Овако изгледа центар за праћење дата центра НОРД-2 који се налази у Москви
Прочитали сте више пута о томе које мере се предузимају да би се осигурала безбедност информација (ИС). Сваки ИТ специјалиста који поштује себе може лако да наведе 5-10 правила безбедности информација. Цлоуд4И нуди разговор о информационој безбедности центара података.
Приликом обезбеђивања информационе безбедности дата центра, најзаштићенији објекти су:
- информациони ресурси (подаци);
- процеси прикупљања, обраде, чувања и преношења информација;
- корисници система и особље за одржавање;
- информациона инфраструктура, укључујући хардверске и софтверске алате за обраду, пренос и приказивање информација, укључујући канале за размену информација, системе безбедности информација и просторије.
Област одговорности дата центра зависи од модела услуга које се пружају (ИааС/ПааС/СааС). Како то изгледа погледајте на слици испод:
Обим безбедносне политике дата центра у зависности од модела услуга које се пружају
Најважнији део развоја политике информационе безбедности је изградња модела претњи и насилника. Шта може постати претња дата центру?
- Нежељени догађаји природне, људске и друштвене природе
- Терористи, криминални елементи итд.
- Зависност од добављача, провајдера, партнера, клијената
- Кварови, кварови, уништење, оштећење софтвера и хардвера
- Запослени у дата центрима који спроводе претње безбедности информација користећи законом дата права и овлашћења (интерни нарушиоци информационе безбедности)
- Запослени у дата центру који спроводе претње безбедности информација мимо законом додељених права и овлашћења, као и субјекти који нису повезани са особљем дата центра, али покушавају неовлашћени приступ и неовлашћене радње (екстерни нарушиоци безбедности информација)
- Неусаглашеност са захтевима надзорних и регулаторних органа, важећим законодавством
Анализа ризика – идентификовање потенцијалних претњи и процена размера последица њихове имплементације – помоћи ће да се правилно изаберу приоритетни задаци које стручњаци за безбедност информација у дата центрима морају да реше и планирају буџете за куповину хардвера и софтвера.
Обезбеђивање безбедности је континуиран процес који обухвата фазе планирања, имплементације и рада, праћења, анализе и унапређења система безбедности информација. За креирање система управљања безбедношћу информација, тзв.'.
Важан део безбедносних политика је расподела улога и одговорности особља за њихово спровођење. Политике треба континуирано ревидирати како би се одразиле промене у законодавству, нове претње и нове одбране. И, наравно, обавестите особље о захтевима за безбедност информација и обезбедите обуку.
Организационе мере
Неки стручњаци су скептични по питању „папирне“ безбедности, сматрајући да је главна ствар практичне вештине да се одупре покушајима хаковања. Право искуство у обезбеђивању информационе безбедности у банкама говори супротно. Стручњаци за безбедност информација могу имати одличну експертизу у идентификовању и ублажавању ризика, али ако особље центра података не следи њихова упутства, све ће бити узалудно.
Сигурност, по правилу, не доноси новац, већ само минимизира ризике. Стога се често третира као нешто узнемирујуће и секундарно. А када стручњаци за безбедност почну да буду негодовани (са свим правом на то), често долази до сукоба са особљем и шефовима оперативних одељења.
Присуство индустријских стандарда и регулаторних захтева помаже професионалцима у области безбедности да бране своје позиције у преговорима са менаџментом, а одобрене политике, прописи и прописи о безбедности информација омогућавају особљу да се придржава тамо наведених захтева, пружајући основу за често непопуларне одлуке.
Заштита просторија
Када дата центар пружа услуге користећи модел колокације, обезбеђење физичке безбедности и контрола приступа опреми клијента долази до изражаја. У ту сврху користе се ограде (ограђени делови хале) који су под видео надзором наручиоца и којима је ограничен приступ особљу дата центра.
У државним компјутерским центрима са физичким обезбеђењем није било лоше ни крајем прошлог века. Постојала је контрола приступа, контрола приступа просторијама, чак и без компјутера и видео камера, систем за гашење пожара - у случају пожара фреон се аутоматски испуштао у машинску собу.
Данас је физичка безбедност још боље обезбеђена. Системи контроле и управљања приступом (АЦС) су постали интелигентни, а уводе се и биометријске методе ограничења приступа.
Системи за гашење пожара постали су безбеднији за особље и опрему, међу којима су инсталације за инхибицију, изолацију, хлађење и хипоксично дејство на зону пожара. Поред обавезних система заштите од пожара, центри података често користе систем раног откривања пожара аспирационог типа.
