Takto vyzerá monitorovacie centrum dátového centra NORD-2 nachádzajúce sa v Moskve
O tom, aké opatrenia sa prijímajú na zabezpečenie informačnej bezpečnosti (IS), ste už viackrát čítali. Každý IT špecialista, ktorý má rešpekt, dokáže ľahko vymenovať 5-10 pravidiel informačnej bezpečnosti. Cloud4Y ponúka hovoriť o informačnej bezpečnosti dátových centier.
Pri zabezpečovaní informačnej bezpečnosti dátového centra sú najviac „chránené“ objekty:
- informačné zdroje (údaje);
- procesy zhromažďovania, spracovania, uchovávania a prenosu informácií;
- používateľov systému a personál údržby;
- informačná infraštruktúra, vrátane hardvérových a softvérových nástrojov na spracovanie, prenos a zobrazovanie informácií, vrátane kanálov na výmenu informácií, systémov a priestorov informačnej bezpečnosti.
Oblasť zodpovednosti dátového centra závisí od modelu poskytovaných služieb (IaaS/PaaS/SaaS). Ako to vyzerá, pozrite si obrázok nižšie:
Rozsah bezpečnostnej politiky dátového centra v závislosti od modelu poskytovaných služieb
Najdôležitejšou súčasťou rozvoja politiky informačnej bezpečnosti je vytvorenie modelu hrozieb a porušovateľov. Čo sa môže stať hrozbou pre dátové centrum?
- Nepriaznivé udalosti prírodného, človekom spôsobeného a sociálneho charakteru
- Teroristi, kriminálne živly a pod.
- Závislosť od dodávateľov, poskytovateľov, partnerov, klientov
- Poruchy, poruchy, zničenie, poškodenie softvéru a hardvéru
- Zamestnanci dátového centra implementujúci hrozby informačnej bezpečnosti s využitím zákonne udelených práv a právomocí (interní porušovatelia informačnej bezpečnosti)
- Zamestnanci dátového centra, ktorí implementujú ohrozenie bezpečnosti informácií mimo zákonom udelených práv a právomocí, ako aj subjekty, ktoré nesúvisia s personálom dátového centra, ale pokúšajú sa o neoprávnený prístup a neoprávnené akcie (externí porušovatelia informačnej bezpečnosti)
- Nesúlad s požiadavkami dozorných a regulačných orgánov, platnou legislatívou
Analýza rizík – identifikácia potenciálnych hrozieb a posúdenie rozsahu dôsledkov ich implementácie – pomôže správne vybrať prioritné úlohy, ktoré musia riešiť špecialisti informačnej bezpečnosti dátových centier, a naplánovať rozpočty na nákup hardvéru a softvéru.
Zabezpečovanie bezpečnosti je nepretržitý proces, ktorý zahŕňa etapy plánovania, implementácie a prevádzky, monitorovania, analýzy a zlepšovania systému informačnej bezpečnosti. Na vytvorenie systémov riadenia informačnej bezpečnosti, tzv.".
Dôležitou súčasťou bezpečnostných politík je rozdelenie úloh a zodpovedností personálu za ich implementáciu. Politiky by sa mali neustále prehodnocovať, aby odrážali zmeny v legislatíve, nové hrozby a vznikajúce obranné opatrenia. A, samozrejme, oznámiť zamestnancom požiadavky na informačnú bezpečnosť a zabezpečiť školenia.
Organizačné opatrenia
Niektorí odborníci sú skeptickí voči „papierovej“ bezpečnosti, pričom za hlavnú vec považujú praktické zručnosti, aby odolali pokusom o hackerstvo. Reálne skúsenosti so zaisťovaním informačnej bezpečnosti v bankách hovoria o opaku. Špecialisti na informačnú bezpečnosť môžu mať vynikajúce odborné znalosti v oblasti identifikácie a zmierňovania rizík, ale ak sa personál dátového centra nebude riadiť ich pokynmi, všetko bude márne.
Bezpečnosť spravidla neprináša peniaze, ale iba minimalizuje riziká. Preto sa k nemu často pristupuje ako k niečomu znepokojujúcemu a sekundárnemu. A keď začnú byť bezpečnostní špecialisti rozhorčení (s plným právom na to), často vznikajú konflikty so zamestnancami a vedúcimi operačných oddelení.
