Så här ser övervakningscentret för NORD-2-datacentret i Moskva ut
Du har läst mer än en gång om vilka åtgärder som vidtas för att säkerställa informationssäkerhet (IS). Alla IT-specialister med självrespekt kan enkelt nämna 5-10 informationssäkerhetsregler. Cloud4Y erbjuder att prata om informationssäkerhet för datacenter.
När man säkerställer informationssäkerheten för ett datacenter är de mest "skyddade" objekten:
- informationsresurser (data);
- processer för insamling, bearbetning, lagring och överföring av information;
- systemanvändare och underhållspersonal;
- informationsinfrastruktur, inklusive hårdvaru- och mjukvaruverktyg för bearbetning, överföring och visning av information, inklusive kanaler för informationsutbyte, informationssäkerhetssystem och lokaler.
Datacentrets ansvarsområde beror på vilken modell av tjänster som tillhandahålls (IaaS/PaaS/SaaS). Hur det ser ut, se bilden nedan:
Omfattningen av datacentersäkerhetspolicyn beror på vilken modell av tjänster som tillhandahålls
Den viktigaste delen av att utveckla en informationssäkerhetspolicy är att bygga en modell av hot och kränkare. Vad kan bli ett hot mot ett datacenter?
- Biverkningar av naturlig, av människan skapad och social karaktär
- Terrorister, kriminella element osv.
- Beroende av leverantörer, leverantörer, partners, kunder
- Fel, fel, förstörelse, skador på mjukvara och hårdvara
- Datacenteranställda som implementerar informationssäkerhetshot med hjälp av lagligt beviljade rättigheter och befogenheter (interna informationssäkerhetsöverträdare)
- Datacenteranställda som implementerar informationssäkerhetshot utanför de lagligt beviljade rättigheterna och befogenheterna, såväl som enheter som inte är relaterade till datacenterpersonalen, men som försöker obehörig åtkomst och otillåtna åtgärder (externa informationssäkerhetsöverträdare)
- Bristande efterlevnad av krav från tillsyns- och tillsynsmyndigheter, gällande lagstiftning
Riskanalys - att identifiera potentiella hot och bedöma omfattningen av konsekvenserna av deras implementering - kommer att hjälpa till att korrekt välja de prioriterade uppgifter som datacenterinformationssäkerhetsspecialister måste lösa, och planera budgetar för inköp av hårdvara och mjukvara.
Att säkerställa säkerhet är en kontinuerlig process som inkluderar stadierna planering, genomförande och drift, övervakning, analys och förbättring av informationssäkerhetssystemet. För att skapa ledningssystem för informationssäkerhet, den så kallade "".
En viktig del av säkerhetspolicyer är fördelningen av roller och ansvar för personalen för deras genomförande. Policyer bör kontinuerligt ses över för att återspegla förändringar i lagstiftning, nya hot och framväxande försvar. Och, naturligtvis, kommunicera informationssäkerhetskrav till personalen och ge utbildning.
Organisatoriska åtgärder
Vissa experter är skeptiska till "pappers" säkerhet, och anser att det viktigaste är praktiska färdigheter för att motstå hackningsförsök. Verklig erfarenhet av att säkerställa informationssäkerhet i banker tyder på motsatsen. Informationssäkerhetsspecialister kan ha utmärkt expertis i att identifiera och minska risker, men om datacenterpersonal inte följer deras instruktioner kommer allt att vara förgäves.
Säkerhet ger som regel inga pengar utan minimerar bara risker. Därför behandlas det ofta som något störande och sekundärt. Och när säkerhetsspecialister börjar bli indignerade (med all rätt att göra det) uppstår ofta konflikter med personal och chefer för operativa avdelningar.
Närvaron av branschstandarder och regulatoriska krav hjälper säkerhetspersonal att försvara sina positioner i förhandlingar med ledningen, och godkända policyer för informationssäkerhet, förordningar och förordningar gör att personalen kan följa de krav som ställs där, vilket utgör grunden för ofta impopulära beslut.
Skydd av lokaler
När ett datacenter tillhandahåller tjänster med hjälp av samlokaliseringsmodellen kommer att säkerställa fysisk säkerhet och åtkomstkontroll till kundens utrustning i förgrunden. För detta ändamål används inhägnader (inhägnade delar av hallen), som är under videoövervakning av klienten och till vilka tillgången till datacenterpersonal är begränsad.
I statliga datorcentraler med fysisk säkerhet var det inte dåligt i slutet av förra seklet. Det fanns passerkontroll, passerkontroll till lokalen, även utan datorer och videokameror, brandsläckningssystem - vid brand släpptes freon automatiskt in i maskinrummet.
Numera säkerställs den fysiska säkerheten ännu bättre. System för åtkomstkontroll och hantering (ACS) har blivit intelligenta och biometriska metoder för åtkomstbegränsning införs.
