ProHoster > Blog > administratë > Siguria e informacionit të qendrës së të dhënave

Siguria e informacionit të qendrës së të dhënave

Siguria e informacionit të qendrës së të dhënave
Kështu duket qendra e monitorimit të qendrës së të dhënave NORD-2 që ndodhet në Moskë

Ju keni lexuar më shumë se një herë se çfarë masash janë marrë për të garantuar sigurinë e informacionit (IS). Çdo specialist i TI-së që respekton veten mund të emërojë lehtësisht 5-10 rregulla të sigurisë së informacionit. Cloud4Y ofron të flasim për sigurinë e informacionit të qendrave të të dhënave.

Kur sigurohet siguria e informacionit të një qendre të dhënash, objektet më të "mbrojtura" janë:

  • burimet e informacionit (të dhënat);
  • proceset e mbledhjes, përpunimit, ruajtjes dhe transmetimit të informacionit;
  • përdoruesit e sistemit dhe personeli i mirëmbajtjes;
  • infrastrukturën e informacionit, duke përfshirë mjetet harduerike dhe softuerike për përpunimin, transmetimin dhe shfaqjen e informacionit, duke përfshirë kanalet e shkëmbimit të informacionit, sistemet dhe ambientet e sigurisë së informacionit.

Fusha e përgjegjësisë së qendrës së të dhënave varet nga modeli i shërbimeve të ofruara (IaaS/PaaS/SaaS). Si duket, shikoni foton më poshtë:

Siguria e informacionit të qendrës së të dhënave
Shtrirja e politikës së sigurisë së qendrës së të dhënave në varësi të modelit të shërbimeve të ofruara

Pjesa më e rëndësishme e zhvillimit të një politike të sigurisë së informacionit është ndërtimi i një modeli kërcënimesh dhe shkelësish. Çfarë mund të bëhet kërcënim për një qendër të dhënash?

  1. Ngjarjet negative të natyrës natyrore, të krijuara nga njeriu dhe sociale
  2. Terroristët, elementët kriminalë etj.
  3. Varësia nga furnitorët, ofruesit, partnerët, klientët
  4. Dështimet, dështimet, shkatërrimi, dëmtimi i softuerit dhe harduerit
  5. Punonjësit e qendrës së të dhënave që zbatojnë kërcënimet e sigurisë së informacionit duke përdorur të drejta dhe kompetenca të dhëna ligjërisht (shkelës të brendshëm të sigurisë së informacionit)
  6. Punonjësit e qendrës së të dhënave që zbatojnë kërcënime për sigurinë e informacionit jashtë të drejtave dhe kompetencave të dhëna me ligj, si dhe subjekte që nuk kanë lidhje me personelin e qendrës së të dhënave, por që tentojnë akses të paautorizuar dhe veprime të paautorizuara (shkelës të sigurisë së informacionit të jashtëm)
  7. Mosrespektimi i kërkesave të autoriteteve mbikëqyrëse dhe rregullatore, legjislacioni aktual

Analiza e rrezikut - identifikimi i kërcënimeve të mundshme dhe vlerësimi i shkallës së pasojave të zbatimit të tyre - do të ndihmojë në zgjedhjen e saktë të detyrave prioritare që specialistët e sigurisë së informacionit të qendrës së të dhënave duhet të zgjidhin dhe të planifikojnë buxhetet për blerjen e harduerit dhe softuerit.

Sigurimi i sigurisë është një proces i vazhdueshëm që përfshin fazat e planifikimit, zbatimit dhe funksionimit, monitorimit, analizës dhe përmirësimit të sistemit të sigurisë së informacionit. Për të krijuar sisteme të menaxhimit të sigurisë së informacionit, të ashtuquajturat "Cikli Deming'.

Një pjesë e rëndësishme e politikave të sigurisë është shpërndarja e roleve dhe përgjegjësive të personelit për zbatimin e tyre. Politikat duhet të rishikohen vazhdimisht për të pasqyruar ndryshimet në legjislacion, kërcënime të reja dhe mbrojtje në zhvillim. Dhe, natyrisht, komunikoni kërkesat e sigurisë së informacionit për stafin dhe siguroni trajnime.

