Hivi ndivyo kituo cha ufuatiliaji cha kituo cha data cha NORD-2 kilichopo Moscow kinavyoonekana
Umesoma zaidi ya mara moja kuhusu hatua zinazochukuliwa ili kuhakikisha usalama wa habari (IS). Mtaalamu yeyote wa IT anayejiheshimu anaweza kutaja kwa urahisi sheria 5-10 za usalama wa habari. Cloud4Y inatoa kuzungumza juu ya usalama wa habari wa vituo vya data.
Wakati wa kuhakikisha usalama wa habari wa kituo cha data, vitu "zinazolindwa" zaidi ni:
- rasilimali za habari (data);
- michakato ya kukusanya, usindikaji, kuhifadhi na kusambaza habari;
- watumiaji wa mfumo na wafanyakazi wa matengenezo;
- miundombinu ya habari, ikiwa ni pamoja na zana za maunzi na programu kwa ajili ya kuchakata, kusambaza na kuonyesha habari, ikiwa ni pamoja na njia za kubadilishana taarifa, mifumo ya usalama wa habari na majengo.
Eneo la uwajibikaji la kituo cha data linategemea muundo wa huduma zinazotolewa (IaaS/PaaS/SaaS). Jinsi inavyoonekana, tazama picha hapa chini:
Upeo wa sera ya usalama ya kituo cha data kulingana na mtindo wa huduma zinazotolewa
Sehemu muhimu zaidi ya kuunda sera ya usalama wa habari ni kujenga muundo wa vitisho na wakiukaji. Ni nini kinachoweza kuwa tishio kwa kituo cha data?
- Matukio mabaya ya asili, ya kibinadamu na ya kijamii
- Magaidi, wahalifu, n.k.
- Utegemezi wa wauzaji, watoa huduma, washirika, wateja
- Kushindwa, kushindwa, uharibifu, uharibifu wa programu na maunzi
- Wafanyakazi wa kituo cha data wanaotekeleza vitisho vya usalama wa habari kwa kutumia haki na mamlaka zilizotolewa kisheria (wakiukaji wa usalama wa habari wa ndani)
- Wafanyikazi wa kituo cha data wanaotekeleza vitisho vya usalama wa habari nje ya haki na mamlaka zilizotolewa kisheria, pamoja na huluki zisizohusiana na wafanyikazi wa kituo cha data, lakini wanajaribu ufikiaji usioidhinishwa na vitendo visivyoidhinishwa (wakiukaji wa usalama wa habari wa nje)
- Kutofuata mahitaji ya mamlaka ya usimamizi na udhibiti, sheria ya sasa
Uchambuzi wa hatari - kutambua vitisho vinavyowezekana na kutathmini ukubwa wa matokeo ya utekelezaji wake - utasaidia kuchagua kwa usahihi kazi za kipaumbele ambazo wataalamu wa usalama wa habari wa kituo cha data wanapaswa kutatua, na kupanga bajeti za ununuzi wa maunzi na programu.
Kuhakikisha usalama ni mchakato endelevu unaojumuisha hatua za kupanga, utekelezaji na uendeshaji, ufuatiliaji, uchambuzi na uboreshaji wa mfumo wa usalama wa habari. Ili kuunda mifumo ya usimamizi wa usalama wa habari, kinachojulikana kama "'.
Sehemu muhimu ya sera za usalama ni usambazaji wa majukumu na majukumu ya wafanyikazi kwa utekelezaji wao. Sera zinapaswa kukaguliwa kila mara ili kuonyesha mabadiliko katika sheria, vitisho vipya na ulinzi unaoibuka. Na, bila shaka, wasiliana na mahitaji ya usalama wa habari kwa wafanyakazi na kutoa mafunzo.
