الحماية المادية لمركز البيانات مفهوم معقد. مركز البيانات: مراحل الحياة الكبيرة

مركز المعالجة البيانات (أو مركز البيانات) بموجب القانونيسمى قلب الشبكة المؤسسية لشركة حديثة - صناعية أو اتصالات أو تعمل في مجال التمويل.

الغرض الرئيسي من مركز البيانات هو توحيد معالجة البيانات وتخزينها ، والحفاظ على الوضع المحدد لأتمتة مهام الأعمال الخاصة بالمؤسسة ، فضلاً عن ضمان سلامة قواعد بيانات الشركة وغيرها من المعلومات ، والتي ، كقاعدة عامة ، ذات قيمة تجارية عالية. يعد مركز البيانات مرفقًا مهمًا استراتيجيًا لشركة تتطلب نهجًا خاصًا وقواعد خاصة ، لذلك يشمل هذا المفهوم:

• مجمع قابل للتطوير من البرامج والأجهزة المركزة في غرفة مجهزة بشكل خاص ،
• مجموعة مطورة خصيصًا من التدابير التنظيمية والسياسات الأمنية ،
• موظفين مدربين تدريباً مناسباً.

بالنسبة للعديد من المؤسسات ، يعد وجود مركز البيانات علامة على دخول مستوى جديد نوعيًا من النضج والإدارة - في المراحل الأولى من التطوير ، يفضلون غرف الخادم ، المنظمة ، كقاعدة عامة ، في المنطقة المجاورة مباشرة للمكتب الرئيسي . ومع ذلك ، يأتي وقت تزداد فيه كمية المعلومات ، وعدد العقد التي تتركز فيها ، وعدد تطبيقات الأعمال المستخدمة "فجأة" مثل الانهيار الجليدي في الشركة. يبدأ استخدام أنظمة تخطيط موارد المؤسسات القوية وإدارة علاقات العملاء ، ونظام إدارة قواعد البيانات ، والبوابات الداخلية والعامة ، وأدوات تبادل بيانات الشركات في فرض متطلبات عالية لتعدد الاستخدامات والموثوقية والتشغيل المستمر والأمن للبنية التحتية لتكنولوجيا المعلومات الخاصة بالشركة - مع تقليل تكلفة الملكية. هذه علامة أكيدة على أن الوقت قد حان للتفكير في تحديث بنية تكنولوجيا المعلومات التي تم تأسيسها تاريخيًا والانتقال إلى استخدام مركز بيانات "للبالغين".

في بعض الحالات ، تقوم الشركات في البداية ببناء أعمالها والبنية التحتية لتكنولوجيا المعلومات باستخدام مزايا مركز البيانات. كقاعدة عامة ، هذه هياكل اتصالات مالية وصناعية كبيرة تعمل بنشاط على تطوير شبكتها الإقليمية.

توجد مراكز بيانات مشتركة واستضافة (DC أو DPC). في الحالة الأولى ، يتم إنشاء مركز البيانات في البداية لحل مشاكل أتمتة العمليات التجارية للعميل ومالك مركز البيانات. في الثانية ، يقوم مالك مركز البيانات بتخصيص مساحات أو مجموعات الحامل للمؤسسات المملوءة بمعدات المستأجر. في الوقت نفسه ، يهتم مالك مركز البيانات بالحفاظ على مناخ ملائم للمعدات وإمدادات الطاقة. متغيرات ما يسمى بمراكز البيانات المختلطة ممكنة ، حيث يركز جزء من مركز البيانات على دعم العمليات التجارية للمالك ، والآخر - لحل مشاكل المستأجرين.

هناك معيار آخر يتم من خلاله تمييز الغرض من مركز البيانات - حمله الحالي. من وجهة النظر هذه ، يمكن أن يكون مركز البيانات هو المركز الرئيسي أو النسخ الاحتياطي أو مأخوذ من المنطقة أو حتى البلد. يتولى مركز البيانات الرئيسي ، على النحو التالي من حالته ، الحمل بالكامل في الوضع العادي. إنه جوهر نظام المعلومات والاتصالات ، ويعمل النسخ الاحتياطي على ضمان الوضع المعتاد لتقديم الخدمات في حالة حدوث عطل أو صيانة أو استبدال سريع للمعدات المثبتة في مركز البيانات الرئيسي. الخيار الثالث لمركز البيانات هو لتلك المؤسسات التي تستبعد تمامًا إمكانية رفض خدمة عملائها.

من الواضح أنه على الرغم من حالة وطريقة التشغيل المختلفة ، يعتبر مركز البيانات دائمًا مرفقًا مهمًا من الناحية الاستراتيجية، للمعدات والسلامة التي تفرض عليها متطلبات خاصة. تم إصلاح هذه المتطلبات في المعيار الدولي TIA 942 ، والذي يستخدمه اليوم المتخصصون العاملون في روسيا.

قررنا اليوم الانتباه إلى موضوع "دورة حياة" مراكز البيانات ، والتحدث عن ماهيتها وكيف تسمح الإدارة السليمة لها للشركات بتقليل ليس فقط التكاليف الحالية ، ولكن أيضًا التكاليف الرأسمالية. نظرًا للاتجاهات الحالية نحو إدخال جميع الحلول الجديدة (بما في ذلك الأنظمة شديدة التقارب) والخدمات ، فقد ترتبط الصعوبات الكبيرة في هذه العملية بتغيير وتكييف البنية التحتية المادية لمراكز البيانات.

تتضمن دورة حياة مركز البيانات عملية مرحلية لتطوير البنية التحتية الهندسية وفقًا لأهداف العمل وعمليات تكنولوجيا المعلومات ويمكن تقسيمها إلى عدة مراحل:

1. تحضيري: فهم أهداف الخلق ، وتشكيل مفهوم الحل ، واختيار الموقع ؛
2. تصميموفقًا للمفهوم المختار وخصائص الموقع ؛
3. بناء;
4. استغلال;
5. تقييم المطابقة وتحليل الأداء.

تتغير متطلبات العمل لخدمات تكنولوجيا المعلومات باستمرار ، ويساعد تقييم الامتثال الذي يكمل هذه الدورة على فهم مدى فعالية مركز البيانات في حل المشكلات الحالية ، وما إذا كان قادرًا على التعامل مع المشكلات الجديدة ، وما إذا كان جاهزًا للنمو. يتبع ذلك تخطيط صقل أو تحديث الموقع لمهام جديدة وجميع المراحل اللاحقة - تغلق الدائرة.

التصميم والبناء

تراكمت لدى السوق الروسية كفاءة قوية في تصميم وبناء مراكز البيانات ، وهناك متخصصون يتمتعون بالمؤهلات المناسبة ، لكن ليس من الممكن دائمًا إكمال المشروع وفقًا لمؤشرات الأداء الرئيسية التي وضعها العميل. بالفعل أثناء تنفيذ المشروع ، قد تتغير متطلبات العمل ويتم صياغتها بشكل غير صحيح وتنعكس في الاختصاصات. نتيجة لذلك ، يتم تنفيذ بناء الموقع بجودة عالية ، ولكن الصعوبة الرئيسية في مرحلة التصميم هي فهم المهام التي تواجهها المنشأة وكيف يجب تصميم مركز البيانات وتجهيزه لتلبية جميع متطلبات العمل ، والتي ليس دائما ممكنا.

اليوم ، من الضروري صياغة الاختصاصات بوضوح ، ووصف فيها الحلول الصحيحة والمثلى التي تلبي مهام الأعمال في المستقبل ، على الأقل 5-8 سنوات. يمكن أن يساعد مركز تدريب البائع الذي يتمتع بالكفاءة المناسبة في إعداد المتخصصين الأكفاء. لذا فإن مهمة مركز تدريب شنايدر إلكتريك هي تعريف الشركاء والعملاء بالمنتجات المعقدة تقنيًا للشركة ، وميزات التطبيق والتركيب والتشغيل في ظروف حقيقية.
مركز البيانات ، كقاعدة عامة ، ليس مرتبطًا فعليًا بمستهلكي خدماته ، ومع ذلك ، من المهم مراعاة أن وضعه في المبنى الخطأ يزيد بشكل جذري من تكلفة البنية التحتية للموقع. تجدر الإشارة إلى أن بيئة مركز البيانات يمكن أن تؤثر على موثوقيتها.

