Информационная безопасность ЦОД

10 Сентября 2020

bezopasnost-tsod-1.jpgБезопасность дата-центра – один из основополагающих факторов, которым руководствуются клиенты при поиске провайдера. Этот факт ничуть не удивляет, так как защита баз данных и файлов является критически важной для любого проекта.

Давайте разберемся, как обеспечивается информационная безопасность (ИБ) центров обработки данных, какие объекты защищаются в первую очередь и какие технологии для этого используются.

Что защищается

Обеспечение информационной безопасности ЦОД представляет собой комплекс различных технических мер, которые помогают предотвратить утечку данных и оградить файлы от несанкционированного доступа. И самыми «защищаемыми» компонентами в этом случае являются:

  • Ресурсы (то есть, непосредственно сами данные).
  • Действия по сбору, переработке, хранению и последующей передаче информации.
  • Пользователи сервера.
  • ИТ-инфраструктура, включая все технические и программные инструменты обработки.

Какие факторы представляют угрозу

Составление политики безопасности информации требуется построения особой модели угроз и нарушителей. То есть необходимо составить список факторов, которые несут угрозу для ИТ-инфраструктуры и нормальной работы ЦОД.

Угрозой для дата-центра могут стать самые различные явления:

  • Природные бедствия.
  • Нарушения сроков поставок оборудования.
  • Террористические акты.
  • События техногенного или социального характера.
  • Сбои и отказы программных и технических средств.
  • Внутренние нарушения ИБ сотрудниками и т. д.

Этот список можно продолжать бесконечно, так как безопасность ЦОД нарушается даже при банальных перебоях в электропитании.

Анализ рисков включает в себя не просто выявление возможных угроз, но и оценку масштабов их последствий. Это поможет составить план действий для обеспечения ИБ, распределить задачи по важности и спланировать бюджет для покупки необходимых технических и программных средств.

ИБ организуется с учетом требований законодательных стандартов, нормативных документов и прочих регуляторов. Стоит отметить, что обеспечение безопасности не является дополнительным источником дохода, а лишь минимизирует риски и позволяет повысить уровень обслуживания клиентов.

Аренда выделенного
сервера
Разместим оборудование
в собственном дата-центре
уровня TIER III.
Конфигуратор сервера
Подбор оборудования для решения Ваших задач и экономии бюджета IT

Защита инженерных компонентов

Большой риск для работы ЦОДа несут перебои в электропитании и возможные отказы системы охлаждения. К счастью, подобные угрозы удалось полностью нейтрализовать.

Происходит это за счет внедрения «умной» системы управления, которая объединяет в себе новейшие системы охлаждения, вентиляции и электропитания, совмещенные с контроллерами для круглосуточного мониторинга.

Защита помещения

Если в дата-центре реализуется услуга аренды, то помимо информационной безопасности, потребуется физическая защита оборудования. Важно предотвратить несанкционированный доступ к оборудованию и оградить его от внешнего воздействия.

Для этих целей применяются огороженные части помещения, которые обязательно находятся под постоянным видеонаблюдением. Также организовывается система пожаротушения, которая самостоятельно активируется в случае начинающегося пожара и задымления.

Сейчас стали внедрятся и более совершенные технологии защиты. Например, сервис контроля и управления стал полностью интеллектуальным, а сам доступ обеспечивается при сканировании биометрии.

Дополнительную защиту от внешних угроз (например, от взрывов и пожаров в здании) обеспечивают комнаты и сейфы безопасности. В них серверное оборудование надежно защищено от любых угрожающих факторов.

Человеческий фактор

Информационная безопасность ЦОДов, обеспечиваемая различными датчиками слежения и умным видеонаблюдением, к сожалению, не позволяет решить абсолютно всех проблем. Главный фактор риска остается – это специалисты, допущенные к работе в дата-центре.

На функционирование центра обработки данных может повлиять нецелевая эксплуатация системы персоналом. Для исключения подобных факторов используются специальные системы управления.

Дополнительной защиты требует и сам персонал, так как именно работники ЦОДа являются уязвимым местом во всей системе безопасности. К сожалению, нередки случаи, когда преступники начинают использовать способы социальной инженерии. Минимизация рисков в этом случае происходит за счет обучения персонала навыкам ИБ.

Защита каналов передачи данных

Большинство дата-центров сегодня предоставляют услуги не только «колокейшн», но и аренды облачных ресурсов. Следовательно, требуется обеспечивать защиту нескольких каналов связи.

