Takole izgleda nadzorni center podatkovnega centra NORD-2 v Moskvi
Več kot enkrat ste prebrali, kakšni so ukrepi za zagotavljanje informacijske varnosti (IS). Vsak samospoštljiv IT strokovnjak lahko zlahka imenuje 5-10 pravil informacijske varnosti. Cloud4Y ponuja pogovor o informacijski varnosti podatkovnih centrov.
Pri zagotavljanju informacijske varnosti podatkovnega centra so najbolj »zaščiteni« objekti:
- informacijski viri (podatki);
- procesi zbiranja, obdelave, shranjevanja in prenosa informacij;
- uporabniki sistema in vzdrževalno osebje;
- Informacijska infrastruktura, vključno s strojno in programsko opremo za obdelavo, prenos in prikazovanje informacij, vključno s kanali za izmenjavo informacij, informacijskimi varnostnimi sistemi in prostori.
Območje odgovornosti podatkovnega centra je odvisno od modela ponujenih storitev (IaaS/PaaS/SaaS). Kako to izgleda, si oglejte na spodnji sliki:
Obseg varnostne politike podatkovnega centra je odvisen od modela ponujenih storitev
Najpomembnejši del razvoja politike informacijske varnosti je izgradnja modela groženj in kršiteljev. Kaj lahko postane grožnja podatkovnemu centru?
- Neželeni dogodki naravne, umetne in družbene narave
- Teroristi, kriminalni elementi itd.
- Odvisnost od dobaviteljev, ponudnikov, partnerjev, strank
- Napake, okvare, uničenje, poškodbe programske in strojne opreme
- Zaposleni v podatkovnem centru, ki izvajajo grožnje informacijski varnosti z uporabo zakonsko podeljenih pravic in pooblastil (kršitelji interne informacijske varnosti)
- Zaposleni v podatkovnem centru, ki izvajajo grožnje informacijski varnosti izven zakonsko podeljenih pravic in pooblastil, kot tudi subjekti, ki niso povezani z osebjem podatkovnega centra, vendar poskušajo nepooblaščeno dostopati in izvajati nepooblaščena dejanja (zunanji kršitelji informacijske varnosti)
- Neskladnost z zahtevami nadzornih in regulativnih organov, veljavne zakonodaje
Analiza tveganja - prepoznavanje potencialnih groženj in ocena obsega posledic njihovega izvajanja - bo pomagala pravilno izbrati prednostne naloge, ki jih morajo rešiti strokovnjaki za informacijsko varnost podatkovnega centra, in načrtovati proračune za nakup strojne in programske opreme.
Zagotavljanje varnosti je kontinuiran proces, ki vključuje faze načrtovanja, implementacije in delovanja, spremljanja, analiziranja in izboljševanja sistema informacijske varnosti. Za ustvarjanje sistemov za upravljanje varnosti informacij, t.i.".
Pomemben del varnostnih politik je porazdelitev vlog in odgovornosti osebja za njihovo izvajanje. Politike je treba nenehno pregledovati, da odražajo spremembe zakonodaje, nove grožnje in nastajajoče obrambe. In seveda osebju sporočite zahteve glede varnosti informacij in zagotovite usposabljanje.
Organizacijski ukrepi
Nekateri strokovnjaki so skeptični glede "papirnate" varnosti, saj menijo, da je glavna stvar praktična spretnost za upiranje poskusom vdora. Realne izkušnje pri zagotavljanju informacijske varnosti v bankah kažejo nasprotno. Strokovnjaki za informacijsko varnost imajo lahko odlično strokovno znanje pri prepoznavanju in zmanjševanju tveganj, a če osebje podatkovnega centra ne bo upoštevalo njihovih navodil, bo vse zaman.
Varnost praviloma ne prinaša denarja, ampak le minimizira tveganja. Zato se pogosto obravnava kot nekaj motečega in drugotnega pomena. In ko varnostni strokovnjaki začnejo biti ogorčeni (z vso pravico do tega), se pogosto pojavijo konflikti z osebjem in vodji operativnih oddelkov.
