Povećanje broja prijetnji i obima prometa prisiljava vlasnike podatkovnih centara da primjenjuju različita rješenja za njihovu zaštitu, što zauzvrat dovodi do eksplozivnog rasta odgovarajućeg tržišta. Tako bi, prema Markets and Markets, ukupna prodaja sigurnosnih proizvoda za podatkovne centre trebala biti 6,3 milijarde dolara u 2016. godini, a do 2021. očekuje se dvostruko povećanje - do 12,9 milijardi dolara, odnosno povećanje od više od 15% na godišnjem nivou. . Druge analitičke agencije daju slične brojke - na primjer, Transparency Market Research predviđa godišnji porast od 12,6%.

U širem smislu, sigurnost data centra može se podijeliti na fizičku i logičku zaštitu. Uprkos važnosti prvog, glavni napori su usmjereni na drugi. Dakle, prema Transparency Market Research-u, još 2013. godine 85% svih sredstava usmjerenih na eliminaciju rizika od prijetnji po data centre potrošeno je na logičke komponente. Istovremeno, zbog široko rasprostranjenog prelaska na računarstvo u oblaku i potrebe da se ubrza razvoj aplikacija, principi zaštite moraju biti revidirani.

Aktuelne teme zaštite data centara razmatrane su na rubrici Sigurnost tokom SVIJETA DPC - 2016. Usluge.Usluge. Oblaci".

AUTOMATIZOVANA DDoS ZAŠTITA

DDoS napadi dobijaju možda najviše pažnje zbog svojih širokih posledica. Tako je nedavni napad na servere Dyn-a, koji kontrolira značajan dio DNS infrastrukture, doveo do nedostupnosti mnogih poznatih sajtova u SAD-u i Evropi. Bio je to najveći napad korištenjem zaraženih uređaja koji se danas obično nazivaju Internetom stvari (u ovom slučaju digitalne kamere i DVD plejeri). Snaga napada pomoću mreže od 100.000 Mirai botova procijenjena je na 1,2 Tbps, dvostruko više nego ikada prije (vidi sliku 1).

Kako je navedeno u nedavnom izvještaju Nexusguard-a (usluge za zaštitu od DDoS-a), broj napada u drugom kvartalu 2016. u odnosu na isti period 2015. smanjen je za skoro 40%, ali je njihov intenzitet značajno porastao. Za zaštitu od masivnih napada, samo sigurnosne mjere na nivou data centra nisu dovoljne. U međuvremenu, prema Antonu Ševčuku, menadžeru proizvoda za Arbor Networks u Netwellu, još uvek postoje kupci koji su uvereni da se mogu zaštititi od DDoS napada korišćenjem zaštitnih zidova i sistema za sprečavanje upada. Statistike pokazuju da je više od polovine organizacija koje su imale instalirane ove uređaje doživjelo prekide mreže kao rezultat DDoS napada. Pored upotrebe specijalizovanih sredstava, potrebno je organizovati slojevitu odbranu.

Tokom DDoS napada, resursi centra podataka su "bombardirani" slanjem mnogih specifičnih zahtjeva i na kraju prestaju da se nose sa opterećenjem. Ukupno se mogu razlikovati tri velike klase napada: masivni napadi na prekoračenje Internet kanala; napadi na uređaje sa stanjem kao što su balanseri opterećenja, zaštitni zidovi, serveri aplikacija; Napadi na nivou aplikacije, manje snage, ali ne manje efikasni, obično ciljaju na specifične ranjivosti. DDoS napade je lako organizirati, a cijena odgovarajućih ponuda kreće se od 5 dolara po satu.

Koncept dubinske odbrane za DDoS zaštitu koji predlaže Arbor Networks uključuje instalaciju dvije specijalizovane komponente - u data centru i kod operatera. Prvi vam omogućava da blokirate sve vrste napada, međutim, kada obim napada na kanal postane uporediv sa dostupnom propusnošću, za pomoć se obraća komponenti koju instalira operater. Stoga je, kako primećuje Anton Ševčuk, veoma važno da ove komponente „znaju kako” da međusobno deluju.

Kada napad na kanal dostigne unaprijed određenu snagu, komponenta u podatkovnom centru obavještava operatera da očisti promet koji je usmjeren na određeni prefiks. Osim toga, idealno bi takvo dvodijelno rješenje trebalo da sinhronizuje crne i bele liste, kao i zaštitne profile. Fokusirajući se na crne liste, operater može izvršiti preliminarno filtriranje prometa, smanjujući opterećenje sistema zaštite podatkovnog centra. Dakle, klijent (operater data centra) ne mora kontaktirati provajdera sa zahtjevom da preduzme hitne mjere za blokiranje napada - zaštita se uključuje automatski, a vrijeme zastoja je svedeno na minimum.

Arbor Networks ima raznovrsnu opremu u rasponu od 100Mbps do 160Gbps po uređaju. Ova rješenja se također mogu implementirati kao virtuelne mašine. U Rusiji usluge zaštite od DDoS-a zasnovane na opremi Arbor Networks pružaju Rostelecom, Orange, RETN, Akado i drugi operateri, što znači da se ovaj model već može implementirati u data centrima koji su povezani sa njima. Prema Antonu Ševčuku, samo ovaj pristup omogućava preduzećima da obezbede zaštitu i dostupnost svojih resursa.

ZAŠTO NAM TREBA AGENT?

Prema procjeni stranih stručnjaka, ukupan iznos gubitaka od hakovanja sigurnosnog sistema u prosjeku iznosi oko 4 miliona dolara. U Rusiji su brojke uporedive. Dakle, prema izvještaju Ruske međunarodne banke, 21. januara 2016. na nju je izvršen hakerski napad, uslijed čega je sa korespondentnog računa banke u Centralnoj banci ukradeno 508 miliona rubalja. Mnogi napadi počinju tako što napadač dobija pristup, uključujući putem društvenog inženjeringa, radnom mjestu, jednom VM-u, a napadi su već pokrenuti sa njega.

U novoj, virtuelnoj stvarnosti više ne funkcionišu rešenja koja su se decenijama koristila za zaštitu fizičkog okruženja. Prema rečima Jurija Bražnikova, generalnog direktora kompanije 5nine Software za Rusiju i ZND, ovakvi incidenti, barem značajan deo njih, povezani su upravo sa činjenicom da mnoge kompanije nastavljaju da koriste stare alate za upravljanje i zaštitu virtuelizacionih okruženja, koji su na osnovu agentskog pristupa. Istovremeno se na svaku zaštićenu jedinicu (VM) instalira agent, što nije uvijek opravdano, pogotovo jer se može onemogućiti. Pored toga, direktna zaštita krajnjih tačaka troši veliku količinu ograničenih resursa, što značajno smanjuje performanse i efikasnost data centra.

Stari model je bio fokusiran na osiguranje krajnjih tačaka, ali sada se mnoga opterećenja sele na servere i oblake. U međuvremenu, prema Yuri Brazhnikovu, poznati proizvođači nastavljaju da reprodukuju u virtuelnom okruženju arhitekturu informacione bezbednosti prvobitno razvijenu za fizičko okruženje. To dovodi do činjenice da su nove ranjivosti na nivou hipervizora i OS-a nezaštićene. Na primjer, napadi na nivou virtuelne mreže ili sa jedne VM na drugu nisu determinisani hardverom koji kontroliše fizičko okruženje.

Unutar virtuelnog okruženja moraju se koristiti nove metode zaštite. Dakle, u skladu sa preporukama Centralne banke Ruske Federacije o osiguranju sigurnosti informacija pri korištenju tehnologije virtuelizacije, poželjno rješenje je korištenje sredstava zaštite od djelovanja zlonamjernog koda na nivou hipervizora bez instaliranja softvera agenta na virtuelne mašine. . Međutim, ovaj pristup je moguć samo ako programer ima pristup nivou virtuelnog prekidača, unutar kojeg prolaze svi paketi, koji se zatim isporučuju u VM. Kao Microsoft Hyper-V Virtual Security and Management Solutions Partner, 5nine Software ima pristup Hyper-V virtuelnom prekidaču koji implementira sigurnost (pogledajte sliku 2).

Ovaj pristup štedi do 30% resursa servera, a antivirusno skeniranje je 70 puta brže. Među ostalim prednostima pristupa bez agenata, Yuri Brazhnikov naziva eliminaciju zavisnosti od radnji osoblja i kupaca, budući da se sistem zaštite ne može onemogućiti na nivou VM. Osim toga, ukupni sigurnosni napori su smanjeni kao rezultat, budući da se više ne mora brinuti o svakoj VM. Politika se može konfigurisati na hostu ili u kontrolnom centru, a zatim vrlo brzo skalirati unutar data centra, jer je virtuelno okruženje izuzetno dinamično - VM-ovi se konstantno kreiraju, premeštaju i uništavaju.

Integracijom 5nine Cloud Security Plugin-a u System Center, provajderi mogu pružiti svojim klijentima ne samo alate za upravljanje infrastrukturom, već i alate za kontrolu sigurnosti. „Svaki klijent će moći samostalno da osigura i kontroliše bezbednost svojih rešenja“, kaže Jurij Bražnikov. “Ako koristite resurse nekoliko centara podataka (na primjer, svoje i vlasništvo hosting provajdera), sigurnosne politike se sinkroniziraju, tako da prilikom migracije u slučaju nesreće ili preraspodjele opterećenja iz jednog centra u drugi, svi korporativne sigurnosne postavke će biti sačuvane.”

