ProHoster > Blog > administração > Segurança da informação do data center

Segurança da informação do data center

Segurança da informação do data center
É assim que se parece o centro de monitoramento do data center NORD-2 localizado em Moscou

Você já leu mais de uma vez sobre quais medidas são tomadas para garantir a segurança da informação (SI). Qualquer especialista em TI que se preze pode facilmente citar de 5 a 10 regras de segurança da informação. Cloud4Y se oferece para falar sobre segurança da informação de data centers.

Ao garantir a segurança da informação de um data center, os objetos mais “protegidos” são:

  • recursos de informação (dados);
  • processos de coleta, processamento, armazenamento e transmissão de informações;
  • usuários do sistema e pessoal de manutenção;
  • infraestrutura de informação, incluindo ferramentas de hardware e software para processamento, transmissão e exibição de informações, incluindo canais de troca de informações, sistemas e instalações de segurança da informação.

A área de responsabilidade do data center depende do modelo de serviços prestados (IaaS/PaaS/SaaS). Como fica, veja a foto abaixo:

Segurança da informação do data center
O escopo da política de segurança do data center dependendo do modelo de serviços prestados

A parte mais importante do desenvolvimento de uma política de segurança da informação é construir um modelo de ameaças e infratores. O que pode se tornar uma ameaça para um data center?

  1. Eventos adversos de natureza natural, provocada pelo homem e social
  2. Terroristas, elementos criminosos, etc.
  3. Dependência de fornecedores, fornecedores, parceiros, clientes
  4. Falhas, falhas, destruição, danos a software e hardware
  5. Funcionários do data center que implementam ameaças à segurança da informação usando direitos e poderes legalmente concedidos (violadores internos da segurança da informação)
  6. Funcionários do data center que implementem ameaças à segurança da informação fora dos direitos e poderes legalmente concedidos, bem como entidades não relacionadas ao pessoal do data center, mas que tentem acesso não autorizado e ações não autorizadas (violadores externos da segurança da informação)
  7. Incumprimento dos requisitos das autoridades de supervisão e regulação, legislação em vigor

A análise de risco - identificando ameaças potenciais e avaliando a escala das consequências de sua implementação - ajudará a selecionar corretamente as tarefas prioritárias que os especialistas em segurança da informação de data centers devem resolver e a planejar orçamentos para aquisição de hardware e software.

Garantir a segurança é um processo contínuo que inclui as etapas de planejamento, implementação e operação, monitoramento, análise e melhoria do sistema de segurança da informação. Para criar sistemas de gestão de segurança da informação, os chamados “Ciclo de Deming".

Uma parte importante das políticas de segurança é a distribuição de funções e responsabilidades do pessoal para a sua implementação. As políticas devem ser continuamente revistas para reflectir as mudanças na legislação, as novas ameaças e as defesas emergentes. E, claro, comunicar os requisitos de segurança da informação ao pessoal e fornecer formação.

Medidas organizacionais

Alguns especialistas são céticos em relação à segurança “no papel”, considerando que o principal são as habilidades práticas para resistir às tentativas de hacking. A experiência real na garantia da segurança da informação nos bancos sugere o contrário. Os especialistas em segurança da informação podem ter excelente experiência na identificação e mitigação de riscos, mas se o pessoal do data center não seguir as suas instruções, tudo será em vão.

A segurança, via de regra, não traz dinheiro, apenas minimiza os riscos. Por isso, muitas vezes é tratado como algo perturbador e secundário. E quando os especialistas em segurança começam a ficar indignados (com todo o direito de o fazer), surgem frequentemente conflitos com funcionários e chefes de departamentos operacionais.

A presença de padrões da indústria e requisitos regulamentares ajuda os profissionais de segurança a defenderem as suas posições nas negociações com a gestão, e as políticas, regulamentos e regulamentos de segurança da informação aprovados permitem que o pessoal cumpra os requisitos aí estabelecidos, fornecendo a base para decisões muitas vezes impopulares.

Proteção de instalações

Quando um data center presta serviços no modelo de colocation, a garantia da segurança física e do controle de acesso aos equipamentos do cliente vem à tona. Para o efeito, são utilizados recintos (partes vedadas do hall), que estão sob videovigilância do cliente e aos quais o acesso do pessoal do data center é limitado.

Nos centros de informática estatais com segurança física, as coisas não iam mal no final do século passado. Havia controle de acesso, controle de acesso às instalações, mesmo sem computadores e câmeras de vídeo, sistema de extinção de incêndio - em caso de incêndio, o freon era liberado automaticamente na sala de máquinas.

Hoje em dia, a segurança física é garantida ainda melhor. Os sistemas de controle e gerenciamento de acesso (ACS) tornaram-se inteligentes e métodos biométricos de restrição de acesso estão sendo introduzidos.

Os sistemas de extinção de incêndio tornaram-se mais seguros para o pessoal e os equipamentos, entre os quais estão as instalações de inibição, isolamento, resfriamento e efeitos hipóxicos na zona de incêndio. Juntamente com os sistemas obrigatórios de proteção contra incêndio, os data centers costumam usar um sistema de detecção precoce de incêndio do tipo aspiração.

