Так виглядає центр моніторингу в Москві ЦОД NORD-2
Про те, які заходи вживаються для забезпечення інформаційної безпеки (ІБ), ви читали неодноразово. Будь-який айтішник, що поважає себе, з легкістю назве 5-10 правил ІБ. Cloud4Y пропонує поговорити про інформаційну безпеку дата-центрів.
При забезпеченні інформаційної безпеки ЦОДу найбільш об'єктами, що «захищаються», є:
- інформаційні ресурси (дані);
- процеси збору, обробки, зберігання та передачі інформації;
- користувачі системи та обслуговуючий персонал;
- інформаційна інфраструктура, що включає технічні та програмні засоби обробки, передачі та відображення інформації, у тому числі канали інформаційного обміну, системи захисту інформації та приміщення.
Зона відповідальності ЦОД залежить від моделі послуг (IaaS/PaaS/SaaS). Як це виглядає, змотайте картинці нижче:
Область дії політики безпеки ЦОДу в залежності від моделі сервісів, що надаються.
Найважливіша частина розробки політики інформаційної безпеки — побудова моделі загроз та порушників. Що може стати загрозою для дата-центру?
- Несприятливі події природного, техногенного та соціального характеру
- Терористи, кримінальні елементи та ін.
- Залежність від постачальників, провайдерів, партнерів, клієнтів
- Збої, відмови, руйнування, пошкодження програмних та технічних засобів
- Співробітники ЦОДу, що реалізують загрози ІБ з використанням прав і повноважень, що їм легально надаються (внутрішні порушники ІБ)
- Співробітники ЦОДу, які реалізують загрози ІБ поза легально наданими їм правами та повноваженнями, а також суб'єкти, що не належать до персоналу ЦОДу, але здійснюють спроби несанкціонованого доступу та невирішених дій (зовнішні порушники ІБ)
- Невідповідність вимогам наглядових та регулюючих органів, чинному законодавству
Аналіз ризиків – виявлення потенційних загроз та оцінка масштабів наслідків їх реалізації – допоможе правильно вибрати першочергові завдання, які мають вирішувати фахівці з інформаційної безпеки ЦОДу, спланувати бюджети на купівлю технічних та програмних засобів.
Забезпечення безпеки - безперервний процес, який включає етапи планування, реалізації та експлуатації, моніторингу, аналізу та вдосконалення системи ІБ. Для створення систем менеджменту інформаційної безпеки використовують так званий «».
Важливою частиною політик безпеки є розподіл ролей та відповідальності персоналу за їхнє виконання. Слід постійно переглядати політики з урахуванням змін законодавства, нових загроз та засобів захисту. І, звичайно, доводити вимоги до інформаційної безпеки до персоналу та проводити його навчання.
Організаційні заходи
Деякі експерти скептично ставляться до «паперової» безпеки, вважаючи головним практичні вміння протистояти спробі злому. Реальний досвід роботи із забезпечення інформаційної безпеки в банках говорить про інше. Фахівці з ІБ можуть мати відмінну експертизу у справі виявлення та зниження ризиків, але якщо персонал ЦОД не стане виконувати їх вказівки, все буде марним.
Безпека зазвичай не приносить грошей, а лише мінімізує ризики. Тому до неї часто ставляться як до чогось заважає і другорядного. І коли фахівці з безпеки починають обурюватись (маючи на те повне право), нерідко виникають конфлікти з персоналом та керівниками експлуатаційних підрозділів.
Наявність галузевих стандартів та вимог регуляторів допомагає безпекам відстоювати свої позиції на переговорах з керівництвом, а затверджені політики ІБ, положення та регламенти дозволяють добиватися від персоналу виконання викладених там вимог, підводячи базу під проведення найчастіше непопулярних рішень.
Захист приміщень
При наданні дата-центром послуг за моделлю colocation на перший план виходить забезпечення фізичної безпеки та контролю доступу до обладнання клієнта. Для цього використовуються вигородки (огороджені частини зали), що знаходяться під відеоспостереженням клієнта та до яких обмежений доступ персоналу ЦОД.
У державних обчислювальних центрах з фізичною безпекою і наприкінці минулого століття справи були непогані. Був пропускний режим, контроль доступу до приміщень, нехай без комп'ютерів та відеокамер, системи пожежогасіння — у разі займання в машинному залі автоматично пускався фреон.
У наш час фізична безпека забезпечується ще краще. Системи контролю та управління доступом (СКУД) стали інтелектуальними, запроваджуються біометричні методи обмеження доступу.
Більш безпечними для персоналу та обладнання стали системи пожежогасіння, серед яких можна виділити установки для інгібування, ізоляції, охолодження та гіпоксичного впливу на зону займання. Поряд із обов'язковими системами протипожежного захисту у ЦОДах часто використовується система раннього виявлення пожежі аспіраційного типу.