Ako su u početnoj fazi u oblak prebačeni kapaciteti, ali ne i najvredniji resursi, sada, kada je na dnevnom redu pitanje prijenosa kritičnih resursa, kamen spoticanja je pitanje osiguranja informacione sigurnosti. Kada klijent prenese svoje ključne poslovne usluge u oblak, žele biti sigurni da održavaju sigurnosnu politiku koja odgovara njihovim potrebama.

SIGURNOST JE MREŽA

Rezonantne sigurnosne povrede jasno su pokazale da tradicionalna perimetarska odbrana koja se fokusira na promet sjever-jug (firewall, sistemi za detekciju i prevenciju koji štite od napada izvana) nije u stanju zaštititi centar podataka od problema, gdje promet između servera dominira "istok - zapad", ne idući dalje od toga. Prema nekim procjenama, ovaj drugi čini tri četvrtine cjelokupnog prometa centara podataka.

Efikasno rješenje problema diferencijacije saobraćaja unutar data centra je mikrosegmentacija: podjela na brojne zaštićene zone. Zahvaljujući modernim virtuelizovanim rešenjima, skoro svaka virtuelna mašina može biti opremljena sopstvenim zaštitnim zidom, koji vam omogućava da kreirate mrežu bez poverenja unutar data centra. Međutim, kao što je navedeno u prethodnom odeljku, mnogo efikasnije rešenje je implementacija bezbednosti na nivou hipervizora – govorimo o virtuelnom prekidaču ugrađenom u ovaj hipervizor.

Pojava takvog uređaja bila je odgovor na potrebu da se osigura brza implementacija i živa migracija virtuelnih mašina i aplikacija. Na primjer, prilikom postavljanja nove aplikacije, nakon pokretanja VM-a, bilo je potrebno ručno postaviti VLAN, konfigurirati rutiranje u fizičkoj mreži i konfigurirati ITU politike. Sve ove operacije su trajale, a osim toga, pokazale su se jedinstvene za svaku hardversku platformu na kojoj je izgrađen data centar. Drugim riječima, aplikacije i VM-ovi su bili vezani za određenu fizičku mrežu. Bilo je potrebno eliminisati ovo vezivanje, odnosno virtuelizirati mrežu. Sada, kako napominje Aleksandar Krenev, šef mrežne virtuelizacije u moskovskoj kancelariji VMware-a, svaka platforma za virtuelizaciju ima svoj prekidač, koji je za nju „native“. Na primjer, za ESXi hipervizor, takav virtuelni distribuirani prekidač je Distributed Virtual Switch, za KVM na skali centra podataka, ovo se može smatrati Open Virtual Switch, itd.

Povrh virtuelnog prekidača na softverskom nivou implementirane su osnovne mrežne funkcije: prebacivanje, rutiranje, firewall i balansiranje opterećenja. Svaki fizički server sa hipervizorom postaje ne samo računarska platforma na kojoj se dodeljuju resursi virtuelnim mašinama, već i multigigabitni svič i ruter (stari slogan „mreža je računar“ dobija novo značenje). Da bi ove funkcije radile, potrebna vam je osnovna IP konekcija između servera. Na fizičkoj mreži, više ne morate trošiti vrijeme na konfiguriranje VLAN-a - trebate samo jednom konfigurirati transportnu mrežu. VxLAN enkapsulacija se koristi za prijenos prometa preko fizičke mreže.

Upotreba virtuelnih prekidača vam omogućava da automatizujete rutinske operacije podešavanja mreže, ubrzate oporavak od katastrofe i, naravno, povećate efikasnost zaštite. „Kada se funkcije sigurnosti i filtriranja saobraćaja izvode na nivou virtuelne platforme, na nivou hipervizora, aplikacije mogu biti zaštićene bez obzira na osnovnu fizičku arhitekturu“, objašnjava Alexander Krenev. - Sigurno su mnogi čuli za mikrosegmentaciju ili model bez povjerenja. Vrlo je lako izgraditi takav model na platformi za virtuelizaciju mreže i ne zahtijeva postavljanje velikog broja zaštitnih zidova.”

Uzimajući malo širi pogled na sigurnosna pitanja na stranu, virtuelizacija mreže utire put za implementaciju potpuno softverski definisanih centara podataka (vidi sliku 3).

ZA ZAŠTITU APLIKACIJA

U svojoj prognozi za 2017. Gartner navodi adaptivnu sigurnosnu arhitekturu kao jedan od 10 najboljih tehnoloških trendova. Istina, u poređenju sa prognozom za tekuću 2016. sada nije na sedmom, već na desetom mjestu, što se više objašnjava efektom gubitka novina nego smanjenjem relevantnosti. Kako se navodi u komentaru, „višeslojna zaštita i analiza ponašanja korisnika i objekata postaće obavezni zahtevi za svako preduzeće“.

Prilagodljiva zaštita uključuje ugradnju sigurnosnih mjera u sve poslovne procese - njihovo implementiranje nakon činjenice znači stvaranje problema za sebe. U skladu s tim, stručnjaci za sigurnost bi trebali blisko sarađivati ​​s arhitektima rješenja i programerima aplikacija kako bi ugradili sigurnosne kontrole već u fazi dizajna rješenja i razvoja aplikacije. Ovi drugi sve više postaju meta ciljanih napada.

Kao što je Rustem Khairetdinov, zamjenik izvršnog direktora InfoWatcha i menadžer projekta Appercut, istakao u svom govoru, svi su naučili dobro zaštititi svoju mrežu, pa se napadi postepeno prenose na sloj aplikacije. Nažalost, ne otkrivaju se tradicionalnim alatima koji ne mogu utvrditi gdje je programirana funkcija i gdje se vidi greška – odnosno nema anomalija po kojima se može zaključiti da je napad u toku.

Prilikom implementacije usluga u oblaku više pažnje se poklanjalo prilikama, ali ne i rizicima. „Sada je vrijeme da zabilježimo uspjehe“, poziva Rustem Khairetdinov, „i razmislimo o prijetnjama koje počinju da preplavljuju usluge izgrađene bez uzimanja u obzir takve opasnosti.“ Ugrađena zaštita, fokusirana na monolitne aplikacije, naravno, omogućava vam da izjednačite neke od njih, jer stari napadi nisu nestali. Međutim, napada se ne samo servis u cjelini (što se izražava u pokušajima blokiranja kanala ili implementacije nekih drugih poznatih napada), već i pojedinačne aplikacije u njemu.

Ova situacija je pogoršana činjenicom da provajderi nemaju kontrolu nad ponuđenim aplikacijama, koje se također često ažuriraju. Na kraju krajeva, oblak – bilo IaaS, PaaS ili SaaS – je, u stvari, skup aplikacija koje su kreirali drugi ljudi. „Bez znanja o tome kako su određene aplikacije strukturirane, postaje sve teže odbiti nove napade na njih, koji su organizirani korištenjem specifičnosti njihovog pisanja i dizajna“, upozorava on.

Napadači koriste greške i ranjivosti u onim aplikacijama koje se brzo pišu u skladu s agilnom razvojnom metodologijom. Brzina iznošenja novih funkcija na tržište važnija je od osiguravanja njihove sigurnosti, a stare metode zaštite jednostavno ne mogu pratiti brzinu razvoja. Dakle, penetracijski test (pentest) traje nekoliko sedmica, a do njegovog završetka možete samo biti sigurni da je prethodna verzija stranice bila sigurna.

Razvoj se ubrzava, skoro da "izlazi iz kolosijeka" - promjene se dešavaju svake dvije sedmice, a provjere poput testa penetracije vrše se svakih šest mjeseci. U ovoj situaciji postoji samo jedan izlaz - integracija sistema zaštite sa samim objektom. Do sada je, međutim, ova funkcija implementirana samo u najvećim servisima Amazon nivoa, gdje ne postoji posebna služba sigurnosti: u razvojnom timu su odgovorni za sigurnost i predstavnici istog tima, na primjer, u podjela koja omogućava pristupačnost.

Stoga se pristup zaštiti aplikacija dramatično mijenja (vidi sliku 4). “Mislim da će do 20-ih godina paradigme razvoja i zaštite aplikacija biti potpuno ažurirane. Oni će se spojiti i razvijati zajedno. Ovaj trend je jasno vidljiv, zaključuje Rustem Khairetdinov. - Sada smo u srednjoj fazi, koju karakteriše implementacija adaptivne bezbednosti, kada zaštitni alat ne samo da proučava ovaj ili onaj zaštićeni objekat, već mu se i prilagođava, ali i prilagođava objekat njegovim zahtevima. Međutim, još uvijek ima više pitanja nego odgovora.”

