Slik ser overvåkingssenteret til NORD-2-datasenteret i Moskva ut
Du har lest mer enn én gang om tiltakene som er tatt for å sikre informasjonssikkerhet (IS). Enhver IT-spesialist med selvrespekt kan lett nevne 5–10 IS-regler. Cloud4Y tilbyr å snakke om informasjonssikkerheten til datasentre.
Når man sikrer informasjonssikkerheten til et datasenter, er de mest «beskyttede» objektene:
- informasjonsressurser (data);
- prosesser for innsamling, behandling, lagring og overføring av informasjon;
- systembrukere og servicepersonell;
- informasjonsinfrastruktur, inkludert tekniske og programvarebaserte midler for behandling, overføring og visning av informasjon, inkludert informasjonsutvekslingskanaler, informasjonssikkerhetssystemer og lokaler.
Datasenterets ansvarsområde avhenger av tjenestemodellen som leveres (IaaS/PaaS/SaaS). Se bildet nedenfor for hvordan det ser ut:
Omfanget av sikkerhetspolicyen for datasenteret avhengig av tjenestemodellen som leveres
Den viktigste delen av å utvikle en informasjonssikkerhetspolicy er å bygge en trussel- og inntrengermodell. Hva kan være en trussel mot et datasenter?
- Uønskede hendelser av naturlig, menneskeskapt og sosial art
- Terrorister, kriminelle elementer, etc.
- Avhengighet av leverandører, leverandører, partnere, kunder
- Feil, feil, ødeleggelse, skade på programvare og maskinvare
- Datasenteransatte som implementerer trusler mot informasjonssikkerhet ved å bruke rettighetene og fullmaktene de er lovlig gitt (interne brytere av informasjonssikkerhet)
- Datasenteransatte som implementerer informasjonssikkerhetstrusler utenfor rettighetene og fullmaktene de er lovlig gitt, samt enheter som ikke er en del av datasenterpersonalet, men som forsøker uautorisert tilgang og uautoriserte handlinger (eksterne brudd på informasjonssikkerheten)
- Manglende overholdelse av krav fra tilsyns- og reguleringsmyndigheter, gjeldende lovgivning
Risikoanalyse – å identifisere potensielle trusler og vurdere omfanget av konsekvensene av implementeringen av dem – vil bidra til å velge riktig de prioriterte oppgavene som spesialister på informasjonssikkerhet i datasentre må løse, og planlegge budsjetter for kjøp av maskinvare og programvare.
Å sikre sikkerhet er en kontinuerlig prosess som inkluderer stadiene planlegging, implementering og drift, overvåking, analyse og forbedring av informasjonssikkerhetssystemet. For å lage styringssystemer for informasjonssikkerhet brukes den såkalte "'.
En viktig del av sikkerhetspolicyer er fordelingen av roller og ansvar for personell i forbindelse med implementeringen av disse. Policyer bør kontinuerlig gjennomgås med tanke på endringer i lovgivningen, nye trusler og nye beskyttelsesmidler. Og selvfølgelig bør informasjonssikkerhetskrav kommuniseres til personellet, og de bør få opplæring.
Organisatoriske tiltak
Noen eksperter er skeptiske til «papirsikkerhet», og anser de praktiske ferdighetene for å motstå hackingforsøk som det viktigste. Reell erfaring med å sikre informasjonssikkerhet i banker tyder på noe annet. Spesialister på informasjonssikkerhet kan ha utmerket ekspertise i å identifisere og redusere risikoer, men hvis datasenterpersonalet ikke følger instruksjonene deres, vil alt være forgjeves.
Sikkerhet bringer som regel ikke penger, men minimerer bare risiko. Derfor blir det ofte behandlet som noe som forstyrrer og er sekundært. Og når sikkerhetsspesialister begynner å klage (og det har de all rett til å gjøre), oppstår det ofte konflikter med personell og ledere for operative avdelinger.
