Ieu mangrupikeun pusat ngawaskeun pusat data NORD-2 anu aya di Moscow
Anjeun parantos maca langkung ti sakali ngeunaan ukuran naon anu dilaksanakeun pikeun mastikeun kaamanan inpormasi (IS). Sagala spesialis IT timer respecting bisa kalayan gampang ngaranan 5-10 aturan kaamanan informasi. Cloud4Y nawiskeun ngobrol ngeunaan kaamanan inpormasi ngeunaan pusat data.
Nalika mastikeun kaamanan inpormasi pusat data, objék anu paling "ditangtayungan" nyaéta:
- sumber informasi (data);
- prosés ngumpulkeun, ngolah, nyimpen jeung ngirimkeun informasi;
- pamaké sistem jeung tanaga pangropéa;
- infrastruktur informasi, kaasup hardware jeung software parabot pikeun ngolah, ngirimkeun sarta mintonkeun informasi, kaasup saluran bursa informasi, sistem kaamanan informasi jeung enggon.
Wewengkon tanggung jawab pusat data gumantung kana modél jasa anu disayogikeun (IaaS/PaaS/SaaS). Kumaha rupana, tingali gambar di handap ieu:
Lingkup kawijakan kaamanan puseur data gumantung kana model jasa disadiakeun
Bagian anu paling penting pikeun ngembangkeun kawijakan kaamanan inpormasi nyaéta ngawangun modél ancaman sareng palanggaran. Naon anu tiasa janten ancaman pikeun pusat data?
- Kajadian ngarugikeun alam, jieunan manusa jeung alam sosial
- Teroris, unsur kriminal, jsb.
- Gumantungna kana suppliers, panyadia, mitra, klien
- Gagal, gagal, karuksakan, ruksakna software jeung hardware
- Karyawan pusat data ngalaksanakeun ancaman kaamanan inpormasi nganggo hak sareng kakawasaan anu dipasihkeun sacara sah (pelanggar kaamanan inpormasi internal)
- Karyawan pusat data anu ngalaksanakeun ancaman kaamanan inpormasi di luar hak sareng kakawasaan anu dipasihkeun sacara sah, ogé éntitas anu henteu aya hubunganana sareng tanaga pusat data, tapi nyobian aksés anu henteu sah sareng tindakan anu henteu sah (pelanggar kaamanan inpormasi éksternal)
- Non-patuh kana sarat otoritas pangawas jeung pangaturan, panerapan ayeuna
Analisis résiko - ngaidentipikasi ancaman poténsial sareng ngevaluasi skala konsékuansi palaksanaanna - bakal ngabantosan leres milih tugas prioritas anu kedah direngsekeun ku spesialis kaamanan inpormasi pusat data, sareng ngarencanakeun anggaran pikeun mésér hardware sareng parangkat lunak.
Mastikeun kaamanan mangrupikeun prosés anu terus-terusan anu kalebet tahapan perencanaan, palaksanaan sareng operasi, ngawaskeun, analisa sareng perbaikan sistem kaamanan inpormasi. Pikeun nyiptakeun sistem manajemén kaamanan inpormasi, anu disebut "".
Bagian penting tina kawijakan kaamanan nyaéta distribusi peran sareng tanggung jawab tanaga pikeun palaksanaanna. Kawijakan kudu terus ditinjau pikeun ngagambarkeun parobahan dina undang-undang, ancaman anyar, sareng pertahanan anu muncul. Sareng, tangtosna, komunikasikeun syarat kaamanan inpormasi ka staf sareng nyayogikeun pelatihan.
Ukuran organisasi
Sababaraha ahli anu skeptis ngeunaan kaamanan "kertas", tempo hal utama nyaéta kaahlian praktis pikeun nolak usaha Hacking. Pangalaman nyata dina mastikeun kaamanan inpormasi di bank nunjukkeun sabalikna. Spesialis kaamanan inpormasi tiasa gaduh kaahlian anu saé dina ngaidentipikasi sareng ngirangan résiko, tapi upami tanaga pusat data henteu nuturkeun paréntahna, sadayana bakal sia-sia.
Kaamanan, sakumaha aturan, teu mawa duit, tapi ngan ngaminimalkeun resiko. Ku alatan éta, mindeng dianggap hal disturbing tur sekundér. Sareng nalika spesialis kaamanan ngawitan ngambek (kalayan hak pikeun ngalakukeunana), konflik sering timbul sareng staf sareng kapala departemén operasional.
