Așa arată centrul de monitorizare al centrului de date NORD-2 situat la Moscova
Ați citit de mai multe ori despre măsurile luate pentru a asigura securitatea informațiilor (IS). Orice specialist IT care se respectă poate numi cu ușurință 5-10 reguli de securitate a informațiilor. Cloud4Y se oferă să vorbească despre securitatea informațiilor centrelor de date.
Atunci când se asigură securitatea informațiilor unui centru de date, cele mai „protejate” obiecte sunt:
- resurse informaționale (date);
- procese de colectare, prelucrare, stocare și transmitere a informațiilor;
- utilizatorii sistemului și personalul de întreținere;
- infrastructură informațională, inclusiv instrumente hardware și software pentru procesarea, transmiterea și afișarea informațiilor, inclusiv canalele de schimb de informații, sistemele și spațiile de securitate a informațiilor.
Zona de responsabilitate a centrului de date depinde de modelul serviciilor oferite (IaaS/PaaS/SaaS). Cum arată, vezi imaginea de mai jos:
Domeniul de aplicare al politicii de securitate a centrului de date în funcție de modelul serviciilor oferite
Cea mai importantă parte a dezvoltării unei politici de securitate a informațiilor este construirea unui model de amenințări și infractori. Ce poate deveni o amenințare pentru un centru de date?
- Evenimente adverse de natură naturală, artificială și socială
- Terorişti, elemente criminale etc.
- Dependenta de furnizori, furnizori, parteneri, clienti
- Eșecuri, defecțiuni, distrugeri, deteriorare a software-ului și hardware-ului
- Angajații centrelor de date care implementează amenințări la securitatea informațiilor folosind drepturi și puteri acordate legal (incalcători interni ai securității informațiilor)
- Angajații centrelor de date care implementează amenințări la securitatea informațiilor în afara drepturilor și puterilor acordate legal, precum și entități care nu au legătură cu personalul centrului de date, dar încearcă acces neautorizat și acțiuni neautorizate (incalcători externi ai securității informațiilor)
- Nerespectarea cerințelor autorităților de supraveghere și de reglementare, legislația în vigoare
Analiza riscurilor - identificarea amenințărilor potențiale și evaluarea amplorii consecințelor implementării acestora - va ajuta la selectarea corectă a sarcinilor prioritare pe care trebuie să le rezolve specialiștii în securitatea informațiilor din centrele de date și la planificarea bugetelor pentru achiziționarea de hardware și software.
Asigurarea securității este un proces continuu care include etapele de planificare, implementare și exploatare, monitorizare, analiză și îmbunătățire a sistemului de securitate a informațiilor. Pentru a crea sisteme de management al securității informațiilor, așa-numitele „".
O parte importantă a politicilor de securitate este distribuirea rolurilor și responsabilităților personalului pentru implementarea acestora. Politicile ar trebui revizuite în mod continuu pentru a reflecta schimbările din legislație, noile amenințări și apărările emergente. Și, desigur, comunicați cerințele de securitate a informațiilor personalului și oferiți instruire.
Măsuri organizatorice
Unii experți sunt sceptici cu privire la securitatea „pe hârtie”, considerând că principalul lucru este abilitățile practice de a rezista tentativelor de hacking. Experiența reală în asigurarea securității informațiilor în bănci sugerează contrariul. Specialiștii în securitatea informațiilor pot avea o expertiză excelentă în identificarea și atenuarea riscurilor, dar dacă personalul centrului de date nu urmează instrucțiunile lor, totul va fi în zadar.
Securitatea, de regulă, nu aduce bani, ci doar minimizează riscurile. Prin urmare, este adesea tratat ca ceva deranjant și secundar. Și când specialiștii în securitate încep să fie indignați (cu tot dreptul să facă acest lucru), adesea apar conflicte cu personalul și șefii departamentelor operaționale.