Атаки на cloud-технологии сегодня происходят все чаще – почти 50% ЦОДов сталкиваются с ними каждый год. Опасность DDoS-атак заключается в возможной установке вирусов-шифровальщиков и блокировке инфраструктуры компании.

Наиболее частыми являются угрозы взлома, кражи или удаления данных, которые хранятся на облачных сервисах.

Защита информации достигается при помощи инструментов для выявления и устранения вредоносного кода. Также многие ЦОД используют системы с функциями IPS.

Многие российские data-центры применяют внешние приложения, позволяющие перераспределять трафик на другие узлы, а затем производить его фильтрацию в облаке.

Защита виртуальной среды

bezopasnost-tsod-2.jpgДля поддержания безопасности ЦОДа обязательно учитывается специфика защищаемого объекта. Например, риски существенно выше при использовании виртуальных серверов. Из-за взаимосвязанной инфраструктуры завершенная атака на одного из клиентов может угрожать безопасности его «соседей».

Чаще всего используются автоматизированные средства безопасности, так как он позволяют добиться масштабирования на всех уровнях и автоматизировать контроль доступа. Применяются инструменты для фильтрации поступающего сетевого трафика на нескольких уровнях.

Нужно устранить «слепые зоны» на ступени виртуализации используемых ресурсов, в ином случае комплексные меры для ИБ могут оказаться малоэффективными.

Законодательные требования

При обеспечении защищенности дата-центрам необходимо помнить о том, что используемые методы и технологии должны соответствовать требованиями законодательства нашей страны.

Основные из них – 152-ФЗ и 187-ФЗ – нарушаются чаще всего. Поэтому прокуратора активно следит за выполнением содержащихся в них норм. Конечно, есть вопросы о принадлежности ЦОДов к субъектам КИИ, но в большинстве случаев для data-центров уже применяются требования 187-ФЗ.

Особое внимание к безопасности потребуется для центров обработки, которые сотрудничают с государственными инфосистемами. Вопросы защищенности в этом случае потребуется решить еще до фактического внедрения ГИС в эксплуатацию. То есть для размещения у себя ГИС ЦОДу потребуется заранее удовлетворить все требования регуляторов.

Уровни защищенности информации

Сегодня наиболее востребовано применение интегрированных и многоуровневых систем ИБ. В их состав входит макросегментация на уровне сетевого экрана и микросегментация используемых межсетевых экранов.

Следующий уровень защиты состоит в выявлении проблем внутри сегментов. В дата-центре осуществляется анализ и проверка динамики трафика, которая позволяет выявить возможные вредоносные активности (например, сканирование канала, DDoS-атаки, несанкционированное скачивание файлов и т.д.). Из-за больших объемов трафика сделать это «вручную» проблематично, поэтому применяются продвинутые алгоритмы. Эти инструменты позволяют распознать вредоносное ПО даже в шифрованном трафике.

Последний уровень – обеспечение защищенности устройств в локальной сети, то есть непосредственно самих серверов и виртуальных машин. Для этого используются устанавливаемые агенты для анализа операций ввода-вывода, изменения, удаления и любых других действий с файлами. Для анализа безопасности применяются алгоритмы Big Data, которые помогают выявить аномалии и нарушения логики.

Конечно, в ряде случаев удается обойтись без агентов установки. Многие способы защиты информации сегодня являются безагентными, то есть интегрируются в ОС на уровне гипервизора.

Для дата-центров, которые занимаются автоматизацией производственных процедур, связанных с высокой опасностью (например, на атомных электростанциях), представленных мер часто бывает недостаточно. Поэтому могут применяться дополнительные методики автоматизации.

Основные выводы

Безопасность ЦОДов только за последние 10 лет шагнула далеко вперед: от простых методик физической защиты многие дата-центры перешли к использованию сложных интеллектуальных технологий. Конечно же, удалось решить не все возможные проблемы, но на сегодня уровень безопасности центров обработки информации достаточно высокий, поэтому подойдет даже для проектов с высокими требованиями к защите.

Важно понимать, что даже самые современные инструменты не могут отменить применения программных и технических средств, а также обучения персонала и организации ИБ внутри компании. И, конечно же, решить вопрос защиты навсегда невозможно – это непрерывный и ежедневный процесс, который требует поиска новых уязвимостей и решения появляющихся проблем.

Если у вас остались вопросы относительно поддержания безопасности нашего дата-центра Xelent, то специалисты обязательно ответят на них. Оставляйте свою заявку на сайте или звоните по указанным номерам!

Популярные услуги
Получить консультацию специалиста
Персональный ассистент
Cloud.Xelent