Å Ädi izskatÄs NORD-2 datu centra uzraudzÄ«bas centrs, kas atrodas MaskavÄ
Par to, kÄdi pasÄkumi tiek veikti informÄcijas droŔības (IS) nodroÅ”inÄÅ”anai, esat lasÄ«jis ne reizi vien. JebkurÅ” sevi cienoÅ”s IT speciÄlists var viegli nosaukt 5-10 informÄcijas droŔības noteikumus. Cloud4Y piedÄvÄ runÄt par datu centru informÄcijas droŔību.
NodroÅ”inot datu centra informÄcijas droŔību, āaizsargÄtÄkieā objekti ir:
- informÄcijas resursi (dati);
- informÄcijas vÄkÅ”anas, apstrÄdes, uzglabÄÅ”anas un pÄrsÅ«tÄ«Å”anas procesi;
- sistÄmas lietotÄji un apkopes personÄls;
- informÄcijas infrastruktÅ«ra, tostarp aparatÅ«ra un programmatÅ«ras rÄ«ki informÄcijas apstrÄdei, pÄrraidÄ«Å”anai un attÄloÅ”anai, tostarp informÄcijas apmaiÅas kanÄli, informÄcijas droŔības sistÄmas un telpas.
Datu centra atbildÄ«bas joma ir atkarÄ«ga no sniegto pakalpojumu modeļa (IaaS/PaaS/SaaS). KÄ tas izskatÄs, skatiet attÄlu zemÄk:
Datu centra droŔības politikas apjoms atkarÄ«bÄ no sniegto pakalpojumu modeļa
InformÄcijas droŔības politikas izstrÄdes svarÄ«gÄkÄ daļa ir draudu un pÄrkÄpÄju modeļa veidoÅ”ana. Kas var kļūt par draudu datu centram?
- Dabas, cilvÄka radÄ«ti un sociÄli nelabvÄlÄ«gi notikumi
- Teroristi, kriminÄlie elementi utt.
- AtkarÄ«ba no piegÄdÄtÄjiem, piegÄdÄtÄjiem, partneriem, klientiem
- Kļūmes, atteices, iznÄ«cinÄÅ”ana, programmatÅ«ras un aparatÅ«ras bojÄjumi
- Datu centra darbinieki, kas Ä«steno informÄcijas droŔības apdraudÄjumus, izmantojot likumÄ«gi pieŔķirtÄs tiesÄ«bas un pilnvaras (iekÅ”Äjie informÄcijas droŔības pÄrkÄpÄji)
- Datu centra darbinieki, kuri Ä«steno informÄcijas droŔības apdraudÄjumus Ärpus likumÄ pieŔķirtajÄm tiesÄ«bÄm un pilnvarÄm, kÄ arÄ« subjekti, kas nav saistÄ«ti ar datu centra personÄlu, bet mÄÄ£ina nesankcionÄti piekļūt un veikt neatļautas darbÄ«bas (ÄrÄjie informÄcijas droŔības pÄrkÄpÄji)
- NeatbilstÄ«ba uzraudzÄ«bas un regulÄjoÅ”o iestÄžu prasÄ«bÄm, spÄkÄ esoÅ”ajai likumdoÅ”anai
Risku analÄ«ze - potenciÄlo apdraudÄjumu identificÄÅ”ana un to ievieÅ”anas seku mÄroga novÄrtÄÅ”ana - palÄ«dzÄs pareizi izvÄlÄties prioritÄros uzdevumus, kas datu centra informÄcijas droŔības speciÄlistiem jÄrisina, un plÄnot budžetus aparatÅ«ras un programmatÅ«ras iegÄdei.
DroŔības nodroÅ”inÄÅ”ana ir nepÄrtraukts process, kas ietver informÄcijas droŔības sistÄmas plÄnoÅ”anas, ievieÅ”anas un darbÄ«bas, uzraudzÄ«bas, analÄ«zes un uzlaboÅ”anas posmus. Lai izveidotu informÄcijas droŔības pÄrvaldÄ«bas sistÄmas, t.s.
