Moskova'da bulunan NORD-2 veri merkezinin izleme merkezi böyle görünüyor
Bilgi güvenliğini (IS) sağlamak için hangi önlemlerin alındığını defalarca okudunuz. Kendine saygısı olan herhangi bir BT uzmanı, 5-10 bilgi güvenliği kuralını kolaylıkla adlandırabilir. Cloud4Y, veri merkezlerinin bilgi güvenliği hakkında konuşmayı teklif ediyor.
Bir veri merkezinin bilgi güvenliği sağlanırken en “korunan” nesneler şunlardır:
- bilgi kaynakları (veriler);
- bilgilerin toplanması, işlenmesi, saklanması ve iletilmesi süreçleri;
- sistem kullanıcıları ve bakım personeli;
- Bilgi alışverişi kanalları, bilgi güvenliği sistemleri ve tesisleri de dahil olmak üzere, bilgilerin işlenmesi, iletilmesi ve görüntülenmesi için donanım ve yazılım araçlarını içeren bilgi altyapısı.
Veri merkezinin sorumluluk alanı, sunulan hizmetlerin modeline (IaaS/PaaS/SaaS) bağlıdır. Nasıl görünüyor, aşağıdaki resme bakın:
Sağlanan hizmetlerin modeline bağlı olarak veri merkezi güvenlik politikasının kapsamı
Bilgi güvenliği politikası geliştirmenin en önemli kısmı, tehditler ve ihlalcilere ilişkin bir model oluşturmaktır. Bir veri merkezi için ne tehdit oluşturabilir?
- Doğal, insan yapımı ve sosyal nitelikteki olumsuz olaylar
- Teröristler, suç unsurları vb.
- Tedarikçilere, sağlayıcılara, ortaklara ve müşterilere bağımlılık
- Arızalar, arızalar, yıkımlar, yazılım ve donanımın zarar görmesi
- Yasal olarak verilen hak ve yetkileri kullanarak bilgi güvenliği tehditleri uygulayan veri merkezi çalışanları (iç bilgi güvenliği ihlalcileri)
- Yasal olarak tanınan hak ve yetkiler dışında bilgi güvenliği tehditleri uygulayan veri merkezi çalışanları ve veri merkezi personeli ile ilgisi olmayan ancak yetkisiz erişim ve yetkisiz eylemlere teşebbüs eden kuruluşlar (harici bilgi güvenliği ihlalcileri)
- Denetleyici ve düzenleyici otoritelerin gerekliliklerine, mevcut mevzuata uyulmaması
Risk analizi - potansiyel tehditlerin belirlenmesi ve bunların uygulanmasının sonuçlarının ölçeğinin değerlendirilmesi - veri merkezi bilgi güvenliği uzmanlarının çözmesi gereken öncelikli görevlerin doğru bir şekilde seçilmesine ve donanım ve yazılım satın alımı için bütçelerin planlanmasına yardımcı olacaktır.
Güvenliğin sağlanması, bilgi güvenliği sisteminin planlanması, uygulanması ve işletilmesi, izlenmesi, analiz edilmesi ve iyileştirilmesi aşamalarını içeren sürekli bir süreçtir. Bilgi güvenliği yönetim sistemleri oluşturmak için “'.
Güvenlik politikalarının önemli bir parçası, bunların uygulanmasına yönelik personelin rol ve sorumluluklarının dağıtılmasıdır. Politikalar mevzuattaki değişiklikleri, yeni tehditleri ve ortaya çıkan savunmaları yansıtacak şekilde sürekli olarak gözden geçirilmelidir. Ve elbette bilgi güvenliği gerekliliklerini personele iletin ve eğitim verin.
Organizasyonel önlemler
Bazı uzmanlar, asıl meselenin bilgisayar korsanlığı girişimlerine direnmek için pratik beceriler olduğunu düşünerek "kağıt" güvenliği konusunda şüpheci. Bankalarda bilgi güvenliğinin sağlanmasına ilişkin gerçek deneyim bunun tersini göstermektedir. Bilgi güvenliği uzmanları, riskleri belirleme ve azaltma konusunda mükemmel bir uzmanlığa sahip olabilir, ancak veri merkezi personeli onların talimatlarını takip etmezse her şey boşa gidecektir.
Güvenlik, kural olarak para getirmez, yalnızca riskleri en aza indirir. Bu nedenle sıklıkla rahatsız edici ve ikincil bir şey olarak ele alınır. Güvenlik uzmanları öfkelenmeye başladığında (bunu yapmaya her türlü hakkı vardır), personel ve operasyonel departman başkanları arasında sıklıkla çatışmalar ortaya çıkar.