KAKO ZAŠTITITI SVOJ PODATAK CENTAR

Napadi postaju višeslojni, višestepeni i višeslojni, izvode se sa različitih strana, sa izviđanjem, sa odvraćanjem pažnje, sa zaklonom. Više ne postoji čisti DDoS ili čisto hakovanje. Stoga, oni koji dizajniraju odbranu moraju razumjeti vrste napada. Samo u okviru data centra ozbiljnog hosting provajdera moguće je prikupiti kompetencije i opremu takvog nivoa koja može da izdrži DDoS napade i druge vrste najtežih i najrazornijih akcija po poslovanje i ugled kompanije. Vladimir Malinovsky, šef prodaje rješenja Lattelecom data centra, nacionalnog latvijskog provajdera telekomunikacija i usluga u oblaku, govorio je o tome kako je organizirana zaštita pravog podatkovnog centra.

Provajderi usluga u oblaku su u glavnoj rizičnoj grupi – protiv njih je usmjerena većina DDoS napada. Međutim, ni provajder ne može odjednom implementirati sve mjere zaštite, pa se njihova implementacija odvijala u fazama. Izgrađen 2013. godine, Data centar Dattum ispunjava osnovne zahtjeve za fizičku sigurnost podatkovnog centra Tier III: odvojeni perimetar oko prostorija podatkovnog centra, 24-satna fizička sigurnost, kombinovana kontrola pristupa pomoću RFID-a i biometrije i daljinski video nadzor sa arhiviranjem zapisa. . Međutim, kako napominje Vladimir Malinovsky, fizička zaštita je samo mali dio sigurnosnih mjera.

Pre svega, Lattelecom je klasifikovao dostupne podatke prema kriterijumima njihove kritičnosti i dostupnosti i sve sažeo u tabelu koja vam omogućava da jasno vidite za šta je potrebna prioritetna zaštita (vidi sliku 5). „Kada ste sastavili takvu tabelu, već više-manje razumete sa kojim sistemima treba da se bavite na prvom mestu“, objašnjava Vladimir Malinovsky. Osim toga, za podatkovni centar u cjelini identificirani su glavni izvori prijetnji, koji uključuju DDoS napade, hakere, nelojalne zaposlenike i hosting korisnike.

Naredne godine nakon što je data centar pušten u rad, sprovedene su mere za obezbeđenje usklađenosti sa zahtevima PCI DSS. PCI DSS sertifikat je potreban za one klijente koji obavljaju finansijske transakcije. Ovaj složeni proces podrazumijeva implementaciju cijelog programa koji se sastoji od više od 250 tačaka. AlientVault je raspoređen da zaštiti perimetar mreže. AlienVault Security Management (USM) platforma vam omogućava da kontrolišete pet ključnih bezbednosnih karakteristika sa jedne konzole: inventar imovine, procenu ranjivosti, praćenje ponašanja, detekciju upada i korelaciju bezbednosnih događaja (SIEM).

Poticaj za uvođenje sljedećeg nivoa zaštite bilo je predsjedavanje Latvije EU – bilo je potrebno osigurati internet na nacionalnom nivou. Radi zaštite od DDoS napada implementirano je RADware rješenje, ali se za kompaniju pokazalo suvišnim, pa je na njegovoj osnovi organizovano pružanje usluga za banke. Prava potražnja za njima pojavila se tek nakon što su banke napadnute. „Kada su banke počele da dobijaju „pisma sreće“ od hakera sa ponudom da plate novac, sutradan su skoro sve došle kod nas i potpisale ugovore, a mi smo uspešno otklonili sve pretnje“, kaže Vladimir Malinovsky.

Konačno, ove godine je implementiran sistem RAPID 7, koji omogućava testiranje ranjivosti u OS i servisima, identifikaciju grešaka u konfiguraciji i provjeru usklađenosti sa sigurnosnim politikama. Takođe vam omogućava simulaciju hakovanja, procjenu stepena spremnosti sistema za rad i sastavljanje izvještaja sa preporukama za pravljenje potrebnih poboljšanja. Lattelecom svojim korisnicima nudi usluge otkrivanja ranjivosti: „Čini se da možete jednom skenirati i time biti zadovoljni. Zapravo, nakon bilo kakve promjene u OS-u i instaliranja bilo koje zakrpe, skeniranje se mora ponoviti. Tako je korisnicima isplativije da se pretplate na uslugu”, rezimira predstavnik Lattelecoma.

MAČ I ŠTIT

Vječiti sukob između napada i odbrane dostiže novi nivo. Napadi se brzo robotiziraju, a botovi već imaju znakove umjetne inteligencije: djeluju autonomno, sami pronalaze aplikacije s ranjivostima koje mogu otvoriti i počinju djelovati prema određenom programu. Koncepti kao što je adaptivna odbrambena arhitektura uključuju prelazak sa pasivnih mjera na aktivne protumjere u nastojanju da se nadmaše sajber kriminalci u njihovoj oblasti. Kako Gartner kaže, sigurnost mora postati "pokretna i prilagodljiva".

Međutim, na kraju diskusije na forumu „Model prijetnji za centar podataka. Čega se treba plašiti i šta treba zaštititi” mnogo se govorilo da su primenjene mere zaštite još uvek nedovoljne: nijedno tehničko sredstvo nije u stanju da 100% eliminiše verovatnoću uspešnog napada ako dođe do razmene podaci sa nekim eksternim sistemom i informacije se prenose van. Kako bi se šteta svela na minimum, jedno od rješenja može biti usvajanje modela minimalnog povjerenja u podatkovni centar, diferencijacija i ograničavanje administratorskih prava, te mikrosegmentacija mreže.

Manje ili više velike kompanije teže da same grade svoje centre podataka i osiguravaju njihovu zaštitu – tako kritična funkcija kao što je sigurnost se delegira vrlo nevoljko. Kao što znate, jedna od najvećih prijetnji svakom IP-u je onaj ko ga eksploatiše. Međutim, kako ističu pružaoci usluga data centara, resursi u oblaku se više apstrahuju od specifičnog osoblja nego od korporativnih. Osim toga, pružaoci usluga namjerno akumuliraju potrebne kompetencije za organizaciju profesionalne, a time i efikasne zaštite.

Da li ćete sami osigurati sigurnost ili vjerovati pružaocima usluga sigurnosti informacija - svi biraju ovisno o svojim prioritetima i mogućnostima, ali postaje sve teže pratiti sajber kriminalce u sajber utrci u naoružanju. A potjera se ispostavlja kao potpuno beznadežna stvar ako pokušate proći samo sa zastarjelim metodama zaštite perimetra.

Dmitry Ganzha, glavni urednik časopisa Journal of Networking Solutions / LAN

Želja za povećanjem efikasnosti korišćenja IT resursa na pozadini njihove komplikacije dovodi do njihove centralizacije i prelaska na uslužni model za obezbeđivanje pristupa IT-u. Da bi se uzele u obzir ove strateške promjene u oblasti IT-a i da bi se adekvatno ispunili novi zahtjevi za njima, omogućavaju takvi tehnološki objekti kao što su data centri, čija je izgradnja danas postao profitabilan smjer ulaganja. Dakle, prema prognozama analitičara, ove godine će obim tržišta data centara u Rusiji porasti za oko 25%.

Istovremeno, osiguranje informacione sigurnosti (IS) u tako složenom objektu kao što je moderni data centar ima svoje specifičnosti i postavlja mnoga pitanja, posebno s obzirom na široku upotrebu virtuelizacije i cloud computing tehnologija u podatkovnim centrima. Specifičnosti rešavanja problema bezbednosti informacija u data centrima doprinosi i potreba da se prate zahtevi različitih vrsta regulatora u oblasti informacione bezbednosti.

Tehnološke karakteristike data centara i sigurnost informacija

Specifičnost organizacije informacione sigurnosti u data centrima, prema mišljenju naših stručnjaka, prvenstveno je povezana sa upotrebom virtuelizacije i njihovim uključivanjem u oblak strukture. Upravo s pojavom ovih tehnologija širok spektar usluga vezanih za rad podatkovnih centara postao je najprikladniji i najtraženiji. Kako je napomenuo Nikolaj Smirnov, šef odjela za istraživanje i razvoj proizvoda odjela za prodajne i partnerske programe u InfoTeKS-u, prije nego što je virtualizacija korištena u podatkovnim centrima, moglo se govoriti samo o hostingu, u suprotnom, koristeći samo mali dio mogućnosti data centri kao platforme za pružanje IT usluga. Istovremeno, naši stručnjaci napominju da su organizacijska i arhitektonska rješenja za računalstvo u oblaku, koja se baziraju na virtuelizaciji, daleko od savršenih u pogledu sigurnosti informacija.

Hipervizor postaje predmet napada u virtuelnom okruženju. Prema rečima Olega Glebova, specijaliste marketinškog odeljenja kompanije Informzashchita, hipervizor je jedina tačka kvara u virtuelnoj infrastrukturi i otvara novi pravac u informacionoj bezbednosti. I iako, kako napominje Nikolaj Romanov, tehnički konsultant kompanije Trend Micro Rusija i ZND, njegova izolacija od spoljašnjeg okruženja pruža u početku visoku sigurnost i uspešne napade na hipervizore danas, na sreću, vrlo je malo onih koji govore o ozbiljnosti U vezi sa ovim rizicima, međutim, sredstva kontrole integriteta hipervizora su već počela da se uvode u sisteme informacione bezbednosti virtuelnih okruženja. “Ako ga zarobe uljezi, tada alati za informacijsku sigurnost instalirani unutar virtuelnih mašina (VM), kao što su antivirusi, firewall, IDS/IPS sistemi, itd., više neće moći zaštititi podatke virtuelnog okruženja,” Gospodin Romanov veruje.

