
Как обеспечивается информационная безопасность дата-центров
Доверяя данные дата-центру, мы хотим быть уверены в том, что они находятся в безопасности. В этой статье мы разберем, как ЦОД заботятся о сохранности вашей информации
Когда мы говорим об обеспечении информационной безопасности, прежде всего речь идет о защите:
-
данных,
-
процессов аккумулирования и обработки информации,
-
пользователей и персонала центров,
-
способов обработки и передачи информации, а также каналов, по которым она движется.
При этом, в зависимости от модели услуг, ЦОД будет по разному очерчивать свою сферу ответственности. Модель IaaS предусматривает ответственность ЦОД за данные, хранилища, помещение и т.д. У моделей PaaS и SaaS все это относится к сферам ответственности клиента.
Угрозы для ЦОД
Один из ключевых моментов создания информационной безопасности — это прогноз возможных угроз.
Вот несколько примеров факторов, угрожающих работе дата-центра:
-
Катастрофы самого различного характера.
-
Действия преступников или террористов.
-
Ошибки и задержки в работе провайдеров, партнеров и других третьих лиц.
-
Нарушения в работе ПО и техники.
-
Неправомерная деятельность сотрудников ЦОДа, связанная с угрозой информационной безопасности.
-
Злоумышленники, пытающиеся получить несанкционированный доступ к данным.
-
Проблемы с надзорными и регулирующими органами.
Выявленные возможные риски необходимо тщательно проанализировать. Цель — отследить вероятность возникновения угроз и оценить последствия, которые они могут за собой повлечь. После этого можно составить план задач для специалистов по информационной безопасности дата-центра и выделить бюджет на приобретение защитных средств.
Невозможно решить вопросы безопасности раз и навсегда. Это не результат, а процесс, который требует постоянного контроля. В целях повышения безопасности важно регулярно мониторить имеющиеся средства защиты, анализировать и повышать их эффективность.
Для этого необходимо сразу найти сотрудников, отвечающих за безопасность. Не обязательно нанимать для этого отдельного человека, можно грамотно распределить роли среди имеющегося персонала и провести обучение. Поручите сотрудникам отслеживать изменения в законодательстве, появление новых угроз и способов защиты от них. На основе этой информации необходимо регулярно пересматривать подход к обеспечению информационной безопасности.
В чем сложности создания системы безопасности
На первых этапах можно столкнуться с тем, что часть сотрудников не воспринимает задачи обеспечения безопасности всерьез. И если с попытками взлома все понятно, то планирование, мониторинг и аналитическая работа часто не воспринимаются всерьез. Изменить отношение к ситуации помогает грамотное обучение персонала. Опыт показывает, что информационная безопасность во многом зависит от регулярных действий сотрудников ЦОДа, от их умения следовать инструкциям.
Второй момент связан с тем, что обеспечение безопасности помогает избежать серьезных потерь, но не приносит ощутимой прибыли. Этот факт часто заставляет относиться к ней как к чему-то малозначительному и заниматься ей только когда выполнены задачи с более высоким приоритетом.
Рекомендуем руководствоваться стандартами, в которых четко прописаны требования к обеспечению информационной безопасности. Как правило, они становятся весомым аргументом при общении с персоналом.
Как обеспечить безопасность помещений
Если речь идет о colocation — совместном размещении серверов в одном дата-центре, важно сделать так, чтобы никто кроме клиента не смог получить доступ к его оборудованию. С этой целью часто пространство делят на части при помощи перегородок. Каждый клиент может наблюдать через видеосвязь за происходящим на его территории.
В государственных дата-центрах действует пропускной режим и строгий контроль доступа. В частных ЦОДах все это отдано на откуп автоматике. Системы умного доступа позволяют сделать вход по отпечаткам пальцев, радужке глаз и другим биометрическим параметрам. Плюс к этому используются современные системы противопожарной защиты и пожаротушения.
Все это касается внутренних процессов. Что же до внешних неблагоприятных факторов, то современные дата-центры оснащают хранилищами с повышенным уровнем безопасности. В них оборудование клиента практически полностью защищено от пожаров, затоплений и обрушения здания.
Человеческий фактор
Следующее слабое звено в системе безопасности дата-центра — его сотрудники. Если обойти «умные» службы видеонаблюдения и обойти защиту далеко не просто, то с людьми злоумышленникам иногда удается договориться. С помощью методов социальной инженерии они получают доступ к любым хорошо защищенным системам.
Иногда сотрудники используют мощности и оборудование дата-центра в личных целях. Например, для майнинга. Отследить такие случаи помогает установка системы управления инфраструктурой ЦОДа.
