Ganito ang hitsura ng monitoring center ng NORD-2 data center na matatagpuan sa Moscow
Nabasa mo nang higit sa isang beses ang tungkol sa kung anong mga hakbang ang isinagawa upang matiyak ang seguridad ng impormasyon (IS). Ang sinumang may paggalang sa sarili na espesyalista sa IT ay madaling pangalanan ang 5-10 mga panuntunan sa seguridad ng impormasyon. Nag-aalok ang Cloud4Y na pag-usapan ang tungkol sa seguridad ng impormasyon ng mga data center.
Kapag tinitiyak ang seguridad ng impormasyon ng isang data center, ang pinaka "protektado" na mga bagay ay:
- mga mapagkukunan ng impormasyon (data);
- mga proseso ng pagkolekta, pagproseso, pag-iimbak at pagpapadala ng impormasyon;
- mga gumagamit ng system at mga tauhan ng pagpapanatili;
- imprastraktura ng impormasyon, kabilang ang mga kasangkapan sa hardware at software para sa pagproseso, pagpapadala at pagpapakita ng impormasyon, kabilang ang mga channel ng pagpapalitan ng impormasyon, mga sistema ng seguridad ng impormasyon at lugar.
Ang lugar ng responsibilidad ng data center ay nakasalalay sa modelo ng mga serbisyong ibinigay (IaaS/PaaS/SaaS). Kung ano ang hitsura nito, tingnan ang larawan sa ibaba:
Ang saklaw ng patakaran sa seguridad ng data center depende sa modelo ng mga serbisyong ibinigay
Ang pinakamahalagang bahagi ng pagbuo ng isang patakaran sa seguridad ng impormasyon ay ang pagbuo ng isang modelo ng mga pagbabanta at lumalabag. Ano ang maaaring maging banta sa isang data center?
- Masamang mga kaganapan ng likas, gawa ng tao at panlipunang kalikasan
- Mga terorista, kriminal na elemento, atbp.
- Pag-asa sa mga supplier, provider, kasosyo, kliyente
- Mga pagkabigo, pagkabigo, pagkasira, pinsala sa software at hardware
- Ang mga empleyado ng data center na nagpapatupad ng mga banta sa seguridad ng impormasyon gamit ang mga karapatan at kapangyarihang ipinagkaloob ng legal (mga lumalabag sa seguridad ng panloob na impormasyon)
- Ang mga empleyado ng data center na nagpapatupad ng mga banta sa seguridad ng impormasyon sa labas ng mga legal na ipinagkaloob na mga karapatan at kapangyarihan, pati na rin ang mga entity na hindi nauugnay sa mga tauhan ng data center, ngunit sinusubukan ang hindi awtorisadong pag-access at hindi awtorisadong pagkilos (mga lumalabag sa seguridad ng panlabas na impormasyon)
- Hindi pagsunod sa mga kinakailangan ng mga awtoridad sa pangangasiwa at regulasyon, kasalukuyang batas
Pagsusuri ng panganib - pagtukoy sa mga potensyal na banta at pagtatasa sa laki ng mga kahihinatnan ng kanilang pagpapatupad - ay makakatulong upang piliin nang tama ang mga priyoridad na gawain na dapat lutasin ng mga dalubhasa sa seguridad ng impormasyon ng data center, at magplano ng mga badyet para sa pagbili ng hardware at software.
Ang pagtiyak ng seguridad ay isang tuluy-tuloy na proseso na kinabibilangan ng mga yugto ng pagpaplano, pagpapatupad at pagpapatakbo, pagsubaybay, pagsusuri at pagpapabuti ng sistema ng seguridad ng impormasyon. Upang lumikha ng mga sistema ng pamamahala ng seguridad ng impormasyon, ang tinatawag na "'.
Ang isang mahalagang bahagi ng mga patakaran sa seguridad ay ang pamamahagi ng mga tungkulin at responsibilidad ng mga tauhan para sa kanilang pagpapatupad. Dapat na patuloy na suriin ang mga patakaran upang ipakita ang mga pagbabago sa batas, mga bagong banta, at mga umuusbong na depensa. At, siyempre, ipaalam ang mga kinakailangan sa seguridad ng impormasyon sa mga kawani at magbigay ng pagsasanay.