Prelaskom VM-a u oblak, kako napominje Konstantin Kuzovkin, šef odeljenja za projekte i tehnička rešenja u odeljenju za bezbednost informacija I-Teco, zaštita perimetra gubi smisao. Po njegovom mišljenju, potrebne su metode za zaštitu samih podataka. Osim toga, budući da je nemoguće fizički razdvojiti VM, kao i koristiti hardver za otkrivanje i sprječavanje napada između njih, onda, smatra, zaštitu treba postaviti direktno na servere virtuelizacije i na VM. Prije svega, to su alati za softversku zaštitu kao što su firewall, sistem za otkrivanje i prevenciju upada, sistem kontrole integriteta, sistem analize dnevnika i sistem zaštite od zlonamjernog softvera.

Specifične prijetnje informacijskoj sigurnosti data centru su također povezane s pojavom nove IT uloge - administratora virtuelne infrastrukture. Stručnjaci napominju da je njegovo djelovanje teško kontrolisati na nivou operativnog okruženja VM bez dodatnih nametnutih sredstava, što ga čini profitabilnom metom za napade uljeza. Julia Smirnova, menadžer razvoja kompanije Security Code, generalno smatra da administratori koji po svojim poslovima imaju direktan pristup informacionim sistemima korisnika data centara predstavljaju najozbiljniju prijetnju sigurnosti informacija. Istovremeno, rizici po sigurnost informacija povezani su kako s njihovim namjernim radnjama koje imaju zlu namjeru, tako i sa njihovim greškama.

U savremenim data centrima, prema rečima šefa odeljenja strateškog IT konsaltinga "INLINE GROUP" Alekseja Badanova, povećavaju se rizici od kršenja poverljivosti, integriteta i autentičnosti informacija, zbog činjenice da sa udaljenim pristupom informacionim sistemima koji se nalaze u data centru kanali za prenos podataka su po pravilu van kontrole kompanije korisnika, a bezbednost podataka u velikoj meri zavisi od odgovornosti i dobre namere provajdera. Ovaj problem je posebno akutan u javnim oblacima. Stoga, kada koristite oblake, trebate biti posebno oprezni pri odabiru provajdera u oblaku. Zlonamjerni insajderi sa svoje strane, hakovanje upravljačkih interfejsa ili nedovoljna kontrola nad aktivnostima korisnika usluga u oblaku, DDoS napadi na data centar provajdera mogu dovesti do krađe, krivotvorenja ili uništavanja informacija, do prestanka pristupa uslugama, do zaustaviti poslovne procese.

S tim u vezi, smatra gospodin Badanov, provajderi moraju radikalno promijeniti svoj stav prema kvaliteti pruženih usluga i njihovom menadžmentu: ozbiljno shvatiti ugovore o nivou usluga i upravljanje nivoom usluga kao najmoćnije alate za izgradnju win-win odnosa između IT usluga dobavljač i kupac. Od „radi šta mogu“ provajderi bi trebali prijeći na pružanje usluga po principu „radim ono što mogu“.

Vodeći konsultant "McAfee u Rusiji i ZND" Mihail Černišev skreće pažnju na visoke zahteve za performansama sigurnosnih alata sa visokom koncentracijom IT resursa u data centru (prvenstveno je reč o propusnosti mreže alata za bezbednost informacija) , kao i potrebu za ekonomičnim trošenjem računarskih resursa virtuelnog okruženja, za koje je preporučljivo prebaciti opterećenje povezano sa osiguranjem sigurnosti na namenske servere. Po njegovom mišljenju, zaraženi VM-ovi za gašenje predstavljaju ozbiljnu prijetnju. Sljedeći put kada se uključe, mogu ugroziti sigurnost cijelog data centra. S tim u vezi, preporučuje offline detekciju i eliminaciju infekcija.

Prema gospodinu Černiševu, obezbeđivanje informacione bezbednosti za kritične objekte data centra koji nisu pokriveni virtuelizacijom (među onima koji su nasleđeni nisu neuobičajeni), prema rečima gospodina Černiševa, može se dodeliti rešenjima za kontrolu aplikacija i promena koja hvataju stanje virtuelni ili konvencionalni OS i blok pokušaji da se promene na niskom nivou i lansiraju neovlašćeni izvršni kod. “Možda se čini da nije prikladno za podatkovne centre, ali takva rješenja funkcionišu u medicinskim sistemima, sistemima industrijske automatizacije, bankomatima. I po stepenu sigurnosnih zahtjeva odgovaraju data centrima”, naglasio je on.

G. Smirnov skreće pažnju na rizike vezane za obavezu pružaoca usluga da pomogne agencijama za provođenje zakona u provođenju operativnih i istražnih mjera, jer zbog potraživanja prema jednom klijentu data centra, drugi mogu biti lišeni pristupa uslugama. Ova okolnost, smatra on, može biti ozbiljna prepreka korišćenju usluga data centara, posebno onih koje su povezane sa korišćenjem kritičnih resursa.

Specifičnosti prijetnji cyber sigurnosti i zaštita od njih u podatkovnim centrima

Prema zapažanjima Olega Naskidajeva, šefa odjela marketinga i razvoja u DEAC-u, evropskom operateru usluga data centara, tipični modeli prijetnji i kršitelja IS-a za ruske centre podataka su slični evropskim. Osim toga, i tu i tamo prekršioce treba podijeliti na interne, koji imaju prava pristupa različitih kategorija teritoriji kontrolirane zone data centra i njegovim resursima, i eksterne, koji nemaju takva prava.

Tipična prijetnja data centrima, prema gospodinu Černiševu, danas su ciljani napadi koji efikasno koriste insajderske informacije.

Prema riječima gospodina Romanova, za bilo koju vrstu prijetnje, ciljevi napada na data centre su u većini slučajeva isti – to su pokušaji da se dođe do vrijednih informacija, zaustavi rad data centra i time naruši ugled vlasnika ili korisnici, preuzmu daljinsko upravljanje kako bi promijenili interne procese sistema i uključili sisteme u botnet itd. Netačno je govoriti o tipičnim modelima prijetnji i nasilnicima za data centre, rekao je on.

Aleksandar Bondarenko, direktor konsultantskog odjela LETA, napominje da na organizaciju informacione sigurnosti u podatkovnim centrima utiču ključne karakteristike ovih objekata kao što su koncentracija velike računarske snage u ograničenom prostoru, opsluživanje velikog broja klijenata, aplikacija, poslovni procesi, kao i zajednička obrada u jednom softverskom hardverskom okruženju informacija različite prirode – otvorenih informacija, ličnih podataka, informacija koje sadrže poslovne tajne itd. Stoga je, kako smatra, u radu data centara glavna sigurnost informacija Rizici koji dovode do najtežih posljedica su suspenzija data centra i krađa informacija velikih razmjera zbog internog hakovanja.

Rizici krađe informacija velikih razmjera, zbog velikih količina podataka kojima data centar upravlja, prema riječima gospodina Bondarenka, povezani su sa djelovanjem vanjskih uljeza kojima mogu pomoći insajderi iz centra podataka. Da bi to uradili, napadači identifikuju i koriste ranjivosti u sistemu kontrole pristupa u virtuelnoj infrastrukturi data centra. Kao mogući scenario za implementaciju takve pretnje, gospodin Bondarenko opisuje situaciju u kojoj kriminalci legalno iznajmljuju virtuelnu lokaciju koja se nalazi u data centru i koriste je dalje za prodor u druge informacione sisteme koji se nalaze u susedstvu. G. Bondarenko takođe povezuje prekid rada data centra sa prirodnim pretnjama i pretnjama koje je stvorio čovek. U slučaju više sile, vlasnici data centara i njihovi klijenti treba da imaju programe za oporavak od katastrofe.

Pretnja data centrima, prema g. Naskidajevu, predstavlja i korišćenje softvera otvorenog koda, što zahteva posebnu pažnju na razvoj algoritama za sistemski i aplikativni softver za data centre, kao i pravovremenu instalaciju ažuriranja.

Kirill Kertsenbaum, stručnjak za prodaju sigurnosnih rješenja u IBM-u u Rusiji i ZND, podsjeća da je moderni podatkovni centar po pravilu infrastruktura fizički izolirana od korisnika, što povećava važnost enkripcije informacija, redundantnosti komunikacijskih kanala i zaštite. od DDoS napada. Po njegovom mišljenju, zaštita tehnologije oblaka je najefikasnija na nivou hipervizora. Od ostalih tehnologija informacione sigurnosti ističe kontrolu saobraćaja, firewalling, zaštitu od upada zbog ranjivosti korištenjem IPS i IDS alata.