Prezența standardelor din industrie și a cerințelor de reglementare îi ajută pe profesioniștii în securitate să-și apere pozițiile în negocierile cu managementul, iar politicile, reglementările și reglementările de securitate a informațiilor aprobate permit personalului să respecte cerințele stabilite acolo, oferind baza unor decizii adesea nepopulare.
Protecția spațiilor
Atunci când un centru de date oferă servicii folosind modelul de colocare, asigurarea securității fizice și controlului accesului la echipamentele clientului iese în prim-plan. În acest scop se folosesc incinte (părți împrejmuite ale halei), care se află sub supraveghere video a clientului și la care accesul personalului centrului de date este limitat.
În centrele de calcul de stat cu securitate fizică, lucrurile nu erau rău la sfârșitul secolului trecut. Exista controlul accesului, controlul accesului la incintă, chiar și fără computere și camere video, un sistem de stingere a incendiilor - în caz de incendiu, freonul era eliberat automat în camera mașinilor.
În zilele noastre, securitatea fizică este asigurată și mai bine. Sistemele de control și management al accesului (ACS) au devenit inteligente, iar metodele biometrice de restricție a accesului sunt introduse.
Sistemele de stingere a incendiilor au devenit mai sigure pentru personal și echipamente, printre care se numără și instalații de inhibare, izolare, răcire și efecte hipoxice asupra zonei de incendiu. Alături de sistemele obligatorii de protecție împotriva incendiilor, centrele de date folosesc adesea un sistem de detectare timpurie a incendiilor de tip aspirație.
Pentru a proteja centrele de date de amenințările externe - incendii, explozii, prăbușirea structurilor clădirilor, inundații, gaze corozive - au început să fie utilizate camere de securitate și seifuri, în care echipamentele serverului sunt protejate de aproape toți factorii externi de deteriorare.
Veriga slabă este persoana
Sistemele de supraveghere video „inteligente”, senzorii volumetrici de urmărire (acustic, infraroșu, ultrasonic, cuptor cu microunde), sistemele de control acces au redus riscurile, dar nu au rezolvat toate problemele. Aceste mijloace nu vor ajuta, de exemplu, atunci când oamenii care au fost admiși corect în centrul de date cu instrumentele corecte au fost „prinși” de ceva. Și, așa cum se întâmplă de multe ori, o spărtură accidentală va aduce maxime probleme.
Activitatea centrului de date poate fi afectată de utilizarea greșită a resurselor sale de către personal, de exemplu, minerit ilegal. Sistemele de management al infrastructurii centrului de date (DCIM) pot ajuta în aceste cazuri.
De asemenea, personalul necesită protecție, deoarece oamenii sunt adesea numiți veriga cea mai vulnerabilă din sistemul de protecție. Atacurile direcționate ale criminalilor profesioniști încep cel mai adesea cu utilizarea metodelor de inginerie socială. Adesea, cele mai sigure sisteme se blochează sau sunt compromise după ce cineva a făcut clic/a descărcat/a făcut ceva. Astfel de riscuri pot fi minimizate prin instruirea personalului și prin implementarea celor mai bune practici globale în domeniul securității informațiilor.
Protecția infrastructurii inginerești
Amenințările tradiționale la adresa funcționării unui centru de date sunt întreruperile de curent și defecțiunile sistemelor de răcire. Ne-am obișnuit deja cu astfel de amenințări și am învățat să le facem față.
O nouă tendință a devenit introducerea pe scară largă a echipamentelor „inteligente” conectate la o rețea: UPS-uri controlate, sisteme inteligente de răcire și ventilație, diverse controlere și senzori conectați la sisteme de monitorizare. Când construiți un model de amenințare pentru un centru de date, nu trebuie să uitați de probabilitatea unui atac asupra rețelei de infrastructură (și, eventual, asupra rețelei IT asociate centrului de date). Complicarea situației este faptul că unele dintre echipamente (de exemplu, chillerele) pot fi mutate în afara centrului de date, de exemplu, pe acoperișul unei clădiri închiriate.
