Slik ser overvåkingssenteret til NORD-2-datasenteret i Moskva ut
Du har lest mer enn én gang om hvilke tiltak som gjøres for å sikre informasjonssikkerhet (IS). Enhver IT-spesialist med respekt for seg selv kan enkelt nevne 5-10 informasjonssikkerhetsregler. Cloud4Y tilbyr å snakke om informasjonssikkerhet til datasentre.
Når du sikrer informasjonssikkerheten til et datasenter, er de mest "beskyttede" objektene:
- informasjonsressurser (data);
- prosesser for innsamling, behandling, lagring og overføring av informasjon;
- systembrukere og vedlikeholdspersonell;
- informasjonsinfrastruktur, inkludert maskinvare- og programvareverktøy for behandling, overføring og visning av informasjon, inkludert informasjonsutvekslingskanaler, informasjonssikkerhetssystemer og lokaler.
Datasenterets ansvarsområde avhenger av tjenestemodellen som tilbys (IaaS/PaaS/SaaS). Hvordan det ser ut, se bildet nedenfor:
Omfanget av datasenterets sikkerhetspolicy avhengig av tjenestemodellen som tilbys
Den viktigste delen av å utvikle en informasjonssikkerhetspolicy er å bygge en modell av trusler og overtredere. Hva kan bli en trussel mot et datasenter?
- Uønskede hendelser av naturlig, menneskeskapt og sosial karakter
- Terrorister, kriminelle elementer osv.
- Avhengighet av leverandører, leverandører, partnere, kunder
- Feil, feil, ødeleggelse, skade på programvare og maskinvare
- Datasenteransatte som implementerer trusler om informasjonssikkerhet ved å bruke lovlig gitte rettigheter og fullmakter (interne brudd på informasjonssikkerhet)
- Datasenteransatte som implementerer informasjonssikkerhetstrusler utenfor lovlig gitte rettigheter og fullmakter, samt enheter som ikke er relatert til datasenterpersonellet, men som forsøker uautorisert tilgang og uautoriserte handlinger (eksterne brudd på informasjonssikkerheten)
- Manglende etterlevelse av krav fra tilsyns- og reguleringsmyndigheter, gjeldende lovverk
Risikoanalyse – identifisering av potensielle trusler og vurdering av omfanget av konsekvensene av implementeringen av dem – vil bidra til riktig valg av de prioriterte oppgavene som spesialister på datasenterinformasjonssikkerhet må løse, og planlegge budsjetter for kjøp av maskinvare og programvare.
Å sikre sikkerhet er en kontinuerlig prosess som inkluderer stadier av planlegging, implementering og drift, overvåking, analyse og forbedring av informasjonssikkerhetssystemet. For å lage styringssystemer for informasjonssikkerhet, den såkalte "'.
En viktig del av sikkerhetspolitikken er fordelingen av roller og ansvar for personell for implementering av dem. Retningslinjer bør kontinuerlig gjennomgås for å reflektere endringer i lovgivning, nye trusler og nye forsvar. Og selvfølgelig kommunisere informasjonssikkerhetskrav til personalet og gi opplæring.
Organisatoriske tiltak
Noen eksperter er skeptiske til "papir"-sikkerhet, og vurderer at det viktigste er praktiske ferdigheter for å motstå hackingforsøk. Reell erfaring med å sikre informasjonssikkerhet i banker tilsier det motsatte. Informasjonssikkerhetsspesialister kan ha utmerket ekspertise i å identifisere og redusere risikoer, men hvis datasenterpersonell ikke følger instruksjonene deres, vil alt være forgjeves.
Sikkerhet gir som regel ikke penger, men minimerer bare risiko. Derfor blir det ofte behandlet som noe forstyrrende og sekundært. Og når sikkerhetsspesialister begynner å bli indignerte (med all rett til det), oppstår det ofte konflikter med ansatte og ledere for operative avdelinger.