Tilstedeværelsen av bransjestandarder og regulatoriske krav hjelper sikkerhetsfagfolk med å forsvare sine posisjoner i forhandlinger med ledelsen, og godkjente retningslinjer, forskrifter og prosedyrer for informasjonssikkerhet gjør det mulig å sikre at personell overholder kravene som er fastsatt der, noe som gir et grunnlag for å implementere ofte upopulære beslutninger.
Beskyttelse av lokaler
Når et datasenter tilbyr tjenester ved hjelp av samlokaliseringsmodellen, er fysisk sikkerhet og tilgangskontroll til kundens utstyr viktig. Til dette formålet brukes inngjerdede deler av hallen, som er videoovervåket av kunden og hvor tilgangen for datasenterpersonellet er begrenset.
I statlige datasentre var den fysiske sikkerheten heller ikke dårlig på slutten av forrige århundre. Det fantes et passsystem, adgangskontroll til lokalene, om enn uten datamaskiner og videokameraer, brannslukningssystemer – i tilfelle brann ble freon automatisk sluppet ut i maskinrommet.
I dag er fysisk sikkerhet enda bedre. Adgangskontroll- og administrasjonssystemer (ACMS) har blitt intelligente, og biometriske metoder for adgangsbegrensning blir introdusert.
Brannslukningssystemer har blitt tryggere for personell og utstyr, blant annet installasjoner for hemming, isolering, kjøling og hypoksisk påvirkning på brannsonen. Sammen med obligatoriske brannvernsystemer bruker datasentre ofte et aspirasjonstype tidlig branndeteksjonssystem.
For å beskytte datasentre mot eksterne trusler – branner, eksplosjoner, kollaps av bygningskonstruksjoner, flom, etsende gasser – begynte sikkerhetsrom og safer å bli brukt, der serverutstyr er beskyttet mot nesten alle eksterne skadelige faktorer.
Det svake leddet er mannen
«Smarte» videoovervåkingssystemer, volumetriske sporingssensorer (akustiske, infrarøde, ultralyd, mikrobølge) og adgangskontrollsystemer har redusert risikoen, men har ikke løst alle problemene. Disse verktøyene vil for eksempel ikke hjelpe når personer som har blitt korrekt innlagt i datasenteret med et korrekt båret verktøy «fanger» noe. Og, som ofte skjer, vil en utilsiktet fangst føre til maksimale problemer.
Driften av et datasenter kan bli påvirket av misbruk av ressursene fra de ansatte, for eksempel ulovlig gruvedrift. I slike tilfeller kan systemer for styring av datasenterinfrastruktur (DCIM) hjelpe.
Personell trenger også beskyttelse, ettersom mennesker ofte kalles det mest sårbare leddet i sikkerhetssystemet. Målrettede angrep fra profesjonelle kriminelle starter oftest med bruk av sosial manipulering. Ofte faller de sikreste systemene sammen eller blir kompromittert etter at noen et sted klikket/lastet ned/laget noe. Slike risikoer kan minimeres ved å lære opp personell og implementere beste globale praksis innen informasjonssikkerhet.
Beskyttelse av ingeniørinfrastruktur
Tradisjonelle trusler mot driften av et datasenter er strømbrudd og svikt i kjølesystemet. Vi har blitt vant til slike trusler og har lært hvordan vi skal håndtere dem.
En ny trend er den utbredte introduksjonen av «smart» utstyr koblet til et nettverk: kontrollerte UPS-er, intelligente kjøle- og ventilasjonssystemer, diverse kontrollere og sensorer koblet til overvåkingssystemer. Når man bygger en trusselmodell for et datasenter, bør man ikke glemme sannsynligheten for et angrep på infrastrukturnettverket (og muligens på datasenterets tilhørende IT-nettverk). Situasjonen kompliseres av det faktum at noe utstyr (for eksempel kjølere) kan være plassert utenfor datasenteret, for eksempel på taket av en leid bygning.