Prítomnosť odvetvových štandardov a regulačných požiadaviek pomáha bezpečnostným profesionálom brániť svoje pozície pri rokovaniach s manažmentom a schválené zásady, nariadenia a predpisy v oblasti informačnej bezpečnosti umožňujú zamestnancom dodržiavať tam stanovené požiadavky a poskytujú základ pre často nepopulárne rozhodnutia.
Ochrana priestorov
Keď dátové centrum poskytuje služby pomocou kolokačného modelu, do popredia sa dostáva zaistenie fyzickej bezpečnosti a kontroly prístupu k zariadeniam klienta. Na tento účel slúžia ohrady (oplotené časti haly), ktoré sú pod kamerovým dohľadom klienta a do ktorých je obmedzený prístup personálu dátového centra.
V štátnych výpočtových strediskách s fyzickým zabezpečením to na konci minulého storočia nebolo zlé. Nechýbala kontrola vstupu, kontrola vstupu do priestorov aj bez počítačov a videokamier, hasiaci systém – v prípade požiaru sa do strojovne automaticky uvoľnil freón.
V dnešnej dobe je fyzická bezpečnosť zaistená ešte lepšie. Systémy kontroly a riadenia prístupu (ACS) sa stali inteligentnými a zavádzajú sa biometrické metódy obmedzenia prístupu.
Hasiace systémy sa stali bezpečnejšími pre personál a vybavenie, medzi ktoré patria zariadenia na inhibíciu, izoláciu, chladenie a hypoxické účinky na požiarnu zónu. Spolu s povinnými systémami požiarnej ochrany dátové centrá často používajú systém včasnej detekcie požiaru aspiračného typu.
Na ochranu dátových centier pred vonkajšími hrozbami – požiarmi, výbuchmi, kolapsom stavebných konštrukcií, záplavami, korozívnymi plynmi – sa začali používať bezpečnostné miestnosti a trezory, v ktorých sú serverové zariadenia chránené takmer pred všetkými vonkajšími škodlivými faktormi.
Slabým článkom je človek
„Inteligentné“ video monitorovacie systémy, objemové sledovacie senzory (akustické, infračervené, ultrazvukové, mikrovlnné), systémy kontroly prístupu znížili riziká, ale nevyriešili všetky problémy. Tieto prostriedky nepomôžu napríklad vtedy, keď ľudia, ktorí boli správne prijatí do dátového centra so správnymi nástrojmi, boli na niečom „prichytení“. A ako sa často stáva, náhodný zádrhel prinesie maximálne problémy.
Fungovanie dátového centra môže byť ovplyvnené zneužívaním jeho zdrojov personálom, napríklad nelegálnou ťažbou. V týchto prípadoch môžu pomôcť systémy správy infraštruktúry dátových centier (DCIM).
Personál tiež vyžaduje ochranu, pretože ľudia sú často nazývaní najzraniteľnejším článkom v systéme ochrany. Cielené útoky profesionálnych zločincov sa najčastejšie začínajú využitím metód sociálneho inžinierstva. Najbezpečnejšie systémy sa často zrútia alebo sú kompromitované potom, čo niekto na niečo klikol/stiahol/urobil. Takéto riziká možno minimalizovať školením personálu a implementáciou celosvetových osvedčených postupov v oblasti informačnej bezpečnosti.
Ochrana inžinierskej infraštruktúry
Tradičnými hrozbami pre fungovanie dátového centra sú výpadky napájania a poruchy chladiacich systémov. Už sme si na takéto hrozby zvykli a naučili sme sa ich zvládať.
Novým trendom sa stalo rozsiahle zavádzanie „inteligentných“ zariadení pripojených do siete: riadené UPS, inteligentné chladiace a ventilačné systémy, rôzne ovládače a senzory pripojené k monitorovacím systémom. Pri budovaní modelu hrozby pre dátové centrum by ste nemali zabúdať na pravdepodobnosť útoku na sieť infraštruktúry (a prípadne aj na pridruženú IT sieť dátového centra). Situáciu komplikuje skutočnosť, že niektoré zariadenia (napríklad chladiče) je možné presunúť mimo dátového centra, povedzme, na strechu prenajatej budovy.