Hatua za shirika
Wataalamu wengine wana shaka juu ya usalama wa "karatasi", kwa kuzingatia jambo kuu kuwa ujuzi wa vitendo wa kupinga majaribio ya hacking. Uzoefu wa kweli katika kuhakikisha usalama wa habari katika benki unaonyesha kinyume. Wataalamu wa usalama wa habari wanaweza kuwa na ujuzi bora katika kutambua na kupunguza hatari, lakini ikiwa wafanyakazi wa kituo cha data hawafuati maagizo yao, kila kitu kitakuwa bure.
Usalama, kama sheria, haileti pesa, lakini hupunguza hatari tu. Kwa hivyo, mara nyingi huchukuliwa kama kitu kinachosumbua na cha sekondari. Na wakati wataalamu wa usalama wanaanza kukasirika (na kila haki ya kufanya hivyo), migogoro mara nyingi hutokea kati ya wafanyakazi na wakuu wa idara za uendeshaji.
Uwepo wa viwango vya sekta na mahitaji ya udhibiti husaidia wataalamu wa usalama kutetea nafasi zao katika mazungumzo na usimamizi, na sera za usalama wa habari zilizoidhinishwa, kanuni na kanuni zinawawezesha wafanyakazi kuzingatia mahitaji yaliyowekwa hapo, kutoa msingi wa maamuzi ambayo mara nyingi hayapendezi.
Ulinzi wa majengo
Wakati kituo cha data kinatoa huduma kwa kutumia mfano wa upangaji, kuhakikisha usalama wa kimwili na udhibiti wa upatikanaji wa vifaa vya mteja huja mbele. Kwa kusudi hili, viunga (sehemu za uzio za ukumbi) hutumiwa, ambazo ziko chini ya ufuatiliaji wa video wa mteja na ambayo upatikanaji wa wafanyakazi wa kituo cha data ni mdogo.
Katika vituo vya kompyuta vya serikali na usalama wa kimwili, mambo hayakuwa mabaya mwishoni mwa karne iliyopita. Kulikuwa na udhibiti wa upatikanaji, udhibiti wa upatikanaji wa majengo, hata bila kompyuta na kamera za video, mfumo wa kuzima moto - katika tukio la moto, freon ilitolewa moja kwa moja kwenye chumba cha mashine.
Siku hizi, usalama wa kimwili unahakikishwa bora zaidi. Mifumo ya udhibiti wa ufikiaji na usimamizi (ACS) imekuwa ya akili, na mbinu za kibayometriki za vizuizi vya ufikiaji zinaanzishwa.
Mifumo ya kuzima moto imekuwa salama zaidi kwa wafanyakazi na vifaa, kati ya hizo ni mitambo ya kuzuia, kutengwa, baridi na athari za hypoxic kwenye eneo la moto. Pamoja na mifumo ya lazima ya ulinzi wa moto, vituo vya data mara nyingi hutumia mfumo wa kutambua moto wa mapema wa aina ya aspiration.
Ili kulinda vituo vya data kutoka kwa vitisho vya nje - moto, milipuko, kuanguka kwa miundo ya jengo, mafuriko, gesi za babuzi - vyumba vya usalama na salama zilianza kutumika, ambayo vifaa vya seva vinalindwa kutokana na karibu mambo yote ya nje ya uharibifu.
Kiungo dhaifu ni mtu
Mifumo ya ufuatiliaji wa video "Smart", sensorer za ufuatiliaji wa volumetric (acoustic, infrared, ultrasonic, microwave), mifumo ya udhibiti wa upatikanaji imepunguza hatari, lakini haijatatua matatizo yote. Njia hizi hazitasaidia, kwa mfano, wakati watu ambao waliingizwa kwa usahihi kwenye kituo cha data na zana sahihi walikuwa "wameunganishwa" kwenye kitu. Na, kama mara nyingi hufanyika, snag ya bahati mbaya italeta shida kubwa.
Kazi ya kituo cha data inaweza kuathiriwa na matumizi mabaya ya rasilimali zake na wafanyakazi, kwa mfano, uchimbaji haramu. Mifumo ya usimamizi wa miundombinu ya kituo cha data (DCIM) inaweza kusaidia katika hali hizi.