Endüstri standartlarının ve düzenleyici gerekliliklerin varlığı, güvenlik profesyonellerinin yönetimle müzakerelerde konumlarını savunmalarına yardımcı olur ve onaylanmış bilgi güvenliği politikaları, düzenlemeleri ve düzenlemeleri, personelin burada belirtilen gereksinimlere uymasına olanak tanıyarak, çoğu zaman popüler olmayan kararların temelini oluşturur.
Tesis koruması
Bir veri merkezi ortak yerleşim modelini kullanarak hizmet verdiğinde, fiziksel güvenliğin sağlanması ve müşterinin ekipmanına erişim kontrolünün sağlanması ön plana çıkmaktadır. Bu amaçla müşterinin video gözetimi altında olan ve veri merkezi personelinin erişiminin sınırlı olduğu muhafazalar (salonun çitle çevrili bölümleri) kullanılır.
Fiziksel güvenliği olan devlet bilgisayar merkezlerinde geçen yüzyılın sonunda işler kötü değildi. Bilgisayarlar ve video kameralar olmadan bile erişim kontrolü, tesise erişim kontrolü, bir yangın söndürme sistemi vardı - yangın durumunda freon otomatik olarak makine odasına salındı.
Günümüzde fiziksel güvenlik daha da iyi sağlanıyor. Erişim kontrolü ve yönetim sistemleri (ACS) akıllı hale geldi ve biyometrik erişim kısıtlama yöntemleri kullanılmaya başlandı.
Yangın söndürme sistemleri, yangın bölgesinde engelleme, izolasyon, soğutma ve hipoksik etkilere yönelik kurulumlar da dahil olmak üzere personel ve ekipmanlar için daha güvenli hale gelmiştir. Zorunlu yangından korunma sistemlerinin yanı sıra, veri merkezleri sıklıkla aspirasyon tipi erken yangın algılama sistemini kullanır.
Veri merkezlerini dış tehditlerden (yangın, patlama, bina yapılarının çökmesi, su baskını, aşındırıcı gazlar) korumak için, sunucu ekipmanlarının neredeyse tüm dış zararlı faktörlerden korunduğu güvenlik odaları ve kasalar kullanılmaya başlandı.
Zayıf halka kişidir
“Akıllı” video gözetim sistemleri, hacimsel izleme sensörleri (akustik, kızılötesi, ultrasonik, mikrodalga), erişim kontrol sistemleri riskleri azaltmıştır ancak tüm sorunları çözmemiştir. Bu araçlar, örneğin veri merkezine doğru araçlarla doğru bir şekilde kabul edilen kişilerin bir şeye "bağımlı olması" durumunda yardımcı olmayacaktır. Ve çoğu zaman olduğu gibi, kazara meydana gelen bir aksaklık, maksimum sorunları beraberinde getirecektir.
Veri merkezinin çalışması, kaynaklarının personel tarafından kötüye kullanılmasından, örneğin yasa dışı madencilikten etkilenebilir. Veri merkezi altyapı yönetimi (DCIM) sistemleri bu durumlarda yardımcı olabilir.
İnsanlar genellikle koruma sistemindeki en savunmasız halka olarak adlandırıldığından, personelin de korumaya ihtiyacı vardır. Profesyonel suçluların hedefli saldırıları çoğunlukla sosyal mühendislik yöntemlerinin kullanılmasıyla başlar. Birisi bir şeyi tıkladıktan/indirdikten/yaptıktan sonra genellikle en güvenli sistemler çöker veya güvenliği ihlal edilir. Bu tür riskler, personelin eğitilmesi ve bilgi güvenliği alanında küresel en iyi uygulamaların hayata geçirilmesiyle en aza indirilebilir.
Mühendislik altyapısının korunması
Bir veri merkezinin işleyişine yönelik geleneksel tehditler, güç kesintileri ve soğutma sistemlerindeki arızalardır. Biz zaten bu tür tehditlere alıştık ve onlarla baş etmeyi öğrendik.
Yeni bir trend, bir ağa bağlı "akıllı" ekipmanların yaygın olarak tanıtılması haline geldi: kontrollü UPS'ler, akıllı soğutma ve havalandırma sistemleri, çeşitli kontrolörler ve izleme sistemlerine bağlı sensörler. Bir veri merkezi tehdit modeli oluştururken, altyapı ağına (ve muhtemelen veri merkezinin ilgili BT ağına) saldırı olasılığını unutmamalısınız. Bazı ekipmanların (örneğin soğutma grupları) veri merkezinin dışına, örneğin kiralık bir binanın çatısına taşınabilmesi durumu daha da karmaşık hale getiriyor.