Masat organizative

Disa ekspertë janë skeptikë në lidhje me sigurinë "letër", duke konsideruar se gjëja kryesore janë aftësitë praktike për t'i rezistuar përpjekjeve të hakerimit. Përvoja reale në sigurimin e sigurisë së informacionit në banka sugjeron të kundërtën. Specialistët e sigurisë së informacionit mund të kenë ekspertizë të shkëlqyer në identifikimin dhe zbutjen e rreziqeve, por nëse personeli i qendrës së të dhënave nuk ndjek udhëzimet e tyre, gjithçka do të jetë e kotë.

Siguria, si rregull, nuk sjell para, por vetëm minimizon rreziqet. Prandaj, shpesh trajtohet si diçka shqetësuese dhe dytësore. Dhe kur specialistët e sigurisë fillojnë të indinjohen (me çdo të drejtë për ta bërë këtë), shpesh lindin konflikte me stafin dhe drejtuesit e departamenteve operative.

Prania e standardeve të industrisë dhe kërkesave rregullatore i ndihmon profesionistët e sigurisë të mbrojnë pozicionet e tyre në negociatat me menaxhmentin dhe politikat, rregulloret dhe rregulloret e miratuara të sigurisë së informacionit lejojnë personelin të pajtohet me kërkesat e përcaktuara atje, duke ofruar bazën për vendime shpesh jopopullore.

Mbrojtja e ambienteve

Kur një qendër e të dhënave ofron shërbime duke përdorur modelin e kolokacionit, sigurimi i sigurisë fizike dhe kontrolli i aksesit në pajisjet e klientit del në plan të parë. Për këtë qëllim, përdoren rrethime (pjesë të rrethuara të sallës), të cilat janë nën mbikëqyrjen video të klientit dhe në të cilat qasja në personelin e qendrës së të dhënave është e kufizuar.

Në qendrat kompjuterike shtetërore me siguri fizike, gjërat nuk ishin keq në fund të shekullit të kaluar. Kishte kontroll të hyrjes, kontroll të hyrjes në ambiente, madje edhe pa kompjuterë dhe video kamera, një sistem shuarje zjarri - në rast zjarri, freoni lëshohej automatikisht në dhomën e makinerive.

Në ditët e sotme, siguria fizike sigurohet edhe më mirë. Sistemet e kontrollit dhe menaxhimit të aksesit (ACS) janë bërë inteligjente dhe po futen metoda biometrike të kufizimit të aksesit.

Sistemet e shuarjes së zjarrit janë bërë më të sigurta për personelin dhe pajisjet, ndër të cilat janë instalimet për frenim, izolim, ftohje dhe efekte hipoksike në zonën e zjarrit. Së bashku me sistemet e detyrueshme të mbrojtjes nga zjarri, qendrat e të dhënave shpesh përdorin një sistem të zbulimit të hershëm të zjarrit të tipit aspirues.

Për të mbrojtur qendrat e të dhënave nga kërcënimet e jashtme - zjarret, shpërthimet, shembja e strukturave të ndërtesave, përmbytjet, gazrat gërryes - filluan të përdoren dhomat e sigurisë dhe kasafortat, në të cilat pajisjet e serverit mbrohen nga pothuajse të gjithë faktorët e jashtëm të dëmshëm.

Lidhja e dobët është personi

Sistemet “inteligjente” të mbikëqyrjes video, sensorët volumetrikë të përcjelljes (akustikë, infra të kuqe, ultrasonike, mikrovalë), sistemet e kontrollit të aksesit kanë ulur rreziqet, por nuk i kanë zgjidhur të gjitha problemet. Këto mjete nuk do të ndihmojnë, për shembull, kur njerëzit që u pranuan saktë në qendrën e të dhënave me mjetet e duhura ishin "të lidhur" me diçka. Dhe, siç ndodh shpesh, një pengesë aksidentale do të sjellë probleme maksimale.

