ProHoster > Blog > Pentadbiran > Keselamatan maklumat pusat data

Keselamatan maklumat pusat data

Keselamatan maklumat pusat data
Beginilah rupa pusat pemantauan pusat data NORD-2 yang terletak di Moscow

Anda telah membaca lebih daripada sekali tentang langkah-langkah yang diambil untuk memastikan keselamatan maklumat (IS). Mana-mana pakar IT yang menghargai diri sendiri boleh menamakan 5-10 peraturan keselamatan maklumat dengan mudah. Cloud4Y menawarkan untuk bercakap tentang keselamatan maklumat pusat data.

Apabila memastikan keselamatan maklumat pusat data, objek yang paling "dilindungi" ialah:

  • sumber maklumat (data);
  • proses mengumpul, memproses, menyimpan dan menghantar maklumat;
  • pengguna sistem dan kakitangan penyelenggaraan;
  • infrastruktur maklumat, termasuk perkakasan dan alat perisian untuk memproses, menghantar dan memaparkan maklumat, termasuk saluran pertukaran maklumat, sistem keselamatan maklumat dan premis.

Bidang tanggungjawab pusat data bergantung pada model perkhidmatan yang disediakan (IaaS/PaaS/SaaS). Bagaimana rupanya, lihat gambar di bawah:

Keselamatan maklumat pusat data
Skop dasar keselamatan pusat data bergantung pada model perkhidmatan yang disediakan

Bahagian paling penting dalam membangunkan dasar keselamatan maklumat ialah membina model ancaman dan pelanggar. Apakah yang boleh menjadi ancaman kepada pusat data?

  1. Kejadian buruk alam semula jadi, buatan manusia dan sosial
  2. Pengganas, unsur jenayah, dll.
  3. Pergantungan kepada pembekal, pembekal, rakan kongsi, pelanggan
  4. Kegagalan, kegagalan, kemusnahan, kerosakan pada perisian dan perkakasan
  5. Pekerja pusat data yang melaksanakan ancaman keselamatan maklumat menggunakan hak dan kuasa yang diberikan secara sah (pelanggar keselamatan maklumat dalaman)
  6. Pekerja pusat data yang melaksanakan ancaman keselamatan maklumat di luar hak dan kuasa yang diberikan secara sah, serta entiti yang tidak berkaitan dengan kakitangan pusat data, tetapi mencuba akses tanpa kebenaran dan tindakan tidak dibenarkan (pelanggar keselamatan maklumat luaran)
  7. Ketidakpatuhan terhadap keperluan pihak berkuasa penyeliaan dan kawal selia, perundangan semasa

Analisis risiko - mengenal pasti potensi ancaman dan menilai skala akibat pelaksanaannya - akan membantu memilih tugas keutamaan dengan betul yang harus diselesaikan oleh pakar keselamatan maklumat pusat data, dan merancang belanjawan untuk pembelian perkakasan dan perisian.

Memastikan keselamatan ialah proses berterusan yang merangkumi peringkat perancangan, pelaksanaan dan operasi, pemantauan, analisis dan penambahbaikan sistem keselamatan maklumat. Untuk mencipta sistem pengurusan keselamatan maklumat, apa yang dipanggil "Kitaran deming'.

Bahagian penting dasar keselamatan ialah pengagihan peranan dan tanggungjawab kakitangan untuk pelaksanaannya. Dasar harus dikaji semula secara berterusan untuk mencerminkan perubahan dalam perundangan, ancaman baharu dan pertahanan yang muncul. Dan, sudah tentu, menyampaikan keperluan keselamatan maklumat kepada kakitangan dan menyediakan latihan.

Langkah-langkah organisasi

Sesetengah pakar ragu-ragu tentang keselamatan "kertas", menganggap perkara utama ialah kemahiran praktikal untuk menentang percubaan penggodaman. Pengalaman sebenar dalam memastikan keselamatan maklumat di bank menunjukkan sebaliknya. Pakar keselamatan maklumat mungkin mempunyai kepakaran yang sangat baik dalam mengenal pasti dan mengurangkan risiko, tetapi jika kakitangan pusat data tidak mengikut arahan mereka, semuanya akan menjadi sia-sia.

Keselamatan, sebagai peraturan, tidak membawa wang, tetapi hanya meminimumkan risiko. Oleh itu, ia sering dianggap sebagai sesuatu yang mengganggu dan menengah. Dan apabila pakar keselamatan mula marah (dengan setiap hak untuk berbuat demikian), konflik sering timbul dengan kakitangan dan ketua jabatan operasi.