Beskyttelse av kommunikasjonskanaler
Hvis datasenteret ikke bare tilbyr tjenester under samlokaliseringsmodellen, må du håndtere skybeskyttelse. Ifølge Check Point opplevde 51 % av organisasjoner over hele verden angrep på skystrukturer bare i fjor. DDoS-angrep stopper virksomheter, ransomware-virus krever løsepenger, og målrettede angrep på banksystemer fører til tyveri av penger fra korresponderende kontoer.
Trusler om eksterne inntrengere bekymrer også informasjonssikkerhetsspesialister i datasentre. De mest relevante for datasentre er distribuerte angrep som tar sikte på å stoppe levering av tjenester, samt trusler om hacking, tyveri eller endring av data som finnes i den virtuelle infrastrukturen eller lagringssystemene.
For å beskytte datasenterets ytre omkrets brukes moderne systemer med funksjoner for å oppdage og nøytralisere skadelig kode, applikasjonskontroll og muligheten til å importere proaktiv beskyttelsesteknologi og trusselinformasjon. I noen tilfeller distribueres systemer med IPS-funksjonalitet (inntrengningsforebygging) med automatisk justering av signatursettet til parameterne i det beskyttede miljøet.
For å beskytte mot DDoS-angrep bruker russiske selskaper vanligvis eksterne spesialiserte tjenester som omdirigerer trafikk til andre noder og filtrerer den i skyen. Beskyttelse på operatørsiden er mye mer effektiv enn på klientsiden, og datasentre fungerer som mellomledd i salget av tjenester.
Interne DDoS-angrep er også mulige i datasentre: en angriper trenger inn i de svakt beskyttede serverne til ett selskap som plasserer utstyret sitt ved hjelp av samlokaliseringsmodellen, og derfra, via det interne nettverket, utfører et tjenestenektangrep på andre klienter i dette datasenteret.
Oppmerksomhet på virtuelle miljøer
Det er nødvendig å ta hensyn til detaljene til det beskyttede objektet – bruk av virtualiseringsverktøy, dynamiske endringer i IT-infrastrukturer, sammenkoblingen av tjenester, når et vellykket angrep på én klient kan true naboenes sikkerhet. For eksempel, ved å hacke en frontend-docker når man jobber i PaaS basert på Kubernetes, kan en angriper umiddelbart få tak i all passordinformasjon og til og med tilgang til orkestreringssystemet.
Produktene som tilbys under tjenestemodellen har en høy grad av automatisering. For ikke å forstyrre virksomheten, bør de overliggende informasjonsbeskyttelsesmidlene ha like stor grad av automatisering og horisontal skalering. Skalering bør tilbys på alle nivåer av informasjonssikkerhet, inkludert automatisering av tilgangskontroll og rotasjon av tilgangsnøkler. En spesiell oppgave er skalering av funksjonelle moduler som inspiserer nettverkstrafikk.
For eksempel bør filtrering av nettverkstrafikk på applikasjons-, nettverks- og sesjonsnivå i svært virtualiserte datasentre utføres på nivået av hypervisor-nettverksmoduler (f.eks. distribuert brannmur fra VMware) eller ved å opprette tjenestekjeder (virtuelle brannmurer fra Palo Alto Networks).
Hvis det er svakheter på virtualiseringsnivået av dataressurser, vil arbeidet med å lage et omfattende informasjonssikkerhetssystem på plattformnivå være ineffektivt.
Nivåer av informasjonsbeskyttelse i datasentre
Den generelle tilnærmingen til beskyttelse er bruk av integrerte informasjonssikkerhetssystemer på flere nivåer, inkludert makrosegmentering på brannmurnivå (tildeling av segmenter for ulike funksjonelle forretningsområder), mikrosegmentering basert på virtuelle brannmurer eller merking av gruppetrafikk (brukerroller eller tjenester) definert av tilgangspolicyer.