Para proteger os data centers de ameaças externas - incêndios, explosões, colapsos de estruturas de edifícios, inundações, gases corrosivos - começaram a ser utilizadas salas de segurança e cofres, nos quais os equipamentos dos servidores são protegidos de quase todos os fatores externos prejudiciais.

O elo mais fraco é a pessoa

Sistemas de videovigilância “inteligentes”, sensores de rastreamento volumétrico (acústico, infravermelho, ultrassônico, micro-ondas) e sistemas de controle de acesso reduziram os riscos, mas não resolveram todos os problemas. Esses meios não vão ajudar, por exemplo, quando pessoas que foram corretamente admitidas no data center com as ferramentas corretas ficaram “viciadas” em alguma coisa. E, como costuma acontecer, um obstáculo acidental trará o máximo de problemas.

O trabalho do data center pode ser afetado pelo uso indevido de seus recursos por parte do pessoal, por exemplo, mineração ilegal. Os sistemas de gerenciamento de infraestrutura de data center (DCIM) podem ajudar nesses casos.

O pessoal também necessita de protecção, uma vez que as pessoas são frequentemente consideradas o elo mais vulnerável no sistema de protecção. Os ataques direcionados por criminosos profissionais geralmente começam com o uso de métodos de engenharia social. Freqüentemente, os sistemas mais seguros travam ou são comprometidos depois que alguém clica/baixa ou faz algo. Esses riscos podem ser minimizados através da formação do pessoal e da implementação das melhores práticas globais no domínio da segurança da informação.

Proteção da infraestrutura de engenharia

As ameaças tradicionais ao funcionamento de um data center são falhas de energia e falhas nos sistemas de refrigeração. Já nos habituámos a tais ameaças e aprendemos a lidar com elas.

Uma nova tendência tornou-se a introdução generalizada de equipamentos “inteligentes” ligados a uma rede: UPSs controladas, sistemas inteligentes de refrigeração e ventilação, vários controladores e sensores ligados a sistemas de monitorização. Ao construir um modelo de ameaça ao data center, não se esqueça da probabilidade de um ataque à rede de infraestrutura (e, possivelmente, à rede de TI associada ao data center). Para complicar a situação está o facto de alguns dos equipamentos (por exemplo, refrigeradores) poderem ser movidos para fora do centro de dados, por exemplo, para o telhado de um edifício alugado.

Proteção dos canais de comunicação

Se o data center prestar serviços não apenas de acordo com o modelo de colocation, então terá que lidar com a proteção na nuvem. De acordo com a Check Point, só no ano passado, 51% das organizações em todo o mundo sofreram ataques às suas estruturas na nuvem. Os ataques DDoS param as empresas, os vírus de encriptação exigem resgate, os ataques direcionados aos sistemas bancários levam ao roubo de fundos das contas correspondentes.

Ameaças de invasões externas também preocupam os especialistas em segurança da informação de data centers. Os mais relevantes para os data centers são os ataques distribuídos que visam interromper a prestação de serviços, bem como as ameaças de hacking, roubo ou modificação de dados contidos na infraestrutura virtual ou nos sistemas de armazenamento.

Para proteger o perímetro externo do data center, são utilizados sistemas modernos com funções de identificação e neutralização de códigos maliciosos, controle de aplicações e capacidade de importar tecnologia de proteção proativa de Threat Intelligence. Em alguns casos, são implantados sistemas com funcionalidade IPS (prevenção de intrusões) com ajuste automático da assinatura definida aos parâmetros do ambiente protegido.

Para se proteger contra ataques DDoS, as empresas russas, via de regra, utilizam serviços externos especializados que desviam o tráfego para outros nós e o filtram na nuvem. A proteção do lado do operador é muito mais eficaz do que do lado do cliente, e os data centers atuam como intermediários na venda de serviços.

Ataques DDoS internos também são possíveis em data centers: um invasor penetra nos servidores fracamente protegidos de uma empresa que hospeda seus equipamentos usando um modelo de colocation e, a partir daí, realiza um ataque de negação de serviço a outros clientes desse data center por meio da rede interna .

Foco em ambientes virtuais

É necessário levar em consideração as especificidades do objeto protegido - o uso de ferramentas de virtualização, a dinâmica das mudanças nas infraestruturas de TI, a interconectividade dos serviços, quando um ataque bem-sucedido a um cliente pode ameaçar a segurança dos vizinhos. Por exemplo, ao hackear o docker frontend enquanto trabalha em um PaaS baseado em Kubernetes, um invasor pode obter imediatamente todas as informações de senha e até mesmo acesso ao sistema de orquestração.

Os produtos fornecidos no modelo de serviço possuem alto grau de automação. Para não interferir nos negócios, as medidas de segurança da informação devem ser aplicadas com um grau não menor de automação e escala horizontal. O escalonamento deve ser garantido em todos os níveis de segurança da informação, incluindo a automatização do controlo de acesso e a rotação das chaves de acesso. Uma tarefa especial é o dimensionamento de módulos funcionais que inspecionam o tráfego de rede.