APC by Schneider Electric Service Engineer Dmitry Togushev podsjeća da je obezbjeđivanje informacione sigurnosti data centra nemoguće bez pravilne organizacije fizičkog pristupa resursima data centra, što je usko povezano sa sigurnošću informacija. Jedna od efikasnih opcija za podršku politike informacione sigurnosti klijenata data centara, po njegovom mišljenju, može biti implementacija koncepta virtuelnih soba, koji omogućava administratorima takvih prostorija da samostalno konfigurišu pravila za fizički pristup opremi i reagovanje na incidente. . Svaku takvu prostoriju u ovom konceptu predstavlja poseban data centar sa cjelokupnom infrastrukturom.

Konstantin Kuzovkin je primetio da je upotreba samo tradicionalnih sredstava zaštite neefikasna u arhitekturi modernih centara podataka. Štaviše, ovaj pristup sam po sebi postaje izvor prijetnji sigurnosti informacija. Protiv specifičnih napada na virtuelna okruženja, tradicionalna odbrana je neefikasna. “Ako, na primjer, dođe do napada sa zaražene virtuelne mašine na druge, onda se promet podataka vrti u petlji unutar host mreže i tradicionalni firewall ga ne mogu presresti”, naglasio je gospodin Badanov.

Aleksey Vorontsov, arhitekta infrastrukture informacijske sigurnosti u Jet Infosystems, također vjeruje da tradicionalni alati zaštite nisu primjenjivi u virtuelnim okruženjima i čak mogu biti opasni za njih: „Na primjer, istovremeno antivirusno skeniranje tvrdih diskova nekoliko VM-a može stvoriti značajan opterećenje na cijeloj platformi za virtualizaciju. Mrežni promet između VM-ova ne napušta fizički server, pa ga tradicionalni alati za mrežnu sigurnost niti ne vide.”

IS tehnoloških procesa u data centru

Nakon uspješnog Stuxnet napada na sistem kontrole procesa nuklearne elektrane Bushehr u Iranu, teško je zanemariti ranjivost procesa u podatkovnom centru.

Opisujući takve napade, g. Kerzenbaum skreće pažnju na njihov uski fokus, složenost organizacije, visoku cenu i fokus ne samo na softver, već i na hardver. Kao model zaštite, on predlaže da se pre svega razmotri fizička izolacija segmenata ACS-a: „Nakon zaštite spoljašnjeg perimetra, trebalo bi kombinovati sisteme koji su deo ACS-a u jedinstvenu tehnološku mrežu i izolovati je od Internet. Neophodno je organizovati kontrolu ove tehnološke mreže korišćenjem IPS/IDS-a i pratiti različite vrste saobraćaja. Na radnim mjestima ICS operatera važno je koristiti tanke klijente koji isključuju povezivanje prenosivih uređaja.”

Imajući na umu napade slične Stuxnetu, gospodin Černišov savjetuje da se fokusiraju na proaktivnu odbranu, odnosno zaštitu od onih vrsta prijetnji koje još nisu otkrivene. “Postoji nekoliko pristupa njegovoj implementaciji. Kompanije za informatičku sigurnost nude usluge u oblaku koje omogućavaju pristup njihovom akumuliranom znanju i ekspertnim sistemima koji pomažu u praćenju anomalija u globalnom informacionom prostoru i proaktivnom odgovoru na njih. Možete koristiti koncept “popravljanja” radnog stanja objekta, što isključuje mogućnost bilo kakvih promjena na njemu bez odgovarajuće dozvole”, savjetuje on.

Kao suprotstavljanje ovim složenim prijetnjama, gospodin Smirnov preporučuje korištenje sistema za analizu anomalija, koji, iako neće moći spriječiti napad, pomoći će da se on otkrije i lokalizuje na vrijeme. Osim toga, po njegovom mišljenju, kripto-sredstva fokusirana na komunikaciju između mašina će takođe pomoći da se poveća sigurnost tehnoloških sistema.

„Nažalost, tradicionalne sigurnosne mere zasnovane na hostu za segmente servera u realnom vremenu su od male koristi“, primetio je gospodin Voroncov. - Dakle, moguć je samo integrisani pristup u kojem se stvara nekoliko zaštitnih perimetara. I prije svega, potrebno je zaštititi radne stanice ACS dispečera (od tamo je, kako se sjećamo, Stuxnet bio zaražen). Zatim biste trebali kreirati sisteme gatewaya za pristup segmentima servera sa radnih stanica, kontrolu neovlaštene mrežne aktivnosti i pružanje drugih osnovnih sigurnosnih mjera.”

Pri tome, smatra gospodin Smirnov, treba imati u vidu da uvijek može postojati zainteresovana grupa ljudi koja ima budžete potrebne za organizaciju konkretnog, specifično ciljanog napada.

Informaciona sigurnost data centara i ljudski faktor

Pojava virtuelnog administratora infrastrukture u data centru, kako napominju naši stručnjaci, povećava važnost suprotstavljanja zlonamernim insajderskim i nenamernim greškama ovih stručnjaka. Situaciju pogoršava sve aktivnija upotreba metoda društvenog inženjeringa od strane napadača protiv osoblja centara podataka i kompanija klijenata prilikom izvođenja napada.

G. Badanov smatra da upotreba programa lojalnosti zaposlenih, obuka zaposlenih za suzbijanje metoda socijalnog inženjeringa i drugih sličnih organizacionih i administrativnih alata, koji u kombinaciji sa sistemima za sprečavanje curenja podataka, po njegovom mišljenju, mogu stvoriti osnovu za suzbijanje ovakvih pretnji, su efikasna sredstva protiv insajderskih informacija IB u centrima podataka. Istovremeno je naglasio da je neophodno koristiti ove alate i na strani provajdera i na strani klijenta data centra.

Suprotstavljanje insajderskim informacijama, podsjetio je gospodin Romanov, treba početi pravilnim razgraničenjem pristupa resursima: „Neophodno je isključiti pristup stručnjaka kritičnim sistemima. To bi trebalo spriječiti strogom politikom informacione sigurnosti, koja obavezuje dva do četiri zaposlena sa različitim nivoima prava da kontrolišu korištenje ovakvih sistema, kao i pažljivo praćenje implementacije samih ovih politika.

Gospođa Smirnova skreće pažnju na činjenicu da nam podjela uloga i odgovornosti između različitih stručnjaka omogućava da riješimo problem „superkorisnika“. Prema njenom mišljenju, administrator sigurnosti bi trebao biti odgovoran za dodjelu prava pristupa zaštićenim resursima klijenata data centra, koji zauzvrat ne dobijaju prava pristupa samim resursima.

Prema riječima gospodina Naskidajeva, konačni scenario zaštite od insajderskih napada utvrđuje se nakon detaljnog proučavanja modela prijetnji i nasilnika u data centru, iako segmentacija mrežne infrastrukture i zaštita firewall-a uglavnom rješavaju problem.

Osnova strategije koja ima za cilj smanjenje rizika povezanih sa insajderskim informacijama treba da bude maksimalno isključenje ljudskog faktora iz funkcionisanja sistema informacione bezbednosti data centra. Važan korak u ovom pravcu je centralizacija upravljanja sigurnošću informacija. „Slažete se da je administratoru mnogo praktičnije i brže da instalira i konfiguriše, na primjer, firewall sa svog radnog mjesta nego u svakom objektu posebno“, napomenula je gospođa Smirnova. Po njenom mišljenju, zaštitni alati sa gotovim šablonima za takve politike omogućavaju automatizaciju dugotrajnog rada administratora bezbednosti informacija na postavljanju politika bezbednosti informacija.

Prema rečima gospodina Černiševa, upravljanje rizikom bezbednosti informacija ovde igra značajnu ulogu: „Trebalo bi sistematski proceniti stanje data centra i ojačati bezbednost upravo na onim mestima gde je zaista potrebna. Procjena rizika koji daje prioritet zaštićenim sredstvima uz periodična skeniranja ranjivosti, pregled usklađenosti, u kombinaciji s centraliziranim upravljanjem koje vam omogućava da sagledate probleme sigurnosti informacija odozgo, po mom mišljenju, daje željeni rezultat.”

Budući da je, prema riječima gospodina Kerzenbauma, izgradnja data centra ozbiljan korak, krajnje je vrijeme da njegov vlasnik razmisli o izgradnji vlastitog operativnog upravljačkog centra za sigurnost informacija, gdje bi se informacije sa svih sistema i uređaja trebale konvergirati i gdje informacije sa svih sistema i uređaja treba obraditi tako da administratori informacione bezbednosti mogu da vide sveobuhvatnu sliku, uključujući pokušaje neovlašćenog pristupa, izvore informacija – to je način automatizacije sistema informacione bezbednosti.

Objašnjavajući konkretnu situaciju sa trenutnim stanjem upravljanja virtuelnim okruženjima koristeći proizvod lidera smera, VMware, kao primer, gospodin Romanov je istakao da vSphere platforma ima centralizovan sistem upravljanja okruženjem, koji, međutim, nema ugrađeni alati za kontrolu pristupa infrastrukturi, a ako je itko - tada preuzeo pristup sa superkorisničkim pravima, strahovi korisnika data centra za sigurnost njihovih podataka će se ostvariti. Međutim, napomenuo je da postoje rješenja za smanjenje ovih rizika.