İletişim kanallarının korunması
Veri merkezi yalnızca ortak yerleşim modeline göre hizmet vermiyorsa bulut korumasıyla da uğraşmak zorunda kalacaktır. Check Point'e göre yalnızca geçen yıl dünya çapındaki kuruluşların %51'i bulut yapılarına yönelik saldırılarla karşılaştı. DDoS saldırıları işletmeleri durdurur, şifreleme virüsleri fidye ister, bankacılık sistemlerine yönelik hedefli saldırılar muhabir hesaplardan fonların çalınmasına yol açar.
Dışarıdan izinsiz giriş tehditleri veri merkezi bilgi güvenliği uzmanlarını da endişelendiriyor. Veri merkezleri için en alakalı olanı, hizmetlerin sağlanmasını kesintiye uğratmayı amaçlayan dağıtılmış saldırıların yanı sıra sanal altyapı veya depolama sistemlerinde bulunan verilerin hacklenmesi, çalınması veya değiştirilmesi tehditleridir.
Veri merkezinin dış çevresini korumak için, kötü amaçlı kodu tanımlama ve etkisizleştirme işlevlerine, uygulama kontrolüne ve Tehdit İstihbaratı proaktif koruma teknolojisini içe aktarma yeteneğine sahip modern sistemler kullanılır. Bazı durumlarda, IPS (izinsiz giriş önleme) işlevine sahip sistemler, imza setinin korunan ortamın parametrelerine göre otomatik olarak ayarlanmasıyla dağıtılır.
Rus şirketleri, DDoS saldırılarına karşı korunmak için kural olarak trafiği diğer düğümlere yönlendiren ve bulutta filtreleyen harici özel hizmetler kullanıyor. Operatör tarafındaki koruma, müşteri tarafına göre çok daha etkilidir ve veri merkezleri, hizmetlerin satışına aracılık eder.
Veri merkezlerinde dahili DDoS saldırıları da mümkündür: Bir saldırgan, ortak yerleşim modelini kullanarak ekipmanlarını barındıran bir şirketin zayıf şekilde korunan sunucularına girer ve buradan dahili ağ aracılığıyla bu veri merkezinin diğer istemcilerine hizmet reddi saldırısı gerçekleştirir. .
Sanal ortamlara odaklanın
Bir istemciye yapılan başarılı bir saldırı komşuların güvenliğini tehdit edebildiğinde, korunan nesnenin özelliklerini - sanallaştırma araçlarının kullanımı, BT altyapılarındaki değişikliklerin dinamikleri, hizmetlerin birbirine bağlılığı - dikkate almak gerekir. Örneğin, bir saldırgan Kubernetes tabanlı bir PaaS'ta çalışırken ön uç docker'ı hackleyerek tüm şifre bilgilerini anında ele geçirebilir ve hatta düzenleme sistemine bile erişebilir.
Hizmet modeli kapsamında sunulan ürünler yüksek derecede otomasyona sahiptir. İşe müdahale etmemek için bilgi güvenliği önlemlerinin daha az otomasyon ve yatay ölçeklendirme ile uygulanması gerekir. Erişim kontrolünün otomasyonu ve erişim anahtarlarının rotasyonu da dahil olmak üzere bilgi güvenliğinin tüm seviyelerinde ölçeklendirme sağlanmalıdır. Özel bir görev, ağ trafiğini denetleyen işlevsel modüllerin ölçeklendirilmesidir.
Örneğin, yüksek düzeyde sanallaştırılmış veri merkezlerinde uygulama, ağ ve oturum seviyelerinde ağ trafiğinin filtrelenmesi, hipervizör ağ modülleri düzeyinde (örneğin, VMware'in Dağıtılmış Güvenlik Duvarı) veya hizmet zincirleri oluşturularak (Palo Alto Networks'ten sanal güvenlik duvarları) gerçekleştirilmelidir. .
Bilgi işlem kaynaklarının sanallaştırılması düzeyinde zaaflar varsa platform düzeyinde kapsamlı bir bilgi güvenliği sistemi oluşturma çabaları etkisiz kalacaktır.
Veri merkezindeki bilgi koruma düzeyleri
Korumaya genel yaklaşım, güvenlik duvarı düzeyinde makro bölümleme (bölümlerin çeşitli işlevsel iş alanlarına tahsis edilmesi), sanal güvenlik duvarlarına dayalı mikro bölümleme veya grup trafiğini etiketleme dahil olmak üzere entegre, çok düzeyli bilgi güvenliği sistemlerinin kullanılmasıdır. (kullanıcı rolleri veya hizmetleri) erişim politikaları tarafından tanımlanır.
