Мой ЦОД – моя крепость: как защитить дата-центр?

Облака и ЦОД
автор: Игорь Емельянов  16 сентября 2014

Вдумайтесь на секунду – вся наша с вами облачная интернет-вселенная, так или иначе, зиждется на определенных дата-центрах. Все наши данные размещены в ЦОДах, включая домашний адрес, данные аккаунтов в социальных сетях и CVC-коды кредиток. Конечно, большинство современных дата-центров имеет интеллектуальные системы бекапа и восстановления данных, замещения работы отключенных серверов и прочие технические способы не дать ЦОДу рухнуть как карточному домику, если что-то пошло не так.

Если посмотреть на ЦОД с другой стороны баррикад, со стороны интегратора, то становится понятно, что дата-центр – это еще и производственные мощности, столь же важные, как любое другое производство. Актив, который приносит прибыль за счет размещения в нем клиентских серверов, платформ или приложений.

В любом случае, ЦОД становится объектом повышенного внимания всевозможных злоумышленников. Одним нужно увести данные, другим физически вывести серверы из строя, третьим – максимально затруднить работу дата-центра, загрузив каналы связи под завязку. Поэтому, посягательства на самое святое, то есть дата-центр, делятся обычно на физические и, условно говоря, виртуальные. Первые – это как раз проникновение на территорию, подкуп сотрудников и прочие методы физического вредительства. Вторые – это всевозможные сетевые атаки, например DDoS.

Security concept: Lock on digital screen

Кстати, объектом для DDoS-атак дата-центры стали совсем недавно, но сегодня это уже значительный процент работы службы безопасности. Об этом ваш покорный слуга писал в материале «Что нам стоит ЦОД заDDоSить».

И если с угрозами все ясно, то с чего начинается, собственно, обеспечение безопасности? Как правило с оценки рисков. За первой оценкой обычно следует более глубокий анализ и подбор соответствующих решений. Если мы говорим о защите периметра ЦОДа, то современные методы предполагают ярусный подход. Поэтому проект по безопасности дата-центра обычно включает в себя системы контроля доступа, видеонаблюдение, системы противопожарной защиты, охранную сигнализацию и систему контроля безопасности жизнедеятельности. В последнее время интеграторы все чаще задумываются об экологической безопасности, включая соответствующие системы в проект защиты ЦОДа. Остается надеяться, что со временем у нас, как и в Европе, за экологичность будут премировать налоговыми вычетами. Также немаловажной составляющей оценки рисков становится персонал – насколько доверенные сотрудники у вас работают, стоит ли их проверять на полиграфе?

Тщательно разобрав и обосновав все возможные риски, вы получите хорошее пособие по проектированию системы защиты. Мы попросили Джабраила Матиева, руководителя отдела информационной безопасности IBS Platformix, ответить на вопрос из каких основных этапов состоит проектирование системы безопасности и в чем особенности каждого этапа?

DSC_5055_1

«В области системы информационной безопасности можно выделить несколько ключевых элементов.
1) Защита сетевого периметра ЦОДа, включая межсетевое экранирование; обнаружение и предотвращение вторжений (IDS/IPS-система); защита от DDoS-атак; поточный антивирус; защита от утечек данных (DLP, опционально); фильтрация web-трафика и защита web-приложений.

2) Защита каналов передачи данных, включая технологию SSL VPN для защиты мобильного доступа; «site-to-site» VPN для защиты данных между офисами и ЦОДами.

3) Защита серверного сегмента и хостов, включая комплексные системы защиты конечных хостов (интегрированные решения сетевой защиты и защиты от вредоносного ПО на хостах); защита от утечек данных на уровне хостов (плюс поиск критичных данных); контроль доступа и системы аутентификации.

4) Система управления информационной безопасностью, включая консоль управления средствами защиты; система сбора, анализа и корреляции событий информационно безопасности (SIEM).

5) Обеспечение непрерывности функционирования ЦОДа, включая системы резервного копирования и восстановления; технологии виртуализации, кластеризации для обеспечения непрерывности функционирования подсистем.

6) Соответствие требованиям информационной безопасности, включая отраслевые требования; международные стандарты и лучшие практики; требования законодательства; внутренние политики информационной безопасности.

Конечно, это лишь перечисление составных элементов определенных стандартных блоков информационной безопасности, реальную же картину можно «нарисовать» лишь по результатам работы по проектированию системы защиты.

Что касается реализации проектов по защите ЦОДа, то тут можно выделить несколько ключевых этапов.

На первом этапе осуществляется обследование существующего ЦОДа или анализ документации на создание ЦОДа (если он еще не построен). На этом этапе необходимо понять «что защищать». Это главный вопрос, без ответа на который невозможно строить систему защиты.

На втором этапе осуществляется разработка модели угроз и модели нарушителя. Здесь особенно принципиально сформулировать перечень угроз и проанализировать их актуальность. По результатам этой работы формируется типовой «портрет» злоумышленника.

