这就是位于莫斯科的NORD-2数据中心的监控中心的样子
您已经不止一次地阅读过有关采取哪些措施来确保信息安全 (IS) 的信息。 任何有自尊心的 IT 专家都可以轻松说出 5-10 条信息安全规则。 Cloud4Y 提供有关数据中心信息安全的讨论。
在保障数据中心的信息安全时,最“受保护”的对象是:
- 信息资源(数据);
- 收集、处理、存储和传输信息的过程;
- 系统用户和维护人员;
- 信息基础设施,包括处理、传输和显示信息的硬件和软件工具,包括信息交换渠道、信息安全系统和场所。
数据中心的职责范围取决于提供的服务模型(IaaS/PaaS/SaaS)。 外观如何,请看下图:
数据中心安全策略的范围取决于所提供的服务模型
制定信息安全策略最重要的部分是建立威胁和违规者模型。 什么会对数据中心构成威胁?
- 自然、人为和社会性质的不良事件
- 恐怖分子、犯罪分子等
- 对供应商、供应商、合作伙伴、客户的依赖
- 故障、故障、破坏、软硬件损坏
- 数据中心员工利用合法授予的权利和权力实施信息安全威胁(内部信息安全违规者)
- 在合法授予的权利和权力之外实施信息安全威胁的数据中心员工,以及与数据中心人员无关但试图进行未经授权的访问和未经授权的行为的实体(外部信息安全违规者)
- 不遵守监管机构、现行立法的要求
风险分析——识别潜在威胁并评估其实施后果的规模——将有助于正确选择数据中心信息安全专家必须解决的优先任务,并规划硬件和软件购买的预算。
确保安全是一个持续的过程,包括信息安全系统的规划、实施和运行、监控、分析和改进阶段。 创建信息安全管理体系,即所谓的““。
安全策略的一个重要部分是实施人员的角色和职责的分配。 应不断审查政策,以反映立法变化、新威胁和新兴防御措施。 当然,还要向员工传达信息安全要求并提供培训。
组织措施
一些专家对“纸质”安全持怀疑态度,认为主要的是抵御黑客攻击的实用技能。 确保银行信息安全的真实经验表明事实恰恰相反。 信息安全专家可能在识别和减轻风险方面拥有出色的专业知识,但如果数据中心人员不遵循他们的指示,一切都将是徒劳的。
一般来说,安全不会带来金钱,而只会将风险降到最低。 因此,它常常被视为令人不安和次要的事情。 当安全专家开始愤怒时(完全有权利这样做),与运营部门的员工和负责人之间经常会发生冲突。
行业标准和监管要求的存在有助于安全专业人员在与管理层的谈判中捍卫自己的立场,而批准的信息安全政策、法规和规章允许员工遵守其中规定的要求,为通常不受欢迎的决策提供基础。
场所保护
当数据中心使用主机托管模式提供服务时,确保客户设备的物理安全和访问控制就显得尤为重要。 为此,使用了外壳(大厅的围栏部分),这些外壳受到客户的视频监控,并且数据中心人员的访问受到限制。
在具有物理安全性的国家计算机中心,上世纪末的情况还不错。 有门禁,即使没有电脑和摄像机,也有对场所的门禁控制,还有灭火系统——发生火灾时,氟利昂会自动释放到机房内。
如今,物理安全得到了更好的保证。 访问控制和管理系统 (ACS) 已变得智能化,并且正在引入访问限制的生物识别方法。
灭火系统对于人员和设备来说变得更加安全,其中包括对火区进行抑制、隔离、冷却和缺氧作用的装置。 除了强制消防系统外,数据中心还经常使用吸入式早期火灾探测系统。
为了保护数据中心免受外部威胁(火灾、爆炸、建筑结构倒塌、洪水、腐蚀性气体),开始使用安全室和保险箱,其中服务器设备可以免受几乎所有外部破坏因素的影响。
薄弱环节是人
“智能”视频监控系统、体积跟踪传感器(声学、红外、超声波、微波)、门禁系统降低了风险,但并没有解决所有问题。 例如,当使用正确工具正确进入数据中心的人“迷上了”某些东西时,这些手段将无济于事。 而且,正如经常发生的那样,意外的障碍会带来最大的问题。
数据中心的工作可能会因人员滥用其资源而受到影响,例如非法采矿。 数据中心基础设施管理 (DCIM) 系统可以在这些情况下提供帮助。
人员也需要保护,因为人通常被称为保护系统中最脆弱的环节。 职业犯罪分子的有针对性的攻击通常是从使用社会工程方法开始的。 通常,最安全的系统会在有人单击/下载/执行某些操作后崩溃或受到损害。 通过培训员工和实施信息安全领域的全球最佳实践,可以最大限度地减少此类风险。
工程基础设施保护
对数据中心功能的传统威胁是电源故障和冷却系统故障。 我们已经习惯了这种威胁,并学会了应对它们。
新趋势已成为广泛引入连接到网络的“智能”设备:受控UPS、智能冷却和通风系统、连接到监控系统的各种控制器和传感器。 在构建数据中心威胁模型时,您不应忘记基础设施网络(以及可能的数据中心的关联 IT 网络)受到攻击的可能性。 使情况变得复杂的是,一些设备(例如冷却器)可以移到数据中心之外,例如租用建筑物的屋顶上。
保护通讯渠道