Mga hakbang sa organisasyon
Ang ilang mga eksperto ay may pag-aalinlangan tungkol sa seguridad ng "papel", isinasaalang-alang ang pangunahing bagay na maging praktikal na mga kasanayan upang labanan ang mga pagtatangka sa pag-hack. Ang tunay na karanasan sa pagtiyak ng seguridad ng impormasyon sa mga bangko ay nagpapahiwatig ng kabaligtaran. Maaaring may mahusay na kadalubhasaan ang mga espesyalista sa seguridad ng impormasyon sa pagtukoy at pagpapagaan ng mga panganib, ngunit kung hindi susundin ng mga tauhan ng data center ang kanilang mga tagubilin, magiging walang kabuluhan ang lahat.
Ang seguridad, bilang panuntunan, ay hindi nagdadala ng pera, ngunit pinapaliit lamang ang mga panganib. Samakatuwid, ito ay madalas na itinuturing bilang isang bagay na nakakagambala at pangalawa. At kapag nagsimulang magalit ang mga espesyalista sa seguridad (sa bawat karapatan na gawin ito), madalas na lumitaw ang mga salungatan sa mga kawani at pinuno ng mga departamento ng pagpapatakbo.
Ang pagkakaroon ng mga pamantayan sa industriya at mga kinakailangan sa regulasyon ay tumutulong sa mga propesyonal sa seguridad na ipagtanggol ang kanilang mga posisyon sa mga negosasyon sa pamamahala, at ang mga inaprubahang patakaran sa seguridad ng impormasyon, mga regulasyon at regulasyon ay nagpapahintulot sa mga kawani na sumunod sa mga kinakailangan na itinakda doon, na nagbibigay ng batayan para sa madalas na hindi sikat na mga desisyon.
Proteksyon sa lugar
Kapag ang isang data center ay nagbibigay ng mga serbisyo gamit ang modelo ng colocation, tinitiyak na ang pisikal na seguridad at kontrol sa pag-access sa kagamitan ng kliyente ay nauuna. Para sa layuning ito, ginagamit ang mga enclosure (nabakuran na bahagi ng bulwagan), na nasa ilalim ng video surveillance ng kliyente at kung saan limitado ang access sa mga tauhan ng data center.
Sa mga computer center ng estado na may pisikal na seguridad, ang mga bagay ay hindi masama sa pagtatapos ng huling siglo. Mayroong access control, access control sa lugar, kahit na walang mga computer at video camera, isang fire extinguishing system - kung sakaling magkaroon ng sunog, ang freon ay awtomatikong inilabas sa machine room.
Sa ngayon, ang pisikal na seguridad ay mas nasisigurado. Ang mga access control at management system (ACS) ay naging matalino, at ang mga biometric na pamamaraan ng paghihigpit sa pag-access ay ipinakilala.
Ang mga sistema ng pamatay ng sunog ay naging mas ligtas para sa mga tauhan at kagamitan, kabilang ang mga pag-install para sa pagsugpo, paghihiwalay, paglamig at hypoxic na epekto sa fire zone. Kasama ng mga mandatoryong sistema ng proteksyon ng sunog, ang mga sentro ng data ay madalas na gumagamit ng isang uri ng aspirasyon na sistema ng maagang pagtukoy ng sunog.
Upang maprotektahan ang mga sentro ng data mula sa mga panlabas na banta - sunog, pagsabog, pagbagsak ng mga istruktura ng gusali, pagbaha, kinakaing unti-unti na mga gas - nagsimulang gumamit ng mga silid ng seguridad at mga safe, kung saan ang mga kagamitan ng server ay protektado mula sa halos lahat ng panlabas na nakakapinsalang mga kadahilanan.
Ang mahinang link ay ang tao
Ang mga "Smart" na video surveillance system, volumetric tracking sensors (acoustic, infrared, ultrasonic, microwave), ang mga access control system ay nabawasan ang mga panganib, ngunit hindi nalutas ang lahat ng problema. Ang mga paraan na ito ay hindi makakatulong, halimbawa, kapag ang mga tao na tama na napasok sa data center na may mga tamang tool ay "na-hook" sa isang bagay. At, tulad ng madalas na nangyayari, ang isang hindi sinasadyang sagabal ay magdadala ng pinakamataas na problema.