На третьем этапе осуществляется разработка требований по защите от выявленных угроз и нарушителя и разработка проекта на систему защиты. Формируются требования, которые должны быть реализованы для защиты от перечисленных угроз и выбираются меры и средства защиты. На этом процесс проектирования завершается и начинаются внедрение, а затем и оценка эффективности системы защиты ЦОДа».

businessman with laptop in network server room

Как уже говорилось выше, дата-центр – отличный объект для реализации ярусного подхода к защите. То есть, формирование защитных мер обычно начинается от границ объекта и заканчивается в самом центре инфраструктуры. Таким образом, уровни доступа разделяются по ярусам и добавление очередного уровня на практике означает внедрение еще одного фактора авторизации. Например, доступ по специальным карточкам – это уже неплохая мера защиты. Но карту можно передать постороннему человеку, поэтому желательно ввести еще и пин-код. Впрочем, и это не является мерой абсолютной защиты. А вот добавив к этому биометрическую авторизацию, вы практически лишаете злоумышленников способов проникнуть. Единственный минус таких систем – их довольно высокая цена. Поэтому для большинства внешних уровней (ворота парковки, вход в здание) достаточно карточки и пин-кода, а на входе в серверную можно использовать видео-фиксацию и голосовую связь с пультом охраны. Решений и их комбинаций – масса, однако грамотная оценка рисков подскажет вам целесообразно ли внедрять ту или иную систему. Причем, руководствоваться необходимо не только предположениями, основанными на прецедентах, но и на фактической цене ошибки. Сколько потеряете вы или ваши клиенты, если информация будет похищена или ЦОД будет поврежден? Кажется ли теперь биометрическое решение таким дорогим? В любом случае, лучше следовать негласному правилу – прежде, чем добраться до ядра инфраструктуры, сотрудник должен пройти авторизацию не менее семи раз. В этом случае, система может считаться относительно безопасной.

Но как быть, если не только вашим сотрудникам, но и клиентам нужен доступ к серверам? Например, если ваш клиент серверная компания? Руководитель отдела информационной безопасности IBS Platformix, Джабраил Матиев, считает, что, организация удаленного доступа к серверам сегодня обычная практика. Как правило, у клиента всегда имеется удаленный доступ к серверам, который защищается усиленными средствами аутентификации (2-3-х факторной аутентификацией) и надежной защитой канала передачи данных. Если говорить о физическом доступе, то достаточно сложно представить для чего может потребоваться клиенту физический доступ к серверам, поскольку любые действия по обслуживанию физических серверов совершаются вручную персоналом интегратора. Тем не менее, существуют меры защиты и в этом случае. Условно их можно разделить на две части: организационные и технические.

Организационные — любой доступ к серверам со стороны клиента осуществляется только в сопровождении сотрудника интегратора.

Технические — физическая защита отдельных стоек с серверами («решетка с замком»). Таким образом, физический доступ к серверам исключается даже в том случае, если клиент находится в серверной комнате интегратора.

Так или иначе, политика безопасности, особенно разработанная совместно с клиентом, хороша тем, что выигрывают обе стороны. Интегратор получает хорошую репутацию, уникальные условия размещения для клиентов и, соответственно, отличную возможность для повторных продаж. Клиент, если он готов доплатить за безопасность, получает абсолютную уверенность в сохранности своих серверов и, соответственно, данных.

Поделиться
Поделиться
Tweet
Google
 
Читайте также
Строительство собственного ЦОДа оператором сотовой связи: опыт компании «ВымпелКом»
Строительство собственного ЦОДа оператором сотовой связи: опыт компании «ВымпелКом»
Тайна трансграничной переписки
Тайна трансграничной переписки
Домашний сервер-обогреватель
Домашний сервер-обогреватель
  • Злой

    Все наши данные размещены в ЦОДах, включая домашний адрес, данные аккаунтов в социальных сетях и CVC-коды кредиток.

    А не надо размещать всё только «там». Только несущественные данные, и возможно бэкапы существенных. Свое надо хранить при себе. Своя рубашка ближе к телу. Не ведитесь на замануху с облаками. Это зло.

    • Дон Джованни

      да 100% и к бадалке не ходи, но увы будущее за облаками, я и сам грешным делом начал пользоваться, удобно когда рабочие данные актуальны для меня с любого места где есть комп и нет.

      • Злой

        Я вот на эту тему думаю, что гораздо актуальнее была бы тема «личных облаков». То есть, результат тот же — данные доступны с любого места, но хранятся они не абы где, а на личном облаке, полностью под личным контролем. Возможно, стоящем в арендованном помещении, с хорошей защитой. Возможно и дома. Для пущей сохранности можно (и нужно) шифрованные бэкапы на облака делать, но основное хранилище — всё-таки на своем личном компьютере.

        • Дон Джованни

          чтож думаю состоятельные люди могут себе такое позволить, а уж тем более корпорации, причём уже достаточно давно, а вот инженер-конструктор с тремя детьми и работающий в меленькой фирме, увы

  • IgorGolov

    Автору статьи: CVC никогда не хранится. Для расширения кругозора рекомендую прочитать стандарт PCI-DSS.

  • Мне бы домой такие игрушки.))))

Хостинг "ИТ-ГРАД"
© ООО "Компьютерра-Онлайн", 1997-2017
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.
«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"