За заштиту центара података од спољних претњи – пожара, експлозија, урушавања грађевинских конструкција, поплава, корозивних гасова – почеле су да се користе сигурносне собе и сефови, у којима је серверска опрема заштићена од скоро свих спољних штетних фактора.
Слаба карика је особа
„Паметни” системи видео надзора, волуметријски сензори за праћење (акустични, инфрацрвени, ултразвучни, микроталасни), системи контроле приступа су смањили ризике, али нису решили све проблеме. Ова средства неће помоћи, на пример, када су људи који су исправно примљени у центар података са исправним алатима били „навучени” на нешто. И, као што се често дешава, случајна замка ће донети максималне проблеме.
На рад дата центра може утицати злоупотреба његових ресурса од стране особља, на пример, илегално рударење. Системи за управљање инфраструктуром центра података (ДЦИМ) могу помоћи у овим случајевима.
Особље такође захтева заштиту, јер се људи често називају најрањивијом кариком у систему заштите. Циљани напади професионалних криминалаца најчешће почињу употребом метода социјалног инжењеринга. Често се најбезбеднији системи кваре или компромитују након што је неко нешто кликнуо/преузео/урадио. Такви ризици се могу минимизирати обуком особља и применом најбољих светских пракси у области информационе безбедности.
Заштита инжењерске инфраструктуре
Традиционалне претње функционисању дата центра су нестанци струје и кварови система за хлађење. Већ смо се навикли на такве претње и научили да се носимо са њима.
Нови тренд је постао широко распрострањено увођење „паметне“ опреме повезане на мрежу: контролисаних УПС-ова, интелигентних система за хлађење и вентилацију, разних контролера и сензора повезаних са системима за праћење. Када градите модел претње центра података, не треба заборавити на вероватноћу напада на инфраструктурну мрежу (и, евентуално, на придружену ИТ мрежу центра података). Ситуацију компликује чињеница да се део опреме (на пример, чилери) може преместити ван дата центра, рецимо, на кров изнајмљене зграде.
Заштита комуникационих канала
Ако центар података пружа услуге не само по моделу колокације, онда ће морати да се бави заштитом облака. Према Цхецк Поинт-у, само прошле године, 51% организација широм света искусило је нападе на своје структуре облака. ДДоС напади заустављају пословање, вируси за шифровање захтевају откуп, циљани напади на банкарске системе доводе до крађе средстава са кореспондентних рачуна.
Претње од спољних упада такође забрињавају стручњаке за безбедност информација у дата центрима. Најрелевантнији за дата центре су дистрибуирани напади који имају за циљ прекид пружања услуга, као и претње хаковања, крађе или модификације података садржаних у виртуелној инфраструктури или системима за складиштење података.
За заштиту спољног периметра дата центра користе се савремени системи са функцијама за идентификацију и неутралисање злонамерног кода, контролу апликација и могућност увоза технологије проактивне заштите Тхреат Интеллигенце. У неким случајевима, системи са ИПС (интрусион превентион) функционалношћу се постављају уз аутоматско прилагођавање потписа постављеног параметрима заштићеног окружења.
За заштиту од ДДоС напада, руске компаније, по правилу, користе екстерне специјализоване услуге које преусмеравају саобраћај на друге чворове и филтрирају га у облаку. Заштита на страни оператера је много ефикаснија него на страни клијента, а центри података делују као посредници у продаји услуга.
Интерни ДДоС напади су могући и у дата центрима: нападач продире у слабо заштићене сервере једне компаније која хостује своју опрему користећи колокациони модел, а одатле врши напад ускраћивања услуге на друге клијенте овог дата центра преко интерне мреже .
Фокусирајте се на виртуелна окружења
Неопходно је узети у обзир специфичности заштићеног објекта – коришћење алата за виртуелизацију, динамику промена ИТ инфраструктура, међусобну повезаност сервиса, када успешан напад на једног клијента може да угрози безбедност суседа. На пример, хаковањем фронтенд доцкер-а док ради у ПааС-у заснованом на Кубернетес-у, нападач може одмах добити све информације о лозинки, па чак и приступ систему оркестрације.
Производи који се пружају по моделу услуге имају висок степен аутоматизације. Да се не би ометало пословање, мере безбедности информација морају се применити у ништа мањем степену аутоматизације и хоризонталног скалирања. Скалирање треба обезбедити на свим нивоима безбедности информација, укључујући аутоматизацију контроле приступа и ротацију приступних кључева. Посебан задатак је скалирање функционалних модула који прегледају мрежни саобраћај.