Ayana standar industri jeung sarat pangaturan mantuan professional kaamanan ngajaga posisi maranéhanana dina hungkul jeung manajemén, jeung kawijakan kaamanan informasi disatujuan, peraturan jeung peraturan ngidinan staf pikeun minuhan sarat diatur kaluar aya, nyadiakeun dadasar pikeun kaputusan mindeng unpopular.
Perlindungan enggon
Nalika pusat data nyayogikeun jasa nganggo modél kolokasi, mastikeun kaamanan fisik sareng kontrol aksés kana alat-alat klien janten payun. Pikeun tujuan ieu, enclosures (bagian pager aula) dipaké, nu aya dina panjagaan video klien tur aksés ka tanaga puseur data diwatesan.
Dina puseur komputer kaayaan kalawan kaamanan fisik, hal éta teu goréng dina ahir abad ka tukang. Aya kontrol aksés, kontrol aksés ka enggon, sanajan tanpa komputer tur kaméra video, sistem extinguishing seuneu - dina acara seuneu freon ieu otomatis dileupaskeun ka kamar mesin.
Kiwari, kaamanan fisik dijamin langkung saé. Sistem kontrol sareng manajemén aksés (ACS) parantos janten calakan, sareng metode biometrik ngeunaan larangan aksés nuju diwanohkeun.
Sistem pareum seuneu janten langkung aman pikeun tanaga sareng alat, diantarana nyaéta pamasangan pikeun inhibisi, isolasi, cooling sareng épék hypoxic dina zona seuneu. Marengan sistem panyalindungan seuneu wajib, puseur data mindeng ngagunakeun sistem deteksi seuneu mimiti tipe aspirasi.
Pikeun nangtayungan puseur data tina ancaman éksternal - kahuruan, ngabeledugna, runtuhna struktur wangunan, banjir, gas corrosive - kamar kaamanan sarta brankas mimiti dipaké, nu alat server ditangtayungan tina ampir kabéh faktor ngaruksak éksternal.
Tumbu lemah nyaéta jalma
Sistem panjagaan pidéo "Smart", sensor tracking volumetrik (akustik, infra red, ultrasonik, gelombang mikro), sistem kontrol aksés parantos ngirangan résiko, tapi henteu ngarengsekeun sadaya masalah. Ieu hartosna moal ngabantosan, contona, nalika jalma anu leres-leres diaku kana pusat data kalayan alat anu leres "hooked" dina hiji hal. Sareng, sapertos sering kajantenan, snag anu teu kahaja bakal nyababkeun masalah maksimal.
Karya puseur data bisa jadi kapangaruhan ku nyalahgunakeun sumberdaya na ku tanaga, contona, pertambangan ilegal. Sistem manajemén infrastruktur pusat data (DCIM) tiasa ngabantosan dina kasus ieu.
tanaga ogé merlukeun panyalindungan, sabab jalma mindeng disebut link paling rentan dina sistem panyalindungan. Sasaran serangan ku penjahat profésional paling sering dimimitian ku pamakéan métode rékayasa sosial. Seringna sistem anu paling aman nabrak atanapi dikompromi saatos aya anu ngaklik / ngaunduh / ngalakukeun hiji hal. Résiko sapertos kitu tiasa diminimalkeun ku pelatihan staf sareng ngalaksanakeun prakték pangsaéna global dina widang kaamanan inpormasi.
Perlindungan infrastruktur rékayasa
Ancaman tradisional pikeun fungsi pusat data nyaéta gagalna kakuatan sareng gagalna sistem pendingin. Kami parantos biasa kana ancaman sapertos kitu sareng diajar nungkulanana.
A trend anyar geus jadi bubuka nyebar tina alat "pinter" disambungkeun ka jaringan: UPSs dikawasa, cooling calakan sarta sistem ventilasi, rupa controller jeung sensor disambungkeun ka sistem monitoring. Nalika ngawangun modél ancaman pusat data, anjeun henteu kedah hilap ngeunaan kamungkinan serangan dina jaringan infrastruktur (sareng, sigana, dina jaringan IT anu aya hubunganana sareng pusat data). Complicating kaayaan nyaéta kanyataan yén sababaraha parabot (contona, chillers) bisa dipindahkeun ka luar puseur data, sebutkeun, kana hateup wangunan nyéwa.