Kehadiran piawaian industri dan keperluan kawal selia membantu profesional keselamatan mempertahankan kedudukan mereka dalam rundingan dengan pihak pengurusan, dan dasar, peraturan dan peraturan keselamatan maklumat yang diluluskan membolehkan kakitangan mematuhi keperluan yang ditetapkan di sana, menyediakan asas untuk keputusan yang sering tidak popular.

Perlindungan premis

Apabila pusat data menyediakan perkhidmatan menggunakan model colocation, memastikan keselamatan fizikal dan kawalan capaian kepada peralatan pelanggan diutamakan. Untuk tujuan ini, kepungan (bahagian berpagar dewan) digunakan, yang berada di bawah pengawasan video pelanggan dan akses kepada kakitangan pusat data adalah terhad.

Di pusat komputer negeri dengan keselamatan fizikal, keadaan tidak buruk pada akhir abad yang lalu. Terdapat kawalan akses, kawalan akses ke premis, walaupun tanpa komputer dan kamera video, sistem pemadam api - sekiranya berlaku kebakaran, freon dilepaskan secara automatik ke dalam bilik mesin.

Pada masa kini, keselamatan fizikal lebih terjamin. Kawalan akses dan sistem pengurusan (ACS) telah menjadi pintar, dan kaedah biometrik sekatan capaian sedang diperkenalkan.

Sistem pemadam api telah menjadi lebih selamat untuk kakitangan dan peralatan, antaranya adalah pemasangan untuk perencatan, pengasingan, penyejukan dan kesan hipoksia pada zon kebakaran. Bersama-sama dengan sistem perlindungan kebakaran mandatori, pusat data sering menggunakan sistem pengesanan kebakaran awal jenis aspirasi.

Untuk melindungi pusat data daripada ancaman luar - kebakaran, letupan, keruntuhan struktur bangunan, banjir, gas menghakis - bilik keselamatan dan peti besi mula digunakan, di mana peralatan pelayan dilindungi daripada hampir semua faktor kerosakan luaran.

Pautan yang lemah adalah orangnya

Sistem pengawasan video "Pintar", penderia pengesan volumetrik (akustik, inframerah, ultrasonik, gelombang mikro), sistem kawalan akses telah mengurangkan risiko, tetapi tidak menyelesaikan semua masalah. Cara ini tidak akan membantu, contohnya, apabila orang yang dimasukkan dengan betul ke pusat data dengan alat yang betul "terikat" pada sesuatu. Dan, seperti yang sering berlaku, halangan yang tidak disengajakan akan membawa masalah maksimum.

Kerja pusat data mungkin terjejas oleh penyalahgunaan sumbernya oleh kakitangan, contohnya, perlombongan haram. Sistem pengurusan infrastruktur pusat data (DCIM) boleh membantu dalam kes ini.

Kakitangan juga memerlukan perlindungan, kerana orang sering dipanggil pautan paling terdedah dalam sistem perlindungan. Serangan yang disasarkan oleh penjenayah profesional selalunya bermula dengan penggunaan kaedah kejuruteraan sosial. Selalunya sistem yang paling selamat ranap atau terjejas selepas seseorang mengklik/memuat turun/melakukan sesuatu. Risiko sedemikian boleh diminimumkan dengan melatih kakitangan dan melaksanakan amalan terbaik global dalam bidang keselamatan maklumat.

Perlindungan infrastruktur kejuruteraan

Ancaman tradisional terhadap fungsi pusat data ialah kegagalan kuasa dan kegagalan sistem penyejukan. Kami sudah terbiasa dengan ancaman sedemikian dan telah belajar untuk menanganinya.

Trend baharu telah menjadi pengenalan meluas peralatan "pintar" yang disambungkan ke rangkaian: UPS terkawal, sistem penyejukan dan pengudaraan pintar, pelbagai pengawal dan penderia yang disambungkan ke sistem pemantauan. Apabila membina model ancaman pusat data, anda tidak seharusnya melupakan kemungkinan serangan terhadap rangkaian infrastruktur (dan, mungkin, pada rangkaian IT yang berkaitan dengan pusat data). Merumitkan keadaan ialah hakikat bahawa beberapa peralatan (contohnya, penyejuk) boleh dialihkan ke luar pusat data, katakan, ke atas bumbung bangunan yang disewa.

