Sigurtà tal-informazzjoni taċ-ċentru tad-dejta

Dan huwa kif jidher iċ-ċentru ta 'monitoraġġ taċ-ċentru tad-dejta NORD-2 li jinsab f'Moska

Qrajt aktar minn darba dwar liema miżuri jittieħdu biex tiġi żgurata s-sigurtà tal-informazzjoni (IS). Kull speċjalista tal-IT li jirrispetta lilu nnifsu jista' faċilment isemmi 5-10 regoli tas-sigurtà tal-informazzjoni. Cloud4Y joffri li jitkellem dwar is-sigurtà tal-informazzjoni taċ-ċentri tad-dejta.

Meta tiġi żgurata s-sigurtà tal-informazzjoni ta’ ċentru tad-dejta, l-aktar oġġetti “protetti” huma:

• Riżorsi ta' informazzjoni (dejta);
• Proċessi ta' ġbir, ipproċessar, ħażna u trażmissjoni ta' informazzjoni;
• utenti tas-sistema u persunal tal-manutenzjoni;
• infrastruttura tal-informazzjoni, inklużi għodod ta' ħardwer u softwer għall-ipproċessar, trażmissjoni u wiri ta' informazzjoni, inklużi kanali ta' skambju ta' informazzjoni, sistemi ta' sigurtà tal-informazzjoni u bini.

Iż-żona ta’ responsabbiltà taċ-ċentru tad-dejta tiddependi fuq il-mudell tas-servizzi pprovduti (IaaS/PaaS/SaaS). Kif tidher, ara l-istampa hawn taħt:

L-ambitu tal-politika tas-sigurtà taċ-ċentru tad-dejta jiddependi fuq il-mudell tas-servizzi pprovduti

L-aktar parti importanti tal-iżvilupp ta' politika ta' sigurtà tal-informazzjoni hija l-bini ta' mudell ta' theddid u kontravvenjenti. X'jista' jsir theddida għal ċentru tad-dejta?

1. Avvenimenti avversi ta' natura naturali, magħmula mill-bniedem u soċjali
2. Terroristi, elementi kriminali, eċċ.
3. Dipendenza fuq fornituri, fornituri, imsieħba, klijenti
4. Ħsarat, fallimenti, qerda, ħsara lis-softwer u l-ħardwer
5. Impjegati taċ-ċentru tad-dejta li jimplimentaw theddid għas-sigurtà tal-informazzjoni billi jużaw drittijiet u setgħat mogħtija legalment (min jikser is-sigurtà tal-informazzjoni interna)
6. Impjegati taċ-ċentru tad-dejta li jimplimentaw theddid għas-sigurtà tal-informazzjoni barra mid-drittijiet u s-setgħat mogħtija legalment, kif ukoll entitajiet mhux relatati mal-persunal taċ-ċentru tad-dejta, iżda li jippruvaw aċċess mhux awtorizzat u azzjonijiet mhux awtorizzati (ksur esterni tas-sigurtà tal-informazzjoni)
7. Nuqqas ta' konformità mar-rekwiżiti tal-awtoritajiet superviżorji u regolatorji, leġiżlazzjoni attwali

Analiżi tar-riskju - tidentifika theddid potenzjali u tivvaluta l-iskala tal-konsegwenzi tal-implimentazzjoni tagħhom - se tgħin biex jintgħażlu b'mod korrett il-kompiti prijoritarji li speċjalisti tas-sigurtà tal-informazzjoni taċ-ċentru tad-dejta għandhom isolvu, u jippjanaw baġits għax-xiri ta 'ħardwer u softwer.

L-iżgurar tas-sigurtà huwa proċess kontinwu li jinkludi l-istadji tal-ippjanar, l-implimentazzjoni u l-operat, il-monitoraġġ, l-analiżi u t-titjib tas-sistema tas-sigurtà tal-informazzjoni. Biex jinħolqu sistemi ta’ ġestjoni tas-sigurtà tal-informazzjoni, l-hekk imsejħa “Ċiklu Deming".

Parti importanti mill-politiki tas-sigurtà hija d-distribuzzjoni tar-rwoli u r-responsabbiltajiet tal-persunal għall-implimentazzjoni tagħhom. Il-politiki għandhom jiġu riveduti kontinwament biex jirriflettu bidliet fil-leġiżlazzjoni, theddid ġdid, u difiżi emerġenti. U, ovvjament, tikkomunika r-rekwiżiti tas-sigurtà tal-informazzjoni lill-persunal u tipprovdi taħriġ.