Brandsläckningssystem har blivit säkrare för personal och utrustning, bland annat installationer för inhibering, isolering, kylning och hypoxiska effekter på brandzonen. Tillsammans med obligatoriska brandskyddssystem använder datacenter ofta ett system för tidig branddetektering av aspirationstyp.
För att skydda datacenter från externa hot - bränder, explosioner, kollaps av byggnadsstrukturer, översvämningar, frätande gaser - började säkerhetsrum och kassaskåp användas, där serverutrustning är skyddad från nästan alla yttre skadliga faktorer.
Den svaga länken är personen
"Smarta" videoövervakningssystem, volymetriska spårningssensorer (akustisk, infraröd, ultraljud, mikrovågsugn), passerkontrollsystem har minskat riskerna, men har inte löst alla problem. Dessa medel kommer till exempel inte att hjälpa när personer som korrekt släpptes in i datacentret med rätt verktyg var "hooked" på något. Och, som ofta händer, kommer en oavsiktlig hake att ge maximala problem.
Datacentrets arbete kan påverkas av personalens missbruk av dess resurser, till exempel illegal gruvdrift. Datacenterinfrastrukturhanteringssystem (DCIM) kan hjälpa till i dessa fall.
Även personal behöver skydd, eftersom människor ofta kallas för den mest utsatta länken i skyddssystemet. Riktade attacker av professionella kriminella börjar oftast med användning av sociala ingenjörsmetoder. Ofta kraschar de säkraste systemen eller äventyras efter att någon klickat/laddat ner/gjort något. Sådana risker kan minimeras genom att utbilda personal och implementera globala bästa praxis inom informationssäkerhetsområdet.
Skydd av teknisk infrastruktur
Traditionella hot mot ett datacenters funktion är strömavbrott och fel i kylsystem. Vi har redan vant oss vid sådana hot och har lärt oss att hantera dem.
En ny trend har blivit den utbredda introduktionen av "smart" utrustning kopplad till ett nätverk: kontrollerade UPS:er, intelligenta kyl- och ventilationssystem, olika styrenheter och sensorer kopplade till övervakningssystem. När du bygger en datacenterhotmodell bör du inte glömma sannolikheten för en attack mot infrastrukturnätverket (och, möjligen, på datacentrets tillhörande IT-nätverk). Det som komplicerar situationen är det faktum att en del av utrustningen (till exempel kylaggregat) kan flyttas utanför datacentret, till exempel upp på taket av en hyrd byggnad.
Skydd av kommunikationskanaler
Om datacentret tillhandahåller tjänster inte bara enligt samlokaliseringsmodellen, kommer det att behöva hantera molnskydd. Enligt Check Point, bara förra året, upplevde 51 % av organisationerna världen över attacker på sina molnstrukturer. DDoS-attacker stoppar företag, krypteringsvirus kräver lösen, riktade attacker mot banksystem leder till stöld av pengar från korrespondentkonton.
Hot om externa intrång oroar också specialister på datacenterinformationssäkerhet. De mest relevanta för datacenter är distribuerade attacker som syftar till att avbryta tillhandahållandet av tjänster, såväl som hot om hackning, stöld eller modifiering av data som finns i den virtuella infrastrukturen eller lagringssystemen.
För att skydda datacentrets externa omkrets används moderna system med funktioner för att identifiera och neutralisera skadlig kod, applikationskontroll och möjligheten att importera Threat Intelligence proaktiv skyddsteknik. I vissa fall distribueras system med IPS-funktion (intrångsskydd) med automatisk justering av signaturen till parametrarna för den skyddade miljön.
För att skydda mot DDoS-attacker använder ryska företag som regel externa specialiserade tjänster som leder trafik till andra noder och filtrerar den i molnet. Skyddet på operatörssidan är mycket effektivare än på kundsidan, och datacenter fungerar som mellanhänder för försäljning av tjänster.
Interna DDoS-attacker är också möjliga i datacenter: en angripare penetrerar de svagt skyddade servrarna hos ett företag som är värd för dess utrustning med hjälp av en samlokaliseringsmodell och utför därifrån en överbelastningsattack på andra klienter i detta datacenter via det interna nätverket .
Fokusera på virtuella miljöer
Det är nödvändigt att ta hänsyn till det skyddade objektets särdrag - användningen av virtualiseringsverktyg, dynamiken i förändringar i IT-infrastrukturer, sammanlänkningen av tjänster, när en framgångsrik attack på en klient kan hota grannarnas säkerhet. Till exempel, genom att hacka frontend docker medan han arbetar i en Kubernetes-baserad PaaS, kan en angripare omedelbart få all lösenordsinformation och till och med tillgång till orkestreringssystemet.
Produkter som tillhandahålls under servicemodellen har en hög grad av automatisering. För att inte störa verksamheten måste informationssäkerhetsåtgärder tillämpas på en inte mindre grad av automatisering och horisontell skalning. Skalning bör säkerställas på alla nivåer av informationssäkerhet, inklusive automatisering av åtkomstkontroll och rotation av åtkomstnycklar. En speciell uppgift är skalningen av funktionsmoduler som inspekterar nätverkstrafik.
