Đây là hình dáng của trung tâm giám sát của trung tâm dữ liệu NORD-2 ở Moscow
Bạn đã nhiều lần đọc về những biện pháp được thực hiện để đảm bảo an ninh thông tin (IS). Bất kỳ chuyên gia CNTT có lòng tự trọng nào cũng có thể dễ dàng kể tên 5-10 quy tắc bảo mật thông tin. Cloud4Y đề nghị nói về bảo mật thông tin của trung tâm dữ liệu.
Khi đảm bảo an toàn thông tin của một trung tâm dữ liệu, đối tượng được “bảo vệ” nhiều nhất là:
- nguồn thông tin (dữ liệu);
- quá trình thu thập, xử lý, lưu trữ và truyền tải thông tin;
- người dùng hệ thống và nhân viên bảo trì;
- Cơ sở hạ tầng thông tin, bao gồm các công cụ phần cứng và phần mềm để xử lý, truyền tải và hiển thị thông tin, bao gồm các kênh trao đổi thông tin, hệ thống và cơ sở bảo mật thông tin.
Phạm vi trách nhiệm của trung tâm dữ liệu phụ thuộc vào mô hình dịch vụ được cung cấp (IaaS/PaaS/SaaS). Nó trông như thế nào, hãy xem hình ảnh dưới đây:
Phạm vi của chính sách bảo mật trung tâm dữ liệu tùy thuộc vào mô hình dịch vụ được cung cấp
Phần quan trọng nhất của việc phát triển chính sách bảo mật thông tin là xây dựng mô hình về các mối đe dọa và kẻ vi phạm. Điều gì có thể trở thành mối đe dọa đối với một trung tâm dữ liệu?
- Các hiện tượng bất lợi có tính chất tự nhiên, nhân tạo và xã hội
- Những kẻ khủng bố, các phần tử tội phạm, v.v.
- Sự phụ thuộc vào nhà cung cấp, nhà cung cấp, đối tác, khách hàng
- Thất bại, hỏng hóc, phá hủy, hư hỏng phần mềm và phần cứng
- Nhân viên trung tâm dữ liệu thực hiện các mối đe dọa an ninh thông tin bằng cách sử dụng các quyền và quyền hạn được cấp hợp pháp (người vi phạm an ninh thông tin nội bộ)
- Nhân viên trung tâm dữ liệu thực hiện các mối đe dọa bảo mật thông tin bên ngoài các quyền và quyền hạn được cấp hợp pháp, cũng như các thực thể không liên quan đến nhân viên trung tâm dữ liệu nhưng cố gắng truy cập trái phép và thực hiện các hành động trái phép (người vi phạm bảo mật thông tin bên ngoài)
- Không tuân thủ các yêu cầu của cơ quan giám sát và quản lý, pháp luật hiện hành
Phân tích rủi ro - xác định các mối đe dọa tiềm ẩn và đánh giá quy mô hậu quả của việc thực hiện chúng - sẽ giúp lựa chọn chính xác các nhiệm vụ ưu tiên mà các chuyên gia bảo mật thông tin của trung tâm dữ liệu phải giải quyết và lập kế hoạch ngân sách cho việc mua phần cứng và phần mềm.
Đảm bảo an ninh là một quá trình liên tục bao gồm các giai đoạn lập kế hoạch, triển khai và vận hành, giám sát, phân tích và cải tiến hệ thống an ninh thông tin. Để tạo ra các hệ thống quản lý an ninh thông tin, cái gọi là “'.
Một phần quan trọng của chính sách an ninh là sự phân bổ vai trò và trách nhiệm của nhân viên trong việc thực hiện chúng. Các chính sách cần được xem xét liên tục để phản ánh những thay đổi về luật pháp, các mối đe dọa mới và các biện pháp phòng vệ mới nổi. Và tất nhiên, truyền đạt các yêu cầu bảo mật thông tin cho nhân viên và cung cấp đào tạo.