Miżuri organizzattivi

Xi esperti huma xettiċi dwar is-sigurtà tal-"karta", u jqisu li l-ħaġa ewlenija hija ħiliet prattiċi biex jirreżistu tentattivi ta 'hacking. Esperjenza reali fl-iżgurar tas-sigurtà tal-informazzjoni fil-banek tissuġġerixxi l-oppost. L-ispeċjalisti tas-sigurtà tal-informazzjoni jista 'jkollhom għarfien espert eċċellenti fl-identifikazzjoni u l-mitigazzjoni tar-riskji, iżda jekk il-persunal taċ-ċentru tad-dejta ma jsegwix l-istruzzjonijiet tagħhom, kollox ikun għalxejn.

Is-sigurtà, bħala regola, ma ġġibx flus, iżda biss timminimizza r-riskji. Għalhekk, ħafna drabi tiġi ttrattata bħala xi ħaġa inkwetanti u sekondarja. U meta speċjalisti tas-sigurtà jibdew ikunu indignanti (b'kull dritt li jagħmlu dan), ħafna drabi jinqalgħu kunflitti mal-persunal u l-kapijiet tad-dipartimenti operattivi.

Il-preżenza ta 'standards tal-industrija u rekwiżiti regolatorji tgħin lill-professjonisti tas-sigurtà jiddefendu l-pożizzjonijiet tagħhom fin-negozjati mal-maniġment, u l-politiki, ir-regolamenti u r-regolamenti tas-sigurtà tal-informazzjoni approvati jippermettu lill-persunal jikkonforma mar-rekwiżiti stabbiliti hemmhekk, u jipprovdu l-bażi għal deċiżjonijiet ta' spiss mhux popolari.

Protezzjoni tal-bini

Meta ċentru tad-dejta jipprovdi servizzi bl-użu tal-mudell tal-kolokazzjoni, l-iżgurar tas-sigurtà fiżika u l-kontroll tal-aċċess għat-tagħmir tal-klijent jiġi fuq quddiem. Għal dan il-għan, jintużaw kompartimenti (partijiet magħluqa tas-sala), li huma taħt sorveljanza bil-vidjo tal-klijent u li għalihom l-aċċess għall-persunal taċ-ċentru tad-dejta huwa limitat.

Fiċ-ċentri tal-kompjuter tal-istat b'sigurtà fiżika, l-affarijiet ma kinux ħżiena fl-aħħar tas-seklu li għadda. Kien hemm kontroll ta 'aċċess, kontroll ta' aċċess għall-bini, anke mingħajr kompjuters u kameras tal-vidjo, sistema tat-tifi tan-nar - f'każ ta 'nar, freon ġie rilaxxat awtomatikament fil-kamra tal-magni.

Illum il-ġurnata, is-sigurtà fiżika hija żgurata saħansitra aħjar. Is-sistemi ta 'kontroll u ġestjoni tal-aċċess (ACS) saru intelliġenti, u qed jiġu introdotti metodi bijometriċi ta' restrizzjoni tal-aċċess.

Is-sistemi tat-tifi tan-nar saru aktar sikuri għall-persunal u t-tagħmir, fosthom installazzjonijiet għall-inibizzjoni, iżolament, tkessiħ u effetti iposiċi fuq iż-żona tan-nar. Flimkien ma 'sistemi obbligatorji ta' protezzjoni min-nirien, iċ-ċentri tad-dejta spiss jużaw sistema ta 'detezzjoni bikrija tan-nar tat-tip ta' aspirazzjoni.

Biex jipproteġu ċ-ċentri tad-dejta minn theddid estern - nirien, splużjonijiet, kollass ta 'strutturi tal-bini, għargħar, gassijiet korrużivi - bdew jintużaw kmamar tas-sigurtà u kaxxiforti, li fihom it-tagħmir tas-server huwa protett minn kważi l-fatturi esterni kollha ta' ħsara.

Ir-rabta dgħajfa hija l-persuna

Sistemi ta 'sorveljanza bil-vidjo "intelliġenti", sensuri volumetriċi ta' traċċar (akustiċi, infra-aħmar, ultrasoniku, microwave), sistemi ta 'kontroll ta' aċċess naqqsu r-riskji, iżda ma solvewx il-problemi kollha. Dawn il-mezzi mhux se jgħinu, pereżempju, meta nies li ġew ammessi b'mod korrett fiċ-ċentru tad-dejta bl-għodod korretti kienu "imqabbda" fuq xi ħaġa. U, kif jiġri ta 'spiss, tfixkil aċċidentali se jġib problemi massimi.