أخطاء نموذجية في المرحلة الإعدادية:

1 - تصميم مركز البيانات كمكتب وهو منشأة صناعية.
2. أخطاء في تكرار النظم والمكونات والاتصالات.
3. أخطاء في حساب المساحة المخصصة للأنظمة الهندسية والمباني المساعدة ، مع تقييم وزن المعدات وأبعادها ، مع ضمان استقلالية الكائن.

من المهم فهم المقاييس الرئيسية لمركز البيانات ، وآفاق تطويره ، حيث يجب أن "تبقى" الأنظمة الهندسية على مدى 2-3 أجيال من معدات تكنولوجيا المعلومات. نادرا ما تشارك العمليات في المشروع خلال مرحلة البناء. وفي الوقت نفسه ، يجب إشراك المتخصصين في أنظمة الإمداد بالطاقة والتبريد في مرحلة التصميم وأن يكونوا حاضرين في مجموعات العمل.

استغلال

بغض النظر عن مدى جودة التفكير في المشروع وتنفيذه بكفاءة ، تظهر العديد من المشاكل في مرحلة التشغيل. إحداها تنظيمية بطبيعتها وتتعلق بالتفاعل بين الإدارات الإدارية والاقتصادية وتكنولوجيا المعلومات. في حالة عدم وجود مثل هذا الرابط ، قد يعمل الحل ككل بشكل غير فعال أو لا يعمل على الإطلاق.
من الناحية العملية ، تظهر الوحدات الإدارية والاقتصادية أحيانًا أنها بعيدة جدًا عن فهم ماهية مركز البيانات وما هي متطلباته ، وأحيانًا تصبح ببساطة حاجزًا بيروقراطيًا لا يمكن التغلب عليه ، لذلك يُنصح بإظهار هذه الخدمة بمفهوم بناء مركز بيانات في منشآتهم ، وشرح مبادئ أنظمة العمل الهندسية ومعلمات المعدات التقريبية.

قد يكون لقسم تكنولوجيا المعلومات مشاكل داخلية خاصة به. عندما تكون أقسام تقنية المعلومات المختلفة مسؤولة عن مكونات مختلفة (الخوادم ، والتخزين ، ومعدات الشبكة ، وأنظمة التبريد ، وما إلى ذلك) وفي نفس الوقت ليس لديها لوائح واضحة وتقسيم للمسؤوليات ، تنشأ الفوضى في الموقع.

في هذه الحالة ، يكون "الانتقال" إلى موقع جديد أسهل من إجراء تحديث عميق للموقع القديم ، وعندها فقط إعادة مركز البيانات الحالي دون تعطيل عمل خدمات تكنولوجيا المعلومات التي تعمل في الموقع الجديد. خيار آخر هو استئجار مساحة في مركز بيانات تجاري لفترة "الإصلاح". يتم تحديد الحل الأمثل في كل حالة محددة.
في مراكز البيانات الحديثة ، عادة ما يكون فريق منفصل من المتخصصين مسؤولاً عن التشغيل المستمر والفعال للبنية التحتية. لأتمتة المراقبة والإدارة وإعداد التقارير وإدارة الحركة والتحكم في الأداء ، يتم استخدام الأدوات التي يشار إليها عادةً بالاختصار DCIM (إدارة البنية التحتية لمركز البيانات).

غالبًا ما يتم حل مهام مراقبة الأحداث وحالة المعدات والبيئة أولاً وقبل كل شيء - يتم استخدام أدوات مثل وحدات تحكم NetBotz ونظام مراقبة Data Center Expert لهذا الغرض. ولكن الأكثر إلحاحًا الآن هي مهام الاستخدام الفعال للموارد - من الكهرباء إلى الفضاء في غرف الآلات. لا يسمح تطبيق اللوائح الفعالة والتحكم في استخدام الكهرباء في الوقت المناسب بتقليل تكاليف التشغيل الكبيرة جدًا وعودة الاستثمارات في وقت مبكر فحسب ، بل يتيح أيضًا التخطيط لعمليات الاستحواذ أو الإنشاءات الجديدة ، مع مراعاة تقييم المعدات الحقيقية وليست "الورقية" نجاعة. كنظام أساسي لتنظيم هذا النهج ، يمكنك استخدام تشغيل مركز البيانات - حل معياري مع مجموعة من جميع الوظائف الضرورية.

يتيح حل شنايدر إلكتريك لمشغلي مراكز البيانات التحكم في مراكز البيانات وإدارتها بشكل أكثر فاعلية وأداء المهام اليومية ، بينما يسمح تكامل خدمات تكنولوجيا المعلومات التابعة لجهات خارجية بمشاركة المعلومات ذات الصلة عبر الأنظمة من بائعين مختلفين ، مما يؤدي إلى فهم أفضل من أداء مركز البيانات وتوافره لتحسين موثوقية مركز البيانات وكفاءة التشغيل.

التقدير والتحسين

التحسين - تحسين معلمات الأنظمة الفرعية لمركز البيانات - يتطلب مرحلة تقييم أولية - تدقيق ، تحليل لأدائها ، إنشاء نموذج رياضي للموقع والتخلص من نقاط المشاكل بناءً على بيانات المراقبة.
يعد نظام المراقبة عالي الجودة الذي تم إنشاؤه خصيصًا لحل مشكلات تشغيل مركز البيانات ، وهو نظام لمحاكاة تشغيل المعدات يسمح لك بالحصول على نموذج واضح لعمل مركز البيانات ، من الأدوات المهمة التي يمكن من خلالها لأخصائيي العمليات المراقبة حالة مركز البيانات في الوقت الحقيقي.

يمكن أن تؤدي التحسينات المختلفة ، مثل إنشاء أنظمة عزل ممر الهواء ، وإعادة تنظيم ألواح الأرضيات المرتفعة ، وإلغاء الأماكن في الرفوف مع دوران الهواء غير المناسب ، متبوعًا بإعادة تكوين أنظمة تكييف الهواء ، إلى تقليل استهلاك طاقة مركز البيانات في المشاريع الحقيقية بمقدار 10 -20٪. يؤتي هذا التحسين ثماره (إذا أخذنا في الاعتبار استهلاك الطاقة فقط) في 3-3.5 سنوات.

يتمثل تأثير التحسين الآخر في تحسين أنظمة التبريد ، فعند استخدام المعدات المثبتة مسبقًا بشكل أكثر كفاءة ، على سبيل المثال ، يصبح من الممكن تثبيت المزيد من الخوادم في حامل. يمكن زيادة "عامل استخدام مركز البيانات" من 70-75٪ إلى 90-95٪. هذا التحسين يؤتي ثماره في حوالي ستة أشهر.

يمكن أن تساعدك تحليلات البيانات في إيجاد حل محدد لتقليل تكلفة أجهزة التشغيل على موقع العميل ، أو تحديد الوضع الأكثر كفاءة في استخدام الطاقة ، أو تحسين استخدام الموارد. أو نفهم أن الوقت قد حان للتحديث.

لا يعني تحديث مركز البيانات دائمًا تركيب معدات جديدة ، وقبل كل شيء ، زيادة في كفاءة الأنظمة وكفاءة استخدامها.

يساعد تقييم الموقف على فهم ما يجب القيام به لجعل مركز البيانات يعمل بكفاءة مرة أخرى. قام أحد العملاء بحل هذه المشكلة عن طريق إنشاء ممرات باردة مغلقة ومنع تدفق الهواء حيث قللوا من كفاءة إزالة الحرارة. علاوة على ذلك ، تم تنفيذ العمل دون توقف أنظمة مركز البيانات.

تعمل العديد من المشاريع عند تقاطع مرحلتي العمليات والتقييم. اليوم ، لدى العديد من العملاء مهام جديدة في مجال تكنولوجيا المعلومات ، والمعلوماتية ، والرقمنة للأعمال جارية ، ويجب حل العديد من المشكلات التشغيلية. تساعد مساعدة الخبراء في مرحلة التقييم ومراجعة مركز البيانات في التعامل معهم. تم إنشاء مركز تطوير التطبيقات الإقليمي (مركز التطبيقات الإقليمي) بواسطة شنايدر إلكتريك في روسيا ، وهو منخرط في الحلول المعقدة لمراكز البيانات. وتتمثل مهمتها الرئيسية في إنشاء ودعم التشغيل المستدام والفعال لمركز البيانات في جميع مراحل دورة حياته.