Tilstedeværelsen av bransjestandarder og regulatoriske krav hjelper sikkerhetseksperter med å forsvare sine posisjoner i forhandlinger med ledelsen, og godkjente retningslinjer for informasjonssikkerhet, forskrifter og forskrifter gjør det mulig for personalet å overholde kravene som er satt der, og gir grunnlag for ofte upopulære beslutninger.
Beskyttelse av lokaler
Når et datasenter leverer tjenester ved bruk av samlokaliseringsmodellen, kommer sikring av fysisk sikkerhet og tilgangskontroll til kundens utstyr i forgrunnen. Til dette formål benyttes innhegninger (inngjerdede deler av hallen), som er under videoovervåking av klienten og som tilgang til datasenterpersonell er begrenset til.
I statlige datasentre med fysisk sikkerhet var det ikke dårlig på slutten av forrige århundre. Det var adgangskontroll, adgangskontroll til lokalene, selv uten datamaskiner og videokameraer, brannslokkingsanlegg - ved brann ble freon automatisk sluppet ut i maskinrommet.
I dag er fysisk sikkerhet ivaretatt enda bedre. Adgangskontroll- og administrasjonssystemer (ACS) har blitt intelligente, og biometriske metoder for tilgangsbegrensning blir introdusert.
Brannslokkingsanlegg er blitt sikrere for personell og utstyr, blant annet installasjoner for hemming, isolasjon, kjøling og hypoksiske effekter på brannsonen. Sammen med obligatoriske brannsikringssystemer bruker datasentre ofte et tidlig branndeteksjonssystem av aspirasjonstypen.
For å beskytte datasentre mot eksterne trusler - branner, eksplosjoner, kollaps av bygningsstrukturer, flom, korrosive gasser - begynte sikkerhetsrom og safer å bli brukt, der serverutstyr er beskyttet mot nesten alle eksterne skadelige faktorer.
Det svake leddet er personen
"Smarte" videoovervåkingssystemer, volumetriske sporingssensorer (akustisk, infrarød, ultralyd, mikrobølge), tilgangskontrollsystemer har redusert risiko, men har ikke løst alle problemer. Disse midlene vil ikke hjelpe, for eksempel når personer som ble tatt inn på riktig måte i datasenteret med de riktige verktøyene, ble "hooked" på noe. Og, som ofte skjer, vil en tilfeldig ulempe gi maksimale problemer.
Arbeidet til datasenteret kan bli påvirket av misbruk av ressursene av personell, for eksempel ulovlig gruvedrift. Datasenterinfrastrukturstyringssystemer (DCIM) kan hjelpe i disse tilfellene.
Personell krever også beskyttelse, siden mennesker ofte kalles det mest sårbare leddet i vernesystemet. Målrettede angrep fra profesjonelle kriminelle begynner oftest med bruk av sosiale ingeniørmetoder. Ofte krasjer de sikreste systemene eller blir kompromittert etter at noen har klikket/lastet ned/gjort noe. Slike risikoer kan minimeres ved å lære opp personalet og implementere globale beste praksis innen informasjonssikkerhet.
Beskyttelse av teknisk infrastruktur
Tradisjonelle trusler mot funksjonen til et datasenter er strømbrudd og feil i kjølesystemer. Vi har allerede blitt vant til slike trusler og har lært å håndtere dem.
En ny trend har blitt den utbredte introduksjonen av "smart" utstyr koblet til et nettverk: kontrollerte UPS-er, intelligente kjøle- og ventilasjonssystemer, ulike kontrollere og sensorer koblet til overvåkingssystemer. Når du bygger en datasentertrusselsmodell, bør du ikke glemme sannsynligheten for et angrep på infrastrukturnettverket (og muligens på det tilhørende IT-nettverket til datasenteret). Det som kompliserer situasjonen er det faktum at noe av utstyret (for eksempel kjølere) kan flyttes utenfor datasenteret, for eksempel opp på taket av en leid bygning.