Biện pháp tổ chức
Một số chuyên gia tỏ ra nghi ngờ về bảo mật “giấy tờ”, coi điều chính yếu là các kỹ năng thực tế để chống lại các nỗ lực hack. Kinh nghiệm thực tế trong việc đảm bảo an ninh thông tin tại các ngân hàng cho thấy điều ngược lại. Các chuyên gia bảo mật thông tin có thể có chuyên môn xuất sắc trong việc xác định và giảm thiểu rủi ro, nhưng nếu nhân viên trung tâm dữ liệu không làm theo hướng dẫn của họ thì mọi thứ sẽ vô ích.
An ninh, như một quy luật, không mang lại tiền mà chỉ giảm thiểu rủi ro. Vì vậy, nó thường được coi là một điều gì đó đáng lo ngại và thứ yếu. Và khi các chuyên gia an ninh bắt đầu phẫn nộ (với mọi quyền làm như vậy), xung đột thường nảy sinh với nhân viên và trưởng bộ phận vận hành.
Sự hiện diện của các tiêu chuẩn ngành và yêu cầu pháp lý giúp các chuyên gia bảo mật bảo vệ quan điểm của họ trong các cuộc đàm phán với ban quản lý, đồng thời các chính sách, quy định và quy định về bảo mật thông tin đã được phê duyệt cho phép nhân viên tuân thủ các yêu cầu đặt ra, tạo cơ sở cho các quyết định thường không được ưa chuộng.
Bảo vệ mặt bằng
Khi một trung tâm dữ liệu cung cấp các dịch vụ sử dụng mô hình colocation, việc đảm bảo an ninh vật lý và kiểm soát quyền truy cập vào thiết bị của khách hàng sẽ được đặt lên hàng đầu. Vì mục đích này, các khu vực bao quanh (các phần có rào chắn của hội trường) được sử dụng, được khách hàng giám sát bằng video và hạn chế quyền truy cập của nhân viên trung tâm dữ liệu.
Ở các trung tâm máy tính của nhà nước có bảo mật vật lý, mọi thứ không tệ vào cuối thế kỷ trước. Có kiểm soát ra vào, kiểm soát ra vào cơ sở, thậm chí không có máy tính và máy quay video, hệ thống chữa cháy - trong trường hợp hỏa hoạn, freon sẽ tự động được thả vào phòng máy.
Ngày nay, an ninh vật lý thậm chí còn được đảm bảo tốt hơn. Hệ thống quản lý và kiểm soát truy cập (ACS) đã trở nên thông minh và các phương pháp sinh trắc học hạn chế truy cập đang được giới thiệu.
Hệ thống chữa cháy đã trở nên an toàn hơn cho nhân viên và thiết bị, trong số đó có các hệ thống lắp đặt để ức chế, cách ly, làm mát và giảm oxy trong khu vực cháy. Cùng với các hệ thống phòng cháy chữa cháy bắt buộc, các trung tâm dữ liệu thường sử dụng hệ thống phát hiện cháy sớm kiểu hút.
Để bảo vệ trung tâm dữ liệu khỏi các mối đe dọa từ bên ngoài - cháy, nổ, sập công trình xây dựng, lũ lụt, khí ăn mòn - các phòng an ninh và két sắt bắt đầu được sử dụng, trong đó thiết bị máy chủ được bảo vệ khỏi hầu hết các yếu tố gây hại bên ngoài.
Mắt xích yếu là con người
Hệ thống giám sát video “thông minh”, cảm biến theo dõi thể tích (âm thanh, hồng ngoại, siêu âm, vi sóng), hệ thống kiểm soát truy cập đã giảm thiểu rủi ro nhưng chưa giải quyết được hết vấn đề. Những phương tiện này sẽ không giúp ích gì, chẳng hạn như khi những người được nhận vào trung tâm dữ liệu một cách chính xác với các công cụ phù hợp lại bị “nối” vào thứ gì đó. Và, như thường lệ, một sự cố vô tình sẽ mang đến những vấn đề tối đa.
Công việc của trung tâm dữ liệu có thể bị ảnh hưởng do nhân viên lạm dụng tài nguyên của nó, ví dụ như khai thác trái phép. Hệ thống quản lý cơ sở hạ tầng trung tâm dữ liệu (DCIM) có thể trợ giúp trong những trường hợp này.