SvarÄ«ga droŔības politikas sastÄvdaļa ir personÄla lomu un atbildÄ«bas sadalÄ«jums to Ä«stenoÅ”anai. Politikas ir nepÄrtraukti jÄpÄrskata, lai atspoguļotu izmaiÅas tiesÄ«bu aktos, jaunus draudus un jaunus aizsardzÄ«bas lÄ«dzekļus. Un, protams, informÄt darbiniekus par informÄcijas droŔības prasÄ«bÄm un nodroÅ”inÄt apmÄcÄ«bu.
Organizatoriskie pasÄkumi
Daži eksperti ir skeptiski par "papÄ«ra" droŔību, uzskatot, ka galvenais ir praktiskÄs iemaÅas pretoties uzlauÅ”anas mÄÄ£inÄjumiem. ReÄlÄ pieredze informÄcijas droŔības nodroÅ”inÄÅ”anÄ bankÄs liecina par pretÄjo. InformÄcijas droŔības speciÄlistiem var bÅ«t lieliskas zinÄÅ”anas risku identificÄÅ”anÄ un mazinÄÅ”anÄ, taÄu, ja datu centra darbinieki nepildÄ«s viÅu norÄdÄ«jumus, viss bÅ«s velti.
DroŔība, kÄ likums, nenes naudu, bet tikai samazina riskus. TÄpÄc bieži tas tiek traktÄts kÄ kaut kas traucÄjoÅ”s un sekundÄrs. Un, kad droŔības speciÄlisti sÄk bÅ«t saÅ”utuÅ”i (ar visÄm tiesÄ«bÄm to darÄ«t), bieži rodas konflikti ar darbiniekiem un operatÄ«vo nodaļu vadÄ«tÄjiem.
Nozares standartu un normatÄ«vo prasÄ«bu klÄtbÅ«tne palÄ«dz droŔības profesionÄļiem aizstÄvÄt savas pozÄ«cijas sarunÄs ar vadÄ«bu, un apstiprinÄtÄs informÄcijas droŔības politikas, noteikumi un noteikumi ļauj darbiniekiem ievÄrot tur noteiktÄs prasÄ«bas, nodroÅ”inot pamatu bieži vien nepopulÄriem lÄmumiem.
Telpu aizsardzība
Kad datu centrs sniedz pakalpojumus, izmantojot izvietoÅ”anas modeli, priekÅ”plÄnÄ izvirzÄs fiziskÄs droŔības un piekļuves kontroles nodroÅ”inÄÅ”ana klienta iekÄrtÄm. Å im nolÅ«kam tiek izmantoti nožogojumi (zÄles iežogotas daļas), kas atrodas klienta videonovÄroÅ”anÄ un kuriem ir ierobežota piekļuve datu centra personÄlam.
Valsts datorcentros ar fizisko apsardzi pagÄjuÅ”Ä gadsimta beigÄs viss nebija slikti. Bija piekļuves kontrole, piekļuves kontrole telpÄm, pat bez datoriem un videokamerÄm, ugunsdzÄsÄ«bas sistÄma - ugunsgrÄka gadÄ«jumÄ freons automÄtiski tika izlaists maŔīntelpÄ.
MÅ«sdienÄs fiziskÄ droŔība tiek nodroÅ”inÄta vÄl labÄk. Piekļuves kontroles un pÄrvaldÄ«bas sistÄmas (ACS) ir kļuvuÅ”as inteliÄ£entas, un tiek ieviestas piekļuves ierobežoÅ”anas biometriskÄs metodes.