Ang gawain ng data center ay maaaring maapektuhan ng maling paggamit ng mga mapagkukunan nito ng mga tauhan, halimbawa, iligal na pagmimina. Makakatulong ang mga sistema ng pamamahala ng imprastraktura ng data center (DCIM) sa mga kasong ito.
Ang mga tauhan ay nangangailangan din ng proteksyon, dahil ang mga tao ay madalas na tinatawag na pinaka-mahina na link sa sistema ng proteksyon. Ang mga naka-target na pag-atake ng mga propesyonal na kriminal ay kadalasang nagsisimula sa paggamit ng mga pamamaraan ng social engineering. Kadalasan ang mga pinakasecure na system ay nag-crash o nakompromiso pagkatapos ng isang tao na nag-click/nag-download/nagsagawa ng isang bagay. Ang ganitong mga panganib ay maaaring mabawasan sa pamamagitan ng pagsasanay sa mga kawani at pagpapatupad ng mga pandaigdigang pinakamahusay na kasanayan sa larangan ng seguridad ng impormasyon.
Proteksyon ng imprastraktura ng engineering
Ang mga tradisyunal na banta sa paggana ng isang data center ay mga power failure at mga pagkabigo ng mga cooling system. Nasanay na tayo sa mga ganitong pagbabanta at natutong harapin ang mga ito.
Ang isang bagong kalakaran ay naging malawakang pagpapakilala ng "matalinong" kagamitan na konektado sa isang network: mga kontroladong UPS, intelligent na mga sistema ng paglamig at bentilasyon, iba't ibang mga controller at sensor na konektado sa mga monitoring system. Kapag nagtatayo ng modelo ng pagbabanta ng data center, hindi mo dapat kalimutan ang tungkol sa posibilidad ng pag-atake sa network ng imprastraktura (at, marahil, sa nauugnay na network ng IT ng data center). Ang nagpapalubha sa sitwasyon ay ang katotohanan na ang ilan sa mga kagamitan (halimbawa, mga chiller) ay maaaring ilipat sa labas ng data center, halimbawa, papunta sa bubong ng isang inuupahang gusali.
Proteksyon ng mga channel ng komunikasyon
Kung ang data center ay nagbibigay ng mga serbisyo hindi lamang ayon sa modelo ng colocation, kailangan nitong harapin ang proteksyon sa ulap. Ayon sa Check Point, noong nakaraang taon lamang, 51% ng mga organisasyon sa buong mundo ang nakaranas ng mga pag-atake sa kanilang mga cloud structure. Ang mga pag-atake ng DDoS ay huminto sa mga negosyo, humihingi ng ransom ang mga virus sa pag-encrypt, ang mga naka-target na pag-atake sa mga sistema ng pagbabangko ay humahantong sa pagnanakaw ng mga pondo mula sa mga account ng correspondent.
Ang mga banta ng panlabas na panghihimasok ay nag-aalala rin sa mga espesyalista sa seguridad ng impormasyon ng data center. Ang pinaka-nauugnay para sa mga data center ay ang mga distributed attacks na naglalayong matakpan ang pagbibigay ng mga serbisyo, pati na rin ang mga banta ng pag-hack, pagnanakaw o pagbabago ng data na nasa virtual na imprastraktura o storage system.
Upang protektahan ang panlabas na perimeter ng data center, ang mga modernong sistema ay ginagamit na may mga function para sa pagtukoy at pag-neutralize ng malisyosong code, kontrol ng application at kakayahang mag-import ng teknolohiyang proactive na proteksyon ng Threat Intelligence. Sa ilang mga kaso, ang mga system na may functionality ng IPS (intrusion prevention) ay na-deploy na may awtomatikong pagsasaayos ng signature set sa mga parameter ng protektadong kapaligiran.