如果数据中心不仅仅按照托管模式提供服务,那么它就必须处理云保护问题。 据 Check Point 称,仅去年一年,全球就有 51% 的组织的云结构遭受过攻击。 DDoS 攻击导致企业停顿,加密病毒索要赎金,针对银行系统的攻击导致代理账户资金被盗。
外部入侵的威胁也让数据中心信息安全专家感到担忧。 与数据中心最相关的是旨在中断服务提供的分布式攻击,以及虚拟基础设施或存储系统中包含的数据的黑客攻击、盗窃或修改的威胁。
为了保护数据中心的外部边界,现代系统具有识别和消除恶意代码、应用程序控制以及导入威胁情报主动防护技术的功能。 在某些情况下,部署具有 IPS(入侵防御)功能的系统,并根据受保护环境的参数自动调整签名集。
为了防御 DDoS 攻击,俄罗斯公司通常使用外部专业服务将流量转移到其他节点并在云中进行过滤。 运营商侧的保护比客户端有效得多,数据中心充当服务销售的中介。
数据中心内也可能发生内部 DDoS 攻击:攻击者渗透使用托管模型托管其设备的一家公司的保护较弱的服务器,并从那里通过内部网络对该数据中心的其他客户端进行拒绝服务攻击。
专注于虚拟环境
当对一个客户端的成功攻击可能威胁邻居的安全时,有必要考虑受保护对象的具体情况 - 虚拟化工具的使用、IT 基础设施的动态变化、服务的互连性。 例如,通过在基于 Kubernetes 的 PaaS 中工作时攻击前端 docker,攻击者可以立即获取所有密码信息,甚至访问编排系统。
该服务模式下提供的产品自动化程度较高。 为了不干扰业务,信息安全措施必须应用到不低于自动化程度和水平扩展的程度。 应确保各个级别的信息安全的扩展,包括访问控制的自动化和访问密钥的轮换。 一项特殊任务是扩展检查网络流量的功能模块。
例如,在高度虚拟化的数据中心的应用程序、网络和会话级别过滤网络流量应在虚拟机管理程序网络模块级别(例如 VMware 的分布式防火墙)或通过创建服务链(来自 Palo Alto Networks 的虚拟防火墙)来执行。
如果计算资源虚拟化层面存在弱点,那么在平台层面建立全面的信息安全体系的努力将是无效的。
数据中心的信息保护级别
一般的保护方法是使用集成的、多层次的信息安全系统,包括防火墙级别的宏观分段(为业务的各个功能区域分配分段)、基于虚拟防火墙的微观分段或标记组流量(用户角色或服务)由访问策略定义。
下一个级别是识别段内和段之间的异常。 分析流量动态,这可能表明存在恶意活动,例如网络扫描、DDoS 攻击尝试、数据下载,例如通过分割数据库文件并将其输出到定期出现的会话中,间隔很长。 数据中心有大量流量通过,因此要识别异常情况,需要使用高级搜索算法,并且无需进行数据包分析。 重要的是,不仅要识别恶意和异常活动的迹象,而且要识别恶意软件的运行,即使是在加密流量中而无需解密,正如思科解决方案 (Stealthwatch) 中提出的那样。
最后一个前沿是保护本地网络的终端设备:例如服务器和虚拟机,借助安装在终端设备(虚拟机)上的代理来分析 I/O 操作、删除、复制和网络活动,将数据传输至 ,其中进行需要大量计算能力的计算。 在那里,使用大数据算法进行分析,构建机器逻辑树并识别异常。 算法是基于全球传感器网络提供的大量数据进行自学习的。
无需安装代理即可完成。 现代信息安全工具必须是无代理的,并在虚拟机管理程序级别集成到操作系统中。
所列出的措施显着降低了信息安全风险,但这对于提供高风险生产流程自动化的数据中心(例如核电站)来说可能还不够。
监管要求
根据所处理的信息,物理和虚拟化数据中心基础设施必须满足法律和行业标准中规定的不同安全要求。
此类法律包括今年生效的《个人数据法》(152-FZ)和《俄罗斯联邦 KII 设施安全法》(187-FZ)——检察官办公室已经对此产生了兴趣其实施进展情况。 关于数据中心是否属于CII主体的争议仍在继续,但最有可能的是,希望向CII主体提供服务的数据中心必须遵守新立法的要求。
对于托管政府信息系统的数据中心来说,这并不容易。 根据俄罗斯联邦政府11.05.2017年555月XNUMX日第XNUMX号令,GIS投入商业运营前应解决信息安全问题。 想要托管 GIS 的数据中心必须首先满足法规要求。
在过去的30年里,数据中心安全系统取得了长足的进步:从简单的物理保护系统和组织措施(但并未失去其相关性),到复杂的智能系统(越来越多地使用人工智能元素)。 但该方法的本质并没有改变。 如果没有组织措施和员工培训,最现代的技术也无法拯救您;如果没有软件和技术解决方案,文书工作也无法拯救您。 数据中心的安全不可能一劳永逸地得到保证;需要每天不断地努力识别优先威胁并全面解决新出现的问题。
你还能在博客上读到什么?
→
→
→
→
→
订阅我们的 -频道,这样您就不会错过下一篇文章! 我们每周写信不超过两次,而且仅限于公务。 我们还提醒您,您可以 云解决方案Cloud4Y。
来源: habr.com