Till exempel bör filtrering av nätverkstrafik på applikations-, nätverks- och sessionsnivåer i mycket virtualiserade datacenter utföras på nivån för hypervisornätverksmoduler (till exempel VMwares distribuerade brandvägg) eller genom att skapa tjänstekedjor (virtuella brandväggar från Palo Alto Networks) .
Om det finns svagheter på nivån för virtualisering av datorresurser kommer ansträngningarna att skapa ett omfattande informationssäkerhetssystem på plattformsnivå att vara ineffektiva.
Nivåer av informationsskydd i datacentret
Det allmänna tillvägagångssättet för skydd är användningen av integrerade informationssäkerhetssystem på flera nivåer, inklusive makrosegmentering på brandväggsnivå (tilldelning av segment för olika funktionella affärsområden), mikrosegmentering baserad på virtuella brandväggar eller taggning av trafik för grupper (användarroller eller tjänster) definierade av åtkomstpolicyer .
Nästa nivå är att identifiera anomalier inom och mellan segment. Trafikdynamik analyseras, vilket kan indikera förekomsten av skadliga aktiviteter, såsom nätverksskanning, försök till DDoS-attacker, nedladdning av data, till exempel genom att dela upp databasfiler och mata ut dem i periodiska sessioner med långa intervaller. Enorma mängder trafik passerar genom datacentret, så för att identifiera anomalier måste du använda avancerade sökalgoritmer och utan paketanalys. Det är viktigt att inte bara tecken på skadlig och onormal aktivitet upptäcks, utan också att skadlig programvara fungerar även i krypterad trafik utan att dekryptera den, vilket föreslås i Ciscos lösningar (Stealthwatch).
Den sista gränsen är skyddet av slutenheter i det lokala nätverket: servrar och virtuella maskiner, till exempel med hjälp av agenter installerade på slutenheter (virtuella maskiner), som analyserar I/O-operationer, raderingar, kopior och nätverksaktiviteter, överföra data till , där beräkningar som kräver stor datorkraft utförs. Där genomförs analyser med hjälp av Big Data-algoritmer, maskinlogikträd byggs och anomalier identifieras. Algoritmer är självlärande baserade på en enorm mängd data som tillhandahålls av ett globalt nätverk av sensorer.
Du klarar dig utan att installera agenter. Moderna informationssäkerhetsverktyg måste vara agentfria och integrerade i operativsystem på hypervisornivå.
De listade åtgärderna minskar riskerna för informationssäkerhet avsevärt, men det kanske inte räcker för datacenter som tillhandahåller automatisering av högriskproduktionsprocesser, till exempel kärnkraftverk.
Tillsynskrav
Beroende på vilken information som behandlas måste fysiska och virtualiserade datacenterinfrastrukturer uppfylla olika säkerhetskrav som anges i lagar och industristandarder.
Sådana lagar inkluderar lagen "Om personuppgifter" (152-FZ) och lagen "Om säkerheten för KII-anläggningar i Ryska federationen" (187-FZ), som trädde i kraft i år - åklagarmyndigheten har redan blivit intresserad i genomförandet. Tvister om huruvida datacenter tillhör CII-subjekt pågår fortfarande, men troligen kommer datacenter som vill tillhandahålla tjänster till CII-subjekt att uppfylla kraven i den nya lagstiftningen.
Det kommer inte att bli lätt för datacenter som är värd för statliga informationssystem. Enligt dekret från Ryska federationens regering av den 11.05.2017 maj 555 nr XNUMX bör informationssäkerhetsfrågor lösas innan GIS sätts i kommersiell drift. Och ett datacenter som vill vara värd för ett GIS måste först uppfylla regulatoriska krav.
Under de senaste 30 åren har datacentersäkerhetssystem kommit långt: från enkla fysiska skyddssystem och organisatoriska åtgärder, som dock inte har förlorat sin relevans, till komplexa intelligenta system, som i allt högre grad använder inslag av artificiell intelligens. Men kärnan i tillvägagångssättet har inte förändrats. Den modernaste tekniken kommer inte att rädda dig utan organisatoriska åtgärder och personalutbildning, och pappersarbete kommer inte att rädda dig utan mjukvara och tekniska lösningar. Datacentersäkerhet kan inte garanteras en gång för alla, det är en ständig daglig ansträngning att identifiera prioriterade hot och heltäckande lösa nya problem.
Vad mer kan du läsa på bloggen?
→
→
→
→
→
Prenumerera på vår -kanal, för att inte missa nästa artikel! Vi skriver inte mer än två gånger i veckan och endast i affärer. Vi påminner dig också om att du kan molnlösningar Cloud4Y.
Källa: will.com