ProHoster > Blog > administracja > Bezpieczeństwo informacji w centrum danych

Bezpieczeństwo informacji w centrum danych

Bezpieczeństwo informacji w centrum danych
Tak wygląda centrum monitorowania centrum danych NORD-2 zlokalizowanego w Moskwie

Nie raz czytałeś o tym, jakie środki są podejmowane w celu zapewnienia bezpieczeństwa informacji (IS). Każdy szanujący się specjalista IT może z łatwością wymienić 5-10 zasad bezpieczeństwa informacji. Cloud4Y oferuje rozmowę na temat bezpieczeństwa informacji w centrach danych.

Przy zapewnieniu bezpieczeństwa informacji centrum danych najbardziej „chronionymi” obiektami są:

  • zasoby informacyjne (dane);
  • procesy gromadzenia, przetwarzania, przechowywania i przekazywania informacji;
  • użytkownicy systemu i personel konserwacyjny;
  • infrastruktura informacyjna, w tym narzędzia sprzętowe i programowe do przetwarzania, przesyłania i wyświetlania informacji, w tym kanały wymiany informacji, systemy i pomieszczenia bezpieczeństwa informacji.

Obszar odpowiedzialności centrum danych zależy od modelu świadczonych usług (IaaS/PaaS/SaaS). Jak to wygląda, zobacz zdjęcie poniżej:

Bezpieczeństwo informacji w centrum danych
Zakres polityki bezpieczeństwa centrum danych w zależności od modelu świadczonych usług

Najważniejszą częścią opracowania polityki bezpieczeństwa informacji jest zbudowanie modelu zagrożeń i sprawców naruszenia. Co może stać się zagrożeniem dla centrum danych?

  1. Niekorzystne zdarzenia natury naturalnej, spowodowanej przez człowieka i społeczne
  2. Terroryści, elementy przestępcze itp.
  3. Uzależnienie od dostawców, dostawców, partnerów, klientów
  4. Awarie, awarie, zniszczenia, uszkodzenia oprogramowania i sprzętu
  5. Pracownicy centrum danych realizujący zagrożenia bezpieczeństwa informacji korzystając z prawnie przyznanych praw i uprawnień (wewnętrzni naruszający bezpieczeństwo informacji)
  6. Pracownicy centrum danych, którzy realizują zagrożenia bezpieczeństwa informacji poza przysługującymi im prawnie i uprawnieniami, a także podmioty niezwiązane z personelem centrum danych, a podejmujące próbę nieuprawnionego dostępu i nieuprawnionych działań (zewnętrzne osoby naruszające bezpieczeństwo informacji)
  7. Niespełnienie wymagań organów nadzorczych i regulacyjnych, obowiązujące przepisy prawa

Analiza ryzyka – identyfikacja potencjalnych zagrożeń i ocena skali konsekwencji ich wdrożenia – pomoże właściwie wybrać priorytetowe zadania, jakie muszą rozwiązać specjaliści ds. bezpieczeństwa informacji w centrach danych oraz zaplanować budżety na zakup sprzętu i oprogramowania.

Zapewnienie bezpieczeństwa to proces ciągły, obejmujący etapy planowania, wdrażania i eksploatacji, monitorowania, analizy i doskonalenia systemu bezpieczeństwa informacji. Do tworzenia systemów zarządzania bezpieczeństwem informacji, tzw.Cykl Deminga".

Ważną częścią polityk bezpieczeństwa jest podział ról i odpowiedzialności personelu za ich realizację. Politykę należy poddawać ciągłemu przeglądowi, aby uwzględnić zmiany w ustawodawstwie, nowe zagrożenia i pojawiające się mechanizmy obronne. I oczywiście przekaż pracownikom wymogi dotyczące bezpieczeństwa informacji i zapewnij szkolenia.

Środki organizacyjne

Część ekspertów jest sceptyczna wobec „papierowych” zabezpieczeń, uznając, że najważniejsze są praktyczne umiejętności przeciwstawienia się próbom włamań. Realne doświadczenia w zapewnianiu bezpieczeństwa informacji w bankach sugerują coś wręcz przeciwnego. Specjaliści ds. bezpieczeństwa informacji mogą posiadać doskonałą wiedzę w zakresie identyfikowania i łagodzenia zagrożeń, ale jeśli pracownicy centrum danych nie będą postępować zgodnie z ich instrukcjami, wszystko pójdzie na marne.

Bezpieczeństwo z reguły nie przynosi pieniędzy, a jedynie minimalizuje ryzyko. Dlatego często jest traktowany jako coś niepokojącego i wtórnego. A kiedy specjaliści ds. bezpieczeństwa zaczynają się oburzyć (mając do tego pełne prawo), często pojawiają się konflikty z personelem i szefami działów operacyjnych.