Neste nivå er å identifisere avvik innenfor og mellom segmenter. Trafikkdynamikk analyseres, noe som kan indikere tilstedeværelsen av ondsinnede aktiviteter, som nettverksskanning, DDoS-angrepsforsøk og datanedlasting, for eksempel ved å kutte databasefiler og sende dem ut i periodisk forekommende økter med lange intervaller. Store trafikkmengder passerer gjennom datasenteret, så avanserte søkealgoritmer må brukes til å identifisere avvik, og uten pakkeanalyse. Det er viktig å gjenkjenne ikke bare tegn på ondsinnet og unormal aktivitet, men også operasjonen av skadelig programvare selv i kryptert trafikk uten dekryptering, slik det foreslås i Cisco-løsninger (Stealthwatch).
Den siste forsvarslinjen er å beskytte lokale nettverksendepunkter: servere og virtuelle maskiner, for eksempel ved å bruke agenter installert på endepunkter (virtuelle maskiner) som analyserer input/output, sletting, kopiering og nettverksaktiviteter, og overfører data til , hvor det utføres beregningsintensive beregninger. Der utføres analyser ved hjelp av stordataalgoritmer, maskinlogikktrær bygges og avvik identifiseres. Algoritmene lærer seg selv basert på den enorme mengden data som leveres av det globale sensornettverket.
Det er mulig å klare seg uten å installere agenter. Moderne informasjonssikkerhetsverktøy bør være agentløse og integreres i operativsystemer på hypervisornivå.
De listede tiltakene reduserer informasjonssikkerhetsrisikoer betydelig, men dette er kanskje ikke nok for datasentre som tilbyr automatisering av høyrisikoproduksjonsprosesser, for eksempel kjernekraftverk.
Reguleringskrav
Avhengig av informasjonen som behandles, må fysiske og virtualiserte datasenterinfrastrukturer oppfylle ulike sikkerhetskrav fastsatt i lover og bransjestandarder.
Disse lovene inkluderer loven «Om personopplysninger» (152-FZ) og loven «Om sikkerheten til kritiske informasjonsinfrastrukturanlegg i Den russiske føderasjon» (187-FZ), som trådte i kraft i år – påtalemyndigheten har allerede begynt å vise interesse for fremdriften i implementeringen. Debatten om datasentres tilknytning til enheter for kritisk informasjonsinfrastruktur pågår fortsatt, men mest sannsynlig vil datasentre som ønsker å tilby tjenester til enheter for kritisk informasjonsinfrastruktur måtte overholde kravene i den nye lovgivningen.
Det vil ikke bli lett for datasentre som er vert for statlige informasjonssystemer. I følge den russiske regjeringens resolusjon av 11.05.2017 nr. 555, bør informasjonssikkerhetsproblemer løses før GIS settes i kommersiell drift. Og et datasenter som ønsker å være vert for et GIS, må oppfylle kravene fra regulatorer på forhånd.
I løpet av de siste 30 årene har sikkerhetssystemer for datasentre kommet langt: fra enkle fysiske beskyttelsessystemer og organisatoriske tiltak, som ikke har mistet sin relevans, til komplekse intelligente systemer, som i økende grad bruker elementer av kunstig intelligens. Men essensen av tilnærmingen har ikke endret seg. De mest moderne teknologiene vil ikke redde uten organisatoriske tiltak og personellopplæring, og papirer - uten programvare og tekniske løsninger. Datasentersikkerhet kan ikke sikres én gang for alle, det er et konstant daglig arbeid å identifisere prioriterte trusler og løse nye problemer på en omfattende måte.
Hva annet kan du lese på bloggen?
→
→
→
→
→
Abonner på vår -kanal slik at du ikke går glipp av neste artikkel! Vi skriver ikke mer enn to ganger i uken og kun på forretningsreise. Vi minner også om at du kan skyløsninger Cloud4Y.
Kilde: www.habr.com