Perlindungan saluran komunikasi

Jika pusat data menyediakan perkhidmatan bukan sahaja mengikut model kolokasi, maka ia perlu berurusan dengan perlindungan awan. Menurut Check Point, tahun lepas sahaja, 51% organisasi di seluruh dunia mengalami serangan terhadap struktur awan mereka. Serangan DDoS menghentikan perniagaan, virus penyulitan menuntut wang tebusan, serangan yang disasarkan pada sistem perbankan membawa kepada kecurian dana daripada akaun koresponden.

Ancaman pencerobohan luar juga membimbangkan pakar keselamatan maklumat pusat data. Yang paling relevan untuk pusat data ialah serangan teragih yang bertujuan untuk mengganggu penyediaan perkhidmatan, serta ancaman penggodaman, kecurian atau pengubahsuaian data yang terkandung dalam infrastruktur maya atau sistem storan.

Untuk melindungi perimeter luar pusat data, sistem moden digunakan dengan fungsi untuk mengenal pasti dan meneutralkan kod hasad, kawalan aplikasi dan keupayaan untuk mengimport teknologi perlindungan proaktif Threat Intelligence. Dalam sesetengah kes, sistem dengan fungsi IPS (pencegahan pencerobohan) digunakan dengan pelarasan automatik set tandatangan kepada parameter persekitaran yang dilindungi.

Untuk melindungi daripada serangan DDoS, syarikat Rusia, sebagai peraturan, menggunakan perkhidmatan khusus luaran yang mengalihkan trafik ke nod lain dan menapisnya dalam awan. Perlindungan di pihak pengendali jauh lebih berkesan daripada di pihak pelanggan, dan pusat data bertindak sebagai perantara untuk penjualan perkhidmatan.

Serangan DDoS dalaman juga boleh dilakukan di pusat data: penyerang menembusi pelayan yang dilindungi dengan lemah bagi satu syarikat yang mengehoskan peralatannya menggunakan model colocation, dan dari situ melakukan serangan penafian perkhidmatan ke atas pelanggan lain pusat data ini melalui rangkaian dalaman .

Fokus pada persekitaran maya

Adalah perlu untuk mengambil kira spesifik objek yang dilindungi - penggunaan alat virtualisasi, dinamik perubahan dalam infrastruktur IT, kesalinghubungan perkhidmatan, apabila serangan yang berjaya terhadap satu pelanggan boleh mengancam keselamatan jiran. Contohnya, dengan menggodam docker frontend semasa bekerja dalam PaaS berasaskan Kubernetes, penyerang boleh mendapatkan semua maklumat kata laluan dan juga akses kepada sistem orkestrasi dengan serta-merta.

Produk yang disediakan di bawah model perkhidmatan mempunyai tahap automasi yang tinggi. Untuk tidak mengganggu perniagaan, langkah keselamatan maklumat mesti digunakan pada tahap automasi dan penskalaan mendatar yang tidak kurang. Penskalaan hendaklah dipastikan pada semua peringkat keselamatan maklumat, termasuk automasi kawalan capaian dan putaran kunci capaian. Tugas khas ialah penskalaan modul berfungsi yang memeriksa trafik rangkaian.

Sebagai contoh, menapis trafik rangkaian pada peringkat aplikasi, rangkaian dan sesi dalam pusat data sangat maya harus dilakukan pada tahap modul rangkaian hipervisor (contohnya, Tembok Api Teragih VMware) atau dengan mencipta rantaian perkhidmatan (tembok api maya daripada Rangkaian Palo Alto) .

Sekiranya terdapat kelemahan pada tahap virtualisasi sumber pengkomputeran, usaha untuk mewujudkan sistem keselamatan maklumat yang komprehensif di peringkat platform akan menjadi tidak berkesan.

Tahap perlindungan maklumat dalam pusat data

Pendekatan umum untuk perlindungan ialah penggunaan sistem keselamatan maklumat berbilang peringkat bersepadu, termasuk pembahagian makro di peringkat tembok api (peruntukan segmen untuk pelbagai bidang fungsi perniagaan), pembahagian mikro berdasarkan tembok api maya atau trafik penandaan kumpulan (peranan atau perkhidmatan pengguna) ditakrifkan oleh dasar akses .