يشارك متخصصو شنايدر إلكتريك في التصميم والبناء والاختبار المعقد وتشغيل المرافق ، في الدعم اللاحق وتحديث مركز البيانات. في كل مرحلة ، يتم تزويد العميل بالتسامح مع الخطأ وكفاءة مركز البيانات. مع النمو في حجم وسرعة التقنيات الرقمية ، ستساعد حلولنا الشركات ومقدمي الخدمات السحابية وخدمات الاتصالات والمنصات التجارية على التطلع إلى المستقبل بثقة.

DPCs.RF

لا أحد يجادل بضرورة تزويد مركز البيانات بأدوات أمنية. ومع ذلك ، غالبًا ما يُقصد بأنظمة أمن المعلومات ، في حين أن الأمن المادي غالبًا ما يكون آخر ما يجب التفكير فيه بسبب وفورات الميزانية. ومع ذلك ، فإن وسائل الحماية المادية لا تقل أهمية بالنسبة لمركز البيانات الحديث عن حماية المعلومات. لكن ما هي الحلول الأكثر صلة بالواقع الروسي؟ ما الذي يجب الخوف منه في المقام الأول وكيف يمكن منع الحوادث المحتملة بأكبر قدر من الفعالية؟ على أسئلة مجلة TsODy. يرد على الاتحاد الروسي ، تحت عنوان "المائدة المستديرة" ، أليكسي كراسوف ، رئيس قسم المشروع بمديرية الأمن المتكامل لمجموعة أستيروس.

أليكسي كراسوف ، رئيس قسم المشاريع بمديرية الأمن المتكاملة لمجموعة أستيروس

ما هي تهديدات الأمن المادي التي تعتبرها الأكثر واقعية لمراكز البيانات الروسية؟ ما الذي يجب حمايته في المقام الأول؟

أليكسي كراسوف: من الصعب أن نتخيل أنه في واقع اليوم ستحاول مجموعة من المهاجمين "وجهاً لوجه" مهاجمة مركز البيانات. يتمثل التهديد الأكثر احتمالاً في وجود شخص مطلع يمكنه تنفيذ إجراءات غير مصرح بها بشكل مستقل باستخدام الجهاز (مصادرة المعلومات أو نسخها أو إتلافها أو إدخال برامج ضارة وما إلى ذلك) أو توفير الوصول إلى جهات خارجية مباشرة إلى مباني مركز البيانات. كما تعلم ، يتمتع موظفو خدمة الأمان أو خدمة تكنولوجيا المعلومات الخاصة بهم بمثل هذه الفرص - أولئك الذين لديهم حقوق مستخدم غير محدودة تقريبًا. في هذا الصدد ، تتمثل المهمة الرئيسية اليوم للحماية المادية لمركز البيانات في تحديد المخالفين الداخليين وخلق عقبات أمامهم.

ما هي عناصر الأمن المادي المطلوبة حقًا في مركز البيانات الحديث ، وما هو إهدار المال؟

أ.: لضمان أمن مركز البيانات ، يلزم وجود مجموعة قياسية من الوسائل التقنية ، والتي تُستخدم أيضًا في منشآت أخرى. أولاً ، نحن نتحدث عن أنظمة المراقبة بالفيديو ، بينما يجب أن "تتقاطع" مناطق رؤية الكاميرات ، إذا كان ذلك ممكناً: إذا قام دخيل بتعطيل إحدى الكاميرات ، يستمر الآخرون في تسجيل تصرفات المتسلل. ثانيًا ، هذا هو نظام ACS - تنظيم هيكل متداخل لمجلس الأمن ، حتى توفير التحكم في الوصول إلى كل رف. يعد استخدام الخدمات الأمنية المسلحة مسألة تحليل للمخاطر ، وتكلفة عواقب خرق الأمن المادي ، وتقييم تكاليف التنفيذ والصيانة ، أي تطبيق نهج قائم على المخاطر.

هل من الضروري تخصيص مناطق أمنية منفصلة (محيطات) في مركز البيانات؟

أ.: يجب تناول هذه المسألة من وجهة نظر تقييم شامل للمخاطر. إذا كان مركز البيانات يقع في منطقة تخضع لحراسة جيدة ولا يمكن الوصول إليها من قبل الأشخاص غير المصرح لهم ، فقد يكون هناك عدد أقل من خطوط الأمان المتداخلة. شيء آخر هو ما إذا كان الكائن موجودًا في مبنى عام ، فإن الوصول إليه متاح للأشخاص غير المصرح لهم. في هذه الحالة ، بطبيعة الحال ، يجب أن يكون هناك المزيد من الخطوط الأمنية. ومع ذلك ، إذا كنا نتحدث عن شخص مطلع ، فإن عدد المحيطات الأمنية يصبح غير مهم. بغض النظر عن العدد ، سيكون المهاجم مستعدًا للتغلب عليهم. في هذه الحالة ، يجب توفير تدابير تنظيمية إضافية ، وكذلك يجب إدخال أنظمة لمراقبة تصرفات المشغلين والمسؤولين عن النظام ، وموظفي الأمن ، وما إلى ذلك.

هل يختلف نهج تنظيم الأمن المادي لمركز البيانات بالنسبة للمنشآت الروسية والغربية؟

أ.: اليوم ، تم محو الاختلافات في نهج ضمان الأمن المادي عمليًا: المعايير الروسية تقترب تدريجياً من المعايير الأوروبية والأمريكية. إذا تحدثنا عن الجانب التقني للقضية ، فقد انتشرت الوسائل غير الفتاكة في الدول الغربية. يتم استخدامها ليس فقط في مراكز البيانات ، ولكن أيضًا في الشركات التجارية (متاجر المجوهرات ، البنوك الصغيرة ، إلخ). كقاعدة عامة ، يتم تثبيت الكبسولات بالغاز المسال ومكبرات الصوت ومكبرات الصوت في غرفة محمية. عندما يتم إطلاق الإنذار ، يتم ملء الجسم بدخان معتم في بضع ثوانٍ ، ويتم تشغيل صفارة الإنذار بمستوى صوت يبلغ 120 ديسيبل (نقطة حد الألم). في هذه الحالة ، يكون الشخص مشوشًا تمامًا. في بلدنا ، كقاعدة عامة ، يتم استخدام هذه الأموال بشكل أساسي في المرافق الحيوية ، بما في ذلك المنشآت العسكرية.

ما المستندات التنظيمية (الروسية والأجنبية) التي يجب الاسترشاد بها عند إنشاء نظام أمان مادي لمركز بيانات؟

أ.: في الوقت الحالي ، لا توجد في الممارسة الروسية ولا في الممارسة العالمية معايير لبناء SB في مراكز البيانات. وفقًا لذلك ، يجب على المرء هنا الاعتماد على المستندات التنظيمية القياسية التي تحكم إنشاء أنظمة الحماية المادية بشكل عام ، وعلى خبرة المندمج الذي يقوم بتنفيذها.

ما هي أحدث الاتجاهات في الأمن المادي لمركز البيانات؟

أ.: سوق مراكز البيانات في مرحلة نمو مستمر ، ومع ذلك ، من حيث الحلول الأمنية التقنية ، لم تكن هناك تغييرات جذرية. بشكل عام ، هناك ميل للعملاء لإيلاء المزيد من الاهتمام لأمن المعلومات. بعد كل شيء ، يعد الوصول عن بُعد إلى البيانات والمعدات في مركز البيانات أسهل بكثير وأقل تكلفة من ، على سبيل المثال ، تنظيم مجموعة مسلحة للاستيلاء على شيء ما.

شكرا لاهتمامك بمجموعة أستيروس! حتى نتمكن من تزويدك بمعلومات حول موضوع "الحماية المادية لمركز البيانات مفهوم معقد" ، يرجى ملء الحقول "البريد الإلكتروني" أو "الهاتف".