Obecność standardów branżowych i wymagań regulacyjnych pomaga specjalistom ds. bezpieczeństwa bronić swojego stanowiska w negocjacjach z zarządem, a zatwierdzone polityki, regulacje i regulacje dotyczące bezpieczeństwa informacji pozwalają pracownikom przestrzegać określonych tam wymagań, stanowiąc podstawę często niepopularnych decyzji.

Ochrona lokalu

Gdy centrum danych świadczy usługi w modelu kolokacji, na pierwszy plan wysuwa się zapewnienie bezpieczeństwa fizycznego i kontrola dostępu do sprzętu klienta. W tym celu wykorzystywane są obudowy (ogrodzone części hali), które są objęte monitoringiem wizyjnym Klienta i do których dostęp dla personelu data center jest ograniczony.

W państwowych centrach komputerowych z ochroną fizyczną pod koniec ubiegłego wieku nie było źle. Była kontrola dostępu, kontrola dostępu do pomieszczeń, nawet bez komputerów i kamer wideo, instalacja gaśnicza - w przypadku pożaru freon automatycznie uwalniał się do maszynowni.

W dzisiejszych czasach bezpieczeństwo fizyczne jest zapewnione jeszcze lepiej. Systemy kontroli i zarządzania dostępem (ACS) stały się inteligentne, wprowadzane są biometryczne metody ograniczania dostępu.

Systemy gaśnicze stały się bezpieczniejsze dla personelu i sprzętu, wśród których znajdują się instalacje hamujące, izolujące, chłodzące i powodujące niedotlenienie w strefie pożaru. Oprócz obowiązkowych systemów ochrony przeciwpożarowej w centrach danych często stosuje się aspiracyjny system wczesnego wykrywania pożaru.

Aby chronić centra danych przed zagrożeniami zewnętrznymi - pożarami, eksplozjami, zawaleniem się konstrukcji budynków, powodzią, gazami korozyjnymi - zaczęto stosować pomieszczenia ochrony i sejfy, w których sprzęt serwerowy jest chroniony przed niemal wszystkimi zewnętrznymi czynnikami szkodliwymi.

Słabym ogniwem jest osoba

„Inteligentne” systemy nadzoru wideo, wolumetryczne czujniki śledzące (akustyczne, podczerwone, ultradźwiękowe, mikrofalowe), systemy kontroli dostępu zmniejszyły ryzyko, ale nie rozwiązały wszystkich problemów. Te środki nie pomogą np. gdy osoby, które zostały prawidłowo przyjęte do data center z odpowiednimi narzędziami, były od czegoś „uzależnione”. I, jak to często bywa, przypadkowe zaczepienie spowoduje maksymalne problemy.

Na pracę centrum danych może mieć wpływ niewłaściwe wykorzystanie jego zasobów przez personel, na przykład nielegalne wydobycie. W takich przypadkach pomocne mogą być systemy zarządzania infrastrukturą centrum danych (DCIM).

Personel również wymaga ochrony, ponieważ często nazywa się go najbardziej bezbronnym ogniwem systemu ochrony. Ukierunkowane ataki zawodowych przestępców najczęściej rozpoczynają się od wykorzystania metod inżynierii społecznej. Często najbezpieczniejsze systemy ulegają awarii lub są zagrożone po tym, jak ktoś coś kliknął/pobrał/zrobił. Ryzyka takie można minimalizować poprzez szkolenia personelu i wdrażanie najlepszych światowych praktyk w zakresie bezpieczeństwa informacji.

Ochrona infrastruktury inżynieryjnej

Tradycyjnymi zagrożeniami dla funkcjonowania centrum danych są awarie zasilania oraz awarie systemów chłodzenia. Przyzwyczailiśmy się już do takich zagrożeń i nauczyliśmy się sobie z nimi radzić.

Nowym trendem stało się powszechne wprowadzenie „inteligentnych” urządzeń podłączonych do sieci: sterowanych zasilaczy UPS, inteligentnych systemów chłodzenia i wentylacji, różnorodnych sterowników i czujników podłączonych do systemów monitorowania. Budując model zagrożeń centrum danych, nie należy zapominać o prawdopodobieństwie ataku na sieć infrastrukturalną (i ewentualnie na powiązaną z nią sieć informatyczną centrum danych). Sytuację komplikuje fakt, że część sprzętu (na przykład agregaty chłodnicze) można przenieść poza centrum danych, powiedzmy, na dach wynajmowanego budynku.