Nhân sự cũng cần được bảo vệ vì mọi người thường được coi là mắt xích dễ bị tổn thương nhất trong hệ thống bảo vệ. Các cuộc tấn công có mục tiêu của bọn tội phạm chuyên nghiệp thường bắt đầu bằng việc sử dụng các phương pháp kỹ thuật xã hội. Thông thường, các hệ thống an toàn nhất gặp sự cố hoặc bị xâm phạm sau khi ai đó nhấp/tải xuống/làm điều gì đó. Những rủi ro như vậy có thể được giảm thiểu bằng cách đào tạo nhân viên và thực hiện các biện pháp thực hành tốt nhất toàn cầu trong lĩnh vực bảo mật thông tin.
Bảo vệ cơ sở hạ tầng kỹ thuật
Các mối đe dọa truyền thống đối với hoạt động của trung tâm dữ liệu là sự cố mất điện và lỗi hệ thống làm mát. Chúng ta đã quen với những mối đe dọa như vậy và đã học cách đối phó với chúng.
Một xu hướng mới đã trở thành việc giới thiệu rộng rãi các thiết bị “thông minh” được kết nối với mạng: UPS được điều khiển, hệ thống làm mát và thông gió thông minh, nhiều bộ điều khiển và cảm biến khác nhau được kết nối với hệ thống giám sát. Khi xây dựng mô hình mối đe dọa trung tâm dữ liệu, bạn không nên quên khả năng xảy ra một cuộc tấn công vào mạng cơ sở hạ tầng (và có thể là vào mạng CNTT liên quan của trung tâm dữ liệu). Điều làm phức tạp tình hình là thực tế là một số thiết bị (ví dụ: thiết bị làm lạnh) có thể được di chuyển ra ngoài trung tâm dữ liệu, chẳng hạn như trên mái của một tòa nhà thuê.
Bảo vệ các kênh liên lạc
Nếu trung tâm dữ liệu cung cấp dịch vụ không chỉ theo mô hình colocation thì nó sẽ phải đối mặt với vấn đề bảo vệ đám mây. Theo Check Point, chỉ riêng năm ngoái, 51% tổ chức trên toàn thế giới đã trải qua các cuộc tấn công vào cấu trúc đám mây của họ. Các cuộc tấn công DDoS ngăn chặn hoạt động kinh doanh, virus mã hóa đòi tiền chuộc, các cuộc tấn công có mục tiêu vào hệ thống ngân hàng dẫn đến việc đánh cắp tiền từ tài khoản đại lý.
Các mối đe dọa xâm nhập từ bên ngoài cũng khiến các chuyên gia bảo mật thông tin trung tâm dữ liệu lo lắng. Điều liên quan nhất đối với các trung tâm dữ liệu là các cuộc tấn công phân tán nhằm làm gián đoạn việc cung cấp dịch vụ, cũng như các mối đe dọa hack, đánh cắp hoặc sửa đổi dữ liệu có trong cơ sở hạ tầng ảo hoặc hệ thống lưu trữ.
Để bảo vệ phạm vi bên ngoài của trung tâm dữ liệu, các hệ thống hiện đại được sử dụng với chức năng xác định và vô hiệu hóa mã độc, kiểm soát ứng dụng và khả năng nhập công nghệ bảo vệ chủ động Threat Intelligence. Trong một số trường hợp, các hệ thống có chức năng IPS (ngăn chặn xâm nhập) được triển khai với tính năng tự động điều chỉnh chữ ký được đặt theo các tham số của môi trường được bảo vệ.
Để bảo vệ khỏi các cuộc tấn công DDoS, theo quy định, các công ty Nga sử dụng các dịch vụ chuyên biệt bên ngoài để chuyển hướng lưu lượng truy cập đến các nút khác và lọc nó trên đám mây. Việc bảo vệ ở phía nhà điều hành hiệu quả hơn nhiều so với phía khách hàng và các trung tâm dữ liệu đóng vai trò trung gian để bán dịch vụ.