Wafanyikazi pia wanahitaji ulinzi, kwani mara nyingi watu huitwa kiunga kilicho hatarini zaidi katika mfumo wa ulinzi. Mashambulizi yaliyolengwa na wahalifu wa kitaalam mara nyingi huanza na utumiaji wa njia za uhandisi za kijamii. Mara nyingi mifumo iliyo salama zaidi huanguka au kuathiriwa baada ya mtu kubofya/kupakua/kufanya jambo. Hatari kama hizo zinaweza kupunguzwa kwa kutoa mafunzo kwa wafanyikazi na kutekeleza mazoea bora ya kimataifa katika uwanja wa usalama wa habari.
Ulinzi wa miundombinu ya uhandisi
Vitisho vya jadi kwa utendakazi wa kituo cha data ni hitilafu za nguvu na kushindwa kwa mifumo ya kupoeza. Tayari tumezoea vitisho hivyo na tumejifunza kukabiliana navyo.
Mwelekeo mpya umekuwa utangulizi mkubwa wa vifaa vya "smart" vilivyounganishwa kwenye mtandao: UPS zilizodhibitiwa, mifumo ya akili ya baridi na uingizaji hewa, vidhibiti mbalimbali na sensorer zilizounganishwa na mifumo ya ufuatiliaji. Wakati wa kujenga mfano wa tishio la kituo cha data, usipaswi kusahau kuhusu uwezekano wa shambulio kwenye mtandao wa miundombinu (na, ikiwezekana, kwenye mtandao unaohusishwa wa IT wa kituo cha data). Kutatiza hali hiyo ni ukweli kwamba baadhi ya vifaa (kwa mfano, baridi) vinaweza kuhamishwa nje ya kituo cha data, tuseme, kwenye paa la jengo lililokodishwa.
Ulinzi wa njia za mawasiliano
Ikiwa kituo cha data kinatoa huduma sio tu kulingana na mfano wa colocation, basi itabidi kukabiliana na ulinzi wa wingu. Kulingana na Check Point, mwaka jana pekee, 51% ya mashirika duniani kote yalipata mashambulizi kwenye miundo yao ya wingu. Mashambulizi ya DDoS yanasimamisha biashara, virusi vya usimbaji fiche hudai fidia, mashambulizi yanayolengwa kwenye mifumo ya benki husababisha wizi wa fedha kutoka kwa akaunti za mwandishi.
Vitisho vya uingiliaji wa nje pia huwatia wasiwasi wataalamu wa usalama wa habari wa kituo cha data. Muhimu zaidi kwa vituo vya data ni mashambulizi ya kusambazwa yenye lengo la kukatiza utoaji wa huduma, pamoja na vitisho vya udukuzi, wizi au urekebishaji wa data iliyo katika miundombinu pepe au mifumo ya kuhifadhi.
Ili kulinda eneo la nje la kituo cha data, mifumo ya kisasa hutumiwa na utendakazi wa kutambua na kubadilisha msimbo hasidi, udhibiti wa programu na uwezo wa kuagiza teknolojia ya ulinzi tendaji ya Upelelezi wa Tishio. Katika baadhi ya matukio, mifumo yenye utendaji wa IPS (kuzuia kuingilia) hutumiwa na marekebisho ya moja kwa moja ya saini iliyowekwa kwa vigezo vya mazingira yaliyohifadhiwa.
Ili kulinda dhidi ya shambulio la DDoS, kampuni za Urusi, kama sheria, hutumia huduma maalum za nje ambazo huelekeza trafiki kwa nodi zingine na kuichuja kwenye wingu. Ulinzi kwa upande wa waendeshaji ni bora zaidi kuliko upande wa mteja, na vituo vya data hufanya kama wapatanishi wa uuzaji wa huduma.