Ix-xogħol taċ-ċentru tad-dejta jista 'jkun affettwat mill-użu ħażin tar-riżorsi tiegħu mill-persunal, pereżempju, tħaffir illegali. Is-sistemi tal-ġestjoni tal-infrastruttura taċ-ċentru tad-dejta (DCIM) jistgħu jgħinu f'dawn il-każijiet.

Il-persunal jeħtieġ ukoll protezzjoni, peress li n-nies ħafna drabi jissejħu l-aktar ħolqa vulnerabbli fis-sistema ta 'protezzjoni. L-attakki mmirati minn kriminali professjonali ħafna drabi jibdew bl-użu ta 'metodi ta' inġinerija soċjali. Ħafna drabi l-aktar sistemi sikuri jiġġarrfu jew jiġu kompromessi wara li xi ħadd għafas/niżżel/għamel xi ħaġa. Riskji bħal dawn jistgħu jiġu minimizzati billi jitħarreġ il-persunal u jiġu implimentati l-aħjar prattiki globali fil-qasam tas-sigurtà tal-informazzjoni.

Protezzjoni ta' infrastruttura ta' inġinerija

Theddid tradizzjonali għall-funzjonament ta 'ċentru tad-dejta huma fallimenti ta' enerġija u fallimenti tas-sistemi tat-tkessiħ. Diġà drajna theddid bħal dan u tgħallimna nindirizzawhom.

Xejra ġdida saret l-introduzzjoni mifruxa ta 'tagħmir "intelliġenti" konness ma' netwerk: UPSs ikkontrollati, sistemi ta 'tkessiħ u ventilazzjoni intelliġenti, diversi kontrolluri u sensuri konnessi ma' sistemi ta 'monitoraġġ. Meta tibni mudell ta 'theddida taċ-ċentru tad-dejta, m'għandekx tinsa dwar il-probabbiltà ta' attakk fuq in-netwerk tal-infrastruttura (u, possibilment, fuq in-netwerk tal-IT assoċjat taċ-ċentru tad-dejta). Jikkomplika s-sitwazzjoni huwa l-fatt li xi wħud mit-tagħmir (per eżempju, chillers) jistgħu jiġu mċaqalqa barra miċ-ċentru tad-dejta, ngħidu aħna, fuq il-bejt ta 'bini mikrija.

Protezzjoni ta' kanali ta' komunikazzjoni

Jekk iċ-ċentru tad-dejta jipprovdi servizzi mhux biss skont il-mudell tal-kolokazzjoni, allura jkollu jittratta l-protezzjoni tas-sħab. Skont Check Point, is-sena li għaddiet biss, 51% tal-organizzazzjonijiet madwar id-dinja esperjenzaw attakki fuq l-istrutturi tal-cloud tagħhom. L-attakki DDoS iwaqqfu n-negozji, il-viruses tal-kriptaġġ jitolbu fidwa, attakki mmirati fuq is-sistemi bankarji jwasslu għas-serq ta’ fondi minn kontijiet korrispondenti.

Theddid ta' intrużjonijiet esterni jinkwetaw ukoll lill-ispeċjalisti tas-sigurtà tal-informazzjoni taċ-ċentru tad-dejta. L-aktar rilevanti għaċ-ċentri tad-dejta huma attakki mqassma mmirati biex jinterrompu l-provvista tas-servizzi, kif ukoll theddid ta 'hacking, serq jew modifika tad-dejta li tinsab fl-infrastruttura virtwali jew fis-sistemi tal-ħażna.

Biex jipproteġu l-perimetru estern taċ-ċentru tad-dejta, jintużaw sistemi moderni b'funzjonijiet għall-identifikazzjoni u n-newtralizzazzjoni tal-kodiċi malizzjuż, il-kontroll tal-applikazzjoni u l-abbiltà li timporta teknoloġija ta 'protezzjoni proattiva Threat Intelligence. F'xi każijiet, sistemi b'funzjonalità IPS (prevenzjoni ta 'intrużjoni) huma skjerati b'aġġustament awtomatiku tal-firma stabbilita għall-parametri tal-ambjent protett.

Biex jipproteġu kontra attakki DDoS, il-kumpaniji Russi, bħala regola, jużaw servizzi speċjalizzati esterni li jiddevjaw it-traffiku lejn nodi oħra u jiffiltrawh fil-cloud. Il-protezzjoni min-naħa tal-operatur hija ħafna aktar effettiva milli min-naħa tal-klijent, u ċ-ċentri tad-dejta jaġixxu bħala intermedjarji għall-bejgħ tas-servizzi.