На пример, филтрирање мрежног саобраћаја на нивоу апликације, мреже и сесије у високо виртуелизованим центрима података треба да се врши на нивоу мрежних модула хипервизора (на пример, ВМваре-ов дистрибуирани заштитни зид) или креирањем ланаца услуга (виртуелни заштитни зидови из Пало Алто Нетворкс) .
Ако постоје слабости на нивоу виртуелизације рачунарских ресурса, напори да се створи свеобухватан систем безбедности информација на нивоу платформе биће неефикасни.
Нивои заштите информација у дата центру
Општи приступ заштити је коришћење интегрисаних система за безбедност информација на више нивоа, укључујући макро-сегментацију на нивоу заштитног зида (додељивање сегмената за различите функционалне области пословања), микро-сегментацију засновану на виртуелним заштитним зидовима или означавање саобраћаја група. (корисничке улоге или услуге) дефинисане политикама приступа .
Следећи ниво је идентификација аномалија унутар и између сегмената. Анализира се динамика саобраћаја, што може указивати на присуство злонамерних активности, као што су скенирање мреже, покушаји ДДоС напада, преузимање података, на пример, сечењем датотека базе података и њиховим излазом у периодично сесијама које се појављују у дугим интервалима. Огромне количине саобраћаја пролазе кроз дата центар, тако да је за идентификацију аномалија потребно користити напредне алгоритме претраживања, и то без анализе пакета. Важно је да се препознају не само знаци злонамерне и аномалне активности, већ и рад малвера чак и у шифрованом саобраћају без његовог дешифровања, као што је предложено у Цисцо решењима (Стеалтхватцх).
Последња граница је заштита крајњих уређаја локалне мреже: сервера и виртуелних машина, на пример, уз помоћ агената инсталираних на крајњим уређајима (виртуелним машинама), који анализирају И/О операције, брисања, копије и мрежне активности, пренети податке на , где се врше прорачуни који захтевају велику рачунарску снагу. Тамо се врши анализа помоћу алгоритама великих података, граде се стабла машинске логике и идентификују се аномалије. Алгоритми се самоуче на основу огромне количине података које доставља глобална мрежа сензора.
Можете и без инсталирања агената. Савремени алати за безбедност информација морају бити без агента и интегрисани у оперативне системе на нивоу хипервизора.
Наведене мере значајно смањују ризике по безбедност информација, али то можда неће бити довољно за центре података који обезбеђују аутоматизацију високоризичних производних процеса, на пример, нуклеарних електрана.
Регулаторни захтеви
У зависности од информација које се обрађују, физичка и виртуелизована инфраструктура центара података морају да испуњавају различите безбедносне захтеве постављене у законима и индустријским стандардима.
Такви закони укључују закон „О личним подацима“ (152-ФЗ) и закон „О безбедности КИИ објеката Руске Федерације“ (187-ФЗ), који је ступио на снагу ове године - тужилаштво се већ заинтересовало у току његове имплементације. Спорови око тога да ли центри података припадају субјектима КИИ су још увек у току, али ће највероватније центри података који желе да пружају услуге субјектима КИИ морати да испоштују захтеве новог законодавства.
Неће бити лако центрима података у којима се налазе владини информациони системи. Према Уредби Владе Руске Федерације од 11.05.2017. маја 555. број XNUMX, питања безбедности информација треба решити пре пуштања ГИС-а у комерцијални рад. А центар података који жели да угости ГИС мора прво да испуни регулаторне захтеве.
Током протеклих 30 година, безбедносни системи центара података су прешли дуг пут: од једноставних система физичке заштите и организационих мера, које, међутим, нису изгубиле на актуелности, до сложених интелигентних система, који све више користе елементе вештачке интелигенције. Али суштина приступа се није променила. Најсавременије технологије неће вас спасити без организационих мера и обуке кадрова, а папирологија вас неће спасити без софтверских и техничких решења. Безбедност дата центра се не може обезбедити једном заувек, то је стални свакодневни напор да се идентификују приоритетне претње и свеобухватно решавају проблеми који се појављују.
Шта још можете прочитати на блогу?
→
→
→
→
→
Претплатите се на наш -канал да не пропустите следећи чланак! Пишемо не више од два пута недељно и само пословно. Такође вас подсећамо да можете цлоуд решења Цлоуд4И.
Извор: ввв.хабр.цом