Mashambulizi ya ndani ya DDoS pia yanawezekana katika vituo vya data: mshambulizi hupenya seva zilizolindwa dhaifu za kampuni moja ambayo inasimamia vifaa vyake kwa kutumia modeli ya uwekaji, na kutoka hapo hutekeleza shambulio la kunyimwa huduma kwa wateja wengine wa kituo hiki cha data kupitia mtandao wa ndani. .
Zingatia mazingira pepe
Ni muhimu kuzingatia maalum ya kitu kilichohifadhiwa - matumizi ya zana za virtualization, mienendo ya mabadiliko katika miundombinu ya IT, kuunganishwa kwa huduma, wakati mashambulizi ya mafanikio kwa mteja mmoja yanaweza kutishia usalama wa majirani. Kwa mfano, kwa kudukua sehemu ya mbele wakati wa kufanya kazi katika PaaS inayotokana na Kubernetes, mshambulizi anaweza kupata taarifa zote za nenosiri mara moja na hata kufikia mfumo wa ochestration.
Bidhaa zinazotolewa chini ya mfano wa huduma zina kiwango cha juu cha automatisering. Ili usiingiliane na biashara, hatua za usalama wa habari lazima zitumike kwa kiwango cha chini cha otomatiki na kuongeza usawa. Kuongeza lazima kuhakikishwe katika viwango vyote vya usalama wa habari, ikiwa ni pamoja na otomatiki wa udhibiti wa ufikiaji na mzunguko wa funguo za ufikiaji. Kazi maalum ni kuongeza moduli za kazi ambazo hukagua trafiki ya mtandao.
Kwa mfano, kuchuja trafiki ya mtandao katika programu, mtandao na viwango vya kipindi katika vituo vya data vilivyoboreshwa sana kunapaswa kufanywa kwa kiwango cha moduli za mtandao wa hypervisor (kwa mfano, Firewall ya VMware Distributed) au kwa kuunda misururu ya huduma (ngome za mtandaoni kutoka kwa Palo Alto Networks) .
Ikiwa kuna udhaifu katika kiwango cha uboreshaji wa rasilimali za kompyuta, juhudi za kuunda mfumo wa usalama wa habari katika kiwango cha jukwaa hazitakuwa na ufanisi.
Viwango vya ulinzi wa habari katika kituo cha data
Njia ya jumla ya ulinzi ni utumiaji wa mifumo iliyojumuishwa, ya viwango vingi vya usalama, pamoja na mgawanyiko wa jumla katika kiwango cha ukuta wa moto (mgao wa sehemu kwa maeneo anuwai ya kazi ya biashara), mgawanyiko mdogo kwa msingi wa ngome za kawaida za moto au kuweka alama kwa vikundi. (majukumu au huduma za mtumiaji) hufafanuliwa na sera za ufikiaji .
Kiwango kinachofuata ni kutambua hitilafu ndani na kati ya sehemu. Mienendo ya trafiki inachanganuliwa, ambayo inaweza kuonyesha uwepo wa shughuli hasidi, kama vile kuchanganua mtandao, majaribio ya mashambulizi ya DDoS, kupakua data, kwa mfano, kwa kukata faili za hifadhidata na kuzitoa katika vipindi vinavyoonekana mara kwa mara katika vipindi virefu. Idadi kubwa ya trafiki hupitia kituo cha data, kwa hivyo ili kutambua hitilafu, unahitaji kutumia algoriti za utafutaji za kina, na bila uchanganuzi wa pakiti. Ni muhimu kwamba sio tu ishara za shughuli mbaya na zisizo za kawaida zitambuliwe, lakini pia utendakazi wa programu hasidi hata katika trafiki iliyosimbwa bila kusimbua, kama inavyopendekezwa katika suluhisho za Cisco (Stealthwatch).