Prisotnost industrijskih standardov in regulativnih zahtev pomaga varnostnim strokovnjakom braniti svoja stališča v pogajanjih z vodstvom, odobrene politike, predpisi in predpisi o varnosti informacij pa omogočajo osebju, da izpolnjuje tam navedene zahteve, kar je podlaga za pogosto nepriljubljene odločitve.
Varovanje prostorov
Ko podatkovni center ponuja storitve po modelu kolokacije, je v ospredju zagotavljanje fizične varnosti in nadzora dostopa do naročnikove opreme. V ta namen se uporabljajo ograjeni deli hale, ki so pod video nadzorom naročnika in do katerih je omejen dostop osebja podatkovnega centra.
V državnih računalniških centrih s fizičnim varovanjem konec prejšnjega stoletja ni bilo slabo. Obstajala je kontrola dostopa, kontrola vstopa v prostore, tudi brez računalnikov in video kamer, sistem za gašenje požara - v primeru požara se je freon samodejno spustil v strojnico.
Dandanes je fizična varnost zagotovljena še bolje. Sistemi za nadzor in upravljanje dostopa (ACS) so postali inteligentni, uvajajo se biometrične metode omejevanja dostopa.
Sistemi za gašenje požara so postali varnejši za osebje in opremo, med njimi so naprave za inhibicijo, izolacijo, hlajenje in hipoksične učinke na požarno cono. Skupaj z obveznimi protipožarnimi sistemi podatkovni centri pogosto uporabljajo aspiracijski sistem zgodnjega odkrivanja požara.
Za zaščito podatkovnih centrov pred zunanjimi grožnjami – požari, eksplozijami, zrušitvami gradbenih konstrukcij, poplavami, jedkimi plini – so se začeli uporabljati varnostni prostori in sefi, v katerih je strežniška oprema zaščitena pred skoraj vsemi zunanjimi škodljivimi dejavniki.
Šibki člen je oseba
»Pametni« videonadzorni sistemi, volumetrični sledilni senzorji (akustični, infrardeči, ultrazvočni, mikrovalovni), sistemi za nadzor dostopa so zmanjšali tveganja, niso pa rešili vseh težav. Ta sredstva ne bodo pomagala na primer, ko so bili ljudje, ki so bili pravilno sprejeti v podatkovni center s pravimi orodji, na nekaj »zasvojeni«. In kot se pogosto zgodi, bo nenamerna zadrga prinesla največ težav.
Na delo podatkovnega centra lahko vpliva zloraba njegovih virov s strani osebja, na primer nezakonito rudarjenje. V teh primerih lahko pomagajo sistemi za upravljanje infrastrukture podatkovnega centra (DCIM).
Osebje potrebuje tudi zaščito, saj ljudi pogosto imenujemo najbolj ranljiv člen v sistemu varovanja. Ciljni napadi poklicnih kriminalcev se največkrat začnejo z uporabo metod socialnega inženiringa. Pogosto se najbolj varni sistemi zrušijo ali so ogroženi, potem ko je nekdo nekaj kliknil/prenesel/naredil. Takšna tveganja je mogoče zmanjšati z usposabljanjem osebja in uvajanjem najboljših svetovnih praks na področju informacijske varnosti.
Zaščita inženirske infrastrukture
Tradicionalne grožnje delovanju podatkovnega centra so izpadi električne energije in okvare hladilnih sistemov. Takšnih groženj smo se že navadili in se z njimi naučili spopadati.
Nov trend je postalo vsesplošno uvajanje »pametne« opreme, povezane z omrežjem: nadzorovanih UPS-jev, inteligentnih hladilnih in prezračevalnih sistemov, različnih krmilnikov in senzorjev, povezanih z nadzornimi sistemi. Pri gradnji modela groženj podatkovnega centra ne smete pozabiti na verjetnost napada na infrastrukturno omrežje (in po možnosti na povezano IT omrežje podatkovnega centra). Situacijo otežuje dejstvo, da je mogoče del opreme (na primer hladilnike) premakniti zunaj podatkovnega centra, na primer na streho najete stavbe.