Puna e qendrës së të dhënave mund të ndikohet nga keqpërdorimi i burimeve të saj nga personeli, për shembull, minierat ilegale. Sistemet e menaxhimit të infrastrukturës së qendrës së të dhënave (DCIM) mund të ndihmojnë në këto raste.

Personeli gjithashtu kërkon mbrojtje, pasi njerëzit shpesh quhen lidhja më e prekshme në sistemin e mbrojtjes. Sulmet e synuara nga kriminelët profesionistë më shpesh fillojnë me përdorimin e metodave të inxhinierisë sociale. Shpesh sistemet më të sigurta rrëzohen ose komprometohen pasi dikush klikoi/shkarkoi/bëri diçka. Rreziqet e tilla mund të minimizohen nga stafi i trajnimit dhe zbatimi i praktikave më të mira globale në fushën e sigurisë së informacionit.

Mbrojtja e infrastrukturës inxhinierike

Kërcënimet tradicionale për funksionimin e një qendre të dhënash janë ndërprerjet e energjisë dhe dështimet e sistemeve të ftohjes. Tashmë jemi mësuar me kërcënime të tilla dhe kemi mësuar t'i përballojmë ato.

Një prirje e re është bërë prezantimi i gjerë i pajisjeve "të zgjuara" të lidhura me një rrjet: UPS të kontrolluara, sisteme inteligjente të ftohjes dhe ventilimit, kontrollorë dhe sensorë të ndryshëm të lidhur me sistemet e monitorimit. Kur ndërtoni një model kërcënimi për qendrën e të dhënave, nuk duhet të harroni mundësinë e një sulmi në rrjetin e infrastrukturës (dhe, ndoshta, në rrjetin e lidhur IT të qendrës së të dhënave). Situata e komplikuar është fakti që disa nga pajisjet (për shembull, ftohësit) mund të zhvendosen jashtë qendrës së të dhënave, të themi, në çatinë e një ndërtese me qira.

Mbrojtja e kanaleve të komunikimit

Nëse qendra e të dhënave ofron shërbime jo vetëm sipas modelit të kolokacionit, atëherë do të duhet të merret me mbrojtjen e cloud. Sipas Check Point, vetëm vitin e kaluar, 51% e organizatave në mbarë botën përjetuan sulme në strukturat e tyre cloud. Sulmet DDoS ndalojnë bizneset, viruset e enkriptimit kërkojnë shpërblim, sulmet e synuara ndaj sistemeve bankare çojnë në vjedhjen e fondeve nga llogaritë korrespondente.

Kërcënimet e ndërhyrjeve të jashtme shqetësojnë gjithashtu specialistët e sigurisë së informacionit të qendrës së të dhënave. Më të rëndësishmet për qendrat e të dhënave janë sulmet e shpërndara që synojnë ndërprerjen e ofrimit të shërbimeve, si dhe kërcënimet e hakimit, vjedhjes ose modifikimit të të dhënave të përfshira në infrastrukturën virtuale ose sistemet e ruajtjes.

Për të mbrojtur perimetrin e jashtëm të qendrës së të dhënave, përdoren sisteme moderne me funksione për identifikimin dhe neutralizimin e kodit me qëllim të keq, kontrollin e aplikacionit dhe aftësinë për të importuar teknologjinë e mbrojtjes proaktive të Threat Intelligence. Në disa raste, sistemet me funksionalitet IPS (parandalimi i ndërhyrjes) vendosen me rregullimin automatik të nënshkrimit të vendosur në parametrat e mjedisit të mbrojtur.

Për të mbrojtur kundër sulmeve DDoS, kompanitë ruse, si rregull, përdorin shërbime të specializuara të jashtme që devijojnë trafikun në nyje të tjera dhe e filtrojnë atë në re. Mbrojtja nga ana e operatorit është shumë më efektive sesa nga ana e klientit dhe qendrat e të dhënave veprojnë si ndërmjetës për shitjen e shërbimeve.