Ochrona kanałów komunikacyjnych

Jeżeli centrum danych świadczy usługi nie tylko w modelu kolokacji, to będzie musiało się zmierzyć z ochroną w chmurze. Według Check Point tylko w zeszłym roku 51% organizacji na całym świecie doświadczyło ataków na swoje struktury chmurowe. Ataki DDoS powstrzymują firmy, wirusy szyfrujące żądają okupu, ukierunkowane ataki na systemy bankowe prowadzą do kradzieży środków z kont korespondencyjnych.

Zagrożenia włamaniami z zewnątrz niepokoją także specjalistów ds. bezpieczeństwa informacji w centrach danych. Dla centrów danych najbardziej istotne są ataki rozproszone, mające na celu przerwanie świadczenia usług, a także zagrożenia włamaniem, kradzieżą lub modyfikacją danych zawartych w infrastrukturze wirtualnej lub systemach pamięci masowej.

Do ochrony zewnętrznego obwodu centrum danych wykorzystywane są nowoczesne systemy wyposażone w funkcje identyfikacji i neutralizacji złośliwego kodu, kontrolę aplikacji oraz możliwość importowania proaktywnej technologii ochrony Threat Intelligence. W niektórych przypadkach wdrażane są systemy z funkcjonalnością IPS (ang. Intrusion Prevention) z automatycznym dostosowywaniem zestawu sygnatur do parametrów chronionego środowiska.

Aby chronić się przed atakami DDoS, rosyjskie firmy z reguły korzystają z zewnętrznych wyspecjalizowanych usług, które przekierowują ruch do innych węzłów i filtrują go w chmurze. Ochrona po stronie operatora jest znacznie skuteczniejsza niż po stronie klienta, a centra danych pełnią rolę pośredników w sprzedaży usług.

Wewnętrzne ataki DDoS możliwe są również w centrach danych: osoba atakująca penetruje słabo chronione serwery jednej firmy, która hostuje jej sprzęt w modelu kolokacji, a stamtąd przeprowadza atak typu „odmowa usługi” na innych klientów tego centrum danych za pośrednictwem sieci wewnętrznej .

Skoncentruj się na środowiskach wirtualnych

Należy wziąć pod uwagę specyfikę chronionego obiektu – wykorzystanie narzędzi wirtualizacyjnych, dynamikę zmian w infrastrukturze IT, powiązania usług, gdy skuteczny atak na jednego klienta może zagrozić bezpieczeństwu sąsiadów. Na przykład włamując się do okna dokowanego frontendu podczas pracy w PaaS opartym na Kubernetes, osoba atakująca może natychmiast uzyskać wszystkie informacje o hasłach, a nawet uzyskać dostęp do systemu orkiestracji.

Produkty dostarczane w modelu usługowym charakteryzują się wysokim stopniem automatyzacji. Aby nie zakłócać prowadzenia biznesu, należy zastosować środki bezpieczeństwa informacji przy nie mniejszym stopniu automatyzacji i skalowaniu horyzontalnym. Skalowanie powinno być zapewnione na wszystkich poziomach bezpieczeństwa informacji, włączając automatyzację kontroli dostępu i rotację kluczy dostępu. Specjalnym zadaniem jest skalowanie modułów funkcjonalnych kontrolujących ruch sieciowy.

Przykładowo filtrowanie ruchu sieciowego na poziomie aplikacji, sieci i sesji w wysoce zwirtualizowanych centrach danych powinno odbywać się na poziomie modułów sieciowych hypervisora ​​(np. Distributed Firewall firmy VMware) lub poprzez tworzenie łańcuchów usług (wirtualne firewalle firmy Palo Alto Networks). .

Jeżeli na poziomie wirtualizacji zasobów obliczeniowych wystąpią słabe punkty, wysiłki zmierzające do stworzenia kompleksowego systemu bezpieczeństwa informacji na poziomie platformy będą nieskuteczne.

Poziomy ochrony informacji w centrum danych

Ogólne podejście do zabezpieczeń polega na stosowaniu zintegrowanych, wielopoziomowych systemów bezpieczeństwa informacji, obejmujących makrosegmentację na poziomie firewalla (alokacja segmentów dla różnych obszarów funkcjonalnych przedsiębiorstwa), mikrosegmentację w oparciu o wirtualne firewalle czy tagowanie ruchu grupowego (role użytkownika lub usługi) zdefiniowane przez zasady dostępu.