Beskyttelse av kommunikasjonskanaler
Hvis datasenteret tilbyr tjenester ikke bare i henhold til colocation-modellen, vil det måtte forholde seg til skybeskyttelse. Ifølge Check Point opplevde bare i fjor 51 % av organisasjoner over hele verden angrep på skystrukturene deres. DDoS-angrep stopper bedrifter, krypteringsvirus krever løsepenger, målrettede angrep på banksystemer fører til tyveri av midler fra korrespondentkontoer.
Trusler om eksterne inntrengninger bekymrer også spesialister på datasenterinformasjonssikkerhet. Det mest relevante for datasentre er distribuerte angrep rettet mot å avbryte leveringen av tjenester, samt trusler om hacking, tyveri eller modifikasjon av data i den virtuelle infrastrukturen eller lagringssystemene.
For å beskytte den eksterne omkretsen av datasenteret, brukes moderne systemer med funksjoner for å identifisere og nøytralisere ondsinnet kode, applikasjonskontroll og muligheten til å importere Threat Intelligence proaktiv beskyttelsesteknologi. I noen tilfeller blir systemer med IPS-funksjonalitet (inntrengningsforebygging) utplassert med automatisk justering av signatursettet til parametrene til det beskyttede miljøet.
For å beskytte mot DDoS-angrep bruker russiske selskaper som regel eksterne spesialiserte tjenester som avleder trafikk til andre noder og filtrerer den i skyen. Beskyttelse på operatørsiden er mye mer effektiv enn på klientsiden, og datasentre fungerer som mellomledd for salg av tjenester.
Interne DDoS-angrep er også mulig i datasentre: en angriper trenger inn i de svakt beskyttede serverne til et selskap som er vert for utstyret ved hjelp av en colocation-modell, og utfører derfra et tjenestenektangrep på andre klienter til dette datasenteret via det interne nettverket .
Fokuser på virtuelle miljøer
Det er nødvendig å ta hensyn til spesifikasjonene til det beskyttede objektet - bruken av virtualiseringsverktøy, dynamikken i endringer i IT-infrastrukturer, sammenkoblingen av tjenester, når et vellykket angrep på en klient kan true sikkerheten til naboer. For eksempel, ved å hacke frontend-dokkeren mens han jobber i en Kubernetes-basert PaaS, kan en angriper umiddelbart få all passordinformasjon og til og med tilgang til orkestreringssystemet.
Produkter levert under tjenestemodellen har en høy grad av automatisering. For ikke å forstyrre virksomheten, må informasjonssikkerhetstiltak brukes til en ikke mindre grad av automatisering og horisontal skalering. Skalering bør sikres på alle nivåer av informasjonssikkerhet, inkludert automatisering av tilgangskontroll og rotasjon av tilgangsnøkler. En spesiell oppgave er skalering av funksjonelle moduler som inspiserer nettverkstrafikk.
Filtrering av nettverkstrafikk på applikasjons-, nettverks- og sesjonsnivåer i svært virtualiserte datasentre bør for eksempel utføres på nivå med hypervisornettverksmoduler (for eksempel VMwares distribuerte brannmur) eller ved å lage tjenestekjeder (virtuelle brannmurer fra Palo Alto Networks) .
Hvis det er svakheter ved virtualiseringsnivået av dataressurser, vil arbeidet med å lage et omfattende informasjonssikkerhetssystem på plattformnivå være ineffektivt.
Nivåer av informasjonsbeskyttelse i datasenteret
Den generelle tilnærmingen til beskyttelse er bruken av integrerte informasjonssikkerhetssystemer på flere nivåer, inkludert makrosegmentering på brannmurnivå (allokering av segmenter for ulike funksjonelle forretningsområder), mikrosegmentering basert på virtuelle brannmurer eller tagging av trafikk til grupper (brukerroller eller tjenester) definert av tilgangspolicyer .
