ProHoster > blog > administratie > Informatiebeveiliging van datacenters

Informatiebeveiliging van datacenters

Informatiebeveiliging van datacenters
Zo ziet het monitoringcentrum van het NORD-2 datacenter in Moskou eruit

U heeft meer dan eens gelezen welke maatregelen er worden genomen om de informatiebeveiliging (IS) te waarborgen. Elke zichzelf respecterende IT-specialist kan gemakkelijk 5 tot 10 informatiebeveiligingsregels opnoemen. Cloud4Y biedt aan om te praten over informatiebeveiliging van datacenters.

Bij het garanderen van de informatiebeveiliging van een datacenter zijn de meest “beschermde” objecten:

  • informatiebronnen (gegevens);
  • processen voor het verzamelen, verwerken, opslaan en verzenden van informatie;
  • systeemgebruikers en onderhoudspersoneel;
  • informatie-infrastructuur, inclusief hardware- en softwaretools voor het verwerken, verzenden en weergeven van informatie, inclusief kanalen voor informatie-uitwisseling, informatiebeveiligingssystemen en gebouwen.

Het verantwoordelijkheidsgebied van het datacenter is afhankelijk van het model van de geleverde diensten (IaaS/PaaS/SaaS). Hoe het eruit ziet, zie onderstaande afbeelding:

Informatiebeveiliging van datacenters
De reikwijdte van het datacenterbeveiligingsbeleid is afhankelijk van het model van de geleverde diensten

Het belangrijkste onderdeel van het ontwikkelen van een informatiebeveiligingsbeleid is het bouwen van een model van bedreigingen en overtreders. Wat kan een bedreiging worden voor een datacenter?

  1. Bijwerkingen van natuurlijke, door de mens veroorzaakte en sociale aard
  2. Terroristen, criminele elementen, enz.
  3. Afhankelijkheid van leveranciers, providers, partners, klanten
  4. Storingen, storingen, vernieling, schade aan software en hardware
  5. Datacentermedewerkers die bedreigingen voor de informatiebeveiliging implementeren met behulp van wettelijk verleende rechten en bevoegdheden (interne overtreders van de informatiebeveiliging)
  6. Medewerkers van datacenters die bedreigingen voor de informatiebeveiliging implementeren buiten de wettelijk verleende rechten en bevoegdheden, evenals entiteiten die geen verband houden met het personeel van het datacenter, maar die ongeoorloofde toegang proberen te verkrijgen en ongeoorloofde acties ondernemen (externe overtreders van de informatiebeveiliging)
  7. Niet-naleving van de eisen van toezichthoudende en regelgevende instanties, huidige wetgeving

Risicoanalyse – het identificeren van potentiële bedreigingen en het beoordelen van de omvang van de gevolgen van de implementatie ervan – zal helpen bij het correct selecteren van de prioritaire taken die datacenterinformatiebeveiligingsspecialisten moeten oplossen, en bij het plannen van budgetten voor de aanschaf van hardware en software.

Het waarborgen van de veiligheid is een continu proces dat de fasen van planning, implementatie en werking, monitoring, analyse en verbetering van het informatiebeveiligingssysteem omvat. Om informatiebeveiligingsbeheersystemen te creëren, de zogenaamde “Deming-cyclus.

Een belangrijk onderdeel van het beveiligingsbeleid is de verdeling van rollen en verantwoordelijkheden van het personeel voor de implementatie ervan. Beleid moet voortdurend worden herzien om veranderingen in de wetgeving, nieuwe dreigingen en opkomende verdedigingsmechanismen te weerspiegelen. En uiteraard het communiceren van informatiebeveiligingseisen aan het personeel en het verzorgen van trainingen.

Organisatorische maatregelen

Sommige experts staan ​​sceptisch tegenover ‘papieren’ beveiliging, omdat ze van mening zijn dat het vooral gaat om praktische vaardigheden om hackpogingen te weerstaan. Uit praktijkervaring met het waarborgen van de informatiebeveiliging bij banken blijkt het tegenovergestelde. Informatiebeveiligingsspecialisten hebben misschien uitstekende expertise in het identificeren en beperken van risico's, maar als het datacenterpersoneel hun instructies niet opvolgt, zal alles tevergeefs zijn.

Veiligheid levert in de regel geen geld op, maar minimaliseert alleen de risico's. Daarom wordt het vaak behandeld als iets verontrustends en secundairs. En wanneer beveiligingsspecialisten verontwaardigd beginnen te worden (met alle recht daartoe), ontstaan ​​er vaak conflicten met personeel en hoofden van operationele afdelingen.