Następnym poziomem jest identyfikacja anomalii w obrębie segmentów i pomiędzy nimi. Analizowana jest dynamika ruchu, która może wskazywać na obecność szkodliwych działań, takich jak skanowanie sieci, próby ataków DDoS, pobieranie danych, na przykład poprzez cięcie plików baz danych i wysyłanie ich w okresowo pojawiających się sesjach w długich odstępach czasu. Przez centrum danych przepływa ogromna ilość ruchu, dlatego aby zidentyfikować anomalie, należy skorzystać z zaawansowanych algorytmów wyszukiwania i bez analizy pakietów. Ważne jest, aby rozpoznawane były nie tylko oznaki złośliwej i nietypowej aktywności, ale także działanie szkodliwego oprogramowania nawet w zaszyfrowanym ruchu bez jego deszyfrowania, jak to jest proponowane w rozwiązaniach Cisco (Stealthwatch).

Ostatnią granicą jest ochrona urządzeń końcowych sieci lokalnej: serwerów i maszyn wirtualnych np. za pomocą agentów zainstalowanych na urządzeniach końcowych (maszynach wirtualnych), które analizują operacje we/wy, usunięcia, kopie i aktywność sieciową, przesyłać dane do chmura, gdzie przeprowadzane są obliczenia wymagające dużej mocy obliczeniowej. Tam przeprowadzana jest analiza z wykorzystaniem algorytmów Big Data, budowane są drzewa logiczne maszyn i identyfikowane anomalie. Algorytmy uczą się samoczynnie w oparciu o ogromną ilość danych dostarczanych przez globalną sieć czujników.

Możesz obejść się bez instalowania agentów. Nowoczesne narzędzia do zabezpieczania informacji muszą działać bezagentowo i być zintegrowane z systemami operacyjnymi na poziomie hypervisora.
Wymienione środki znacząco zmniejszają zagrożenia bezpieczeństwa informacji, jednak w przypadku centrów danych zapewniających automatyzację procesów produkcyjnych wysokiego ryzyka, np. elektrowni jądrowych, może to nie wystarczyć.

Wymogi regulacyjne

W zależności od przetwarzanych informacji infrastruktura fizyczna i wirtualna centrum danych musi spełniać różne wymagania bezpieczeństwa określone w przepisach prawa i standardach branżowych.

Do takich przepisów należy ustawa „O danych osobowych” (152-FZ) i ustawa „O bezpieczeństwie obiektów KII Federacji Rosyjskiej” (187-FZ), które weszły w życie w tym roku - prokuratura już się zainteresowała w trakcie jego realizacji. Spory dotyczące tego, czy centra danych należą do podmiotów CII, nadal trwają, ale najprawdopodobniej centra danych chcące świadczyć usługi na rzecz podmiotów CII będą musiały spełnić wymogi nowego ustawodawstwa.

Centrom danych obsługującym rządowe systemy informacyjne nie będzie łatwo. Zgodnie z Dekretem Rządu Federacji Rosyjskiej z dnia 11.05.2017 maja 555 r. nr XNUMX, przed oddaniem GIS do komercyjnego użytku należy rozwiązać kwestie bezpieczeństwa informacji. A centrum danych, które chce hostować GIS, musi najpierw spełnić wymogi prawne.

W ciągu ostatnich 30 lat systemy bezpieczeństwa centrów danych przeszły długą drogę: od prostych systemów ochrony fizycznej i środków organizacyjnych, które jednak nie straciły na aktualności, po złożone inteligentne systemy, które coraz częściej wykorzystują elementy sztucznej inteligencji. Ale istota podejścia nie uległa zmianie. Najnowocześniejsze technologie nie uratują Cię bez działań organizacyjnych i przeszkolenia personelu, a papierkowa robota nie uratuje Cię bez oprogramowania i rozwiązań technicznych. Bezpieczeństwa centrum danych nie można zapewnić raz na zawsze, jest to ciągła, codzienna praca nad identyfikacją priorytetowych zagrożeń i kompleksowym rozwiązywaniem pojawiających się problemów.

Co jeszcze można przeczytać na blogu? Cloud4Y

Konfigurowanie topu w systemie GNU/Linux
Pentesterzy na czele cyberbezpieczeństwa
Droga sztucznej inteligencji od fantastycznego pomysłu do przemysłu naukowego
4 sposoby oszczędzania na kopiach zapasowych w chmurze
Historia Mutta

Zapisz się do naszego Telegram-channel, żeby nie przegapić kolejnego artykułu! Piszemy nie częściej niż dwa razy w tygodniu i tylko w sprawach służbowych. Przypominamy również, że można przetestuj za darmo rozwiązania chmurowe Cloud4Y.

Źródło: www.habr.com

Dodaj komentarz