اسم العائلة		اسم الشركة
اسم يرجى ملء هذا الحقل حتى نعرف كيفية الاتصال بك.		موقع
بريد الالكتروني يرجى ملء هذا الحقل إذا كنت تريد منا الرد عليك كتابةً		رقم الاتصال يرجى ملء هذا الحقل إذا كنت تريد منا معاودة الاتصال بك.
نوع الاستئناف حدد طلبًا عامًا للحصول على معلومات التعاون مع وسائل الإعلام التعاون في التحليلات السؤال الوظيفي تفاعل العميل المحتمل مع المستثمر توضيح / استفسار على الموقع بيع المستودعات غير ذلك			نص الاستئناف *
أرفق ملف doc ، docx ، rtf ، txt ، pdf ، xls ، xlsx ؛ الحجم الأقصى: 250 كيلو بايت
* أمنح بهذا موافقتي لشركة Asteros JSC لمعالجة البيانات الشخصية التي قدمتها من أجل النظر في طلب الاستئناف الخاص بي والاحتفاظ بقاعدة بيانات للطعون. أكثر تنطبق الموافقة على المعالجة الآلية وغير الآلية للبيانات الشخصية ، بما في ذلك الإجراءات التالية مع البيانات الشخصية: جمع ، وتسجيل ، وتنظيم ، وتجميع ، وتخزين ، واستخراج ، واستخدام ، ونقل ، وتبديد الشخصية ، والحظر ، والحذف ، والتدمير. للنظر في الاستئناف ، قد يتم نقل البيانات الشخصية إلى شركة تعد جزءًا من مجموعة Asteros أو إلى جهة خارجية أخرى. يتم منح الموافقة لمدة عام ويمكن سحبها من قبلي في أي وقت بناءً على طلب مكتوب مماثل بأي شكل يتم إرساله إلى Asteros JSC. لقد حذرني من أن نقل البيانات الشخصية وغيرها من المعلومات التي قدمتها يتم عبر قناة اتصال غير آمنة ، فيما يتعلق بـ Asteros JSC ليست مسؤولة عن ضمان سريتها وسلامتها أثناء عملية النقل.
* الحقول المطلوبة

ديمتري كوستروف
مديرية أمن المعلومات في MTS OJSC

مركز البيانات: التكوين والأنواع

مركز معالجة البيانات (DPC) هو نظام مركزي متكامل يتحمل الأخطاء ويوفر أتمتة عمليات الأعمال بمستوى عالٍ من الأداء وجودة الخدمات المقدمة.

يشتمل مركز البيانات عادةً على:

• أجهزة خادم موثوقة للغاية ؛
• أنظمة تخزين ونقل البيانات ، بما في ذلك أنظمة النسخ الاحتياطي ؛
• أنظمة الإمداد بالطاقة وتكييف الهواء والسكن المادي ؛
• أنظمة المراقبة والتحكم ؛
• انظمة حماية؛
• مراكز معالجة المعلومات الاحتياطية ؛
• حلول افتراضية الموارد ؛
• حلول التوحيد.

يتم تحديد مزايا إنشاء مركز البيانات الخاص بك (أو تأجيره) - وهذا هو توفير خدمات البنية التحتية المتسامحة مع الأخطاء في وضع 24 × 7 ، وزيادة كفاءة وموثوقية تشغيل موارد الحوسبة ، وإدارة مركزية مبسطة ، وتقليل تكاليف التزويد المرافق ، ومستوى عالٍ من حماية نظام المعلومات ، والإدارة المركزية ومحاسبة الموارد ، والتحكم في الوصول إلى مركز البيانات (وكذلك الاتصالات من خلال استخدام الموصلات الخاصة) ، والتحجيم البسيط والمريح لموارد الحوسبة.

بشكل عام ، هناك ثلاثة أنواع رئيسية من مراكز البيانات:

1. مركز البيانات الرئيسي عبارة عن غرفة معدة خصيصًا (مبنى) ومجهزة بمجموعة من الأنظمة الهندسية (يتم تطويرها بشكل فردي ، بناءً على تكوين المبنى المقدم واحتياجات العميل).
2. مركز بيانات متكامل (من الشركة المصنعة).
3. موبايل (حاوية).

عادة ما يتم قياس استمرارية أي مركز بيانات كنسبة مئوية من وقت التشغيل في السنة. في المستوى الأكثر شيوعًا وهو "الثلاث تسعات" (99.9٪) ، يجب ألا تتوقف العملية لمدة تزيد عن ثماني ساعات في السنة. "أربع تسعات" (99.99٪) تسمح بفاصل لا يزيد عن ساعة ، "خمس تسعات" (99.999٪) - هذا استمرارية بنسبة 100٪ تقريبًا ، ولا يتجاوز التوقف دقيقة واحدة. يمكن اعتبار المراجعة المستقلة فقط بمثابة تقييم موضوعي لقدرات مركز البيانات. في هذه الحالة ، يمكنك استخدام معايير معينة للتقييم. يمكن أن تكون هذه: ISO 17799، FISMA، Basel II، COBIT، HIPAA، NIST SP800-53.

أمن معلومات مركز البيانات: تحليل النضج

إذا اقتربنا من أمن المعلومات المخزنة (المعالجة) في مركز البيانات ، يجب أن ننطلق من متطلبات السرية والتوافر والنزاهة. وتجدر الإشارة إلى أن الهدف من ضمان أمن وحماية التطبيقات والخدمات والبيانات الوظيفية (المعلومات) هو تقليل الضرر إلى الحد الأدنى المقبول (تحليل المخاطر ، تقبل المخاطر) تحت التأثيرات الخارجية والداخلية المحتملة.

لا يمكن وصف قضايا أمن معلومات مركز البيانات إلا بعد تحليل المستوى الحالي ، وتطوير المشروع ومستويات النضج الاستراتيجي لعملية إدارة استمرارية الأعمال (BCM) فيما يتعلق بالعمليات التكنولوجية الحاسمة لشركة اتصالات حديثة. يجب إجراء تحليل مستوى النضج هذا في المجالات الرئيسية لعملية إدارة استمرارية الأعمال وفقًا لمنهجية معهد استمرارية الأعمال ويتم إجراؤه في المجالات التالية:

1. تحليل تأثير الأعمال (BIA).
2. تقييم المخاطر (RA).
3. استراتيجية الشركة BCM.
4. مستوى نضج عملية إدارة استمرارية الأعمال.
5. استراتيجية BCM من حيث استعادة الموارد.
6. خطة استمرارية العمل.
7. حلول وخطط استعادة الموارد.
8. خطة إدارة الأزمات.
9. تدريب BCM ، الثقافة ، تنمية الوعي.
10. اختبار عملية BCM.
11. دعم وصيانة عملية إدارة استمرارية الأعمال.
12. تدقيق عملية إدارة استمرارية الأعمال.
13. إدارة عملية BCM.
14. سياسة BCM.
15. التحقق من عملية إدارة استمرارية الأعمال والتحقق منها.

الهدف الرئيسي لإدارة الاستقرار الوظيفي للعمليات التكنولوجية هو ضمان أداء وظائف الشركة تحت تأثير العوامل المزعزعة للاستقرار. لإجراء تحليل لمستوى نضج الشركة من حيث BCM ، تم تطوير نظام تقييم بناءً على مواد معهد استمرارية الأعمال (BCI) والمنظمة الدولية للتوحيد القياسي (ISO) ومنهجية CobIT لتدقيق أنظمة المعلومات و جمعية التحكم (ISACA).

بعد تنفيذ العمل في إطار مشروع VSM ، يتم استخلاص استنتاجات حول ما إذا كانت هناك حاجة إلى مركز البيانات على الإطلاق ؛ بناء الخاص بك أو الإيجار ؛ سواء جعل نسخة مكررة. في هذه المرحلة ، السؤال الذي يطرح نفسه هو ضمان أمن المعلومات والتكنولوجيا ، مع الأخذ في الاعتبار تحليل المخاطر للشركة بأكملها.

يمكن تقسيم مسألة ضمان أمن المعلومات لمركز البيانات رسميًا إلى أمان جزء الشبكة وجزء الخادم وجزء تخزين البيانات.

مراحل أمن مركز البيانات ، أهداف الحماية

المراحل الرئيسية لأمن مركز البيانات:

• بناء نموذج للتهديد
• اختيار الأشياء التي يمكن توجيه التهديدات إليها ؛
• بناء نموذج لأفعال الجاني ؛
• تقييم وتحليل المخاطر.
• تطوير وتنفيذ أساليب ووسائل الحماية في أنظمة مراكز البيانات.