Zaščita komunikacijskih kanalov
Če podatkovni center ponuja storitve ne le po modelu kolokacije, se bo moral ukvarjati z zaščito v oblaku. Po podatkih Check Pointa je samo lani 51 % organizacij po vsem svetu doživelo napade na njihove strukture v oblaku. Napadi DDoS ustavijo podjetja, šifrirni virusi zahtevajo odkupnino, ciljni napadi na bančne sisteme vodijo do kraje sredstev s korespondenčnih računov.
Grožnje zunanjih vdorov skrbijo tudi strokovnjake za informacijsko varnost podatkovnih centrov. Za podatkovne centre so najpomembnejši porazdeljeni napadi, katerih cilj je prekinitev zagotavljanja storitev, ter grožnje vdora, kraje ali spreminjanja podatkov v virtualni infrastrukturi ali sistemih za shranjevanje.
Za zaščito zunanjega perimetra podatkovnega centra se uporabljajo sodobni sistemi s funkcijami za identifikacijo in nevtralizacijo zlonamerne kode, nadzor nad aplikacijami in zmožnostjo uvoza tehnologije proaktivne zaščite Threat Intelligence. V nekaterih primerih so uvedeni sistemi s funkcijo IPS (preprečevanje vdorov) s samodejno prilagoditvijo nastavljenega podpisa parametrom zaščitenega okolja.
Za zaščito pred napadi DDoS ruska podjetja praviloma uporabljajo zunanje specializirane storitve, ki preusmerjajo promet na druga vozlišča in ga filtrirajo v oblaku. Zaščita na strani operaterja je veliko bolj učinkovita kot na strani odjemalca, podatkovni centri pa delujejo kot posredniki pri prodaji storitev.
V podatkovnih centrih so možni tudi interni DDoS napadi: napadalec prodre v slabo zaščitene strežnike enega podjetja, ki gosti svojo opremo po kolokacijskem modelu, in od tam prek notranjega omrežja izvede napad zavrnitve storitve na druge odjemalce tega podatkovnega centra. .
Osredotočite se na virtualna okolja
Upoštevati je treba posebnosti varovanega objekta - uporabo virtualizacijskih orodij, dinamiko sprememb IT infrastruktur, medsebojno povezanost storitev, ko lahko uspešen napad na eno stranko ogrozi varnost sosedov. Na primer, z vdorom v čelni priključek med delom v PaaS, ki temelji na Kubernetesu, lahko napadalec takoj pridobi vse podatke o geslu in celo dostop do sistema za orkestracijo.
Izdelki, ki so na voljo v okviru storitvenega modela, imajo visoko stopnjo avtomatizacije. Da ne bi ovirali poslovanja, morajo biti varnostni ukrepi za informacije uporabljeni v nič manjši meri avtomatizacije in horizontalnega skaliranja. Skaliranje mora biti zagotovljeno na vseh ravneh informacijske varnosti, vključno z avtomatizacijo nadzora dostopa in rotacijo dostopnih ključev. Posebna naloga je skaliranje funkcijskih modulov, ki pregledujejo omrežni promet.
Na primer, filtriranje omrežnega prometa na ravni aplikacije, omrežja in seje v visoko virtualiziranih podatkovnih centrih bi moralo biti izvedeno na ravni omrežnih modulov hipervizorja (na primer VMware Distributed Firewall) ali z ustvarjanjem storitvenih verig (virtualni požarni zidovi podjetja Palo Alto Networks) .
Če obstajajo slabosti na ravni virtualizacije računalniških virov, bodo prizadevanja za vzpostavitev celovitega sistema informacijske varnosti na ravni platforme neučinkovita.
Stopnje zaščite informacij v podatkovnem centru
Splošni pristop k zaščiti je uporaba integriranih, večnivojskih sistemov informacijske varnosti, vključno z makrosegmentacijo na nivoju požarnega zidu (dodelitev segmentov za različna funkcionalna področja poslovanja), mikrosegmentacijo na podlagi virtualnih požarnih zidov ali označevanje prometa skupin. (uporabniške vloge ali storitve), opredeljene s pravilniki dostopa.