Sulmet e brendshme DDoS janë gjithashtu të mundshme në qendrat e të dhënave: një sulmues depërton në serverët e mbrojtur dobët të një kompanie që pret pajisjet e saj duke përdorur një model kolokimi, dhe prej andej kryen një sulm të mohimit të shërbimit ndaj klientëve të tjerë të kësaj qendre të të dhënave përmes rrjetit të brendshëm. .

Përqendrohuni në mjediset virtuale

Është e nevojshme të merren parasysh specifikat e objektit të mbrojtur - përdorimi i mjeteve të virtualizimit, dinamika e ndryshimeve në infrastrukturat e TI-së, ndërlidhja e shërbimeve, kur një sulm i suksesshëm ndaj një klienti mund të kërcënojë sigurinë e fqinjëve. Për shembull, duke hakuar dokerin e frontendit ndërsa punon në një PaaS me bazë Kubernetes, një sulmues mund të marrë menjëherë të gjithë informacionin e fjalëkalimit dhe madje edhe aksesin në sistemin e orkestrimin.

Produktet e ofruara sipas modelit të shërbimit kanë një shkallë të lartë automatizimi. Për të mos ndërhyrë në biznes, masat e sigurisë së informacionit duhet të zbatohen në një shkallë jo më pak të automatizimit dhe shkallëzimit horizontal. Shkallëzimi duhet të sigurohet në të gjitha nivelet e sigurisë së informacionit, duke përfshirë automatizimin e kontrollit të aksesit dhe rrotullimin e çelësave të aksesit. Një detyrë e veçantë është shkallëzimi i moduleve funksionale që inspektojnë trafikun e rrjetit.

Për shembull, filtrimi i trafikut të rrjetit në nivelet e aplikacionit, rrjetit dhe sesioneve në qendrat e të dhënave shumë të virtualizuara duhet të kryhet në nivelin e moduleve të rrjetit të hipervizorit (për shembull, Firewall i Distributuar i VMware) ose duke krijuar zinxhirë shërbimi (firewall virtual nga Palo Alto Networks). .

Nëse ka dobësi në nivelin e virtualizimit të burimeve kompjuterike, përpjekjet për të krijuar një sistem gjithëpërfshirës të sigurisë së informacionit në nivelin e platformës do të jenë joefektive.

Nivelet e mbrojtjes së informacionit në qendrën e të dhënave

Qasja e përgjithshme ndaj mbrojtjes është përdorimi i sistemeve të integruara, me shumë nivele të sigurisë së informacionit, duke përfshirë makro-segmentimin në nivelin e murit të zjarrit (ndarja e segmenteve për fusha të ndryshme funksionale të biznesit), mikro-segmentimi i bazuar në muret e zjarrit virtual ose etiketimi i trafikut të grupeve (Rolet ose shërbimet e përdoruesit) të përcaktuara nga politikat e hyrjes.

Niveli tjetër është identifikimi i anomalive brenda dhe ndërmjet segmenteve. Dinamika e trafikut analizohet, e cila mund të tregojë praninë e aktiviteteve me qëllim të keq, të tilla si skanimi i rrjetit, përpjekjet për sulme DDoS, shkarkimi i të dhënave, për shembull, duke prerë skedarët e bazës së të dhënave dhe duke i nxjerrë ato në sesione që shfaqen periodikisht në intervale të gjata. Sasi të mëdha trafiku kalojnë nëpër qendrën e të dhënave, kështu që për të identifikuar anomalitë, duhet të përdorni algoritme të avancuara kërkimi dhe pa analiza të paketave. Është e rëndësishme që jo vetëm të njihen shenjat e aktivitetit keqdashës dhe anormal, por edhe funksionimi i malware edhe në trafikun e koduar pa e deshifruar atë, siç propozohet në zgjidhjet Cisco (Stealthwatch).