Gospodin Romanov predlaže automatizaciju prikupljanja, obrade i analize podataka o bezbednosti informacija iz različitih sistema data centara na osnovu sistema za upravljanje incidentima i događajima. Glavna poteškoća u izgradnji ovakvog sistema, po njegovom mišljenju, predstavlja priprema podataka za njihovu ispravnu obradu u takvim sistemima. Jedan od ključnih uslova za osiguranje informacione sigurnosti data centra treba da bude i dostupnost osoblja profesionalnih stručnjaka uključenih u stalno prilagođavanje sistema promenljivim scenarijima pretnji.

Prema rečima gospodina Naskidajeva, pristup automatizaciji IS sistema treba da bude promišljen i sistematičan, što se može potvrditi njegovom sertifikacijom prema standardu ISO 27001, koji definiše zahteve za upravljanje IS, potvrđene najboljom međunarodnom praksom.

Regulacija sigurnosti data centara i sajber sigurnosti

Poznato je da su ruski IS regulatori fokusirani na kontrolu tehnološke strane zaštite informacija. To je posebno vidljivo u Zakonu „O ličnim podacima“. Istovremeno, čak ni u najnovijim verzijama svojih dokumenata ne objašnjavaju ništa o propisima za korištenje virtuelizacije i računarstva u oblaku sa stanovišta informacione sigurnosti.

Nedostatak regulatornog okvira koji reguliše usklađenost data centra sa zahtevima za postavljanje i obradu informacija različitih kategorija, prema rečima gospodina Smirnova, stvara probleme potrošačima usluga data centra i pružaocima usluga u oblaku kojima su potrebne ugovorne obaveze da u skladu sa zahtjevima saveznih zakona u vezi sa informacijama koje objavljuju kupci, uključujući i zakon „O ličnim podacima“. „Nažalost, standardni ugovor sa provajderom predviđa pružanje usluga „kao što je“, čime se svi rizici po sigurnost informacija prenose na korisnike usluga. Upravo ta okolnost koči razvoj tržišta usluga računarstva u oblaku i data centara, budući da neizvjesnost u pogledu obezbjeđenja informacione sigurnosti zaustavlja i do 80% potencijalnih potrošača. To podriva ekonomski model ovog pravca, uprkos činjenici da zbog ujednačavanja i standardizacije scenarija korišćenja IT resursa daje veliki ekonomski efekat”, rekao je on.

Kako gospodin Voroncov napominje, za centre podataka kojima upravlja nekoliko pravnih lica, rješavanje nekih operativnih problema iz gore navedenih razloga može izazvati pravne poteškoće. Kao primjere navodi sertifikaciju prostorija data centra u skladu sa zakonom „O ličnim podacima“, pružanje usluga tehničke zaštite povjerljivih informacija od strane jednog pravnog lica drugima, ispravno izvršavanje ugovornih obaveza. Prema njegovom mišljenju, u ovoj situaciji mogu biti otežani i tehnološki zadaci - fizički pristup serverskoj opremi, organizacija video nadzora itd.

Ipak, primetio je gospodin Kuzovkin, postoje presedani za ispunjavanje regulatornih zahteva u virtuelizovanom višekorisničkom IT okruženju koji su takođe na snazi ​​u Rusiji. To uključuje PCI DSS standard. Sigurnosni alati za virtuelne infrastrukture koje su se pojavile na ruskom tržištu, sertifikovane za odsustvo neprijavljenih mogućnosti (prema četvrtom nivou kontrole), kao i za upotrebu u automatizovanim sistemima klase sigurnosti do 1G uključujući i za zaštitu informacija u Informacioni sistemi ličnih podataka do klase 1 uključujući, prema proceni, omogućavaju vam da virtuelnu infrastrukturu uskladite sa zahtevima FSTEC smernica za zaštitu ličnih podataka, kao i standarda PCI DSS.

Gospodin Naskidaev je rekao da je nakon konsultacija sa pravnicima i IT stručnjacima zaključeno da upotreba DEAC usluga ne pojednostavljuje niti komplikuje proces sertifikacije kao operatera ličnih podataka za ruske kompanije i omogućava ruskim preduzećima da razmotre opcije za korišćenje svojih podataka. centri. Štaviše, usluge DEAC-a, prema g. Naskidajevu, u nekim slučajevima pojednostavljuju i smanjuju troškove atestiranja za usklađenost sa zakonom „O ličnim podacima“.

Sigurnost informacija u data centru i faktor povjerenja

Pored posebnosti regulacije informacione bezbednosti, na distribuciju usluga data centara značajno utiče i faktor poverenja u odnosima između provajdera i korisnika.

Prema riječima gospodina Smirnova, za to treba razviti odgovarajući regulatorni okvir, metode za sertifikaciju procesa pružanja usluga i infrastrukture provajdera, uključujući usluge za rad sa informacijama različitih klasa zahtjeva zaštite. „Potrebni su mehanizmi koji osiguravaju transparentnost rada provajdera, regulatornih dokumenata za potrošače usluga, kako potonji, postavljanjem ličnih podataka na sajt sertifikovan za mnogo manje značajne informacije, ne prebacuju odgovornost za incidente na pružaoca. naglasio je.

Do sada ne postoji takav specijalizovani regulatorni okvir, ali kada se pojavi, postojaće i ekonomska motivacija za pružaoce usluga da dopune ugovore sa korisnicima specifičnim zahtevima politike bezbednosti informacija. Za sada je situacija daleko od poželjne. “Na primjer, potpuno je nejasno ko je operater ličnih podataka - pružalac usluga skladištenja informacija u data centru ili korisnik ove usluge koji je integrirao korištenje udaljenih skladišta u vlastite sisteme za obradu informacija, uključujući i one koji sadrže lični podaci“, navodi gospodin Smirnov.

Prema rečima gospodina Romanova, sve zavisi od toga koliko pažljivo je pružalac usluga predvideo različite aspekte informacione bezbednosti i ugradio ih u svoj sistem: i to ne sveobuhvatno, tada se kod većine njih, čak i velikih kao što je Amazon, ova pitanja rešavaju samo na osnovnom nivou. Provajderi pokušavaju da preusmjere poteškoće u obezbjeđivanju sigurnosti informacija na same klijente, ako resursi koji im se pružaju omogućavaju da se sistemi provajdera modificiraju kako bi zadovoljili njihove zahtjeve. U osnovi, ovo se može implementirati samo na nivou same lokacije data centra, a ne na nivou gotove usluge. Stoga su moje generalne preporuke potrošačima usluga data centra sljedeće: procijenite pružatelja usluge i ugovor s njim što je moguće pažljivije.

Prema rečima gospodina Naskidajeva, pozivajući se na rezultate istraživanja, udeo korišćenja komercijalnih data centara u IT projektima počinje da istiskuje sopstvene sajtove. Za to, prema njegovom mišljenju, postoji niz razloga: viši nivo skalabilnosti, brzo lansiranje IT rješenja za klijenta, kompetentno višejezično osoblje dostupno 24 sata dnevno i druge prednosti koje je teže i skuplje implementirati samostalno. On smatra da kada se koristi model usluge u IT-u, sve zavisi od stepena spremnosti klijenta da delegira određene zadatke operateru data centra, a zatim operater već razvija scenarije za podršku politikama informacione bezbednosti klijenta i praćenje njihovog izvršavanja. Istovremeno, konačan zaključak o odnosu između provajdera i klijenta može se dati samo analizom strateških planova određenog klijenta.

Implementacija na strani pružaoca podrške za klijentske politike informacione bezbednosti i mogućnost kontrole njihovog izvršavanja u uslužnom modelu obezbeđivanja IT resursa može pomoći uspostavljanju poverenja između korisnika i pružaoca usluga data centra. Kao što je gospodin Kuzovkin primetio, čak se i sertifikovani proizvodi već pojavljuju na ruskom tržištu, uz pomoć kojih se to može implementirati.

Gospodin Chernyshev je također optimističan po pitanju situacije sa uslugama u oblaku, navodeći da smo se već približili konceptu oblaka i da danas imaju takve aspekte kao što su sama usluga, model njenog pružanja, mogućnost njene naplate i naplate. postati važan. Istovremeno, napominje da čak ni najnapredniji SaaS model ne treba smatrati vrhom evolucije usluga u oblaku: „Već danas postoje sistemi koji su u stanju da kontrolišu stvarno vreme korišćenja usluge, naplate u skladu sa uz to i pratiti ispravnost transakcija izvršenih u ovom slučaju”.

Sigurnost data centra: fizička i pravna

Rješenje problema pohranjivanja sve veće količine informacija danas preuzimaju data centri, što znači da su i oni odgovorni za njihovu sigurnost.

Danas se proces razmjene podataka gotovo u potpunosti preselio na Internet. Informacije su postale vrijedan proizvod na globalnom tržištu: mnoge kompanije su spremne platiti za informacije o kupcima, konkurentima, svojim zaposlenima itd., što povećava rizik od krađe takvih podataka. Osim toga, svakim danom se povećava obim informacija, problemi njihovog skladištenja postaju sve akutniji - i sve češće podatkovni centri preuzimaju rješenje ovog problema.