Naslednja stopnja je prepoznavanje anomalij znotraj in med segmenti. Analizira se dinamika prometa, ki lahko kaže na prisotnost zlonamernih dejavnosti, kot so skeniranje omrežja, poskusi napadov DDoS, nalaganje podatkov, na primer z razrezom datotek baze podatkov in njihovim izpisom v občasno pojavljajočih sejah v dolgih intervalih. Ogromne količine prometa potekajo skozi podatkovni center, zato je za prepoznavanje anomalij potrebna uporaba naprednih iskalnih algoritmov in brez analize paketov. Pomembno je, da se ne prepoznajo samo znaki zlonamerne in nenormalne dejavnosti, temveč tudi delovanje zlonamerne programske opreme tudi v šifriranem prometu brez dešifriranja, kot je predlagano v rešitvah Cisco (Stealthwatch).
Zadnja meja je zaščita končnih naprav lokalnega omrežja: strežnikov in virtualnih strojev, na primer s pomočjo agentov, nameščenih na končnih napravah (virtualnih strojih), ki analizirajo I/O operacije, brisanja, kopiranja in omrežne aktivnosti, prenaša podatke na , kjer se izvajajo izračuni, ki zahtevajo veliko računalniško moč. Tam se izvede analiza z uporabo algoritmov za velike podatke, zgradijo se strojna logična drevesa in ugotovijo anomalije. Algoritmi se učijo sami in temeljijo na ogromni količini podatkov, ki jih posreduje globalno omrežje senzorjev.
Lahko storite brez namestitve agentov. Sodobna orodja za informacijsko varnost morajo biti brez agentov in integrirana v operacijske sisteme na ravni hipervizorja.
Našteti ukrepi bistveno zmanjšajo informacijsko varnostna tveganja, vendar to morda ne bo dovolj za podatkovne centre, ki zagotavljajo avtomatizacijo visoko tveganih proizvodnih procesov, na primer jedrske elektrarne.
Regulativne zahteve
Odvisno od podatkov, ki se obdelujejo, morajo fizične in virtualizirane infrastrukture podatkovnih centrov izpolnjevati različne varnostne zahteve, določene v zakonih in industrijskih standardih.
Takšni zakoni vključujejo zakon "O osebnih podatkih" (152-FZ) in zakon "O varnosti objektov KII Ruske federacije" (187-FZ), ki sta začela veljati letos - tožilstvo se je že začelo zanimati v napredku njegovega izvajanja. Spori o tem, ali podatkovni centri pripadajo subjektom KII, še vedno potekajo, vendar bodo najverjetneje podatkovni centri, ki želijo zagotavljati storitve subjektom KII, morali izpolnjevati zahteve nove zakonodaje.
Podatkovnim centrom, ki gostijo državne informacijske sisteme, ne bo lahko. V skladu z Odlokom Vlade Ruske federacije z dne 11.05.2017. maja 555 št. XNUMX je treba pred začetkom komercialnega obratovanja GIS rešiti vprašanja varnosti informacij. In podatkovni center, ki želi gostiti GIS, mora najprej izpolnjevati regulativne zahteve.
V zadnjih 30 letih so varnostni sistemi podatkovnih centrov prehodili dolgo pot: od enostavnih sistemov fizične zaščite in organizacijskih ukrepov, ki pa niso izgubili na pomenu, do kompleksnih inteligentnih sistemov, ki vse pogosteje uporabljajo elemente umetne inteligence. Toda bistvo pristopa se ni spremenilo. Najsodobnejše tehnologije vas ne bodo rešile brez organizacijskih ukrepov in izobraževanja osebja, papirologija pa ne brez programskih in tehničnih rešitev. Varnosti podatkovnih centrov ni mogoče zagotoviti enkrat za vselej, gre za nenehen dnevni trud za prepoznavanje prioritetnih groženj in celovito reševanje nastajajočih problemov.
Kaj še lahko preberete na blogu?
→
→
→
→
→
Naročite se na našo -kanal, da ne zamudite naslednjega članka! Pišemo največ dvakrat na teden in samo poslovno. Spomnimo vas tudi, da lahko rešitve v oblaku Cloud4Y.
Vir: www.habr.com