Upang maprotektahan laban sa mga pag-atake ng DDoS, ang mga kumpanya ng Russia, bilang panuntunan, ay gumagamit ng mga panlabas na espesyal na serbisyo na naglilihis ng trapiko sa iba pang mga node at sinasala ito sa cloud. Ang proteksyon sa panig ng operator ay mas epektibo kaysa sa panig ng kliyente, at ang mga sentro ng data ay kumikilos bilang mga tagapamagitan para sa pagbebenta ng mga serbisyo.
Ang mga panloob na pag-atake ng DDoS ay posible rin sa mga sentro ng data: ang isang umaatake ay tumagos sa mahinang protektadong mga server ng isang kumpanya na nagho-host ng mga kagamitan nito gamit ang isang modelo ng colocation, at mula doon ay nagsasagawa ng isang pagtanggi ng pag-atake ng serbisyo sa iba pang mga kliyente ng data center na ito sa pamamagitan ng panloob na network .
Tumutok sa mga virtual na kapaligiran
Kinakailangang isaalang-alang ang mga detalye ng protektadong bagay - ang paggamit ng mga tool sa virtualization, ang dinamika ng mga pagbabago sa mga imprastraktura ng IT, ang pagkakaugnay ng mga serbisyo, kapag ang isang matagumpay na pag-atake sa isang kliyente ay maaaring magbanta sa seguridad ng mga kapitbahay. Halimbawa, sa pamamagitan ng pag-hack sa frontend docker habang nagtatrabaho sa isang PaaS na nakabase sa Kubernetes, agad na makukuha ng isang attacker ang lahat ng impormasyon ng password at maging ang access sa orchestration system.
Ang mga produktong ibinigay sa ilalim ng modelo ng serbisyo ay may mataas na antas ng automation. Upang hindi makagambala sa negosyo, ang mga hakbang sa seguridad ng impormasyon ay dapat ilapat sa isang hindi gaanong antas ng automation at pahalang na pag-scale. Dapat tiyakin ang pag-scale sa lahat ng antas ng seguridad ng impormasyon, kabilang ang automation ng access control at pag-ikot ng mga access key. Ang isang espesyal na gawain ay ang pag-scale ng mga functional na module na nagsusuri ng trapiko sa network.
Halimbawa, ang pag-filter ng trapiko sa network sa mga antas ng application, network at session sa mga highly virtualized na data center ay dapat isagawa sa antas ng hypervisor network modules (halimbawa, VMware's Distributed Firewall) o sa pamamagitan ng paglikha ng mga service chain (virtual firewalls mula sa Palo Alto Networks) .
Kung may mga kahinaan sa antas ng virtualization ng mga mapagkukunan ng computing, ang mga pagsisikap na lumikha ng isang komprehensibong sistema ng seguridad ng impormasyon sa antas ng platform ay hindi magiging epektibo.
Mga antas ng proteksyon ng impormasyon sa data center
Ang pangkalahatang diskarte sa proteksyon ay ang paggamit ng pinagsama-samang, multi-level na sistema ng seguridad ng impormasyon, kabilang ang macro-segmentation sa antas ng firewall (paglalaan ng mga segment para sa iba't ibang functional na lugar ng negosyo), micro-segmentation batay sa mga virtual na firewall o pag-tag ng trapiko ng mga grupo (mga tungkulin o serbisyo ng user) na tinukoy ng mga patakaran sa pag-access .
Ang susunod na antas ay ang pagtukoy ng mga anomalya sa loob at pagitan ng mga segment. Sinusuri ang dynamics ng trapiko, na maaaring magpahiwatig ng pagkakaroon ng mga nakakahamak na aktibidad, tulad ng pag-scan sa network, mga pagtatangka sa pag-atake ng DDoS, pag-download ng data, halimbawa, sa pamamagitan ng paghiwa ng mga file ng database at pag-output sa mga ito sa pana-panahong paglitaw ng mga session sa mahabang pagitan. Napakalaking dami ng trapiko ang dumadaan sa data center, kaya para matukoy ang mga anomalya, kailangan mong gumamit ng mga advanced na algorithm sa paghahanap, at walang packet analysis. Mahalaga na hindi lamang mga palatandaan ng nakakahamak at maanomalyang aktibidad ang kinikilala, kundi pati na rin ang pagpapatakbo ng malware kahit sa naka-encrypt na trapiko nang hindi ito nade-decrypt, tulad ng iminungkahi sa mga solusyon sa Cisco (Stealthwatch).