عند تحليل ما سبق ، يتضح أنه بدون بناء ISMS (نظام إدارة أمن المعلومات) لكل من المؤسسة بأكملها والعنصر (DPC) ، لا يمكن توفير الحماية الكافية.

ندرج الأشياء الرئيسية للحماية في مركز البيانات:

• المعلومات المتداولة في النظام ؛
• المعدات (العناصر) ؛
• البرمجيات.

نموذج PDCA

يدرك متخصصو أمن المعلومات جيدًا نموذج Plan-Do-Check-Act (PDCA) ، والذي يُستخدم لهيكلة جميع عمليات ISMS.

اليوم ، تقوم العديد من المنظمات التي تشغل مناصب قيادية في مجال أمن المعلومات (وفقًا للقانون الاتحادي "بشأن اللوائح الفنية") بتطوير معيار مؤسسي "ضمان أمن المعلومات للمنظمات" ، والذي يجب أن يعكس تمامًا متطلبات أمن المعلومات في مركز البيانات ، والذي يجب أن يضمن التنفيذ المستمر للأعمال - وظائف الشركة.

الانحراف عن تنفيذ هذا النموذج محفوف بالأخطاء في تنفيذ الحماية ، مما سيؤدي إلى خسائر في المؤسسة (تسرب المعلومات ، وما إلى ذلك).

ما الذي يجب أن يتكون منه جزء الشبكة؟

يمكن لمركز البيانات (عادةً) العمل مع كل من الإنترنت والشبكة القائمة على VPN-MPLS ، لذلك يجب أن يكون لجزء الشبكة جدار حماية (ويفضل أن يكون في وضع تجاوز الفشل) ، وهو جهاز يوفر تشفير حركة المرور (خاصة عند الاتصال بالإنترنت ) ، وأنظمة الكشف عن اقتحام IDS / IPS ، ومكافحة الفيروسات المار. بالإضافة إلى ذلك ، يحتوي جزء الشبكة على أجهزة توجيه جذر وموازن تحميل وما يسمى بمحول التجميع (يعمل في المستوى 2 أو 3 ، ويمكنه تجميع البيانات من عدة منافذ فعلية).

جزء الخادم

يتكون جزء الخادم من مفاتيح. من الجيد هنا استخدام تقنية VLAN للتمييز بين الوصول وتدفق المعلومات. عادةً ما يكون هذا الجزء مسؤولاً عن الاتصال بمركز التحكم في الشبكة. قد يستضيف مركز عمليات الشبكة مركز التحكم الأمني ​​(SOC). هذا هو المكان الذي يتم فيه تثبيت نظام التحكم في الوصول وتحديد الهوية (IDM).

مخزن البيانات

يوجد في جزء تخزين البيانات صفائف القرص وخوادم النسخ الاحتياطي ومكتبات الأشرطة. تعتبر قضايا النزاهة مهمة جدًا في هذا الجزء من مركز البيانات. توجد الآن حلول وفقًا لها يكون هذا الجزء مسؤولاً عن الاتصال بمركز البيانات الثانوي (غالبًا باستخدام شبكة تعتمد على تقنية تعدد إرسال طيف الإشارة (DWDM)).
مثال مثير للاهتمام على مثل هذا التنفيذ هو مجموعة من مراكز البيانات التي أنشأتها Telecom Italia. كانت إحدى مهام بناء مركز بيانات آمن هي تنفيذ متطلبات قانون "البيانات الشخصية". طبقت إيطاليا تدابير حماية أكثر صرامة مما في الاتفاقية الأوروبية بسبب التسرب الخطير للبيانات المتعلقة بالمسؤولين رفيعي المستوى. لا توجد جميع البيانات الشخصية في مركز بيانات واحد فقط ، ولكن يتم التحكم في تخزينها ومعالجتها بشكل كامل. يراقب حوالي 25 شخصًا أنظمة الأمان باستمرار من مركز عمليات واحد.

تؤدي الزيادة في عدد التهديدات وحجم حركة المرور إلى إجبار مالكي مراكز البيانات على تطبيق حلول مختلفة لحمايتهم ، مما يؤدي بدوره إلى النمو الهائل للسوق المقابل. وبالتالي ، وفقًا للأسواق والأسواق ، يجب أن يكون إجمالي مبيعات المنتجات الأمنية لمراكز البيانات 6.3 مليار دولار في عام 2016 ، وبحلول عام 2021 من المتوقع زيادة مضاعفة - تصل إلى 12.9 مليار دولار ، أي بزيادة تزيد عن 15 ٪ سنويًا . تقدم وكالات تحليلية أخرى أرقامًا مماثلة - على سبيل المثال ، تتوقع أبحاث سوق الشفافية زيادة سنوية بنسبة 12.6٪.

بمعنى واسع ، يمكن تقسيم أمان مركز البيانات إلى حماية مادية ومنطقية. على الرغم من أهمية الأول ، تتركز الجهود الرئيسية على الثانية. لذلك ، وفقًا لأبحاث السوق الشفافة ، في عام 2013 ، تم إنفاق 85٪ من جميع الأموال الموجهة للقضاء على مخاطر التهديدات لمراكز البيانات على مكونات منطقية. في الوقت نفسه ، بسبب الانتقال الواسع النطاق إلى الحوسبة السحابية والحاجة إلى تسريع تطوير التطبيقات ، يجب مراجعة مبادئ الحماية.

تمت مناقشة الموضوعات الفعلية لحماية مركز البيانات في قسم الأمان خلال WORLD OF DPC - 2016. الخدمات. سحاب".

الحماية التلقائية من DDoS

ربما تحظى هجمات DDoS بأكبر قدر من الاهتمام نظرًا لعواقبها واسعة النطاق. وبالتالي ، أدى الهجوم الأخير على خوادم Dyn ، التي تتحكم في جزء كبير من البنية التحتية لنظام DNS ، إلى عدم إمكانية الوصول إلى العديد من المواقع المعروفة في الولايات المتحدة وأوروبا. كان الهجوم الأكبر باستخدام الأجهزة المصابة التي يشار إليها الآن باسم إنترنت الأشياء (في هذه الحالة ، الكاميرات الرقمية ومشغلات DVD). قُدرت قوة الهجوم باستخدام شبكة من 100000 روبوت من طراز Mirai بـ 1.2 تيرا بايت في الثانية ، أي ضعف ما كانت عليه من قبل (انظر الشكل 1).

كما لوحظ في تقرير حديث صادر عن Nexusguard (خدمات حماية DDoS) ، انخفض عدد الهجمات في الربع الثاني من عام 2016 مقارنة بالفترة نفسها من عام 2015 بنسبة 40٪ تقريبًا ، لكن شدتها زادت بشكل ملحوظ. للحماية من الهجمات الكبيرة ، لا تكفي الإجراءات الأمنية على مستوى مركز البيانات وحدها. وفي الوقت نفسه ، وفقًا لما قاله أنطون شيفتشوك ، مدير المنتج بشركة Arbor Networks في Netwell ، لا يزال هناك عملاء واثقون من قدرتهم على حماية أنفسهم من هجمات DDoS باستخدام جدران الحماية وأنظمة منع التطفل. تشير الإحصائيات إلى أن أكثر من نصف المؤسسات التي قامت بتثبيت هذه الأجهزة قد تعرضت لانقطاع في الشبكة نتيجة لهجمات DDoS. بالإضافة إلى استخدام الوسائل المتخصصة ، من الضروري تنظيم دفاع متعدد الطبقات.

أثناء هجوم DDoS ، يتم "قصف" موارد مركز البيانات من خلال إرسال العديد من الطلبات المحددة إليهم والتوقف في النهاية عن التعامل مع الحمل. بالإجمال ، يمكن التمييز بين ثلاث فئات كبيرة من الهجمات: الهجمات المكثفة على التدفق الزائد لقناة الإنترنت ؛ الهجمات على الأجهزة ذات الحالة مثل موازنات التحميل والجدران النارية وخوادم التطبيقات ؛ عادةً ما تستهدف هجمات طبقة التطبيقات ، الأصغر في القوة ولكنها ليست أقل فاعلية ، نقاط ضعف معينة. من السهل تنظيم هجمات DDoS ، وتبدأ تكلفة العروض المقابلة من 5 دولارات في الساعة.

