|
|
|||||||||||||||||||||||||||||
|
Информационная безопасность ЦОДИсточник: iksm
Основными объектами защиты при обеспечении информационной безопасности ЦОДа являются: информационные ресурсы (данные); процессы сбора, обработки, хранения и передачи информации; пользователи системы и обслуживающий персонал; информационная инфраструктура, включающая технические и программные средства обработки, передачи и отображения информации, в том числе каналы информационного обмена, системы защиты информации и помещения. Зона ответственности ЦОДа зависит от модели предоставляемых услуг (табл. 1). Таблица 1. Область действия политики безопасности ЦОДа в зависимости от модели предоставляемых сервисов
Важнейшая часть разработки политики информационной безопасности - построение модели угроз и нарушителей (табл. 2). Анализ рисков - выявление потенциальных угроз и оценка масштабов последствий их реализации - поможет правильно выбрать первоочередные задачи, которые должны решать специалисты по информационной безопасности ЦОДа, спланировать бюджеты на покупку технических и программных средств. Обеспечение безопасности - непрерывный процесс, который включает этапы планирования, реализации и эксплуатации, мониторинга, анализа и совершенствования системы ИБ. Для создания систем менеджмента информационной безопасности используют так называемый цикл Деминга. Важной частью политик безопасности является распределение ролей и ответственности персонала за их выполнение. Следует постоянно пересматривать политики с учетом изменений законодательства, новых угроз и появляющихся средств защиты. И, конечно, доводить требования к информационной безопасности до персонала и проводить его обучение. Организационные меры Некоторые эксперты скептически относятся к "бумажной" безопасности, считая главным умение взламывать системы. Практический опыт работы по обеспечению информационной безопасности в банках говорит об обратном. Специалисты по ИБ могут иметь отличную экспертизу в деле выявления и снижения рисков, но если персонал ЦОДа не будет выполнять их указания, все будет напрасным. Безопасность, как правило, не приносит денег, а лишь минимизирует риски. Поэтому к ней часто относятся как к чему-то мешающему и второстепенному. Требования специалистов по безопасности нередко приводят к конфликтам с персоналом и руководителями эксплуатационных подразделений. Наличие отраслевых стандартов и требований регуляторов помогает безопасникам отстаивать свои позиции на переговорах с руководством, а утвержденные политики ИБ, положения и регламенты позволяют добиваться от персонала выполнения изложенных там требований, подводя базу под проведение зачастую непопулярных решений. Защита помещений При предоставлении ЦОДом услуг по модели colocation на первый план выходит обеспечение физической безопасности и контроля доступа к оборудованию клиента. Для этого используются выгородки (огороженные части зала), которые находятся под видеонаблюдением клиента и к которым доступ персонала ЦОДа крайне ограничен. В государственных вычислительных центрах с физической безопасностью и в конце прошлого века дела обстояли неплохо. Был пропускной режим, контроль доступа в помещения, пусть без компьютеров и видеокамер, системы пожаротушения - в случае возгорания в машинный зал автоматически пускался фреон. В наше время физическая безопасность обеспечивается еще лучше. Системы контроля и фотоуправления доступом (СКУД) стали интеллектуальными, внедряются биометрические методы, например контроль входа в машзал по руке человека в ЦОДе IXcellerate или специальная кабинка, сканирующая человека при доступе в машзал ЦОДа Сбербанка в Сколково. Более безопасными для персонала и оборудования стали системы пожаротушения, среди которых можно выделить установки пожаротушения тонкораспыленной водой. Наряду с обязательными системами противопожарной защиты в ЦОДах часто используется система раннего обнаружения пожара аспирационного типа. Для защиты дата-центров от внешних угроз - пожаров, взрывов, обрушения конструкций здания, затопления, коррозийных газов - стали использоваться комнаты и сейфы безопасности, в которых серверное оборудование защищено практически от всех внешних повреждающих факторов. Слабое звено - человек "Умные" системы видеонаблюдения, датчики объемного слежения (акустические, инфракрасные, ультразвуковые, микроволновые), СКУД снизили риски, но