Por exemplo, a filtragem do tráfego de rede nos níveis de aplicativo, rede e sessão em data centers altamente virtualizados deve ser realizada no nível dos módulos de rede do hipervisor (por exemplo, Firewall Distribuído da VMware) ou criando cadeias de serviços (firewalls virtuais da Palo Alto Networks) .

Se existirem fragilidades ao nível da virtualização dos recursos computacionais, os esforços para criar um sistema abrangente de segurança da informação ao nível da plataforma serão ineficazes.

Níveis de proteção de informações no data center

A abordagem geral para proteção é o uso de sistemas integrados e multiníveis de segurança da informação, incluindo macrossegmentação no nível do firewall (alocação de segmentos para diversas áreas funcionais do negócio), microssegmentação baseada em firewalls virtuais ou marcação de tráfego de grupos (funções de usuário ou serviços) definidos por políticas de acesso.

O próximo nível é identificar anomalias dentro e entre segmentos. São analisadas dinâmicas de tráfego, que podem indicar a presença de atividades maliciosas, como varredura de rede, tentativas de ataques DDoS, download de dados, por exemplo, fatiando arquivos de banco de dados e exibindo-os em sessões que aparecem periodicamente em longos intervalos. Enormes quantidades de tráfego passam pelo data center, portanto, para identificar anomalias, é necessário utilizar algoritmos de busca avançados, e sem análise de pacotes. É importante que sejam reconhecidos não apenas sinais de atividades maliciosas e anômalas, mas também o funcionamento de malware mesmo em tráfego criptografado sem descriptografá-lo, como é proposto nas soluções Cisco (Stealthwatch).

A última fronteira é a proteção dos dispositivos finais da rede local: servidores e máquinas virtuais, por exemplo, com a ajuda de agentes instalados nos dispositivos finais (máquinas virtuais), que analisam operações de I/O, exclusões, cópias e atividades de rede, transmitir dados para nuvem, onde são realizados cálculos que exigem grande poder computacional. Lá, são realizadas análises por meio de algoritmos de Big Data, construídas árvores lógicas de máquinas e identificadas anomalias. Os algoritmos são de autoaprendizagem baseados em uma enorme quantidade de dados fornecidos por uma rede global de sensores.

Você pode fazer isso sem instalar agentes. As ferramentas modernas de segurança da informação devem ser independentes de agente e integradas aos sistemas operacionais no nível do hipervisor.
As medidas listadas reduzem significativamente os riscos de segurança da informação, mas isso pode não ser suficiente para data centers que fornecem automação de processos de produção de alto risco, por exemplo, usinas nucleares.

Requisitos regulamentares

Dependendo das informações que estão sendo processadas, as infraestruturas de data centers físicos e virtualizados devem atender a diferentes requisitos de segurança estabelecidos em leis e padrões do setor.

Essas leis incluem a lei “Sobre Dados Pessoais” (152-FZ) e a lei “Sobre a Segurança das Instalações KII da Federação Russa” (187-FZ), que entrou em vigor este ano - o Ministério Público já se interessou no andamento de sua implementação. As disputas sobre se os centros de dados pertencem a entidades CII ainda estão em curso, mas muito provavelmente, os centros de dados que pretendam prestar serviços a entidades CII terão de cumprir os requisitos da nova legislação.

Não será fácil para os data centers que hospedam sistemas de informação governamentais. De acordo com o Decreto do Governo da Federação Russa nº 11.05.2017 de 555 de maio de XNUMX, as questões de segurança da informação devem ser resolvidas antes de colocar o GIS em operação comercial. E um data center que queira hospedar um GIS deve primeiro atender aos requisitos regulamentares.

Nos últimos 30 anos, os sistemas de segurança de data centers percorreram um longo caminho: desde simples sistemas de proteção física e medidas organizacionais, que, no entanto, não perderam a sua relevância, até sistemas inteligentes complexos, que utilizam cada vez mais elementos de inteligência artificial. Mas a essência da abordagem não mudou. As tecnologias mais modernas não irão salvá-lo sem medidas organizacionais e treinamento de pessoal, e a papelada não irá salvá-lo sem software e soluções técnicas. A segurança dos data centers não pode ser garantida de uma vez por todas; é um esforço diário constante para identificar ameaças prioritárias e resolver de forma abrangente os problemas emergentes.

O que mais você pode ler no blog? Nuvem4Y

Configurando o top no GNU/Linux
Pentesters na vanguarda da segurança cibernética
O caminho da inteligência artificial desde uma ideia fantástica até a indústria científica
4 maneiras de economizar em backups na nuvem
História do vira-lata

Assine o nosso Telegram-channel para não perder o próximo artigo! Escrevemos no máximo duas vezes por semana e apenas a negócios. Também lembramos que você pode teste de graça soluções em nuvem Cloud4Y.

Fonte: habr.com

Compre hospedagem confiável para sites com proteção DDoS, servidores VPS VDS 🔥 Compre hospedagem de sites confiável com proteção contra DDoS, servidores VPS/VDS | ProHoster