Ang huling hangganan ay ang proteksyon ng mga end device ng lokal na network: mga server at virtual machine, halimbawa, sa tulong ng mga ahente na naka-install sa mga end device (virtual machine), na sinusuri ang mga operasyon ng I/O, pagtanggal, kopya at aktibidad sa network, magpadala ng data sa , kung saan ang mga kalkulasyon na nangangailangan ng malaking computing power ay isinasagawa. Doon, isinasagawa ang pagsusuri gamit ang mga algorithm ng Big Data, itinayo ang mga puno ng logic ng makina at natukoy ang mga anomalya. Ang mga algorithm ay self-learning batay sa isang malaking halaga ng data na ibinibigay ng isang pandaigdigang network ng mga sensor.
Magagawa mo nang walang pag-install ng mga ahente. Ang mga modernong tool sa seguridad ng impormasyon ay dapat na walang ahente at isinama sa mga operating system sa antas ng hypervisor.
Ang mga nakalistang hakbang ay makabuluhang binabawasan ang mga panganib sa seguridad ng impormasyon, ngunit maaaring hindi ito sapat para sa mga sentro ng data na nagbibigay ng automation ng mga proseso ng produksyon na may mataas na panganib, halimbawa, mga nuclear power plant.
Mga kinakailangan sa regulasyon
Depende sa impormasyong pinoproseso, dapat matugunan ng mga pisikal at virtualized na imprastraktura ng data center ang iba't ibang mga kinakailangan sa seguridad na itinakda sa mga batas at pamantayan ng industriya.
Kasama sa mga naturang batas ang batas na "Sa Personal na Data" (152-FZ) at ang batas na "Sa Seguridad ng Mga Pasilidad ng KII ng Russian Federation" (187-FZ), na ipinatupad ngayong taon - naging interesado na ang tanggapan ng tagausig sa pag-usad ng pagpapatupad nito. Ang mga pagtatalo tungkol sa kung ang mga data center ay nabibilang sa mga paksa ng CII ay patuloy pa rin, ngunit malamang, ang mga data center na nagnanais na magbigay ng mga serbisyo sa mga paksa ng CII ay kailangang sumunod sa mga kinakailangan ng bagong batas.
Hindi magiging madali para sa mga data center na nagho-host ng mga sistema ng impormasyon ng gobyerno. Ayon sa Decree of the Government of the Russian Federation na may petsang Mayo 11.05.2017, 555 No. XNUMX, ang mga isyu sa seguridad ng impormasyon ay dapat lutasin bago ilagay ang GIS sa komersyal na operasyon. At ang isang data center na gustong mag-host ng GIS ay dapat munang matugunan ang mga kinakailangan sa regulasyon.
Sa nakalipas na 30 taon, malayo na ang narating ng mga sistema ng seguridad ng data center: mula sa mga simpleng sistema ng proteksyong pisikal at mga hakbang sa organisasyon, na, gayunpaman, ay hindi nawala ang kanilang kaugnayan, hanggang sa mga kumplikadong intelihente na sistema, na lalong gumagamit ng mga elemento ng artificial intelligence. Ngunit ang kakanyahan ng diskarte ay hindi nagbago. Ang mga pinaka-modernong teknolohiya ay hindi magliligtas sa iyo nang walang mga hakbang sa organisasyon at pagsasanay ng kawani, at hindi ka maililigtas ng mga papeles nang walang software at teknikal na solusyon. Ang seguridad ng data center ay hindi masisiguro minsan at para sa lahat; ito ay isang patuloy na pang-araw-araw na pagsisikap upang matukoy ang mga priyoridad na banta at komprehensibong lutasin ang mga umuusbong na problema.
Ano pa ang mababasa mo sa blog?
β
β
β
β
β
Mag-subscribe sa aming -channel para hindi mo makaligtaan ang susunod na artikulo! Nagsusulat kami ng hindi hihigit sa dalawang beses sa isang linggo at sa negosyo lamang. Pinapaalalahanan ka rin namin na kaya mo mga solusyon sa ulap Cloud4Y.
Pinagmulan: www.habr.com