UgunsdzÄsÄ«bas sistÄmas ir kļuvuÅ”as droÅ”Äkas personÄlam un aprÄ«kojumam, tostarp instalÄcijas inhibÄÅ”anai, izolÄcijai, dzesÄÅ”anai un hipoksiskajai iedarbÄ«bai uz ugunsgrÄka zonu. KopÄ ar obligÄtajÄm ugunsdroŔības sistÄmÄm datu centros bieži tiek izmantota aspirÄcijas tipa agrÄ«nÄs ugunsgrÄka atklÄÅ”anas sistÄma.
Lai aizsargÄtu datu centrus no ÄrÄjiem apdraudÄjumiem - ugunsgrÄkiem, sprÄdzieniem, Äku konstrukciju sabrukumiem, plÅ«diem, korozÄ«vÄm gÄzÄm - sÄka izmantot droŔības telpas un seifus, kuros serveru iekÄrtas ir aizsargÄtas no gandrÄ«z visiem ÄrÄjiem kaitÄ«gajiem faktoriem.
VÄjais posms ir cilvÄks
āViedÄsā videonovÄroÅ”anas sistÄmas, tilpuma izsekoÅ”anas sensori (akustiskie, infrasarkanie, ultraskaÅas, mikroviļÅu), piekļuves kontroles sistÄmas ir samazinÄjuÅ”as riskus, bet nav atrisinÄjuÅ”as visas problÄmas. Å ie lÄ«dzekļi nepalÄ«dzÄs, piemÄram, ja cilvÄki, kuri pareizi tika ielaisti datu centrÄ ar pareizajiem rÄ«kiem, tika kaut kam āuzÄ·ertiā. Un, kÄ tas bieži notiek, nejauÅ”a aizÄ·erÅ”anÄs radÄ«s maksimÄlas problÄmas.
Datu centra darbu var ietekmÄt personÄla ļaunprÄtÄ«ga tÄ resursu izmantoÅ”ana, piemÄram, nelegÄla ieguve. Å Ädos gadÄ«jumos var palÄ«dzÄt datu centru infrastruktÅ«ras pÄrvaldÄ«bas (DCIM) sistÄmas.
ArÄ« personÄlam ir nepiecieÅ”ama aizsardzÄ«ba, jo cilvÄkus bieži sauc par visneaizsargÄtÄko saiti aizsardzÄ«bas sistÄmÄ. ProfesionÄlu noziedznieku mÄrÄ·tiecÄ«gi uzbrukumi visbiežÄk sÄkas ar sociÄlÄs inženierijas metožu izmantoÅ”anu. Bieži vien visdroÅ”ÄkÄs sistÄmas avarÄ vai tiek apdraudÄtas pÄc tam, kad kÄds ir kaut ko noklikŔķinÄjis/lejupielÄdÄjis/izdarÄ«jis. Å Ädus riskus var samazinÄt, apmÄcot personÄlu un ievieÅ”ot globÄlo labÄko praksi informÄcijas droŔības jomÄ.
InženiertehniskÄs infrastruktÅ«ras aizsardzÄ«ba
TradicionÄli draudi datu centra darbÄ«bai ir strÄvas padeves traucÄjumi un dzesÄÅ”anas sistÄmu atteices. MÄs jau esam pieraduÅ”i pie Å”Ädiem draudiem un esam iemÄcÄ«juÅ”ies ar tiem tikt galÄ.
Par jaunu tendenci ir kļuvusi plaÅ”i izplatÄ«ta tÄ«klam pieslÄgtu āviedoā iekÄrtu ievieÅ”ana: vadÄmie UPS, inteliÄ£entÄs dzesÄÅ”anas un ventilÄcijas sistÄmas, dažÄdi kontrolieri un sensori, kas savienoti ar uzraudzÄ«bas sistÄmÄm. Veidojot datu centra apdraudÄjuma modeli, nevajadzÄtu aizmirst par uzbrukuma iespÄjamÄ«bu infrastruktÅ«ras tÄ«klam (un, iespÄjams, arÄ« saistÄ«tajam datu centra IT tÄ«klam). SituÄciju sarežģī fakts, ka daļu iekÄrtu (piemÄram, dzesÄtÄjus) var pÄrvietot Ärpus datu centra, teiksim, uz Ä«rÄtas Äkas jumta.