Prije svega, klijenti operatera data centra su zainteresirani za dobijanje visokokvalitetnih usluga i visok nivo tolerancije na greške infrastrukture, ali to je daleko od svega. Jedan od bitnih kriterijuma pri odabiru data centra je nivo informacione sigurnosti.

Suprotno percepciji mnogih korisnika data centara, sigurnosni alati nisu ograničeni na sisteme koji štite podatke od hakerskih napada, provala i drugih metoda za dobijanje neovlaštenog udaljenog pristupa informacijama. Tu je i problem fizičke sigurnosti data centra, jer on mora osigurati sigurnost podataka o korisnicima koji se nalaze na serverima u njegovim kompjuterskim prostorijama. Štaviše, za razliku od organizacije informacione sigurnosti telekomunikacionih mreža, koja mora biti u skladu sa zakonodavstvom i regulatornim zahtjevima Ruske Federacije (na primjer, Federalni zakon br. 149-FZ od 27. jula 2006., Ukaz predsjednika Ruske Federacije od 17. marta 2008. br. 351, Vladina uredba br. 531 od 31. avgusta 2006. itd.), fizička zaštita data centra je gotovo u potpunosti prebačena na njegovog operatera, tako da je pred klijentom odgovoran zadatak izbora pouzdanog data centar za pohranjivanje njegovih informacija.

Problem sigurnosti data centra pokriva mnoge značajne aspekte koje korisnik treba pažljivo analizirati. Generalno, mogu se podijeliti u dvije glavne grupe: fizička sigurnost data centra i njegova pravna sigurnost.

Fizička sigurnost

Osnovni cilj fizičke zaštite podatkovnog centra je sprječavanje neovlaštenog pristupa neovlaštenih osoba informacijama pohranjenim na klijentskim serverima. Već prilikom izgradnje data centra veliku pažnju treba posvetiti organizaciji sigurnosti i kontrole pristupa njegovoj teritoriji, uključujući postavljanje kontrolnih punktova, postavljanje kamera za video nadzor, organizaciju pristupnih procedura itd. Hajde da razmotrimo ključne aspekte organizovanja sistema fizičkog obezbeđenja.

Sigurnost objekta. Operater data centra treba da zauzme odgovoran pristup izboru sigurnosne kompanije. U skladu sa zakonodavstvom Ruske Federacije, privatne sigurnosne kompanije (PSC) imaju pravo da pružaju profesionalne usluge u oblasti zaštite objekata, uključujući upotrebu vatrenog oružja. Nezavisno regrutovanje bezbednosnog osoblja „sa ulice“ će lišiti operatera data centra kvalifikovanih stručnjaka, dobro uspostavljenog sistema interakcije, kao i kontrole od strane profesionalnog rukovodioca službe obezbeđenja.

Prilikom odabira preduzeća, operater data centra treba da obrati pažnju na sledeće tačke: koliko dugo privatna zaštitarska kompanija posluje na tržištu usluga obezbeđenja, koje projekte već posluje, da li postoje potrebne licence i dozvole, fluktuacija osoblja tokom protekle godine itd. Sprovođenje due diligence-a privatne kompanije za obezbeđenje u fazi njenog izbora zaštitiće operatera data centra od mogućih problema sa zaštitom objekta.

CCTV. Sistem video nadzora treba u potpunosti da pokrije čitavu površinu unutrašnjih prostorija data centra i okolinu. S obzirom da data centar radi u kontinuitetu, a pristup korisnicima i provajderima je omogućen 24 sata dnevno, sistem nadzora mora biti organizovan ne samo stalnim nadzorom od strane službe obezbeđenja, već i dugotrajnim video snimanjem. Za data centar koji pruža usluge premium nivoa nije dovoljan samo sistem video nadzora sa velikim kapacitetom skladištenja fajlova: potrebno je dodatno arhiviranje i dugotrajno skladištenje svih video snimaka u periodu do oko 5 godina, što će omogućavaju operateru data centra, njegovim klijentima i pružaocima usluga, ako je potrebno, da brzo obnove događaje bilo kojeg dana. Ovaj nivo video skladištenja je neophodan kada se istražuju pokušaji neovlašćenog ulaska u data centar.

Pristup sigurnosnim sistemima. Organizacija pristupa zgradi i direktno kompjuterskim prostorijama data centra treba da obuhvati nekoliko nivoa zaštite. Najčešći sigurnosni sistemi sada koriste biometrijske podatke posjetitelja (otisci prstiju, šara šarenice itd.).

Opremanje data centra moćnim protivpožarnim vratima i tamburskim gateway-ima takođe povećava pouzdanost data centra.

Pored zaštite same zgrade, operater data centra je suočen sa zadatkom da ograniči pristup teritoriji koja je u blizini data centra. Da biste to učinili, možete koristiti pouzdane ograde sa zaštitom protiv potkopavanja.

U kompjuterskim prostorijama možete dodatno postaviti ograde oko serverskih regala kupaca.

Zaštita od gubitka podataka. Pored rizika od krađe podataka, postoji i rizik od uništenja podataka. Stoga bi zgrada data centra trebala biti ne samo neosvojiva tvrđava, već i bunker, potpuno opremljen svim potrebnim sistemima zaštite. Konkretno, data centar koji pruža vrhunske usluge mora biti opremljen najnovijim sistemima za ultra-ranu detekciju požara i gašenje gasom koji ne oštećuju opremu korisnika, kao i visokopreciznu kontrolu temperature i sistem za hlađenje opreme. Kontrolu nad cjelokupnom infrastrukturom podatkovnog centra treba vršiti iz kontrolne sobe koja se nalazi direktno u istoj zgradi – čime se eliminiše rizik od neovlašćene kontrole nad sistemom upravljanja podatkovnog centra.

Pravna sigurnost

Osiguravanje pravne zaštite data centra treba provoditi ne samo u svim fazama njegove izgradnje, već iu toku rada. Takve mjere će osigurati zaštitu operatera data centra, kupaca i provajdera od potraživanja trećih lica i od zadiranja u vlasništvo nad zgradom data centra. Očigledno, ovakvi napadi mogu dovesti ne samo do gubitka kontrole nad podatkovnim centrom, već i ugroziti pouzdanost zaštite podataka korisnika.

Zapravo, sve ekonomske aktivnosti operatera data centra treba da budu usmerene na sprečavanje potencijalnih rizika od zadiranja u podatke korisnika. Prilikom odabira izvođača i pružatelja usluga za data centar, potrebno je provesti detaljan due diligence ugovornih strana kako bi se identificirali rizici neovlaštenog pristupa informacijama o klijentima.

Istaknimo neke značajne aspekte pravne sigurnosti data centra.

Analiza pravnih rizika. Prilikom odabira teritorije za izgradnju data centra, potrebno je provesti detaljan due diligence za sve terete i sporove u vezi sa zemljištem. Ulazi u data centar treba organizovati duž javnih puteva, čime se obezbeđuje nezavisnost operatera data centra od vlasnika susednih lokacija i zgrada. U suprotnom, operater se može suočiti sa poteškoćama u dobijanju prava služnosti za putovanje kroz teritoriju susjednih lokacija.

Monitoring susjednih zemljišnih parcela. S obzirom na to da infrastruktura data centra (kabliranje, električne mreže i sl.) izlazi iz granica teritorije zemljišne parcele, potrebno je organizovati stalno praćenje pravnog statusa susjednih zemljišnih parcela i objekata. Moguće je da vlasnik susedne lokacije, tokom građevinskih radova, može nenamerno oštetiti kablovsku kanalizaciju data centra. Iz tog razloga, svaka promjena u namjeni zemljišta i zgrada, ili promjena vlasničke strukture susjednih teritorija, mora biti praćena operativnim ispitivanjem potencijalnih rizika i sukoba.

Zaštićena pravna struktura vlasništva. U pogledu vlasničke strukture Data centra, pravna sigurnost je obezbeđena prenosom prava vlasništva i zakupa u odnosu na zgradu Data centra na različita pravna lica koja su deo iste grupe subjekata kao Operator Data centra. Dakle, operater data centra pruža pravnu zaštitu zgrade od nezakonitih pokušaja oduzimanja imovine, a također pravilno raspoređuje rizike povezane s radom zgrade i pružanjem usluga kolokacije.

Spreman za svaki test. Za pravnu sigurnost data centra neophodna je kvalitetna i dobro razrađena procedura za interakciju sa regulatornim državnim organima. Budući da su mnogi od njih ovlašteni da obustave aktivnosti organizacije nakon otkrivanja kršenja, operater data centra prije svega mora osigurati potpunu i sveobuhvatnu usklađenost sa zahtjevima zakona. Na primjer, ako se dizel agregati koriste da bi se osigurala tolerancija kvarova u podatkovnom centru, tada je operater podatkovnog centra dužan poduzeti mjere za registraciju objekta kod Ros-prirod-nadzor i izraditi nacrt maksimalno dozvoljenih emisija, u suprotnom prijeti mu inspekcija i moguća suspenzija data centra.

Operater data centra koji pruža premium usluge svojim korisnicima po pravilu daje dodatne garancije u slučaju suspenzije data centra odlukom državnih organa.