يتضمن مفهوم الدفاع المتعمق لحماية DDoS الذي اقترحته Arbor Networks تركيب مكونين متخصصين - في مركز البيانات وفي المشغل. الأول يسمح لك بحظر جميع أنواع الهجمات ، ومع ذلك ، عندما يصبح حجم الهجوم على القناة قابلاً للمقارنة مع النطاق الترددي المتاح ، فإنه يتحول إلى المكون الذي قام المشغل بتثبيته للحصول على المساعدة. لذلك ، كما يشير أنطون شيفتشوك ، من المهم جدًا أن "تعرف" هذه المكونات كيفية التفاعل مع بعضها البعض.

عندما يصل هجوم على قناة إلى قوة محددة مسبقًا ، يقوم أحد المكونات في مركز البيانات بإعلام المشغل بتنظيف حركة المرور الموجهة إلى بادئة معينة. بالإضافة إلى ذلك ، من الناحية المثالية ، يجب أن يزامن هذا الحل المكون من جزأين القوائم السوداء والقوائم البيضاء ، بالإضافة إلى ملفات تعريف الحماية. بالتركيز على القوائم السوداء ، يمكن للمشغل إجراء تصفية أولية لحركة المرور ، مما يقلل الحمل على نظام حماية مركز البيانات. وبالتالي ، لا يحتاج العميل (مشغل مركز البيانات) إلى الاتصال بالمزود لطلب اتخاذ تدابير عاجلة لمنع الهجوم - يتم تشغيل الحماية تلقائيًا وتقليل وقت التوقف عن العمل.

تمتلك Arbor Networks مجموعة متنوعة من المعدات تتراوح من 100 ميجابت في الثانية إلى 160 جيجابت في الثانية لكل جهاز. يمكن أيضًا نشر هذه الحلول كأجهزة افتراضية. في روسيا ، يتم توفير خدمات حماية DDoS القائمة على معدات Arbor Networks بواسطة Rostelecom و Orange و RETN و Akado ومشغلين آخرين ، مما يعني أنه يمكن تنفيذ هذا النموذج بالفعل في مراكز البيانات المتصلة بهم. وفقًا لأنطون شيفتشوك ، فإن هذا النهج هو الوحيد الذي يسمح للمؤسسات بضمان حماية مواردها وتوافرها.

لماذا نحتاج إلى وكيل؟

وفقًا للخبراء الأجانب ، يبلغ متوسط ​​إجمالي الخسائر الناجمة عن اختراق نظام الأمان حوالي 4 ملايين دولار. في روسيا ، الأرقام قابلة للمقارنة. لذلك ، وفقًا لتقرير البنك الدولي الروسي ، في 21 كانون الثاني (يناير) 2016 ، تم تنفيذ هجوم قراصنة عليه ، نتج عنه سرقة 508 ملايين روبل من حساب البنك المراسل لدى البنك المركزي. تبدأ العديد من الهجمات مع وصول المهاجم ، بما في ذلك من خلال الهندسة الاجتماعية ، إلى مكان العمل ، جهاز افتراضي واحد ، ويتم بدء الهجمات بالفعل منه.

في الواقع الافتراضي الجديد ، لم تعد الحلول التي تم استخدامها لعقود لحماية البيئات المادية تعمل. وفقًا لـ Yuri Brazhnikov ، الرئيس التنفيذي لشركة 5nine Software for Russia و CIS ، فإن مثل هذه الحوادث ، على الأقل جزءًا مهمًا منها ، مرتبطة على وجه التحديد بحقيقة أن العديد من الشركات تواصل استخدام أدوات الإدارة والحماية القديمة لبيئات المحاكاة الافتراضية ، وهي على أساس نهج الوكيل. في الوقت نفسه ، يتم تثبيت وكيل على كل وحدة محمية (VM) ، وهذا ليس مبررًا دائمًا ، خاصةً أنه يمكن تعطيله. بالإضافة إلى ذلك ، تستهلك الحماية المباشرة لنقطة النهاية قدرًا كبيرًا من الموارد المحدودة ، مما يقلل بشكل كبير من أداء وكفاءة مركز البيانات.

كان النموذج القديم يركز على تأمين نقاط النهاية ، ولكن الآن يتم نقل العديد من أعباء العمل إلى الخوادم والسحاب. في غضون ذلك ، وفقًا لـ Yuri Brazhnikov ، يواصل المصنعون المشهورون إعادة إنتاج بنية أمن المعلومات التي تم تطويرها في الأصل للبيئة المادية في بيئة افتراضية. هذا يؤدي إلى حقيقة أن نقاط الضعف الجديدة على مستوى برنامج Hypervisor ونظام التشغيل غير محمية. على سبيل المثال ، لا يتم تحديد الهجمات على مستوى الشبكة الافتراضية أو من جهاز افتراضي إلى آخر بواسطة الأجهزة التي تتحكم في البيئة المادية.

داخل البيئة الافتراضية ، يجب استخدام طرق جديدة للحماية. وبالتالي ، وفقًا لتوصيات البنك المركزي للاتحاد الروسي بشأن ضمان أمن المعلومات عند استخدام تقنية المحاكاة الافتراضية ، فإن الحل المفضل هو استخدام وسائل الحماية من تأثيرات التعليمات البرمجية الضارة على مستوى برنامج Hypervisor دون تثبيت برنامج وكيل على الأجهزة الافتراضية . ومع ذلك ، فإن هذا النهج ممكن فقط إذا كان لدى المطور وصول إلى مستوى المحول الافتراضي ، والذي تمر بداخله جميع الحزم ، والتي يتم تسليمها بعد ذلك إلى الجهاز الظاهري. بصفته شريكًا في حلول أمان وإدارة البيئة الافتراضية لـ Microsoft Hyper-V ، يتمتع 5nine Software بإمكانية الوصول إلى المحول الظاهري Hyper-V الذي ينفذ الأمان (انظر الشكل 2).

يوفر هذا الأسلوب ما يصل إلى 30٪ من موارد الخادم ، كما أن المسح الضوئي لمكافحة الفيروسات أسرع 70 مرة. من بين المزايا الأخرى للنهج بدون وكيل ، يدعو Yuri Brazhnikov إلى القضاء على الاعتماد على تصرفات الموظفين والعملاء ، حيث لا يمكن تعطيل نظام الحماية على مستوى VM. بالإضافة إلى ذلك ، يتم تقليل الجهد الأمني ​​الإجمالي نتيجة لذلك ، حيث لم يعد من الضروري الاهتمام بكل جهاز افتراضي. يمكن تكوين السياسة على المضيف أو في مركز التحكم ، ثم توسيع نطاقها بسرعة كبيرة داخل مركز البيانات ، لأن البيئة الافتراضية ديناميكية للغاية - يتم إنشاء الأجهزة الافتراضية ونقلها وتدميرها باستمرار.

من خلال دمج 5nine Cloud Security Plugin في System Center ، يمكن لمقدمي الخدمة تزويد عملائهم ليس فقط بأدوات إدارة البنية التحتية ، ولكن أيضًا أدوات التحكم في الأمان. يقول يوري برازنيكوف: "سيتمكن أي عميل من ضمان أمن حلوله والتحكم فيه بشكل مستقل". "إذا كنت تستخدم موارد العديد من مراكز البيانات (على سبيل المثال ، الخاصة بك والمملوكة لمزود خدمة الاستضافة) ، تتم مزامنة سياسات الأمان ، بحيث عند الترحيل في حالة وقوع حادث أو إعادة توزيع الحمل من مركز إلى آخر ، سيتم الاحتفاظ بإعدادات أمان الشركة ".

إذا تم في المرحلة الأولية نقل الموارد الضخمة ، ولكن ليست أكثرها قيمة إلى السحابة ، الآن ، عندما تكون مسألة نقل الموارد الهامة على جدول الأعمال ، فإن حجر العثرة هو مسألة ضمان أمن المعلومات. عندما يستعين العميل بمصادر خارجية لخدمات الأعمال الرئيسية الخاصة به في السحابة ، فإنهم يريدون التأكد من أنهم يحتفظون بسياسة أمان تناسب احتياجاتهم.