L-attakki DDoS interni huma wkoll possibbli fiċ-ċentri tad-dejta: attakkant jippenetra s-servers dgħajjef protetti ta’ kumpanija waħda li tospita t-tagħmir tagħha permezz ta’ mudell ta’ kolokazzjoni, u minn hemm iwettaq attakk ta’ ċaħda ta’ servizz fuq klijenti oħra ta’ dan iċ-ċentru tad-dejta permezz tan-netwerk intern. .

Iffoka fuq ambjenti virtwali

Huwa meħtieġ li jitqiesu l-ispeċifiċitajiet ta 'l-oġġett protett - l-użu ta' għodod ta 'virtwalizzazzjoni, id-dinamika tal-bidliet fl-infrastrutturi tal-IT, l-interkonnettività tas-servizzi, meta attakk b'suċċess fuq klijent wieħed jista' jhedded is-sigurtà tal-ġirien. Pereżempju, billi jattakka l-docker tal-frontend waqt li jaħdem f'PaaS ibbażat fuq Kubernetes, attakkant jista 'jikseb immedjatament l-informazzjoni kollha dwar il-password u anke aċċess għas-sistema tal-orkestrazzjoni.

Il-prodotti pprovduti taħt il-mudell tas-servizz għandhom grad għoli ta 'awtomazzjoni. Sabiex ma jinterferixxux man-negozju, il-miżuri tas-sigurtà tal-informazzjoni għandhom jiġu applikati għal grad mhux inqas ta 'awtomazzjoni u skalar orizzontali. L-iskala għandha tiġi żgurata fil-livelli kollha tas-sigurtà tal-informazzjoni, inkluż l-awtomazzjoni tal-kontroll tal-aċċess u r-rotazzjoni taċ-ċwievet tal-aċċess. Kompitu speċjali huwa l-iskala ta 'moduli funzjonali li jispezzjonaw it-traffiku tan-netwerk.

Pereżempju, l-iffiltrar tat-traffiku tan-netwerk fil-livelli tal-applikazzjoni, tan-netwerk u tas-sessjoni f’ċentri tad-dejta virtwali ħafna għandu jsir fil-livell ta’ moduli tan-netwerk tal-hypervisor (pereżempju, Distributed Firewall ta’ VMware) jew billi jinħolqu ktajjen ta’ servizz (firewalls virtwali minn Palo Alto Networks) .

Jekk ikun hemm nuqqasijiet fil-livell tal-virtwalizzazzjoni tar-riżorsi tal-kompjuter, l-isforzi biex tinħoloq sistema komprensiva ta 'sigurtà tal-informazzjoni fil-livell tal-pjattaforma se jkunu ineffettivi.

Livelli ta' protezzjoni tal-informazzjoni fiċ-ċentru tad-dejta

L-approċċ ġenerali għall-protezzjoni huwa l-użu ta 'sistemi ta' sigurtà tal-informazzjoni integrati, f'diversi livelli, inkluża makro-segmentazzjoni fil-livell tal-firewall (allokazzjoni ta 'segmenti għal diversi oqsma funzjonali tan-negozju), mikro-segmentazzjoni bbażata fuq firewalls virtwali jew it-tikkettar tat-traffiku ta' gruppi (rwoli jew servizzi ta' l-utent) definiti minn politiki ta' aċċess .

Il-livell li jmiss huwa li jidentifika anomaliji fi ħdan u bejn is-segmenti. Id-dinamika tat-traffiku hija analizzata, li tista 'tindika l-preżenza ta' attivitajiet malizzjużi, bħal skanjar tan-netwerk, tentattivi ta 'attakki DDoS, tniżżil ta' data, pereżempju, billi jitqattgħu fajls tad-database u joħorġuhom f'sessjonijiet li jidhru perjodikament f'intervalli twal. Ammonti enormi ta 'traffiku jgħaddu miċ-ċentru tad-dejta, għalhekk biex tidentifika anomaliji, għandek bżonn tuża algoritmi ta' tfittxija avvanzata, u mingħajr analiżi tal-pakketti. Huwa importanti li mhux biss jiġu rikonoxxuti sinjali ta 'attività malizzjuża u anomala, iżda wkoll l-operat tal-malware anke fi traffiku encrypted mingħajr ma jiġi dekriptjat, kif huwa propost fis-soluzzjonijiet Cisco (Stealthwatch).