Det neste nivået er å identifisere anomalier innenfor og mellom segmenter. Trafikkdynamikk analyseres, noe som kan indikere tilstedeværelsen av ondsinnede aktiviteter, som nettverksskanning, forsøk på DDoS-angrep, datanedlasting, for eksempel ved å skjære databasefiler og sende dem ut i periodiske økter med lange intervaller. Enorme mengder trafikk passerer gjennom datasenteret, så for å identifisere anomalier må du bruke avanserte søkealgoritmer, og uten pakkeanalyse. Det er viktig at ikke bare tegn på ondsinnet og unormal aktivitet gjenkjennes, men også driften av skadelig programvare selv i kryptert trafikk uten å dekryptere den, slik det er foreslått i Cisco-løsninger (Stealthwatch).
Den siste grensen er beskyttelsen av sluttenheter i det lokale nettverket: servere og virtuelle maskiner, for eksempel ved hjelp av agenter installert på sluttenheter (virtuelle maskiner), som analyserer I/O-operasjoner, slettinger, kopier og nettverksaktiviteter, overføre data til , hvor beregninger som krever stor datakraft utføres. Der utføres analyser ved hjelp av Big Data-algoritmer, maskinlogikktrær bygges og anomalier identifiseres. Algoritmer er selvlærende basert på en enorm mengde data levert av et globalt nettverk av sensorer.
Du kan klare deg uten å installere agenter. Moderne informasjonssikkerhetsverktøy må være agentløse og integrert i operativsystemer på hypervisornivå.
De listede tiltakene reduserer informasjonssikkerhetsrisikoen betydelig, men dette er kanskje ikke nok for datasentre som gir automatisering av høyrisikoproduksjonsprosesser, for eksempel kjernekraftverk.
Reguleringskrav
Avhengig av informasjonen som behandles, må fysiske og virtualiserte datasenterinfrastrukturer oppfylle ulike sikkerhetskrav fastsatt i lover og industristandarder.
Slike lover inkluderer loven "Om personopplysninger" (152-FZ) og loven "Om sikkerheten til KII-anlegg i Den russiske føderasjonen" (187-FZ), som trådte i kraft i år - påtalemyndigheten har allerede blitt interessert i fremdriften av implementeringen. Tvister om hvorvidt datasentre tilhører CII-subjekter pågår fortsatt, men mest sannsynlig vil datasentre som ønsker å yte tjenester til CII-subjekter måtte overholde kravene i den nye lovgivningen.
Det vil ikke være lett for datasentre som er vert for offentlige informasjonssystemer. I henhold til dekret fra regjeringen i den russiske føderasjonen datert 11.05.2017. mai 555 nr. XNUMX, bør informasjonssikkerhetsproblemer løses før GIS settes i kommersiell drift. Og et datasenter som ønsker å være vert for et GIS må først oppfylle regulatoriske krav.
I løpet av de siste 30 årene har datasentersikkerhetssystemer kommet langt: fra enkle fysiske beskyttelsessystemer og organisatoriske tiltak, som imidlertid ikke har mistet sin relevans, til komplekse intelligente systemer, som i økende grad bruker elementer av kunstig intelligens. Men essensen av tilnærmingen har ikke endret seg. De mest moderne teknologiene vil ikke redde deg uten organisatoriske tiltak og opplæring av personalet, og papirarbeid vil ikke redde deg uten programvare og tekniske løsninger. Datasentersikkerhet kan ikke sikres en gang for alle; det er en konstant daglig innsats for å identifisere prioriterte trusler og omfattende løse nye problemer.
Hva annet kan du lese på bloggen?
→
→
→
→
→
Abonner på vår -kanal slik at du ikke går glipp av neste artikkel! Vi skriver ikke mer enn to ganger i uken og kun på forretningsreise. Vi minner også om at du kan skyløsninger Cloud4Y.
Kilde: www.habr.com