Protecția canalelor de comunicare
Dacă centrul de date oferă servicii nu numai conform modelului de colocare, atunci va trebui să se ocupe de protecția cloud. Potrivit Check Point, doar anul trecut, 51% dintre organizațiile din întreaga lume au suferit atacuri asupra structurilor lor cloud. Atacurile DDoS opresc afacerile, virușii de criptare cer răscumpărare, atacurile direcționate asupra sistemelor bancare duc la furtul de fonduri din conturile corespondente.
Amenințările cu intruziuni externe îi îngrijorează și pe specialiștii în securitatea informațiilor din centrele de date. Cele mai relevante pentru centrele de date sunt atacurile distribuite care vizează întreruperea furnizării serviciilor, precum și amenințările de hacking, furt sau modificare a datelor conținute în infrastructura virtuală sau în sistemele de stocare.
Pentru a proteja perimetrul extern al centrului de date, sunt utilizate sisteme moderne cu funcții de identificare și neutralizare a codului rău intenționat, controlul aplicațiilor și capacitatea de a importa tehnologia de protecție proactivă Threat Intelligence. În unele cazuri, sistemele cu funcționalitate IPS (prevenirea intruziunilor) sunt implementate cu ajustarea automată a semnăturii setate la parametrii mediului protejat.
Pentru a se proteja împotriva atacurilor DDoS, companiile rusești, de regulă, folosesc servicii externe specializate care redirecționează traficul către alte noduri și îl filtrează în cloud. Protecția pe partea operatorului este mult mai eficientă decât pe partea clientului, iar centrele de date acționează ca intermediari pentru vânzarea serviciilor.
Atacurile interne DDoS sunt posibile și în centrele de date: un atacator pătrunde în serverele slab protejate ale unei companii care își găzduiește echipamentul folosind un model de colocare și de acolo efectuează un atac de tip denial of service asupra altor clienți ai acestui centru de date prin intermediul rețelei interne. .
Concentrați-vă pe mediile virtuale
Este necesar să se țină cont de specificul obiectului protejat - utilizarea instrumentelor de virtualizare, dinamica schimbărilor în infrastructurile IT, interconectarea serviciilor, atunci când un atac de succes asupra unui client poate amenința securitatea vecinilor. De exemplu, prin piratarea docker-ului frontend în timp ce lucrează într-un PaaS bazat pe Kubernetes, un atacator poate obține imediat toate informațiile despre parolă și chiar acces la sistemul de orchestrare.
Produsele furnizate sub modelul de servicii au un grad ridicat de automatizare. Pentru a nu interfera cu afacerile, măsurile de securitate a informațiilor trebuie aplicate la un grad nu mai puțin de automatizare și scalare orizontală. Scalarea ar trebui să fie asigurată la toate nivelurile de securitate a informațiilor, inclusiv automatizarea controlului accesului și rotația cheilor de acces. O sarcină specială este scalarea modulelor funcționale care inspectează traficul de rețea.
De exemplu, filtrarea traficului de rețea la nivel de aplicație, rețea și sesiune în centrele de date extrem de virtualizate ar trebui efectuată la nivelul modulelor de rețea hypervisor (de exemplu, VMware Distributed Firewall) sau prin crearea de lanțuri de servicii (firewall-uri virtuale de la Palo Alto Networks) .
Dacă există puncte slabe la nivelul virtualizării resurselor de calcul, eforturile de a crea un sistem cuprinzător de securitate a informațiilor la nivel de platformă vor fi ineficiente.
Niveluri de protecție a informațiilor în centrul de date
Abordarea generală a protecției este utilizarea sistemelor de securitate a informațiilor integrate, pe mai multe niveluri, inclusiv macro-segmentarea la nivel de firewall (alocarea de segmente pentru diverse domenii funcționale ale afacerii), micro-segmentarea bazată pe firewall-uri virtuale sau etichetarea traficului de grupuri. (roluri de utilizator sau servicii) definite de politicile de acces.