Perlindungan saluran komunikasi
Upami pusat data nyayogikeun jasa henteu ngan ukur dumasar kana modél kolokasi, maka éta kedah ngurus panyalindungan awan. Numutkeun kana Check Point, taun ka tukang waé, 51% organisasi di dunya ngalaman serangan dina struktur awan na. Serangan DDoS ngeureunkeun usaha, virus enkripsi nungtut tebusan, serangan sasaran dina sistem perbankan ngakibatkeun maling dana tina rekening koresponden.
Ancaman tina intrusions éksternal ogé salempang spesialis kaamanan informasi puseur data. Anu paling relevan pikeun pusat data nyaéta serangan anu disebarkeun pikeun ngaganggu panyadiaan jasa, ogé ancaman hacking, maling atanapi modifikasi data anu aya dina infrastruktur virtual atanapi sistem panyimpen.
Pikeun nangtayungan perimeter éksternal puseur data, sistem modern dipaké kalawan fungsi pikeun ngaidentipikasi sarta neutralizing kode jahat, kontrol aplikasi tur kamampuhan pikeun ngimpor téhnologi panyalindungan proaktif Threat Intelligence. Dina sababaraha kasus, sistem sareng fungsionalitas IPS (pencegahan intrusi) disebarkeun kalayan panyesuaian otomatis tina tanda tangan anu disetél kana parameter lingkungan anu dilindungi.
Pikeun ngajaga ngalawan serangan DDoS, pausahaan Rusia, sakumaha aturan, ngagunakeun jasa husus éksternal anu mindahkeun lalulintas keur titik sejen tur nyaring dina awan. Perlindungan di sisi operator langkung efektif tibatan di sisi klien, sareng pusat data janten perantara pikeun penjualan jasa.
Serangan DDoS internal ogé mungkin di pusat data: panyerang nembus server anu ditangtayungan lemah tina hiji perusahaan anu nyayogikeun alat-alatna nganggo modél kolokasi, sareng ti dinya ngalaksanakeun serangan panolakan jasa ka klien sanés pusat data ieu liwat jaringan internal. .
Fokus kana lingkungan virtual
Perlu tumut kana akun spésifik obyék anu ditangtayungan - pamakean alat virtualisasi, dinamika parobahan dina infrastruktur IT, interconnectedness tina jasa, nalika serangan suksés dina hiji klien bisa ngancem kaamanan tatangga. Salaku conto, ku hacking docker frontend nalika damel di PaaS basis Kubernetes, panyerang tiasa langsung kéngingkeun sadaya inpormasi kecap konci bahkan aksés kana sistem orkestrasi.
Produk anu disayogikeun dina modél jasa ngagaduhan tingkat otomatisasi anu luhur. Pikeun henteu ngaganggu bisnis, ukuran kaamanan inpormasi kedah diterapkeun dina tingkat otomatisasi sareng skala horizontal. Skala kedah dipastikeun dina sagala tingkatan kaamanan inpormasi, kalebet otomatisasi kontrol aksés sareng rotasi konci aksés. Tugas khusus nyaéta skala modul fungsional anu mariksa lalu lintas jaringan.
Salaku conto, nyaring lalu lintas jaringan dina tingkat aplikasi, jaringan sareng sési di pusat data anu kacida virtualisasi kedah dilakukeun dina tingkat modul jaringan hypervisor (contona, Firewall Distributed VMware) atanapi ku nyiptakeun ranté jasa (firewall virtual ti Palo Alto Networks). .
Upami aya kalemahan dina tingkat virtualisasi sumberdaya komputasi, usaha pikeun nyiptakeun sistem kaamanan inpormasi anu komprehensif dina tingkat platform bakal teu efektif.
Tingkat panyalindungan inpormasi dina pusat data
Pendekatan umum pikeun panyalindungan nyaéta ngagunakeun sistem kaamanan inpormasi multi-tingkat terpadu, kalebet ségméntasi makro dina tingkat firewall (alokasi bagéan pikeun sagala rupa daérah fungsional bisnis), ségméntasi mikro dumasar kana firewall virtual atanapi lalu lintas tag grup. (peran atawa jasa pamaké) ditetepkeun ku kawijakan aksés .
