 m. gegužės 555 d. dekretu Nr. XNUMX, informacijos saugumo klausimai turi būti išspręsti prieš pradedant GIS eksploatuoti. O duomenų centras, norintis talpinti GIS, pirmiausia turi atitikti norminius reikalavimus.
Per pastaruosius 30 metų duomenų centrų apsaugos sistemos nuėjo ilgą kelią: nuo paprastų fizinės apsaugos sistemų ir organizacinių priemonių, kurios vis dėlto neprarado savo aktualumo, iki sudėtingų išmaniųjų sistemų, kuriose vis dažniau naudojami dirbtinio intelekto elementai. Tačiau požiūrio esmė nepasikeitė. Moderniausios technologijos neišgelbės be organizacinių priemonių ir personalo mokymo, o popierizmas – be programinės įrangos ir techninių sprendimų. Duomenų centro saugumas negali būti užtikrintas kartą ir visiems laikams, tai nuolatinės kasdienės pastangos nustatyti prioritetines grėsmes ir kompleksiškai spręsti kylančias problemas.
Ką dar galite perskaityti tinklaraštyje?
→
→
→
→
→
Užsiprenumeruokite mūsų -kanalas, kad nepraleistumėte kito straipsnio! Rašome ne dažniau kaip du kartus per savaitę ir tik darbo reikalais. Taip pat primename, kad galite debesų sprendimai Cloud4Y.
Šaltinis: www.habr.com