KomunikÄcijas kanÄlu aizsardzÄ«ba
Ja datu centrs sniedz pakalpojumus ne tikai pÄc izvietoÅ”anas modeļa, tad tam bÅ«s jÄnodarbojas ar mÄkoÅaizsardzÄ«bu. SaskaÅÄ ar Check Point datiem pagÄjuÅ”ajÄ gadÄ vien 51% organizÄciju visÄ pasaulÄ piedzÄ«voja uzbrukumus savÄm mÄkoÅu struktÅ«rÄm. DDoS uzbrukumi aptur uzÅÄmumus, Å”ifrÄÅ”anas vÄ«rusi pieprasa izpirkuma maksu, mÄrÄ·tiecÄ«gi uzbrukumi banku sistÄmÄm noved pie lÄ«dzekļu zÄdzÄ«bas no korespondentkontiem.
ÄrÄjÄs ielauÅ”anÄs draudi satrauc arÄ« datu centru informÄcijas droŔības speciÄlistus. Datu centriem aktuÄlÄkie ir izkliedÄti uzbrukumi, kuru mÄrÄ·is ir pÄrtraukt pakalpojumu sniegÅ”anu, kÄ arÄ« virtuÄlajÄ infrastruktÅ«rÄ vai uzglabÄÅ”anas sistÄmÄs esoÅ”o datu uzlauÅ”anas, zÄdzÄ«bas vai modifikÄcijas draudi.
Lai aizsargÄtu datu centra ÄrÄjo perimetru, tiek izmantotas modernas sistÄmas ar kaitÄ«gÄ koda identificÄÅ”anas un neitralizÄÅ”anas funkcijÄm, lietojumprogrammu kontroli un iespÄju importÄt Threat Intelligence proaktÄ«vÄs aizsardzÄ«bas tehnoloÄ£iju. Dažos gadÄ«jumos sistÄmas ar IPS (ielauÅ”anÄs novÄrÅ”anas) funkcionalitÄti tiek izvietotas ar automÄtisku parakstu kopas pielÄgoÅ”anu aizsargÄtÄs vides parametriem.
Lai aizsargÄtu pret DDoS uzbrukumiem, Krievijas uzÅÄmumi parasti izmanto ÄrÄjos specializÄtos pakalpojumus, kas novirza trafiku uz citiem mezgliem un filtrÄ to mÄkonÄ«. AizsardzÄ«ba operatora pusÄ ir daudz efektÄ«vÄka nekÄ klienta pusÄ, un datu centri darbojas kÄ pakalpojumu pÄrdoÅ”anas starpnieki.
IekÅ”Äjie DDoS uzbrukumi ir iespÄjami arÄ« datu centros: uzbrucÄjs iekļūst viena uzÅÄmuma vÄji aizsargÄtos serveros, kas mitina savu aprÄ«kojumu, izmantojot izvietoÅ”anas modeli, un no turienes caur iekÅ”Äjo tÄ«klu veic pakalpojuma atteikuma uzbrukumu citiem Ŕī datu centra klientiem. .
KoncentrÄjieties uz virtuÄlo vidi
JÄÅem vÄrÄ aizsargÄjamÄ objekta specifika ā virtualizÄcijas rÄ«ku izmantoÅ”ana, IT infrastruktÅ«ru izmaiÅu dinamika, servisu savstarpÄjÄ savienojamÄ«ba, kad veiksmÄ«gs uzbrukums vienam klientam var apdraudÄt kaimiÅu droŔību. PiemÄram, uzlaužot frontend docker, strÄdÄjot ar Kubernetes balstÄ«tu PaaS, uzbrucÄjs var nekavÄjoties iegÅ«t visu informÄciju par paroli un pat piekļūt orÄ·estrÄÅ”anas sistÄmai.