не решили всех проблем. Эти средства не помогут, например, когда правильно допущенные в ЦОД люди с правильно пронесенным инструментом что-нибудь "зацепят". На работе дата-центра может сказаться нецелевое использование персоналом его ресурсов, например нелегальный майнинг. Помочь в этих случаях могут системы управления инфраструктурой ЦОДа (DCIM). Защиты требует и сам персонал. Целевые атаки профессиональных преступников чаще всего начинаются с использования методов социальной инженерии. Что подобные риски можно минимизировать, обучая персонал и внедряя лучшие мировые практики в области информационной безопасности. Защита инженерной инфраструктуры Традиционные угрозы функционированию дата-центра - сбои электропитания и отказы систем охлаждения. К таким угрозам уже привыкли и научились с ними бороться. Новой тенденцией стало повсеместное внедрение "умного" оборудования, объединенного в сеть: управляемые ИБП, интеллектуальные системы охлаждения и вентиляции, разнообразные контроллеры и датчики, подключенные к системам мониторинга. При построении модели угроз ЦОДа не стоит забывать о вероятности атаки на сеть инфраструктуры (а, возможно, и на связанную с ней ИТ-сеть ЦОДа). Усугубляет ситуацию то, что часть оборудования, например чиллеры, может быть вынесена за пределы ЦОДа, скажем, на крышу арендуемого здания. Защита каналов связи Если дата-центр предоставляет услуги не только по модели colocation, то придется заниматься защитой облаков. По данным Check Point, только в прошлом году 51% организаций по всему миру столкнулись с атаками на облачные структуры. DDoS-атаки останавливают бизнес, вирусы-шифровальщики требуют выкуп, целевые атаки на банковские системы приводят к хищению средств с корсчетов. Угрозы внешних вторжений беспокоят и специалистов по информационной безопасности дата-центров. Наиболее актуальны для ЦОДов распределенные атаки, нацеленные на прекращение предоставления услуг, а также угрозы взлома, кражи либо изменения данных, содержащихся в виртуальной инфраструктуре или системах хранения. Для защиты внешнего периметра ЦОДа служат современные системы с функциями выявления и нейтрализации вредоносного кода, контроля приложений и возможностью импорта технологии проактивной защиты Threat Intelligence. Некоторые пользователи разворачивают системы с функционалом IPS (предотвращения вторжений) c автоматической подстройкой сигнатурного набора под параметры защищаемого окружения. Для защиты от DDoS-атак российские компании, как правило, используют внешние специализированные сервисы, которые уводят трафик на другие узлы и фильтруют его в облаке. Защита на стороне оператора выполняется гораздо эффективнее, чем на стороне клиента, а ЦОДы выступают в качестве посредников по продаже услуг. В ЦОДах возможны и внутренние DDoS-атаки: злоумышленник проникает на слабо защищенные серверы одной компании, размещающей свое оборудование по модели colocation, и с них по внутренней сети проводит атаку "отказ в обслуживании" на других клиентов этого дата-центра. Внимание виртуальным средам Нужно учитывать специфику защищаемого объекта - использование средств виртуализации, динамичность изменения ИТ-инфраструктур, взаимосвязанность сервисов, когда успешная атака на одного клиента может угрожать безопасности соседей. Например, взломав front-end докер при работе в PaaS на базе Kubernetes, злоумышленник сразу может получить всю парольную информацию и даже доступ к системе оркестрации. Продукты, предоставляемые по сервисной модели, имеют высокую степень автоматизации. Чтобы не мешать бизнесу, не меньшую степень автоматизации и горизонтального масштабирования должны иметь наложенные средства защиты информации. Масштабирование должно обеспечиваться на всех уровнях ИБ, включая автоматизацию контроля доступа и ротацию ключей доступа. Особняком стоит задача масштабирования функциональных модулей, осуществляющих инспекцию сетевого трафика. Например, фильтрация сетевого трафика на прикладном, сетевом и сеансовом уровнях в ЦОДах с высокой степенью виртуализации должна выполняться на уровне сетевых модулей гипервизора (например, Distributed Firewall компании VMware) либо путем создания цепочек сервисов (виртуальные межсетевые экраны от Palo Alto Networks). При наличии слабых мест на уровне виртуализации вычислительных ресурсов усилия по созданию комплексной системы информационной безопасности