Următorul nivel este identificarea anomaliilor în interiorul și între segmente. Se analizează dinamica traficului, care poate indica prezența unor activități rău intenționate, cum ar fi scanarea rețelei, încercările de atacuri DDoS, descărcarea de date, de exemplu, prin tăierea fișierelor de baze de date și scoaterea lor în sesiuni care apar periodic la intervale lungi. Cantități enorme de trafic trec prin centrul de date, așa că pentru a identifica anomaliile, trebuie să utilizați algoritmi de căutare avansați și fără analiză de pachete. Este important ca nu numai semnele de activitate rău intenționată și anormală să fie recunoscute, ci și funcționarea malware-ului chiar și în trafic criptat fără a-l decripta, așa cum se propune în soluțiile Cisco (Stealthwatch).
Ultima frontieră este protecția dispozitivelor finale ale rețelei locale: servere și mașini virtuale, de exemplu, cu ajutorul agenților instalați pe dispozitivele finale (mașini virtuale), care analizează operațiunile I/O, ștergeri, copii și activități de rețea, transmite date către , unde se efectuează calcule care necesită o putere mare de calcul. Acolo se realizează analiza folosind algoritmi Big Data, se construiesc arbori logici ai mașinii și se identifică anomaliile. Algoritmii sunt de auto-învățare pe baza unei cantități uriașe de date furnizate de o rețea globală de senzori.
Puteți face fără a instala agenți. Instrumentele moderne de securitate a informațiilor trebuie să fie fără agent și integrate în sistemele de operare la nivel de hypervisor.
Măsurile enumerate reduc semnificativ riscurile de securitate a informațiilor, dar acest lucru poate să nu fie suficient pentru centrele de date care asigură automatizarea proceselor de producție cu risc ridicat, de exemplu, centralele nucleare.
Cerințele de reglementare
În funcție de informațiile care sunt procesate, infrastructurile centrelor de date fizice și virtualizate trebuie să îndeplinească diferite cerințe de securitate stabilite în legi și standarde industriale.
Astfel de legi includ legea „Cu privire la datele cu caracter personal” (152-FZ) și legea „Cu privire la securitatea instalațiilor KII din Federația Rusă” (187-FZ), care au intrat în vigoare anul acesta - procuratura a devenit deja interesată în derularea implementării acestuia. Litigiile privind dacă centrele de date aparțin subiecților CII sunt încă în desfășurare, dar cel mai probabil, centrele de date care doresc să ofere servicii subiecților CII vor trebui să respecte cerințele noii legislații.
Nu va fi ușor pentru centrele de date care găzduiesc sisteme de informații guvernamentale. Conform Decretului Guvernului Federației Ruse din 11.05.2017 mai 555 nr. XNUMX, problemele de securitate a informațiilor ar trebui rezolvate înainte de punerea în funcțiune comercială a GIS. Iar un centru de date care dorește să găzduiască un GIS trebuie să îndeplinească mai întâi cerințele de reglementare.
În ultimii 30 de ani, sistemele de securitate ale centrelor de date au parcurs un drum lung: de la simple sisteme de protecție fizică și măsuri organizatorice, care, însă, nu și-au pierdut din relevanță, până la sisteme inteligente complexe, care folosesc din ce în ce mai mult elemente de inteligență artificială. Dar esența abordării nu s-a schimbat. Cele mai moderne tehnologii nu te vor salva fără măsuri organizatorice și pregătire a personalului, iar documentele nu te vor salva fără software și soluții tehnice. Securitatea centrului de date nu poate fi asigurată o dată pentru totdeauna; este un efort zilnic constant de a identifica amenințările prioritare și de a rezolva cuprinzător problemele emergente.
Ce mai poți citi pe blog?
→
→
→
→
→
Abonați-vă la -canal pentru a nu rata următorul articol! Scriem nu mai mult de două ori pe săptămână și numai pentru afaceri. De asemenea, vă reamintim că puteți soluții cloud Cloud4Y.
Sursa: www.habr.com