Pouzdana zaštita informacija povećava njihovu vrijednost, a operateri data centara mogu pomoći u tome. S druge strane, stalno se pojavljuju novi načini krađe informacija, pa je kontinuirano unapređenje fizičke i pravne sigurnosti objekta apsolutni prioritet za operatere data centara, posebno onih premium. Često operateri data centara štede na bezbednosti i toleranciji grešaka, a kao rezultat toga, nivo bezbednosti data centra ne garantuje potpunu zaštitu informacija o korisnicima. Ali ako se informaciona sigurnost telekomunikacionih mreža može stalno poboljšavati, onda fizička sigurnost mora u početku odgovarati visokom nivou pouzdanosti - i važno je da klijent to zapamti prilikom odabira data centra.

Processing Center Podaci (ili Data Center) po zakonu se naziva srcem korporativne mreže moderne kompanije - industrijske, telekomunikacijske ili radne u oblasti finansija.

Osnovna svrha data centra je konsolidacija obrade i skladištenja podataka, održavanje navedenog načina automatizacije poslovnih zadataka preduzeća, kao i osiguranje sigurnosti korporativnih baza podataka i drugih informacija, koje su, po pravilu, visoke komercijalne vrijednosti. Data centar je strateški važan objekat za kompaniju koji zahteva poseban pristup i posebna pravila, pa ovaj koncept uključuje:

• skalabilan kompleks softvera i hardvera koncentrisan u posebno opremljenoj prostoriji,
• posebno razvijen set organizacionih mera i bezbednosnih politika,
• odgovarajuće obučeno osoblje.

Za mnoge organizacije prisustvo data centra je znak ulaska na kvalitativno novi nivo zrelosti i upravljanja - u prvim fazama razvoja preferiraju serverske sobe, organizovane, po pravilu, u neposrednoj blizini centrale. . Međutim, dođe vrijeme kada kompanija „odjednom“ poput lavine poveća količinu informacija, broj čvorova na kojima su koncentrisani, kao i broj poslovnih aplikacija koje se koriste. Upotreba moćnih ERP i CRM sistema, DBMS-a, internih i javnih portala, korporativnih alata za razmjenu podataka počinje da diktira visoke zahtjeve za svestranost, pouzdanost, nesmetani rad i sigurnost IT infrastrukture kompanije – uz smanjenje troškova vlasništva. Ovo je siguran znak da je došlo vrijeme da se razmisli o modernizaciji historijski uspostavljene IT arhitekture i pređe na korištenje "odraslih" podatkovnih centara.

U nekim slučajevima, kompanije u početku grade svoju poslovnu i IT infrastrukturu koristeći prednosti data centra. Po pravilu, to su velike telekomunikacijske, finansijske, industrijske strukture koje aktivno razvijaju svoju regionalnu mrežu.

Postoje korporativni i hosting Data centri (DC ili DPC). U prvom slučaju, data centar je inicijalno kreiran kako bi se riješili problemi automatizacije poslovnih procesa korisnika i vlasnika podatkovnog centra. U drugom, vlasnik data centra dodeljuje rack prostore ili klastere organizacijama, koji su popunjeni opremom zakupaca. Istovremeno, vlasnik data centra brine o održavanju povoljne klime za opremu i snabdijevanje energijom. Moguće su varijante tzv. mešovitih data centara, u kojima je jedan deo Data centra usmeren na podršku poslovnim procesima vlasnika, a drugi - na rešavanje problema zakupaca.

Postoji još jedan kriterij po kojem se razlikuje svrha podatkovnog centra - njegovo trenutno opterećenje. Sa ove tačke gledišta, data centar može biti glavni, rezervni ili iznet iz regiona ili čak zemlje. Glavni data centar, kako proizilazi iz njegovog statusa, preuzima cjelokupno opterećenje u normalnom načinu rada. Predstavlja jezgro informaciono-telekomunikacionog sistema.Bekap služi za obezbeđivanje uobičajenog načina pružanja usluga u slučaju kvara, održavanja ili vruće zamene opreme instalirane u glavnom data centru. Treća opcija data centra je za one organizacije koje u potpunosti isključuju mogućnost odbijanja servisiranja svojih kupaca.

Jasno je da, uprkos različitom statusu i načinu rada, Data centar je uvijek strateški važan objekat, za čiju opremu i sigurnost se postavljaju posebni zahtjevi. Ovi zahtjevi su fiksirani u međunarodnom standardu TIA 942, koji danas koriste stručnjaci koji rade u Rusiji.

Sigurnost data centra je važan uslov efikasnosti njegovog rada, a samim tim i kvaliteta poslovnih procesa preduzeća. Štaviše, u savremenim uslovima, bezbednost data centra se po pravilu podrazumeva ne samo da obezbedi zaštitu svih njegovih podsistema od požara, hakovanja itd., već i da unapredi disciplinu kadrovskog rada, kao i za automatizaciju tako ozbiljnih i radno intenzivnih procesa kao što je, na primjer, kadrovsko računovodstvo. Zato se ne može reći da je bilo koji od integrisanih sistema koji su deo jedinstvenog bezbednosnog kompleksa primarni i najvažniji: svi oni funkcionišu u bliskoj međusobnoj povezanosti.

Glavne komponente integrisanog sigurnosnog sistema data centra i njihove funkcije

Dakle, savremena praksa organizovanja računarskih centara definiše nekoliko podsistema na osnovu kojih se obezbeđuje bezbednost data centra. Istovremeno, istovremeno se koriste i “fizička” i “softverska” sredstva zaštite. Pod "fizičkim" značenjima, u pravilu se podrazumijevaju:

• sigurnosni video nadzor
• sigurnosni i protivpožarni alarm
• sistem glasovnih najava
• sistem kontrole pristupa i upravljanja
• sisteme za održavanje života data centra i ispravnost njegove lokacije

Sigurnosni video nadzorni sistemi omogućavaju operaterima video nadzora i osoblju obezbjeđenja da sprovode daljinski vizuelni nadzor svih "problematičnih" područja objekta. Prednost video nadzora je već određena činjenicom da nećete morati dodijeliti svog čuvara u svaku prostoriju: kontrola zaštićenih područja se vrši na daljinu, 24 sata dnevno bez slobodnih dana i praznika. Osim toga, arhiviranje video informacija vam omogućava da u bilo kojem trenutku organizirate retrospektivni pregled incidenta u svrhu provođenja istrage. Takođe, video nadzor poboljšava radnu disciplinu osoblja, eliminišući neracionalno korišćenje radnog vremena, industrijsku krađu, industrijsku špijunažu itd.

Usko susjedni video nadzor je sistem kontrole i upravljanja pristupom (ACS), koji automatski upravlja ulazima i izlazima i dizajniran je da ograniči pristup određenim osobama određenim teritorijama, vodi broj posjetitelja, snima njihovo kretanje po teritoriji, itd. uz video nadzor, ovaj sistem takođe može prepoznati lica, boje, registarske tablice automobila i sl. i na osnovu dobijenih informacija „donijeti odluku“ o pristupu objekta ili objekta sa ovim karakteristikama određenom području .

Sustav svjetlosnog i zvučnog upozorenja promptno reagira na informacije primljene od sigurnosnog i protupožarnog sistema o požaru, prodoru uljeza i svim drugim hitnim slučajevima, a zatim odašilje zvučne i svjetlosne signale koji odgovaraju određenom scenariju pomoću sirena, a također ukazuje na najkraći sef načini evakuacije ljudi pomoću rasvjetnih ploča.

Važan faktor u obezbjeđivanju sigurnosti data centra je pravovremeno utvrđivanje činjenice požara, dima i sl. i blagovremeno obavještavanje službe sigurnosti o tome. Dakle, lista je dopunjena automatskim sistemom za gašenje požara - jednom od najefikasnijih metoda operativnog hitnog gašenja požara. Ovaj sistem djeluje na izvor požara iu procesu njegovog nastanka, izbjegavajući širenje požara na velikoj površini i shodno tome minimizirajući štetu.

I konačno, postavljanje data centra u skladu sa određenim pravilima igra važnu ulogu. Na primjer, sistem neprekidnog napajanja značajno produžava vijek trajanja opreme data centra. Pa čak i takva "sitnica" kao što su slijepi zidovi bez prozora može spriječiti ne samo upad uljeza, već i prodor prekomjerne prašine u prostoriju, što štetno utiče na rad složenog računarskog sistema centra podataka.

Što se tiče "softverskih" alata, sigurnosna politika data centra, prije svega, uključuje pouzdanu zaštitu podataka koji prolaze kroz podatkovni centar kroz višeslojnu enkripciju informacija, autentifikaciju korisnika, instalaciju naprednih antivirusnih proizvoda, strogo razgraničenje. pristup osoblja određenim podacima i, naravno, rad složenih sigurnosnih kopija sistema, zahvaljujući kojima se sistem brzo obnavlja čak i nakon uspješnog pokušaja hakovanja.

Na osnovu dugogodišnjeg iskustva u oblasti kreiranja sigurnosnih sistema i data centara različitih veličina i namjena, kompanija Flylink će razviti i implementirati promišljen, pouzdan i efikasan sigurnosni kompleks tako da ništa ne ugrožava sigurnost podataka. centar, kao i vaše preduzeće u celini. .