Tingkat salajengna nyaéta ngaidentipikasi anomali dina sareng di antara bagéan. Dinamika lalu lintas dianalisis, anu tiasa nunjukkeun ayana kagiatan jahat, sapertos scanning jaringan, usaha serangan DDoS, undeuran data, contona, ku nyiksikan file database sareng kaluarkeunana dina sési anu muncul sacara périodik dina interval anu panjang. Jumlah lalu lintas anu ageung ngalangkungan pusat data, janten pikeun ngaidentipikasi anomali, anjeun kedah nganggo algoritma panéangan canggih, sareng tanpa analisa pakét. Kadé teu ukur tanda aktivitas jahat jeung anomali dipikawanoh, tapi ogé operasi malware malah dina lalulintas énkripsi tanpa decrypting eta, sakumaha anu diusulkeun dina solusi Cisco (Stealthwatch).
Batesan terakhir nyaéta panyalindungan alat tungtung jaringan lokal: server sareng mesin virtual, contona, kalayan bantosan agén anu dipasang dina alat tungtung (mesin virtual), anu nganalisis operasi I / O, ngahapus, salinan sareng kagiatan jaringan. ngirimkeun data ka , dimana itungan merlukeun kakuatan komputasi badag dilaksanakeun. Di dinya, analisa dilaksanakeun nganggo algoritma Big Data, tangkal logika mesin diwangun sareng anomali diidentifikasi. Algoritma mangrupikeun diajar mandiri dumasar kana jumlah data anu ageung anu disayogikeun ku jaringan sensor global.
Anjeun tiasa ngalakukeun tanpa masang agén. Alat kaamanan inpormasi modéren kedah tanpa agén sareng terpadu kana sistem operasi dina tingkat hypervisor.
Ukuran didaptarkeun nyata ngurangan résiko kaamanan informasi, tapi ieu bisa jadi teu cukup pikeun puseur data nu nyadiakeun automation prosés produksi-resiko tinggi, contona, pembangkit listrik nuklir.
Syarat pangaturan
Gumantung kana inpormasi anu diolah, infrastruktur pusat data fisik sareng virtualisasi kedah nyumponan syarat kaamanan anu béda-béda anu diatur dina undang-undang sareng standar industri.
Hukum sapertos kitu kalebet undang-undang "Data Pribadi" (152-FZ) sareng undang-undang "Dina Kaamanan Fasilitas KII Féderasi Rusia" (187-FZ), anu dilaksanakeun taun ieu - kantor jaksa parantos janten kabetot. dina kamajuan palaksanaanana. Sengketa ngeunaan naha puseur data milik subjék CII masih lumangsung, tapi paling dipikaresep, puseur data wishing nyadiakeun layanan ka subjék CII kudu sasuai jeung sarat tina panerapan anyar.
Éta moal gampang pikeun pusat data anu nyayogikeun sistem inpormasi pamaréntah. Nurutkeun kana Kaputusan Pamaréntah Féderasi Rusia tanggal 11.05.2017 Méi 555 No XNUMX, isu kaamanan informasi kudu direngsekeun saméméh nempatkeun GIS kana operasi komérsial. Sareng pusat data anu hoyong janten host GIS kedah nyumponan sarat pangaturan heula.
Salila 30 taun katukang, sistem kaamanan puseur data geus datangna jauh: ti sistem panyalindungan fisik basajan jeung ukuran organisasi, nu kitu, teu leungit relevansi maranéhanana, nepi ka sistem calakan kompléks, nu beuki ngagunakeun unsur kecerdasan jieunan. Tapi hakekat pendekatan teu robah. Téknologi anu paling modéren moal nyalametkeun anjeun tanpa ukuran organisasi sareng pelatihan staf, sareng karya tulis moal nyalametkeun anjeun tanpa parangkat lunak sareng solusi téknis. Kaamanan pusat data henteu tiasa dipastikeun sakali-kali; éta mangrupikeun usaha sapopoé pikeun ngaidentipikasi ancaman prioritas sareng sacara komprehensif ngarengsekeun masalah anu muncul.
Naon deui anu anjeun tiasa baca dina blog?
→
→
→
→
→
Ngalanggan kami -kanal supados anjeun henteu sono kana tulisan salajengna! Kami nyerat henteu langkung ti dua kali saminggu sareng ngan ukur dina bisnis. Kami ogé ngingetkeun yén anjeun tiasa solusi awan Cloud4Y.
sumber: www.habr.com