на уровне платформы будут затрачены впустую. Уровни защиты информации в ЦОДе Общий подход к защите - использование интегрированных, многоуровневых систем обеспечения ИБ, включающих макросегментацию на уровне межсетевого экрана (выделение сегментов под различные функциональные направления бизнеса), микросегментацию на базе виртуальных межсетевых экранов или маркирования метками трафика групп (ролей пользователей или сервисов), определенных политиками доступа. Следующий уровень - выявление аномалий внутри сегментов и между ними. Анализируется динамика трафика, которая может свидетельствовать о наличии вредоносных активностей, таких как сканирование сети, попытки DDoS-атак, скачивание данных, например путем нарезки файлов базы данных и вывода их периодически появляющимися сессиями через длительные промежутки времени. Внутри ЦОДа проходят гигантские объемы трафика, так что для выявления аномалий нужно использовать продвинутые алгоритмы поиска, причем без пакетного анализа. Важно, чтобы распознавались не только признаки вредоносной и аномальной активности, но и работа вредоносного ПО даже в зашифрованном трафике без его расшифровки, как это предлагается в решениях Cisco (Stealthwatch). Последний рубеж - защита оконечных устройств локальной сети: серверов и виртуальных машин, например, с помощью агентов, устанавливаемых на оконечные устройства (виртуальные машины), которые анализируют операции ввода-вывода, удаления, копирования и сетевые активности, передают данные в облако, где и проводятся требующие больших вычислительных мощностей расчеты. Там производится анализ с помощью алгоритмов Big Data, строятся деревья машинной логики и выявляются аномалии. Алгоритмы самообучаются на базе огромного количества данных, поставляемых глобальной сетью сенсоров. Можно обойтись и без установки агентов. Современные средства защиты информации должны быть безагентными и интегрироваться в операционные системы на уровне гипервизора. Перечисленные меры значительно снижают риски информационной безопасности, но этого может быть недостаточно для дата-центров, обеспечивающих автоматизацию производственных процессов повышенной опасности, например, атомных станций. Эксперты "Московского завода "Физприбор", разрабатывающего аппаратные системы противоаварийной защиты (ПАЗ) для атомных станций, предлагают отделить автоматизированную систему безопасности от системы АСУ ТП. Системы верхнего уровня могут использовать программно определяемые устройства, гиперконвергентные системы - в общем, все возможности современных информационных технологий. А система ПАЗ, не позволяющая ни при каких условиях произойти аварии, будет работать по жестко заданному неизменяемому алгоритму, задействуя максимально упрощенные и надежные контроллеры. Требования регуляторов В зависимости от обрабатываемой информации физические и виртуализованные инфраструктуры дата-центра должны удовлетворять разным требованиям по безопасности, сформулированным в законах и отраслевых стандартах. К таким законам относится закон "О персональных данных" (152-ФЗ) и вступивший в этом году в силу закон "О безопасности объектов КИИ РФ" (187-ФЗ) - прокуратура уже стала интересоваться ходом его выполнения. Споры о принадлежности ЦОДов к субъектам КИИ еще идут но, скорее всего, дата-центрам, желающим предоставлять услуги субъектам КИИ, придется выполнять требования нового законодательства. Непросто придется ЦОДам, размещающим у себя государственные информационные системы. Согласно Постановлению Правительства РФ от 11.05.2017 № 555 вопросы информационной безопасности следует решить до ввода ГИС в промышленную эксплуатацию. Соответственно ЦОД, который хочет размещать у себя ГИС, заранее должен соответствовать требованиям регуляторов. За последние 30 лет системы обеспечения безопасности ЦОДов проделали огромный путь: от простых систем физической защиты и организационных мер, не потерявших, впрочем, своей актуальности, к сложным интеллектуальным системам, в которых все чаще используются элементы искусственного интеллекта. Но суть подхода при этом не поменялась. Самые современные технологии не спасут без организационных мер и обучения персонала, а бумаги - без программных и технических решений. Безопасность ЦОДа нельзя обеспечить раз и навсегда, это постоянный ежедневный труд по выявлению первоочередных угроз и комплексному решению возникающих проблем.
|
|