Các cuộc tấn công DDoS nội bộ cũng có thể xảy ra trong các trung tâm dữ liệu: kẻ tấn công xâm nhập vào các máy chủ được bảo vệ yếu của một công ty lưu trữ thiết bị của họ bằng mô hình colocation và từ đó thực hiện tấn công từ chối dịch vụ đối với các máy khách khác của trung tâm dữ liệu này thông qua mạng nội bộ .
Tập trung vào môi trường ảo
Cần phải tính đến các chi tiết cụ thể của đối tượng được bảo vệ - việc sử dụng các công cụ ảo hóa, động lực thay đổi cơ sở hạ tầng CNTT, tính liên kết của các dịch vụ, khi một cuộc tấn công thành công vào một khách hàng có thể đe dọa đến an ninh của hàng xóm. Ví dụ: bằng cách hack docker giao diện người dùng khi làm việc trong PaaS dựa trên Kubernetes, kẻ tấn công có thể lấy ngay tất cả thông tin mật khẩu và thậm chí truy cập vào hệ thống điều phối.
Sản phẩm được cung cấp theo mô hình dịch vụ có mức độ tự động hóa cao. Để không gây trở ngại cho hoạt động kinh doanh, các biện pháp bảo mật thông tin phải được áp dụng ở mức độ không kém phần tự động hóa và mở rộng quy mô theo chiều ngang. Việc mở rộng quy mô phải được đảm bảo ở tất cả các cấp độ bảo mật thông tin, bao gồm tự động hóa kiểm soát truy cập và xoay vòng khóa truy cập. Một nhiệm vụ đặc biệt là mở rộng quy mô các mô-đun chức năng kiểm tra lưu lượng mạng.
Ví dụ: việc lọc lưu lượng mạng ở cấp độ ứng dụng, mạng và phiên trong các trung tâm dữ liệu được ảo hóa cao phải được thực hiện ở cấp mô-đun mạng ảo hóa (ví dụ: Tường lửa phân tán của VMware) hoặc bằng cách tạo chuỗi dịch vụ (tường lửa ảo từ Palo Alto Networks) .
Nếu có những điểm yếu ở cấp độ ảo hóa tài nguyên máy tính, những nỗ lực tạo ra một hệ thống bảo mật thông tin toàn diện ở cấp độ nền tảng sẽ không hiệu quả.
Mức độ bảo vệ thông tin trong trung tâm dữ liệu
Cách tiếp cận chung để bảo vệ là sử dụng các hệ thống bảo mật thông tin tích hợp, đa cấp, bao gồm phân đoạn vĩ mô ở cấp tường lửa (phân bổ các phân đoạn cho các lĩnh vực chức năng khác nhau của doanh nghiệp), phân đoạn vi mô dựa trên tường lửa ảo hoặc gắn thẻ lưu lượng truy cập của các nhóm (vai trò hoặc dịch vụ của người dùng) được xác định bởi chính sách truy cập.
Cấp độ tiếp theo là xác định các điểm bất thường trong và giữa các phân đoạn. Động lực lưu lượng truy cập được phân tích, có thể cho biết sự hiện diện của các hoạt động độc hại, chẳng hạn như quét mạng, cố gắng tấn công DDoS, tải xuống dữ liệu, chẳng hạn như bằng cách cắt các tệp cơ sở dữ liệu và xuất chúng trong các phiên xuất hiện định kỳ trong khoảng thời gian dài. Lượng lưu lượng truy cập khổng lồ đi qua trung tâm dữ liệu, vì vậy để xác định các điểm bất thường, bạn cần sử dụng các thuật toán tìm kiếm nâng cao và không cần phân tích gói. Điều quan trọng là không chỉ nhận ra các dấu hiệu của hoạt động độc hại và bất thường mà còn cả hoạt động của phần mềm độc hại ngay cả trong lưu lượng được mã hóa mà không giải mã nó, như được đề xuất trong các giải pháp của Cisco (Stealthwatch).