L-aħħar fruntiera hija l-protezzjoni tal-apparat finali tan-netwerk lokali: servers u magni virtwali, pereżempju, bl-għajnuna ta 'aġenti installati fuq apparati finali (magni virtwali), li janalizzaw operazzjonijiet I/O, tħassir, kopji u attivitajiet tan-netwerk, jittrasmetti data lil sħaba, fejn isiru kalkoli li jeħtieġu qawwa tal-kompjuters kbira. Hemmhekk, issir analiżi bl-użu ta' algoritmi ta' Big Data, jinbnew siġar tal-loġika tal-magni u jiġu identifikati anomaliji. L-algoritmi huma awto-tagħlim ibbażati fuq ammont kbir ta 'dejta fornuta minn netwerk globali ta' sensuri.

Tista 'tagħmel mingħajr l-installazzjoni ta' aġenti. Għodod moderni tas-sigurtà tal-informazzjoni għandhom ikunu mingħajr aġent u integrati fis-sistemi operattivi fil-livell tal-hypervisor.
Il-miżuri elenkati jnaqqsu b'mod sinifikanti r-riskji għas-sigurtà tal-informazzjoni, iżda dan jista 'ma jkunx biżżejjed għal ċentri tad-dejta li jipprovdu awtomazzjoni ta' proċessi ta 'produzzjoni ta' riskju għoli, pereżempju, impjanti tal-enerġija nukleari.

Rekwiżiti regolatorji

Skont l-informazzjoni li tkun qed tiġi pproċessata, l-infrastrutturi fiżiċi u virtwali taċ-ċentru tad-dejta għandhom jissodisfaw rekwiżiti ta’ sigurtà differenti stabbiliti fil-liġijiet u l-istandards tal-industrija.

Liġijiet bħal dawn jinkludu l-liġi "Dwar id-Dejta Personali" (152-FZ) u l-liġi "Dwar is-Sigurtà tal-Faċilitajiet KII tal-Federazzjoni Russa" (187-FZ), li daħlet fis-seħħ din is-sena - l-uffiċċju tal-prosekutur diġà sar interessat fil-progress tal-implimentazzjoni tagħha. It-tilwim dwar jekk iċ-ċentri tad-dejta jappartjenux għal suġġetti tas-CII għadhom għaddejjin, iżda x'aktarx, iċ-ċentri tad-dejta li jixtiequ jipprovdu servizzi lis-suġġetti tas-CII se jkollhom jikkonformaw mar-rekwiżiti tal-leġiżlazzjoni l-ġdida.

Mhux se jkun faċli għaċ-ċentri tad-dejta li jospitaw sistemi ta’ informazzjoni tal-gvern. Skont id-Digriet tal-Gvern tal-Federazzjoni Russa datata 11.05.2017 ta 'Mejju 555 Nru XNUMX, kwistjonijiet ta' sigurtà tal-informazzjoni għandhom jiġu solvuti qabel ma l-GIS jitħaddem kummerċjali. U ċentru tad-dejta li jrid jospita GIS irid l-ewwel jissodisfa r-rekwiżiti regolatorji.

Matul l-aħħar 30 sena, is-sistemi tas-sigurtà taċ-ċentru tad-dejta mxew triq twila: minn sistemi sempliċi ta 'protezzjoni fiżika u miżuri organizzattivi, li, madankollu, ma tilfux ir-rilevanza tagħhom, għal sistemi intelliġenti kumplessi, li dejjem aktar jużaw elementi ta' intelliġenza artifiċjali. Iżda l-essenza tal-approċċ ma nbidlitx. L-aktar teknoloġiji moderni mhux se jiffrankaw mingħajr miżuri organizzattivi u taħriġ tal-persunal, u l-burokrazija mhux se jiffrankaw mingħajr softwer u soluzzjonijiet tekniċi. Is-sigurtà taċ-ċentru tad-dejta ma tistax tiġi żgurata darba għal dejjem hija sforz kostanti ta’ kuljum biex jiġu identifikati theddidiet prijoritarji u jiġu solvuti b’mod komprensiv il-problemi emerġenti.

X'iktar tista' taqra fuq il-blog? Cloud4Y

→ Twaqqif ta' fuq f'GNU/Linux
→ Pentesters minn ta' quddiem fiċ-ċibersigurtà
→ It-triq tal-intelliġenza artifiċjali minn idea meraviljuża għall-industrija xjentifika
→ 4 modi kif tiffranka l-backups tas-sħab
→ Mutt storja

Abbona għal tagħna Telegramma-kanal sabiex ma titlifx l-artiklu li jmiss! Aħna niktbu mhux aktar minn darbtejn fil-ġimgħa u biss fuq in-negozju. Infakkruk ukoll li tista’ test b'xejn soluzzjonijiet sħab Cloud4Y.

Sors: www.habr.com