Bir sonraki seviye, segmentler içindeki ve arasındaki anormallikleri tanımlamaktır. Trafik dinamikleri analiz edilir; bu, ağ taraması, DDoS saldırılarına yönelik girişimler, örneğin veri tabanı dosyalarının dilimlenmesi ve bunların uzun aralıklarla periyodik olarak görünen oturumlarda çıktısının alınması yoluyla veri indirme gibi kötü amaçlı etkinliklerin varlığına işaret edebilir. Veri merkezinden çok büyük miktarda trafik geçiyor, bu nedenle anormallikleri belirlemek için paket analizi olmadan gelişmiş arama algoritmaları kullanmanız gerekiyor. Cisco çözümlerinde (Stealthwatch) önerildiği gibi, yalnızca kötü amaçlı ve anormal etkinlik işaretlerinin tanınması değil, aynı zamanda kötü amaçlı yazılımın şifrelenmiş trafikte bile şifresini çözmeden çalışması da önemlidir.
Son sınır, yerel ağın uç cihazlarının korunmasıdır: örneğin, I/O işlemlerini, silmeleri, kopyaları ve ağ etkinliklerini analiz eden uç cihazlara (sanal makineler) kurulu aracıların yardımıyla sunucular ve sanal makineler, veriyi iletmek Büyük hesaplama gücü gerektiren hesaplamaların yapıldığı yer. Burada Büyük Veri algoritmaları kullanılarak analiz yapılıyor, makine mantık ağaçları oluşturuluyor ve anormallikler belirleniyor. Algoritmalar, küresel bir sensör ağı tarafından sağlanan büyük miktarda veriye dayanarak kendi kendine öğreniyor.
Aracıları yüklemeden yapabilirsiniz. Modern bilgi güvenliği araçları aracısız olmalı ve işletim sistemlerine hipervizör düzeyinde entegre edilmelidir.
Listelenen önlemler bilgi güvenliği risklerini önemli ölçüde azaltıyor ancak nükleer santraller gibi yüksek riskli üretim süreçlerinin otomasyonunu sağlayan veri merkezleri için bu yeterli olmayabilir.
Düzenleme gereksinimleri
İşlenen bilgiye bağlı olarak, fiziksel ve sanallaştırılmış veri merkezi altyapılarının yasalarda ve endüstri standartlarında belirtilen farklı güvenlik gereksinimlerini karşılaması gerekir.
Bu tür yasalar arasında bu yıl yürürlüğe giren “Kişisel Verilere İlişkin” yasa (152-FZ) ve “Rusya Federasyonu KII Tesislerinin Güvenliğine İlişkin” yasa (187-FZ) yer alıyor - savcılık zaten ilgilenmeye başladı uygulanması aşamasındadır. Veri merkezlerinin CII konularına ait olup olmadığı konusundaki tartışmalar halen devam ediyor ancak büyük ihtimalle CII konularına hizmet vermek isteyen veri merkezleri yeni mevzuatın gereklerine uymak zorunda kalacak.
Devlet bilgi sistemlerini barındıran veri merkezleri için bu kolay olmayacak. Rusya Federasyonu Hükümeti'nin 11.05.2017 Mayıs 555 tarih ve XNUMX sayılı Kararnamesine göre, GIS'in ticari işletmeye alınmasından önce bilgi güvenliği sorunlarının çözülmesi gerekmektedir. Ve bir GIS'i barındırmak isteyen bir veri merkezinin öncelikle yasal gereklilikleri karşılaması gerekir.
Son 30 yılda, veri merkezi güvenlik sistemleri uzun bir yol kat etti: basit fiziksel koruma sistemlerinden ve alaka düzeyini kaybetmemiş organizasyonel önlemlerden, yapay zeka unsurlarını giderek daha fazla kullanan karmaşık akıllı sistemlere kadar. Ancak yaklaşımın özü değişmedi. En modern teknolojiler sizi kurumsal önlemler ve personel eğitimi olmadan kurtaramaz ve evrak işleri de yazılım ve teknik çözümler olmadan sizi kurtaramaz. Veri merkezi güvenliği bir kerede ve tamamen garanti edilemez; öncelikli tehditleri belirlemek ve ortaya çıkan sorunları kapsamlı bir şekilde çözmek için sürekli olarak günlük bir çaba gösterilmesi gerekir.
Blogda başka neler okuyabilirsiniz?
→
→
→
→
→
Abone olun -kanal böylece bir sonraki makaleyi kaçırmazsınız! Haftada en fazla iki kez ve yalnızca iş hakkında yazıyoruz. yapabileceğinizi de hatırlatırız. bulut çözümleri Cloud4Y.
Kaynak: habr.com