Produktiem, kas tiek nodroÅ”inÄti saskaÅÄ ar pakalpojumu modeli, ir augsta automatizÄcijas pakÄpe. Lai netraucÄtu uzÅÄmÄjdarbÄ«bai, informÄcijas droŔības pasÄkumi ir jÄpiemÄro ne mazÄkai automatizÄcijas pakÄpei un horizontÄlai mÄrogoÅ”anai. MÄrogoÅ”ana ir jÄnodroÅ”ina visos informÄcijas droŔības lÄ«meÅos, tostarp piekļuves kontroles automatizÄcijai un piekļuves atslÄgu rotÄcijai. ÄŖpaÅ”s uzdevums ir funkcionÄlo moduļu mÄrogoÅ”ana, kas pÄrbauda tÄ«kla trafiku.
PiemÄram, tÄ«kla trafika filtrÄÅ”ana lietojumprogrammu, tÄ«kla un sesijas lÄ«menÄ« augsti virtualizÄtos datu centros jÄveic hipervizora tÄ«kla moduļu lÄ«menÄ« (piemÄram, VMware izplatÄ«tais ugunsmÅ«ris) vai izveidojot pakalpojumu Ä·Ädes (virtuÄlie ugunsmÅ«ri no Palo Alto Networks). .
Ja ir nepilnÄ«bas skaitļoÅ”anas resursu virtualizÄcijas lÄ«menÄ«, centieni izveidot visaptveroÅ”u informÄcijas droŔības sistÄmu platformas lÄ«menÄ« bÅ«s neefektÄ«vi.
InformÄcijas aizsardzÄ«bas lÄ«meÅi datu centrÄ
VispÄrÄjÄ pieeja aizsardzÄ«bai ir integrÄtu, vairÄku lÄ«meÅu informÄcijas droŔības sistÄmu izmantoÅ”ana, tostarp makrosegmentÄÅ”ana ugunsmÅ«ra lÄ«menÄ« (segmentu pieŔķirÅ”ana dažÄdÄm biznesa funkcionÄlajÄm jomÄm), mikrosegmentÄÅ”ana, kuras pamatÄ ir virtuÄlie ugunsmÅ«ri vai grupu trafika marÄ·ÄÅ”ana. (lietotÄju lomas vai pakalpojumi), ko nosaka piekļuves politikas .
NÄkamais lÄ«menis ir anomÄliju noteikÅ”ana segmentos un starp tiem. Tiek analizÄta trafika dinamika, kas var norÄdÄ«t uz ļaunprÄtÄ«gu darbÄ«bu esamÄ«bu, piemÄram, tÄ«kla skenÄÅ”anu, DDoS uzbrukumu mÄÄ£inÄjumiem, datu lejupielÄdi, piemÄram, sadalot datu bÄzes failus un izvadot tos periodiski parÄdÄs sesijÄs ar lieliem intervÄliem. Caur datu centru iet milzÄ«gs datplÅ«smas apjoms, tÄpÄc, lai identificÄtu anomÄlijas, ir jÄizmanto uzlaboti meklÄÅ”anas algoritmi un bez pakeÅ”u analÄ«zes. Ir svarÄ«gi, lai tiktu atpazÄ«tas ne tikai ļaunprÄtÄ«gas un anomÄlas darbÄ«bas pazÄ«mes, bet arÄ« ļaunprogrammatÅ«ras darbÄ«ba pat Å”ifrÄtÄ trafikÄ bez tÄs atÅ”ifrÄÅ”anas, kÄ tas tiek piedÄvÄts Cisco risinÄjumos (Stealthwatch).