Peringkat seterusnya ialah mengenal pasti anomali dalam dan antara segmen. Dinamik trafik dianalisis, yang mungkin menunjukkan kehadiran aktiviti berniat jahat, seperti pengimbasan rangkaian, percubaan pada serangan DDoS, memuat turun data, contohnya, dengan menghiris fail pangkalan data dan mengeluarkannya dalam sesi yang muncul secara berkala pada selang masa yang panjang. Jumlah trafik yang besar melalui pusat data, jadi untuk mengenal pasti anomali, anda perlu menggunakan algoritma carian lanjutan, dan tanpa analisis paket. Adalah penting bahawa bukan sahaja tanda-tanda aktiviti berniat jahat dan anomali diiktiraf, tetapi juga pengendalian perisian hasad walaupun dalam trafik yang disulitkan tanpa menyahsulitnya, seperti yang dicadangkan dalam penyelesaian Cisco (Stealthwatch).

Sempadan terakhir ialah perlindungan peranti akhir rangkaian tempatan: pelayan dan mesin maya, contohnya, dengan bantuan ejen yang dipasang pada peranti akhir (mesin maya), yang menganalisis operasi I/O, pemadaman, salinan dan aktiviti rangkaian, menghantar data ke awan, di mana pengiraan yang memerlukan kuasa pengkomputeran yang besar dijalankan. Di sana, analisis dijalankan menggunakan algoritma Big Data, pokok logik mesin dibina dan anomali dikenal pasti. Algoritma adalah pembelajaran kendiri berdasarkan sejumlah besar data yang dibekalkan oleh rangkaian penderia global.

Anda boleh lakukan tanpa memasang ejen. Alat keselamatan maklumat moden mestilah tanpa agen dan disepadukan ke dalam sistem pengendalian di peringkat hypervisor.
Langkah yang disenaraikan mengurangkan risiko keselamatan maklumat dengan ketara, tetapi ini mungkin tidak mencukupi untuk pusat data yang menyediakan automasi proses pengeluaran berisiko tinggi, contohnya, loji kuasa nuklear.

Keperluan kawal selia

Bergantung pada maklumat yang sedang diproses, infrastruktur pusat data fizikal dan maya mesti memenuhi keperluan keselamatan berbeza yang ditetapkan dalam undang-undang dan piawaian industri.

Undang-undang tersebut termasuk undang-undang "Mengenai Data Peribadi" (152-FZ) dan undang-undang "Mengenai Keselamatan Kemudahan KII Persekutuan Rusia" (187-FZ), yang berkuat kuasa tahun ini - pejabat pendakwa telah mula berminat. dalam perkembangan pelaksanaannya. Pertikaian tentang sama ada pusat data tergolong dalam subjek CII masih berterusan, tetapi kemungkinan besar, pusat data yang ingin menyediakan perkhidmatan kepada subjek CII perlu mematuhi keperluan perundangan baharu.

Ia tidak akan mudah untuk pusat data yang menganjurkan sistem maklumat kerajaan. Menurut Dekri Kerajaan Persekutuan Rusia bertarikh 11.05.2017 Mei 555 No. XNUMX, isu keselamatan maklumat harus diselesaikan sebelum meletakkan GIS dalam operasi komersial. Dan pusat data yang ingin menjadi hos GIS mesti terlebih dahulu memenuhi keperluan kawal selia.

Sepanjang 30 tahun yang lalu, sistem keselamatan pusat data telah berjalan jauh: daripada sistem perlindungan fizikal yang mudah dan langkah-langkah organisasi, yang bagaimanapun, tidak kehilangan kaitannya, kepada sistem pintar yang kompleks, yang semakin menggunakan unsur kecerdasan buatan. Tetapi intipati pendekatan itu tidak berubah. Teknologi paling moden tidak akan menyelamatkan anda tanpa langkah organisasi dan latihan kakitangan, dan kertas kerja tidak akan menyelamatkan anda tanpa perisian dan penyelesaian teknikal. Keselamatan pusat data tidak dapat dipastikan sekali dan untuk semua; ia adalah usaha harian yang berterusan untuk mengenal pasti ancaman keutamaan dan menyelesaikan masalah yang muncul secara menyeluruh.

Apa lagi yang anda boleh baca di blog? Cloud4Y

Menyediakan bahagian atas dalam GNU/Linux
Pentesters di barisan hadapan keselamatan siber
Laluan kecerdasan buatan daripada idea yang hebat kepada industri saintifik
4 cara untuk menjimatkan sandaran awan
Cerita mutt

Langgan kami Telegram-saluran supaya anda tidak terlepas artikel seterusnya! Kami menulis tidak lebih daripada dua kali seminggu dan hanya mengenai perniagaan. Kami juga mengingatkan anda bahawa anda boleh ujian secara percuma penyelesaian awan Cloud4Y.

Sumber: www.habr.com

Tambah komen