Kufiri i fundit është mbrojtja e pajisjeve fundore të rrjetit lokal: serverët dhe makinat virtuale, për shembull, me ndihmën e agjentëve të instaluar në pajisjet fundore (makinat virtuale), të cilët analizojnë operacionet I/O, fshirjet, kopjet dhe aktivitetet e rrjetit. transmetojnë të dhëna në re, ku kryhen llogaritjet që kërkojnë fuqi të madhe llogaritëse. Aty kryhet analiza duke përdorur algoritme Big Data, ndërtohen pemë logjike makinerie dhe identifikohen anomalitë. Algoritmet janë të vetë-mësuar bazuar në një sasi të madhe të dhënash të ofruara nga një rrjet global sensorësh.

Ju mund të bëni pa instaluar agjentë. Mjetet moderne të sigurisë së informacionit duhet të jenë pa agjentë dhe të integruara në sistemet operative në nivelin e hipervizorit.
Masat e listuara reduktojnë ndjeshëm rreziqet e sigurisë së informacionit, por kjo mund të mos jetë e mjaftueshme për qendrat e të dhënave që ofrojnë automatizimin e proceseve të prodhimit me rrezik të lartë, për shembull, termocentralet bërthamore.

Kerkesat rregullatore

Në varësi të informacionit që përpunohet, infrastrukturat fizike dhe të virtualizuara të qendrave të të dhënave duhet të plotësojnë kërkesa të ndryshme sigurie të përcaktuara në ligje dhe standarde të industrisë.

Ligje të tilla përfshijnë ligjin "Për të dhënat personale" (152-FZ) dhe ligjin "Për sigurinë e objekteve KII të Federatës Ruse" (187-FZ), i cili hyri në fuqi këtë vit - prokuroria tashmë është interesuar në ecurinë e zbatimit të tij. Mosmarrëveshjet nëse qendrat e të dhënave i përkasin subjekteve të CII janë ende në vazhdim, por ka shumë të ngjarë, qendrat e të dhënave që dëshirojnë të ofrojnë shërbime për subjektet e CII do të duhet të respektojnë kërkesat e legjislacionit të ri.

Nuk do të jetë e lehtë për qendrat e të dhënave që presin sistemet e informacionit qeveritar. Sipas Dekretit të Qeverisë së Federatës Ruse, datë 11.05.2017 maj 555, nr. XNUMX, çështjet e sigurisë së informacionit duhet të zgjidhen përpara se të vihet në funksionim tregtar GIS. Dhe një qendër e të dhënave që dëshiron të presë një GIS së pari duhet të plotësojë kërkesat rregullatore.

Gjatë 30 viteve të fundit, sistemet e sigurisë së qendrave të të dhënave kanë bërë një rrugë të gjatë: nga sistemet e thjeshta të mbrojtjes fizike dhe masat organizative, të cilat, megjithatë, nuk e kanë humbur rëndësinë e tyre, te sistemet komplekse inteligjente, të cilat përdorin gjithnjë e më shumë elementë të inteligjencës artificiale. Por thelbi i qasjes nuk ka ndryshuar. Teknologjitë më moderne nuk do t'ju shpëtojnë pa masa organizative dhe trajnime të stafit, dhe dokumentet nuk do t'ju shpëtojnë pa softuer dhe zgjidhje teknike. Siguria e qendrës së të dhënave nuk mund të sigurohet një herë e përgjithmonë; është një përpjekje e vazhdueshme e përditshme për të identifikuar kërcënimet prioritare dhe për të zgjidhur në mënyrë gjithëpërfshirëse problemet e shfaqura.

Çfarë tjetër mund të lexoni në blog? Cloud4Y

Vendosja e sipërme në GNU/Linux
Pentesterët në ballë të sigurisë kibernetike
Rruga e inteligjencës artificiale nga një ide fantastike në industrinë shkencore
4 mënyra për të kursyer në kopjet rezervë të cloud
Historia e Mutt

Regjistrohu në tonë Telegram-kanal që të mos humbisni artikullin tjetër! Ne shkruajmë jo më shumë se dy herë në javë dhe vetëm për punë. Ju kujtojmë gjithashtu se mundeni testoni falas zgjidhje cloud Cloud4Y.

Burimi: www.habr.com

Shto një koment