الأمان عبارة عن شبكة

أظهرت الخروقات الأمنية الرنانة بوضوح أن دفاع المحيط التقليدي الذي يركز على حركة المرور بين الشمال والجنوب (جدران الحماية وأنظمة الكشف والوقاية التي تحمي من الهجمات من الخارج) غير قادر على حماية مركز البيانات من المشاكل ، حيث تسود حركة المرور بين الخوادم "الشرق - الغرب "، وعدم تجاوزه. حسب بعض التقديرات ، يمثل الأخير ثلاثة أرباع حركة مرور مركز البيانات بالكامل.

الحل الفعال لمشكلة التمايز في حركة المرور داخل مركز البيانات هو التجزئة الدقيقة: التقسيم إلى العديد من المناطق المحمية. بفضل الحلول الافتراضية الحديثة ، يمكن تجهيز كل جهاز افتراضي تقريبًا بجدار ناري خاص به ، والذي يسمح لك بإنشاء شبكة خالية من الثقة داخل مركز البيانات. ومع ذلك ، كما هو مذكور في القسم السابق ، فإن الحل الأكثر فاعلية هو تنفيذ الأمان على مستوى برنامج Hypervisor - نحن نتحدث عن مفتاح افتراضي مدمج في برنامج Hypervisor هذا.

كان ظهور مثل هذا الجهاز استجابة للحاجة إلى ضمان النشر السريع والترحيل المباشر للأجهزة والتطبيقات الافتراضية. على سبيل المثال ، عند نشر تطبيق جديد ، بعد بدء تشغيل الجهاز الظاهري ، كان من الضروري تعيين VLAN يدويًا ، وتكوين التوجيه في الشبكة الفعلية ، وتكوين سياسات الاتحاد الدولي للاتصالات. استغرقت كل هذه العمليات وقتًا ، وإلى جانب ذلك ، اتضح أنها فريدة لكل منصة أجهزة تم بناء مركز البيانات عليها. بمعنى آخر ، تم ربط التطبيقات والأجهزة الافتراضية بشبكة مادية محددة. كان من الضروري القضاء على هذا الربط ، أي جعل الشبكة افتراضية. الآن ، كما يلاحظ ألكسندر كرينيف ، رئيس التمثيل الافتراضي للشبكة في مكتب موسكو لشركة VMware ، فإن كل منصة افتراضية لها مفتاحها الخاص ، وهو "أصلي" بالنسبة لها. على سبيل المثال ، بالنسبة لـ ESXi hypervisor ، مثل هذا المفتاح الموزع الظاهري هو Distributed Virtual Switch ، بالنسبة لـ KVM على مقياس مركز البيانات ، يمكن اعتبار ذلك Open Virtual Switch ، إلخ.

بالإضافة إلى المحول الافتراضي على مستوى البرنامج ، يتم تنفيذ وظائف الشبكة الأساسية: التبديل والتوجيه وجدار الحماية وموازنة الحمل. لا يصبح كل خادم فعلي به برنامج Hypervisor مجرد نظام أساسي للحوسبة يتم من خلاله تخصيص الموارد للأجهزة الافتراضية ، بل يصبح أيضًا محولًا وجهاز توجيه متعدد الجيجابت (الشعار القديم "الشبكة كمبيوتر" له معنى جديد). لكي تعمل هذه الميزات ، تحتاج إلى اتصال IP أساسي بين الخوادم. على الشبكة المادية ، لم تعد بحاجة إلى قضاء الوقت في تكوين شبكات VLAN - ما عليك سوى تكوين شبكة النقل مرة واحدة. يستخدم تغليف VxLAN لنقل حركة المرور عبر الشبكة المادية.

يسمح لك استخدام المفاتيح الافتراضية بأتمتة عمليات إعداد الشبكة الروتينية ، وتسريع التعافي من الكوارث ، وبالطبع تحسين كفاءة الحماية. يوضح ألكسندر كرينيف: "عندما يتم تنفيذ وظائف الأمان وتصفية حركة المرور على مستوى النظام الأساسي الافتراضي ، على مستوى برنامج Hypervisor ، يمكن حماية التطبيقات بغض النظر عن البنية المادية الأساسية". - بالتأكيد ، سمع الكثير عن التجزئة المصغرة أو نموذج الثقة الصفرية. من السهل جدًا إنشاء مثل هذا النموذج على منصة افتراضية للشبكة ، ولا يتطلب نشر العديد من جدران الحماية ".

وبغض النظر عن نظرة أوسع قليلاً لقضايا الأمن ، فإن المحاكاة الافتراضية للشبكة تمهد الطريق لتنفيذ مراكز بيانات محددة بالبرمجيات بالكامل (انظر الشكل 3).

لحماية التطبيقات

في توقعاتها لعام 2017 ، أدرجت شركة Gartner بنية أمان قابلة للتكيف كواحدة من أفضل 10 اتجاهات تقنية. صحيح ، مقارنةً بالتنبؤات لعام 2016 الحالي ، فهي الآن ليست في المرتبة السابعة ، بل في المرتبة العاشرة ، وهو ما يفسره تأثير فقدان الحداثة أكثر من انخفاض الملاءمة. كما لوحظ في التعليق ، "ستصبح الحماية متعددة الطبقات وتحليل سلوك المستخدمين والكائنات متطلبات إلزامية لكل مؤسسة."

تتضمن الحماية التكيفية بناء تدابير أمنية في جميع العمليات التجارية - وتنفيذها بعد وقوع الحقيقة يعني خلق مشاكل لنفسك. وفقًا لذلك ، يجب أن يعمل المتخصصون في مجال الأمن بشكل وثيق مع مهندسي الحلول ومطوري التطبيقات لدمج عناصر التحكم في الأمان في وقت مبكر مثل تصميم الحلول ومرحلة تطوير التطبيق. أصبحت الأخيرة بشكل متزايد هدفا للهجمات المستهدفة.

كما أشار رستم خيرتدينوف ، نائب الرئيس التنفيذي لشركة InfoWatch ومدير مشروع Appercut ، في خطابه ، فقد تعلم الجميع حماية شبكتهم جيدًا ، لذلك يتم نقل الهجمات تدريجيًا إلى طبقة التطبيق. لسوء الحظ ، لم يتم اكتشافها باستخدام الأدوات التقليدية غير القادرة على تحديد مكان الوظيفة المبرمجة ومكان عرض الخطأ - أي أنه لا توجد حالات شاذة يمكن من خلالها أن يقرر المرء أن الهجوم قيد التنفيذ.

عند نشر الخدمات السحابية ، تم إيلاء المزيد من الاهتمام للفرص ، ولكن ليس بالمخاطر. يقول رستم خيرتدينوف: "حان الوقت الآن لتسجيل النجاحات ، والتفكير في التهديدات التي بدأت تطغى على الخدمات التي تم إنشاؤها دون مراعاة مثل هذا الخطر". تتيح لك الحماية المدمجة ، التي تركز على التطبيقات المتجانسة ، بالطبع ، تسوية بعضها ، لأن الهجمات القديمة لم تختف. ومع ذلك ، لا يتم الهجوم على الخدمة ككل فقط (والذي يتم التعبير عنه في محاولات منع القناة أو تنفيذ بعض الهجمات الأخرى المعروفة) ، ولكن أيضًا التطبيقات الفردية فيها.

يتفاقم هذا الوضع بسبب حقيقة أن مقدمي الخدمة لا يتحكمون في التطبيقات المقدمة ، والتي يتم تحديثها أيضًا بشكل متكرر. بعد كل شيء ، السحابة - سواء كانت IaaS أو PaaS أو SaaS - هي في الواقع مجموعة من التطبيقات التي أنشأها أشخاص آخرون. ويحذر من أنه "بدون معرفة كيفية عمل تطبيقات معينة ، يصبح من الصعب جدًا صد الهجمات الجديدة ضدها والتي تستخدم تفاصيل كيفية كتابتها وتصميمها".

يستخدم المهاجمون الأخطاء ونقاط الضعف في تلك التطبيقات التي تتم كتابتها بسرعة وفقًا لمنهجية التطوير السريع. تعد سرعة طرح الميزات الجديدة في السوق أكثر أهمية من ضمان أمنها ، ولا يمكن لأساليب الحماية القديمة ببساطة مواكبة سرعة التطوير. وبالتالي ، فإن اختبار الاختراق (pentest) يستغرق عدة أسابيع ، وبحلول وقت اكتماله ، يمكنك فقط التأكد من أن الإصدار السابق من الموقع كان آمنًا.