De aanwezigheid van industriestandaarden en wettelijke vereisten helpt beveiligingsprofessionals hun positie te verdedigen in onderhandelingen met het management, en goedgekeurd informatiebeveiligingsbeleid, regelgeving en regelgeving stellen het personeel in staat om te voldoen aan de eisen die daar worden gesteld, wat de basis vormt voor vaak impopulaire beslissingen.

Bescherming van gebouwen

Wanneer een datacenter diensten levert met behulp van het colocatiemodel, komt het waarborgen van de fysieke beveiliging en toegangscontrole tot de apparatuur van de klant op de voorgrond. Hiervoor wordt gebruik gemaakt van omheiningen (afgeschermde delen van de hal), die onder videobewaking van de klant staan ​​en waartoe de toegang voor datacenterpersoneel beperkt is.

In staatscomputercentra met fysieke beveiliging was het eind vorige eeuw niet slecht. Er was toegangscontrole, toegangscontrole tot het pand, zelfs zonder computers en videocamera's, een brandblussysteem - in geval van brand werd freon automatisch vrijgegeven in de machinekamer.

Tegenwoordig is de fysieke veiligheid nog beter gewaarborgd. Toegangscontrole- en beheersystemen (ACS) zijn intelligent geworden en er worden biometrische methoden voor toegangsbeperking geïntroduceerd.

Brandblussystemen zijn veiliger geworden voor personeel en materieel, waaronder installaties voor remming, isolatie, koeling en hypoxische effecten op de brandzone. Naast verplichte brandbeveiligingssystemen maken datacenters vaak gebruik van een aspiratie-type systeem voor vroegtijdige branddetectie.

Om datacenters te beschermen tegen externe bedreigingen - branden, explosies, instorting van bouwconstructies, overstromingen, corrosieve gassen - werden beveiligingsruimtes en kluizen gebruikt, waarin serverapparatuur wordt beschermd tegen bijna alle externe schadelijke factoren.

De zwakke schakel is de persoon

“Slimme” videobewakingssystemen, volumetrische volgsensoren (akoestisch, infrarood, ultrasoon, magnetron) en toegangscontrolesystemen hebben de risico’s verminderd, maar hebben niet alle problemen opgelost. Deze middelen zullen bijvoorbeeld niet helpen als mensen die correct met de juiste tools in het datacenter zijn toegelaten, ergens aan 'verslaafd' zijn. En, zoals vaak gebeurt, zal een onbedoeld probleem maximale problemen met zich meebrengen.

Het werk van het datacenter kan worden beïnvloed door misbruik van de middelen door personeel, bijvoorbeeld illegale mijnbouw. Datacenterinfrastructuurbeheersystemen (DCIM) kunnen in deze gevallen helpen.

Ook personeel heeft bescherming nodig, omdat mensen vaak de meest kwetsbare schakel in het beveiligingssysteem worden genoemd. Gerichte aanvallen door beroepscriminelen beginnen meestal met het gebruik van social engineering-methoden. Vaak crashen de veiligste systemen of worden ze gecompromitteerd nadat iemand op iets heeft geklikt, gedownload of iets heeft gedaan. Dergelijke risico's kunnen worden geminimaliseerd door personeel op te leiden en mondiale best practices op het gebied van informatiebeveiliging te implementeren.

Bescherming van technische infrastructuur

Traditionele bedreigingen voor het functioneren van een datacenter zijn stroomstoringen en uitval van koelsystemen. We zijn al gewend geraakt aan dergelijke bedreigingen en hebben geleerd ermee om te gaan.

Een nieuwe trend is de wijdverbreide introductie van ‘slimme’ apparatuur die op een netwerk is aangesloten: gecontroleerde UPS’en, intelligente koel- en ventilatiesystemen, verschillende controllers en sensoren die zijn aangesloten op bewakingssystemen. Bij het bouwen van een datacenterbedreigingsmodel mag u de waarschijnlijkheid van een aanval op het infrastructuurnetwerk (en mogelijk het bijbehorende IT-netwerk van het datacenter) niet vergeten. Wat de situatie ingewikkelder maakt, is het feit dat een deel van de apparatuur (bijvoorbeeld koelmachines) buiten het datacenter kan worden verplaatst, bijvoorbeeld op het dak van een gehuurd gebouw.