Ochrana komunikačných kanálov
Ak dátové centrum poskytuje služby nielen podľa kolokačného modelu, tak sa bude musieť popasovať s cloudovou ochranou. Podľa Check Point len v minulom roku 51 % organizácií na celom svete zažilo útoky na svoje cloudové štruktúry. DDoS útoky zastavujú podnikanie, šifrovacie vírusy žiadajú výkupné, cielené útoky na bankové systémy vedú ku krádeži prostriedkov z korešpondenčných účtov.
Hrozby vonkajších prienikov znepokojujú aj špecialistov na informačnú bezpečnosť dátových centier. Pre dátové centrá sú najrelevantnejšie distribuované útoky zamerané na prerušenie poskytovania služieb, ako aj hrozby hackingu, krádeže alebo úpravy dát obsiahnutých vo virtuálnej infraštruktúre alebo úložných systémoch.
Na ochranu vonkajšieho perimetra dátového centra sa využívajú moderné systémy s funkciami na identifikáciu a neutralizáciu škodlivého kódu, kontrolu aplikácií a možnosť importovať technológiu proaktívnej ochrany Threat Intelligence. V niektorých prípadoch sú nasadené systémy s funkcionalitou IPS (prevencia prienikov) s automatickým prispôsobením sady signatúr parametrom chráneného prostredia.
Na ochranu pred útokmi DDoS ruské spoločnosti spravidla používajú externé špecializované služby, ktoré odvádzajú prevádzku na iné uzly a filtrujú ju v cloude. Ochrana na strane operátora je oveľa efektívnejšia ako na strane klienta a dátové centrá fungujú ako sprostredkovatelia predaja služieb.
Interné DDoS útoky sú možné aj v dátových centrách: útočník prenikne do slabo chránených serverov jednej spoločnosti, ktorá hosťuje jej zariadenie pomocou kolokačného modelu, a odtiaľ vykoná útok typu odmietnutie služby na ostatných klientov tohto dátového centra cez internú sieť. .
Zamerajte sa na virtuálne prostredia
Je potrebné brať do úvahy špecifiká chráneného objektu – využitie virtualizačných nástrojov, dynamiku zmien IT infraštruktúr, prepojenosť služieb, kedy úspešný útok na jedného klienta môže ohroziť bezpečnosť susedov. Napríklad hacknutím frontend dockera počas práce v PaaS založenom na Kubernetes môže útočník okamžite získať všetky informácie o hesle a dokonca aj prístup k systému orchestrácie.
Produkty poskytované v rámci servisného modelu majú vysoký stupeň automatizácie. Aby nedošlo k zasahovaniu do podnikania, opatrenia informačnej bezpečnosti sa musia uplatňovať na nemenej úrovni automatizácie a horizontálneho škálovania. Škálovanie by malo byť zabezpečené na všetkých úrovniach informačnej bezpečnosti, vrátane automatizácie riadenia prístupu a rotácie prístupových kľúčov. Špeciálnou úlohou je škálovanie funkčných modulov, ktoré kontrolujú sieťovú prevádzku.
Napríklad filtrovanie sieťovej prevádzky na úrovni aplikácie, siete a relácie vo vysoko virtualizovaných dátových centrách by sa malo vykonávať na úrovni sieťových modulov hypervízora (napríklad Distributed Firewall od VMware) alebo vytvorením servisných reťazcov (virtuálne firewally od Palo Alto Networks) .
Ak existujú slabé miesta na úrovni virtualizácie výpočtových zdrojov, snahy o vytvorenie komplexného systému informačnej bezpečnosti na úrovni platformy budú neúčinné.
Úrovne ochrany informácií v dátovom centre
Všeobecným prístupom k ochrane je využívanie integrovaných, viacúrovňových systémov informačnej bezpečnosti, vrátane makrosegmentácie na úrovni firewallu (prideľovanie segmentov pre rôzne funkčné oblasti podnikania), mikrosegmentácie na báze virtuálnych firewallov alebo označovania návštevnosti skupín. (používateľské roly alebo služby) definované politikami prístupu .