PÄdÄjÄ robeža ir lokÄlÄ tÄ«kla gala ierÄ«Äu aizsardzÄ«ba: serveri un virtuÄlÄs maŔīnas, piemÄram, ar gala ierÄ«cÄs (virtuÄlajÄs maŔīnÄs) instalÄtu aÄ£entu palÄ«dzÄ«bu, kas analizÄ I/O darbÄ«bas, dzÄÅ”anu, kopijas un tÄ«kla darbÄ«bas, pÄrsÅ«tÄ«t datus uz
JÅ«s varat iztikt bez aÄ£entu instalÄÅ”anas. MÅ«sdienu informÄcijas droŔības rÄ«kiem jÄbÅ«t bez aÄ£entiem un integrÄtiem operÄtÄjsistÄmÄs hipervizora lÄ«menÄ«.
UzskaitÄ«tie pasÄkumi bÅ«tiski samazina informÄcijas droŔības riskus, taÄu ar to var nepietikt datu centriem, kas nodroÅ”ina augsta riska ražoÅ”anas procesu automatizÄciju, piemÄram, atomelektrostacijÄm.
NormatÄ«vÄs prasÄ«bas
AtkarÄ«bÄ no apstrÄdÄjamÄs informÄcijas fiziskajai un virtualizÄtajai datu centru infrastruktÅ«rai jÄatbilst dažÄdÄm droŔības prasÄ«bÄm, kas noteiktas likumos un nozares standartos.
Pie Å”Ädiem likumiem pieder likums āPar personas datiemā (152-FZ) un likums āPar Krievijas FederÄcijas KII iekÄrtu droŔībuā (187-FZ), kas stÄjÄs spÄkÄ Å”ogad - par to jau ir ieinteresÄjusies prokuratÅ«ra. tÄs Ä«stenoÅ”anas gaitÄ. StrÄ«di par datu centru piederÄ«bu CII subjektiem joprojÄm turpinÄs, taÄu, visticamÄk, datu centriem, kas vÄlas sniegt pakalpojumus CII subjektiem, bÅ«s jÄievÄro jauno tiesÄ«bu aktu prasÄ«bas.
Datu centriem, kuros atrodas valdÄ«bas informÄcijas sistÄmas, nebÅ«s viegli. SaskaÅÄ ar Krievijas FederÄcijas valdÄ«bas 11.05.2017. gada 555. maija dekrÄtu Nr. XNUMX informÄcijas droŔības jautÄjumi ir jÄatrisina pirms Ä¢IS nodoÅ”anas komerciÄlÄ ekspluatÄcijÄ. Un datu centram, kas vÄlas mitinÄt Ä¢IS, vispirms ir jÄatbilst normatÄ«vajÄm prasÄ«bÄm.
PÄdÄjo 30 gadu laikÄ datu centru droŔības sistÄmas ir gÄjuÅ”as garu ceļu: no vienkÄrÅ”Äm fiziskÄs aizsardzÄ«bas sistÄmÄm un organizatoriskiem pasÄkumiem, kas tomÄr nav zaudÄjuÅ”i savu aktualitÄti, lÄ«dz sarežģītÄm viedÄm sistÄmÄm, kurÄs arvien vairÄk tiek izmantoti mÄkslÄ«gÄ intelekta elementi. TaÄu pieejas bÅ«tÄ«ba nav mainÄ«jusies. MÅ«sdienÄ«gÄkÄs tehnoloÄ£ijas jÅ«s neglÄbs bez organizatoriskiem pasÄkumiem un personÄla apmÄcÄ«bas, un dokumentu kÄrtoÅ”ana neglÄbs bez programmatÅ«ras un tehniskiem risinÄjumiem. Datu centra droŔību nevar nodroÅ”inÄt vienreiz un uz visiem laikiem, tas ir nemitÄ«gs ikdienas darbs, lai identificÄtu prioritÄros apdraudÄjumus un vispusÄ«gi risinÄtu raduÅ”Äs problÄmas.
Ko vÄl var lasÄ«t emuÄrÄ?
ā
ā
ā
ā
ā
AbonÄjiet mÅ«su
Avots: www.habr.com