Bescherming van communicatiekanalen

Als het datacenter diensten niet alleen volgens het colocatiemodel levert, zal het te maken krijgen met cloudbescherming. Volgens Check Point heeft alleen al vorig jaar 51% van de organisaties wereldwijd te maken gehad met aanvallen op hun cloudstructuren. DDoS-aanvallen houden bedrijven tegen, encryptievirussen eisen losgeld, gerichte aanvallen op banksystemen leiden tot diefstal van geld van correspondentrekeningen.

Dreigingen van externe indringers baren ook informatiebeveiligingsspecialisten in datacenters zorgen. Het meest relevant voor datacenters zijn gedistribueerde aanvallen gericht op het onderbreken van de dienstverlening, evenals de dreiging van hacking, diefstal of wijziging van gegevens in de virtuele infrastructuur of opslagsystemen.

Om de externe perimeter van het datacenter te beschermen, worden moderne systemen gebruikt met functies voor het identificeren en neutraliseren van kwaadaardige code, applicatiecontrole en de mogelijkheid om proactieve beveiligingstechnologie voor Threat Intelligence te importeren. In sommige gevallen worden systemen met IPS-functionaliteit (inbraakpreventie) ingezet waarbij de handtekeningset automatisch wordt aangepast aan de parameters van de beschermde omgeving.

Ter bescherming tegen DDoS-aanvallen gebruiken Russische bedrijven in de regel externe gespecialiseerde diensten die verkeer naar andere knooppunten omleiden en in de cloud filteren. Bescherming aan de kant van de operator is veel effectiever dan aan de kant van de klant, en datacenters fungeren als tussenpersoon voor de verkoop van diensten.

Ook in datacenters zijn interne DDoS-aanvallen mogelijk: een aanvaller dringt via een colocatiemodel de zwak beveiligde servers binnen van één bedrijf dat zijn apparatuur host, en voert van daaruit via het interne netwerk een Denial of Service-aanval uit op andere klanten van dit datacenter. .

Focus op virtuele omgevingen

Het is noodzakelijk om rekening te houden met de specifieke kenmerken van het beschermde object: het gebruik van virtualisatietools, de dynamiek van veranderingen in IT-infrastructuren, de onderlinge verbondenheid van diensten, wanneer een succesvolle aanval op één klant de veiligheid van buren kan bedreigen. Door bijvoorbeeld de frontend docker te hacken terwijl hij in een op Kubernetes gebaseerde PaaS werkt, kan een aanvaller onmiddellijk alle wachtwoordinformatie verkrijgen en zelfs toegang krijgen tot het orkestratiesysteem.

Producten die onder het servicemodel worden aangeboden, kennen een hoge mate van automatisering. Om het bedrijfsleven niet te hinderen, moeten informatiebeveiligingsmaatregelen worden toegepast in een niet mindere mate van automatisering en horizontale schaalvergroting. Schaalvergroting moet worden gewaarborgd op alle niveaus van informatiebeveiliging, inclusief automatisering van toegangscontrole en rotatie van toegangssleutels. Een bijzondere taak is het opschalen van functionele modules die het netwerkverkeer inspecteren.

Het filteren van netwerkverkeer op applicatie-, netwerk- en sessieniveau in sterk gevirtualiseerde datacenters moet bijvoorbeeld worden uitgevoerd op het niveau van hypervisornetwerkmodules (bijvoorbeeld VMware's Distributed Firewall) of door serviceketens te creëren (virtuele firewalls van Palo Alto Networks). .

Als er zwakke punten zijn op het niveau van de virtualisatie van computerbronnen, zullen pogingen om een ​​alomvattend informatiebeveiligingssysteem op platformniveau te creëren ineffectief zijn.

Niveaus van informatiebescherming in het datacenter

De algemene benadering van bescherming is het gebruik van geïntegreerde informatiebeveiligingssystemen op meerdere niveaus, inclusief macrosegmentatie op firewallniveau (toewijzing van segmenten voor verschillende functionele bedrijfsgebieden), microsegmentatie op basis van virtuele firewalls of het taggen van verkeer van groepen (gebruikersrollen of services) gedefinieerd door toegangsbeleid.