Ďalšou úrovňou je identifikácia anomálií v rámci segmentov a medzi nimi. Analyzuje sa dynamika prevádzky, ktorá môže naznačovať prítomnosť škodlivých aktivít, ako je skenovanie siete, pokusy o DDoS útoky, sťahovanie údajov, napríklad rozrezávaním databázových súborov a ich výstupom v pravidelne sa objavujúcich reláciách v dlhých intervaloch. Cez dátové centrum prechádza obrovské množstvo prevádzky, takže na identifikáciu anomálií musíte použiť pokročilé vyhľadávacie algoritmy a bez analýzy paketov. Je dôležité, aby boli rozpoznané nielen známky škodlivej a anomálnej aktivity, ale aj pôsobenie malvéru aj v šifrovanej prevádzke bez jej dešifrovania, ako je to navrhované v riešeniach Cisco (Stealthwatch).
Poslednou hranicou je ochrana koncových zariadení lokálnej siete: serverov a virtuálnych strojov, napríklad pomocou agentov nainštalovaných na koncových zariadeniach (virtuálnych strojoch), ktorí analyzujú I/O operácie, mazanie, kópie a sieťové aktivity, prenášať údaje do , kde sa vykonávajú výpočty vyžadujúce veľký výpočtový výkon. Tam sa vykonáva analýza pomocou algoritmov veľkých dát, vytvárajú sa stromy strojovej logiky a identifikujú sa anomálie. Algoritmy sa samoučia na základe obrovského množstva údajov dodávaných globálnou sieťou senzorov.
Môžete to urobiť bez inštalácie agentov. Moderné nástroje informačnej bezpečnosti musia byť bez agentov a integrované do operačných systémov na úrovni hypervízora.
Uvedené opatrenia výrazne znižujú riziká informačnej bezpečnosti, čo však nemusí stačiť pre dátové centrá, ktoré poskytujú automatizáciu vysokorizikových výrobných procesov, napríklad jadrových elektrární.
Regulačné požiadavky
V závislosti od spracovávaných informácií musia fyzické a virtualizované infraštruktúry dátových centier spĺňať rôzne bezpečnostné požiadavky stanovené v zákonoch a priemyselných štandardoch.
Medzi takéto zákony patrí zákon „O osobných údajoch“ (152-FZ) a zákon „O bezpečnosti zariadení KII Ruskej federácie“ (187-FZ), ktoré nadobudli účinnosť v tomto roku - prokuratúra sa už začala zaujímať v postupe jej implementácie. Spory o tom, či dátové centrá patria subjektom KII stále prebiehajú, ale s najväčšou pravdepodobnosťou budú musieť dátové centrá, ktoré chcú poskytovať služby subjektom KII, spĺňať požiadavky novej legislatívy.
Pre dátové centrá, na ktorých sa nachádzajú vládne informačné systémy, to nebude jednoduché. Podľa nariadenia vlády Ruskej federácie zo dňa 11.05.2017 č.555 by mali byť otázky informačnej bezpečnosti vyriešené pred uvedením GIS do komerčnej prevádzky. A dátové centrum, ktoré chce hostiť GIS, musí najprv spĺňať regulačné požiadavky.
Za posledných 30 rokov prešli bezpečnostné systémy dátových centier dlhú cestu: od jednoduchých systémov fyzickej ochrany a organizačných opatrení, ktoré však nestratili na aktuálnosti, až po zložité inteligentné systémy, ktoré čoraz viac využívajú prvky umelej inteligencie. Podstata prístupu sa však nezmenila. Bez organizačných opatrení a školení personálu vás nezachránia najmodernejšie technológie a bez softvérových a technických riešení nezachráni papierovanie. Bezpečnosť dátového centra nie je možné zabezpečiť raz a navždy, ide o neustálu každodennú snahu identifikovať prioritné hrozby a komplexne riešiť vznikajúce problémy.
Čo si ešte môžete prečítať na blogu?
→
→
→
→
→
Prihláste sa na odber -kanál, aby vám neušiel ďalší článok! Píšeme si maximálne dvakrát do týždňa a len služobne. Tiež vám pripomíname, že môžete cloudové riešenia Cloud4Y.
Zdroj: hab.com