Для захисту дата-центрів від зовнішніх загроз - пожеж, вибухів, обвалення конструкцій будівлі, затоплення, корозійних газів - стали використовуватися кімнати та сейфи безпеки, в яких серверне обладнання захищене практично від усіх зовнішніх факторів, що пошкоджують.
Слабка ланка - людина
«Розумні» системи відеоспостереження, датчики об'ємного стеження (акустичні, інфрачервоні, ультразвукові, мікрохвильові) СКУД знизили ризики, але не вирішили всіх проблем. Ці кошти не допоможуть, наприклад, коли правильно допущені до ЦОДу люди з правильно пронесеним інструментом щось «зачеплять». І, як часто буває, випадковий зачеп принесе максимум проблем.
На роботі дата-центру може вплинути нецільове використання персоналом його ресурсів, наприклад нелегальний майнінг. Допомогти у таких випадках можуть системи управління інфраструктурою ЦОДа (DCIM).
Захисту вимагає і персонал, оскільки людину часто називають найбільш уразливою ланкою в системі захисту. Цільові атаки професійних злочинців найчастіше розпочинаються з використання методів соціальної інженерії. Нерідко найзахищеніші системи падають або компрометуються після того, як хтось десь натиснув/скачав/зробив. Подібні ризики можна мінімізувати, навчаючи персонал та впроваджуючи найкращі світові практики у сфері інформаційної безпеки.
Захист інженерної інфраструктури
Традиційні загрози функціонуванню дата-центру – збої електроживлення та відмови систем охолодження. До таких погроз уже звикли та навчилися з ними боротися.
Новою тенденцією стало повсюдне впровадження «розумного» обладнання, об'єднаного в мережу: керовані ДБЖ, інтелектуальні системи охолодження та вентиляції, різноманітні контролери та датчики, підключені до систем моніторингу. При побудові моделі загроз ЦОД не варто забувати про можливість атаки на мережу інфраструктури (а, можливо, і на пов'язану з нею ІТ-мережа ЦОД). Ускладнює ситуацію той факт, що частина обладнання (наприклад, чилери) може бути винесена за межі ЦОДу, скажімо, на дах будівлі, що орендується.
Захист каналів зв'язку
Якщо дата-центр надає послуги не тільки за моделлю colocation, то доведеться займатися захистом хмар. За даними Check Point, лише торік 51% організацій у всьому світі зіткнулися з атаками на хмарні структури. DDoS-атаки зупиняють бізнес, віруси-шифрувальники вимагають викупу, цільові атаки на банківські системи призводять до розкрадання коштів з коррахунків.
Загрози зовнішніх вторгнень турбують і фахівців з інформаційної безпеки дата-центрів. Найбільш актуальними для ЦОД є розподілені атаки, націлені на припинення надання послуг, а також загрози злому, крадіжки або зміни даних, що містяться у віртуальній інфраструктурі або системах зберігання.
Для захисту зовнішнього периметра ЦОД служать сучасні системи з функціями виявлення та нейтралізації шкідливого коду, контролю додатків та можливістю імпорту технології проактивного захисту Threat Intelligence. У деяких випадках розгортають системи з функціоналом IPS (запобігання вторгненням) з автоматичним підстроюванням сигнатурного набору під параметри оточення, що захищається.
Для захисту від DDoS-атак російські компанії зазвичай використовують зовнішні спеціалізовані сервіси, які відводять трафік на інші вузли і фільтрують його в хмарі. Захист на стороні оператора виконується набагато ефективніше, ніж на стороні клієнта, а ЦОДи виступають посередниками з продажу послуг.
У ЦОДах можливі й внутрішні DDoS-атаки: зловмисник проникає на слабко захищені сервери однієї компанії, що розміщує своє обладнання за моделлю colocation, і з них по внутрішній мережі проводить атаку «відмова в обслуговуванні» на інших клієнтів дата-центру.
Увага віртуальним середовищам
Потрібно враховувати специфіку об'єкта, що захищається — використання засобів віртуалізації, динамічність зміни ІТ-інфраструктур, взаємопов'язаність сервісів, коли успішна атака на одного клієнта може загрожувати безпеці сусідів. Наприклад, зламавши frontend-докер під час роботи в PaaS на базі Kubernetes, зловмисник одразу може отримати всю парольну інформацію і навіть доступ до системи оркестрації.
Продукти, що надаються за сервісною моделлю, мають високий рівень автоматизації. Щоб не заважати бізнесу, не менший рівень автоматизації та горизонтального масштабування повинні мати накладені засоби захисту інформації. Масштабування має забезпечуватись на всіх рівнях ІБ, включаючи автоматизацію контролю доступу та ротацію ключів доступу. Окремо стоїть завдання масштабування функціональних модулів, які здійснюють інспекцію мережевого трафіку.