Het volgende niveau is het identificeren van afwijkingen binnen en tussen segmenten. De verkeersdynamiek wordt geanalyseerd, wat kan duiden op de aanwezigheid van kwaadaardige activiteiten, zoals netwerkscannen, pogingen tot DDoS-aanvallen, het downloaden van gegevens, bijvoorbeeld door databasebestanden in stukken te snijden en deze uit te voeren in periodiek verschijnende sessies met lange tussenpozen. Er passeren enorme hoeveelheden verkeer door het datacenter, dus om afwijkingen te identificeren moet u geavanceerde zoekalgoritmen gebruiken, en zonder pakketanalyse. Het is belangrijk dat niet alleen tekenen van kwaadwillige en afwijkende activiteiten worden herkend, maar ook de werking van malware, zelfs in versleuteld verkeer, zonder het te ontsleutelen, zoals wordt voorgesteld in de oplossingen van Cisco (Stealthwatch).

De laatste grens is de bescherming van eindapparaten van het lokale netwerk: servers en virtuele machines, bijvoorbeeld, met behulp van agenten die op eindapparaten zijn geïnstalleerd (virtuele machines), die I/O-bewerkingen, verwijderingen, kopieën en netwerkactiviteiten analyseren, gegevens doorgeven aan wolk, waar berekeningen worden uitgevoerd die grote rekenkracht vereisen. Daar wordt analyse uitgevoerd met behulp van Big Data-algoritmen, worden machinelogica-bomen gebouwd en worden afwijkingen geïdentificeerd. Algoritmen zijn zelflerend op basis van een enorme hoeveelheid gegevens die worden aangeleverd door een wereldwijd netwerk van sensoren.

U kunt het doen zonder agenten te installeren. Moderne informatiebeveiligingstools moeten agentloos zijn en op hypervisorniveau in besturingssystemen worden geïntegreerd.
De genoemde maatregelen verminderen de informatiebeveiligingsrisico's aanzienlijk, maar dit is mogelijk niet voldoende voor datacentra die zorgen voor automatisering van risicovolle productieprocessen, bijvoorbeeld kerncentrales.

Regelgevende vereisten

Afhankelijk van de informatie die wordt verwerkt, moeten fysieke en gevirtualiseerde datacenterinfrastructuren voldoen aan verschillende beveiligingsvereisten die zijn vastgelegd in wetten en industriestandaarden.

Dergelijke wetten omvatten de wet "Over persoonlijke gegevens" (152-FZ) en de wet "Over de beveiliging van KII-faciliteiten van de Russische Federatie" (187-FZ), die dit jaar in werking is getreden - het parket is al geïnteresseerd geraakt in de voortgang van de implementatie ervan. Er bestaan ​​nog steeds geschillen over de vraag of datacenters tot CII-subjecten behoren, maar hoogstwaarschijnlijk zullen datacenters die diensten willen verlenen aan CII-subjecten moeten voldoen aan de eisen van de nieuwe wetgeving.

Het zal niet eenvoudig zijn voor datacentra waar overheidsinformatiesystemen gehost worden. Volgens het decreet van de regering van de Russische Federatie van 11.05.2017 mei 555 nr. XNUMX moeten informatiebeveiligingsproblemen worden opgelost voordat het GIS commercieel wordt gebruikt. En een datacenter dat een GIS wil hosten, moet eerst aan wettelijke eisen voldoen.

De afgelopen dertig jaar hebben de beveiligingssystemen van datacenters een lange weg afgelegd: van eenvoudige fysieke beveiligingssystemen en organisatorische maatregelen, die echter hun relevantie niet hebben verloren, tot complexe intelligente systemen, die steeds meer gebruik maken van elementen van kunstmatige intelligentie. Maar de essentie van de aanpak is niet veranderd. De modernste technologieën zullen u niet redden zonder organisatorische maatregelen en opleiding van uw personeel, en papierwerk zal u niet redden zonder software en technische oplossingen. De beveiliging van datacenters kan niet voor eens en voor altijd worden gegarandeerd; het is een voortdurende dagelijkse inspanning om prioritaire bedreigingen te identificeren en opkomende problemen alomvattend op te lossen.

Wat lees je nog meer op de blog? Cloud4Y

Top instellen in GNU/Linux
Pentesters die voorop lopen op het gebied van cyberbeveiliging
Het pad van kunstmatige intelligentie van een fantastisch idee naar de wetenschappelijke industrie
4 manieren om te besparen op cloudback-ups
Mutt-verhaal

Abonneer u op onze Telegram-channel zodat je het volgende artikel niet mist! We schrijven niet vaker dan twee keer per week en alleen voor zaken. Wij herinneren u er ook aan dat dit mogelijk is gratis testen cloudoplossingen Cloud4Y.

Bron: www.habr.com

Voeg een reactie