Biên giới cuối cùng là bảo vệ các thiết bị đầu cuối của mạng cục bộ: ví dụ: máy chủ và máy ảo với sự trợ giúp của các tác nhân được cài đặt trên thiết bị đầu cuối (máy ảo), phân tích các hoạt động I/O, xóa, sao chép và hoạt động mạng, truyền dữ liệu đến , nơi thực hiện các phép tính đòi hỏi sức mạnh tính toán lớn. Ở đó, việc phân tích được thực hiện bằng thuật toán Dữ liệu lớn, cây logic máy được xây dựng và các điểm bất thường được xác định. Các thuật toán có khả năng tự học dựa trên lượng dữ liệu khổng lồ được cung cấp bởi mạng lưới cảm biến toàn cầu.
Bạn có thể làm mà không cần cài đặt đại lý. Các công cụ bảo mật thông tin hiện đại phải không có tác nhân và được tích hợp vào hệ điều hành ở cấp độ ảo hóa.
Các biện pháp được liệt kê giúp giảm đáng kể rủi ro bảo mật thông tin, nhưng điều này có thể không đủ đối với các trung tâm dữ liệu cung cấp khả năng tự động hóa các quy trình sản xuất có rủi ro cao, chẳng hạn như các nhà máy điện hạt nhân.
Yêu cầu quy định
Tùy thuộc vào thông tin được xử lý, cơ sở hạ tầng trung tâm dữ liệu vật lý và ảo hóa phải đáp ứng các yêu cầu bảo mật khác nhau được quy định trong luật và tiêu chuẩn ngành.
Các luật này bao gồm luật “Về dữ liệu cá nhân” (152-FZ) và luật “Về an ninh của các cơ sở KII của Liên bang Nga” (187-FZ), có hiệu lực trong năm nay - văn phòng công tố đã bắt đầu quan tâm trong quá trình thực hiện nó. Tranh chấp về việc trung tâm dữ liệu có thuộc đối tượng CII hay không vẫn đang tiếp diễn nhưng rất có thể, trung tâm dữ liệu muốn cung cấp dịch vụ cho đối tượng CII sẽ phải tuân thủ các yêu cầu của pháp luật mới.
Sẽ không dễ dàng cho các trung tâm dữ liệu lưu trữ hệ thống thông tin của chính phủ. Theo Nghị định số 11.05.2017 ngày 555 tháng XNUMX năm XNUMX của Chính phủ Liên bang Nga, vấn đề bảo mật thông tin cần được giải quyết trước khi đưa GIS vào vận hành thương mại. Và một trung tâm dữ liệu muốn lưu trữ GIS trước tiên phải đáp ứng các yêu cầu quy định.
Trong 30 năm qua, các hệ thống bảo mật trung tâm dữ liệu đã đi được một chặng đường dài: từ các hệ thống bảo vệ vật lý đơn giản và các biện pháp tổ chức, tuy nhiên, vẫn không mất đi tính liên quan, đến các hệ thống thông minh phức tạp, ngày càng sử dụng các yếu tố trí tuệ nhân tạo. Nhưng bản chất của cách tiếp cận này không thay đổi. Những công nghệ hiện đại nhất sẽ không cứu được bạn nếu không có các biện pháp tổ chức và đào tạo nhân viên, và thủ tục giấy tờ sẽ không cứu được bạn nếu không có giải pháp phần mềm và kỹ thuật. Bảo mật trung tâm dữ liệu không thể được đảm bảo một lần và mãi mãi; đó là nỗ lực không ngừng hàng ngày để xác định các mối đe dọa ưu tiên và giải quyết toàn diện các vấn đề mới nổi.
Bạn có thể đọc gì khác trên blog?
→
→
→
→
→
Đăng ký của chúng tôi -channel để không bỏ lỡ bài viết tiếp theo nhé! Chúng tôi viết không quá hai lần một tuần và chỉ viết về công việc. Chúng tôi cũng nhắc nhở bạn rằng bạn có thể giải pháp đám mây Cloud4Y.
Nguồn: www.habr.com