Mpaka wa mwisho ni ulinzi wa vifaa vya mwisho vya mtandao wa ndani: seva na mashine za kawaida, kwa mfano, kwa msaada wa mawakala waliowekwa kwenye vifaa vya mwisho (mashine halisi), ambayo inachambua shughuli za I / O, kufuta, nakala na shughuli za mtandao, kusambaza data kwa , ambapo mahesabu yanayohitaji nguvu kubwa ya kompyuta hufanyika. Huko, uchambuzi unafanywa kwa kutumia algoriti za Data Kubwa, miti ya mantiki ya mashine hujengwa na hitilafu zinatambuliwa. Algorithms ni kujifunza kwa kibinafsi kulingana na idadi kubwa ya data inayotolewa na mtandao wa kimataifa wa vitambuzi.
Unaweza kufanya bila kusakinisha mawakala. Zana za kisasa za usalama wa habari lazima zisiwe na wakala na ziunganishwe katika mifumo ya uendeshaji katika kiwango cha hypervisor.
Hatua zilizoorodheshwa hupunguza hatari za usalama wa habari kwa kiasi kikubwa, lakini hii inaweza kuwa haitoshi kwa vituo vya data ambavyo hutoa otomatiki ya michakato ya hatari kubwa ya uzalishaji, kwa mfano, mitambo ya nyuklia.
Mahitaji ya udhibiti
Kulingana na maelezo yanayochakatwa, miundomsingi ya kituo cha data halisi na ya mtandaoni lazima itimize mahitaji tofauti ya usalama yaliyowekwa katika sheria na viwango vya sekta.
Sheria kama hizo ni pamoja na sheria "Kwenye Takwimu za Kibinafsi" (152-FZ) na sheria "Juu ya Usalama wa Vifaa vya KII vya Shirikisho la Urusi" (187-FZ), ambayo ilianza kutumika mwaka huu - ofisi ya mwendesha mashitaka tayari imevutiwa. katika maendeleo ya utekelezaji wake. Mizozo kuhusu iwapo vituo vya data ni vya masomo ya CII bado inaendelea, lakini kuna uwezekano mkubwa, vituo vya data vinavyotaka kutoa huduma kwa masomo ya CII vitalazimika kutii mahitaji ya sheria mpya.
Haitakuwa rahisi kwa vituo vya data vinavyopangisha mifumo ya taarifa ya serikali. Kwa mujibu wa Amri ya Serikali ya Shirikisho la Urusi ya Mei 11.05.2017, 555 No. XNUMX, masuala ya usalama wa habari yanapaswa kutatuliwa kabla ya kuweka GIS katika uendeshaji wa kibiashara. Na kituo cha data kinachotaka kupangisha GIS lazima kwanza kikidhi mahitaji ya udhibiti.
Katika kipindi cha miaka 30 iliyopita, mifumo ya usalama ya kituo cha data imekuja kwa muda mrefu: kutoka kwa mifumo rahisi ya ulinzi wa kimwili na hatua za shirika, ambazo, hata hivyo, hazijapoteza umuhimu wao, kwa mifumo ngumu ya akili, ambayo inazidi kutumia vipengele vya akili ya bandia. Lakini kiini cha mbinu haijabadilika. Teknolojia za kisasa zaidi hazitakuokoa bila hatua za shirika na mafunzo ya wafanyakazi, na karatasi hazitakuokoa bila programu na ufumbuzi wa kiufundi. Usalama wa kituo cha data hauwezi kuhakikishwa mara moja na kwa wote; ni jitihada za kila siku za kutambua vitisho vya kipaumbele na kutatua matatizo yanayojitokeza.
Nini kingine unaweza kusoma kwenye blogi?
→
→
→
→
→
Jiandikishe kwa yetu -channel ili usikose makala inayofuata! Hatuandiki zaidi ya mara mbili kwa wiki na kwa biashara tu. Pia tunakukumbusha kuwa unaweza ufumbuzi wa wingu Cloud4Y.
Chanzo: mapenzi.com