Наприклад, фільтрація мережевого трафіку на прикладному, мережевому та сеансовому рівнях у ЦОДах з високим ступенем віртуалізації повинна виконуватись на рівні мережевих модулів гіпервізора (наприклад, Distributed Firewall компанії VMware) або шляхом створення ланцюжків сервісів (віртуальні міжмережеві екрани від Palo Alto Networks).
За наявності слабких місць на рівні віртуалізації обчислювальних ресурсів зусилля щодо створення комплексної системи інформаційної безпеки на рівні платформи виявляться неефективними.
Рівні захисту інформації у ЦОД
Загальний підхід до захисту — використання інтегрованих, багаторівневих систем забезпечення ІБ, що включають макросегментацію на рівні міжмережевого екрану (виділення сегментів під різні функціональні напрямки бізнесу), мікросегментацію на базі віртуальних міжмережевих екранів або маркування трафіку груп (ролей користувачів або сервісів), визначених політиками доступу .
Наступний рівень — виявлення аномалій усередині сегментів та між ними. Аналізується динаміка трафіку, яка може свідчити про наявність шкідливих активностей, таких як сканування мережі, спроби DDoS-атак, скачування даних, наприклад шляхом нарізки файлів бази даних і виведення їх сесіями, що періодично з'являються, через тривалі проміжки часу. Всередині ЦОД проходять гігантські обсяги трафіку, так що для виявлення аномалій потрібно використовувати просунуті алгоритми пошуку, причому без пакетного аналізу. Важливо, щоб розпізнавались як ознаки шкідливої та аномальної активності, а й робота шкідливого ПЗ навіть у зашифрованому трафіку без його розшифровки, як це пропонується у рішеннях Cisco (Stealthwatch).
Останній рубіж - захист кінцевих пристроїв локальної мережі: серверів і віртуальних машин, наприклад, за допомогою агентів, що встановлюються на кінцеві пристрої (віртуальні машини), які аналізують операції введення-виведення, видалення, копіювання та мережеві активності, передають дані , де і проводяться розрахунки, що вимагають великих обчислювальних потужностей. Там проводиться аналіз за допомогою алгоритмів Big Data, будуються дерева машинної логіки та виявляються аномалії. Алгоритми самонавчаються з урахуванням великої кількості даних, що постачаються глобальної мережею сенсоров.
Можна обійтися без установки агентів. Сучасні засоби захисту мають бути безагентними і інтегруватися в операційні системи лише на рівні гипервизора.
Ці заходи значно знижують ризики інформаційної безпеки, але цього може бути недостатньо для дата-центрів, що забезпечують автоматизацію виробничих процесів підвищеної небезпеки, наприклад, атомних станцій.
Вимоги регуляторів
Залежно від оброблюваної інформації фізичні та віртуалізовані інфраструктури дата-центру повинні відповідати різним вимогам безпеки, сформульованим у законах та галузевих стандартах.
До таких законів належить закон «Про персональні дані» (152-ФЗ) і закон «Про безпеку об'єктів КІІ РФ» (187-ФЗ), що набрав чинності, — прокуратура вже стала цікавитися ходом його виконання. Суперечки щодо належності ЦОДів до суб'єктів КІІ ще йдуть, але, швидше за все, дата-центрам, які бажають надавати послуги суб'єктам КІІ, доведеться виконувати вимоги нового законодавства.
Непросто доведеться ЦОДам, які розміщують у себе державні інформаційні системи. Відповідно до Постанови Уряду РФ від 11.05.2017 №555, питання інформаційної безпеки слід вирішити до введення ГВС у промислову експлуатацію. І ЦОД, який хоче розміщувати у себе ГІС, заздалегідь має відповідати вимогам регуляторів.
За останні 30 років системи забезпечення безпеки ЦОДів пройшли величезний шлях: від простих систем фізичного захисту та організаційних заходів, які, втім, не втратили своєї актуальності, до складних інтелектуальних систем, у яких все частіше використовуються елементи штучного інтелекту. Але суть підходу у своїй не змінилася. Найсучасніші технології не врятують без організаційних заходів та навчання персоналу, а папери без програмних і технічних рішень. Безпеку ЦОДу не можна забезпечити раз і назавжди, це постійна щоденна праця з виявлення першочергових загроз та комплексного вирішення проблем, що виникають.
Що ще корисного можна почитати у блозі
→
→
→
→
→
Підписуйтесь на наш -Канал, щоб не пропустити чергову статтю! Пишемо не частіше двох разів на тиждень і лише у справі. Також нагадуємо, що ви можете хмарні рішення Cloud4Y.
Джерело: habr.com