Помимо этого ошибки по вине сотрудников могут возникать и безо всякого умысла со стороны последних. Чтобы свести к нулю риски, связанные с человеческим фактором, следует уделять пристальное внимание подбору, обучению и мотивации персонала. Советуем изучить мировые практики в сфере информационной безопасности.
Безопасность инженерной инфраструктуры
Изначально к рискам в этой сфере относились скачки и перебои с электропитанием, выход из строя систем охлаждения. Сейчас с этим научились справляться, однако возникли новые сложности.
Благодаря широкому распространению «умного» оборудования, которое контролирует системы вентиляции и поддержания температурного режима, датчики и контроллеры, эта часть так же становится уязвимым звеном в общей цепочке безопасности. Умные системы могут подвергаться нападению злоумышленников, цель которых - взломать, вывести из строя или получить доступ к данным.
Уязвимости каналов связи
Иногда дата-центры оказывают услуги с предоставлением облаков для хранения данных. Не стоит упускать из виду, что они так же нуждаются в защите. Сервис Check Point обнародовал статистику, согласно которой нападение на облачные структуры зафиксировали в 51% компаний по всему миру. Из-за DDoS-атак происходят сбои в работе бизнеса, потери средств и другие критичные последствия.
В список пострадавших компаний входят и дата-центры. Чаще всего злоумышленники пытаются прервать отлаженный цикл предоставления услуг, взломать или похитить данные из системы хранения.
Для защиты от подобных нападений используются программы, отслеживающие и нейтрализующие вредоносный код. С их помощью можно контролировать приложения использовать возможности защиты Threat Intelligence. Так же оправданным может быть использование системы с функционалом IPS, который предотвращает несанкционированные вторжения.
В нашей стране для этих целей применяют внешние сервисы, перенаправляющие трафик на другие узлы и занимающиеся его фильтрацией в отдельном облаке. Это помогает не допустить проникновения злоумышленников еще на подступах к хранилищу данных.
При защите данных важно учитывать их специфику. Особенно важно исключить такой вариант развития событий, когда не отраженная атака на одного клиента приводит к угрозе для остальных. К примеру, при взломе frontend-докера в PaaS на базе Kubernetesв руки преступников могут попасть все пароли.
Важно, чтобы средства защиты не мешали нормальному функционированию сервисов клиента. Для этого они должны обладать не меньшей степенью автоматизации и наложенными вариантами защиты информации. Фильтрацию сетевого трафика в ЦОДах с повышенной степенью виртуализации должна необходимо осуществлять на уровне сетевых модулей гипервизора или через генерирование цепочек сервисов.
Если здесь останутся уязвимости для злоумышленников, усилия по созданию общей системы информационной безопасности окажутся малоэффективными.
Какие уровни защиты информации предлагают ЦОД
Большинство дата-центров использует интегрированные системы обеспечения безопасности, состоящие из нескольких уровней. Как правило, они включают выделение сегментов для разных направлений бизнеса, микросегментацию на базе межсетевых экранов или разметки трафика групп, которые предусматривает политика доступа.
На другом уровне происходит выявление аномалий в самих сегментах, а также между ними. При этом анализируется динамика трафика, по которой можно судить о наличии или отсутствии сканирований, попыток DDoS-атак и несанкционированного скачивания из базы данных.
Поскольку в любом ЦОДе проходят гигантские объёмы трафика, поиск подозрительных активностей требует продвинутых алгоритмов без пакетного анализа. Они должны распознавать как признаки аномальной активности,так и работу вредоносного программного обеспечения.
Последний уровень — защита серверов и виртуальных устройств. Она осуществляется с помощью установленных на них агентов, подвергающих анализу операции ввода, удаления, копирования и тд. Полученная информация попадает в облако, где обрабатывается с помощью алгоритмов Big Data. Алгоритмы способны к самообучению за счет огромного количества поступающих данных.
Какие требования к безопасности предъявляют регуляторы
Инфраструктуры ЦОДа должны соответствовать разным требованиям к безопасности, которые прописаны в законах и отраслевых стандартах.
За основу можно взять закон «О персональных данных» (152-ФЗ), а также закон «О безопасности объектов КИИ РФ» (187-ФЗ). В настоящее время прокуратура начала отслеживать его выполнение. Правда, до сих пор не прекращаются споры о принадлежности дата-центров к субъектам КИИ.
Подводя итоги можно сказать, что за несколько десятков лет системы безопасности дата-центров прошли путь от средств физической защиты до сложнейших интеллектуальных систем под управлением искусственного интеллекта. Однако некоторые процессы остаются прежними. На первом месте для обеспечения безопасности по-прежнему стоит хорошая организация и обучение персонала. Информационная безопасность — не результат, а непрекращающийся ежедневный процесс, включающий выявление угроз и своевременное решение проблем.