تتسارع عملية التطوير ، "تخرج عن المسار" تقريبًا - تحدث التغييرات كل أسبوعين ، ويتم إجراء فحوصات مثل اختبار الاختراق كل ستة أشهر. في هذه الحالة ، هناك طريقة واحدة فقط للخروج - تكامل أنظمة الحماية مع الكائن نفسه. حتى الآن ، ومع ذلك ، تم تنفيذ هذه الميزة فقط في أكبر الخدمات على مستوى Amazon ، حيث لا توجد خدمة أمان منفصلة: هناك أولئك المسؤولون عن الأمان في فريق التطوير وممثلون عن نفس الفريق ، على سبيل المثال ، في قسم يوفر إمكانية الوصول.

وبالتالي ، فإن نهج حماية التطبيقات يتغير بشكل كبير (انظر الشكل 4). "أعتقد أنه بحلول العشرينات من القرن الماضي ، سيتم تحديث نماذج تطوير التطبيقات وحمايتها بالكامل. سوف يندمجون ويتطورون معًا. هذا الاتجاه واضح للعيان ، يختتم رستم خيرتدينوف. - نحن الآن في مرحلة وسيطة ، والتي تتميز بتنفيذ الأمن التكيفي ، عندما لا تقوم أداة الحماية فقط بدراسة هذا الكائن المحمي أو ذاك ، بل تتكيف معه أيضًا ، وتقوم أيضًا بضبط الكائن وفقًا لمتطلباته. ومع ذلك ، لا تزال هناك أسئلة أكثر من الإجابات ".

كيفية حماية مركز البيانات الخاص بك

تصبح الهجمات متعددة الطبقات ومتعددة المراحل ومتعددة المستويات ، ويتم تنفيذها من جهات مختلفة ، باستطلاع ، مع تشتيت الانتباه ، بغطاء. لم يعد هناك DDoS خالص أو قرصنة خالصة. لذلك ، يجب على أولئك الذين يصممون الدفاعات فهم أنواع الهجمات. فقط داخل مركز البيانات الخاص بمزود خدمة استضافة جاد ، يمكن جمع الكفاءات والمعدات من هذا المستوى الذي يمكنه تحمل هجمات DDoS وأنواع أخرى من الإجراءات الأكثر صعوبة وتدميرًا للأعمال التجارية وسمعة الشركة. تحدث فلاديمير مالينوفسكي ، رئيس مبيعات حلول مركز بيانات Lattelecom ، المزود الوطني لاتفيا للاتصالات السلكية واللاسلكية والخدمات السحابية ، عن كيفية تنظيم حماية مركز البيانات الحقيقي.

يقع مقدمو الخدمات السحابية في مجموعة المخاطر الرئيسية - حيث يتم توجيه الجزء الأكبر من هجمات DDoS ضدهم. ومع ذلك ، حتى مقدم الخدمة لا يمكنه تنفيذ جميع تدابير الحماية دفعة واحدة ، لذلك تم تنفيذها على مراحل. تم إنشاء مركز بيانات Dattum في عام 2013 ، وهو يلبي متطلبات الأمان المادية الأساسية لمركز البيانات من المستوى الثالث: محيط منفصل حول مباني مركز البيانات ، والأمن المادي على مدار 24 ساعة ، والتحكم المشترك في الوصول باستخدام RFID والقياسات الحيوية ، والمراقبة بالفيديو عن بُعد مع أرشفة السجلات . ومع ذلك ، كما يلاحظ فلاديمير مالينوفسكي ، فإن الحماية الجسدية ليست سوى جزء صغير من التدابير الأمنية.

بادئ ذي بدء ، صنفت Lattelecom البيانات المتاحة وفقًا لمعايير أهميتها وإمكانية الوصول إليها ولخصت كل شيء في جدول يسمح لك برؤية أولوية الحماية المطلوبة بوضوح (انظر الشكل 5). يوضح فلاديمير مالينوفسكي: "بعد أن جمعت مثل هذا الجدول ، فأنت بالفعل تفهم بشكل أو بآخر الأنظمة التي تحتاج إلى التعامل معها في المقام الأول". بالإضافة إلى ذلك ، بالنسبة لمركز البيانات ككل ، تم تحديد المصادر الرئيسية للتهديدات ، والتي تشمل هجمات DDoS والمتسللين والموظفين غير الموالين واستضافة العملاء.

في العام التالي بعد تشغيل مركز البيانات ، تم تنفيذ تدابير لضمان الامتثال لمتطلبات PCI DSS. هناك حاجة إلى شهادة PCI DSS لأولئك العملاء الذين يجرون معاملات مالية. تتضمن هذه العملية المعقدة تنفيذ برنامج كامل يتكون من أكثر من 250 نقطة. تم نشر AlientVault لحماية محيط الشبكة. يتيح لك النظام الأساسي AlienVault Security Management (USM) التحكم في خمس ميزات أمان رئيسية من وحدة تحكم واحدة: جرد الأصول ، وتقييم الثغرات الأمنية ، ومراقبة السلوك ، واكتشاف التطفل ، وربط حدث الأمان (SIEM).

كان الدافع لإدخال المستوى التالي من الحماية هو رئاسة لاتفيا للاتحاد الأوروبي - كان من الضروري تأمين الإنترنت على نطاق وطني. للحماية من هجمات DDoS ، تم تنفيذ حل RADware ، ولكن بالنسبة للشركة تبين أنه فائض عن الحاجة ، لذلك تم تنظيم توفير الخدمات للبنوك على أساسه. لم يظهر الطلب الحقيقي عليهم إلا بعد تعرض البنوك للهجوم. يقول فلاديمير مالينوفسكي: "عندما بدأت البنوك في تلقي" رسائل السعادة "من المتسللين مع عرض لدفع المال ، جاء جميعهم تقريبًا إلينا في اليوم التالي ووقعوا العقود ، وقمنا بإزالة جميع التهديدات بنجاح".

أخيرًا ، تم تطبيق نظام RAPID 7 هذا العام ، والذي يسمح باختبار نقاط الضعف في نظام التشغيل والخدمات ، وتحديد أخطاء التكوين ، والتحقق من الامتثال لسياسات الأمان. كما يسمح لك بمحاكاة الاختراق وتقييم مستوى جاهزية النظام للعمل وتجميع تقرير مع توصيات لإجراء التحسينات المطلوبة. تقدم Lattelecom خدمات الكشف عن نقاط الضعف لعملائها: "يبدو أنه يمكنك المسح مرة واحدة والرضا عن ذلك. في الواقع ، بعد أي تغيير في نظام التشغيل وتثبيت أي تصحيح ، يجب إجراء الفحص مرة أخرى. وبالتالي ، يكون الاشتراك في الخدمة أكثر ربحية للعملاء "، هذا ما يلخصه ممثل شركة Lattelecom.

سيف ودرع

المواجهة الأبدية بين الهجوم والدفاع تصل إلى مستوى جديد. يتم تحويل الهجمات إلى الروبوتات بسرعة ، ولدى الروبوتات بالفعل علامات على الذكاء الاصطناعي: فهي تعمل بشكل مستقل ، وتجد نفسها تطبيقات بها نقاط ضعف يمكنها فتحها ، وتبدأ في العمل وفقًا لبرنامج معين. تتضمن مفاهيم مثل الهندسة الدفاعية التكيفية الانتقال من التدابير السلبية إلى التدابير المضادة النشطة في محاولة للتغلب على مجرمي الإنترنت في مجالهم. وكما يقول جارتنر ، يجب أن يصبح الأمن "متحركًا وقابل للتكيف".

ومع ذلك ، في نهاية مناقشة المنتدى “نموذج التهديد لمركز البيانات. ما الذي يجب أن نخاف منه وما يجب حمايته في المقام الأول "لقد قيل كثيرًا إن تدابير الحماية المطبقة لا تزال غير كافية: لا توجد وسيلة تقنية قادرة على القضاء على احتمال هجوم ناجح بنسبة 100 ٪ إذا كان هناك تبادل يتم نقل البيانات مع بعض الأنظمة الخارجية والمعلومات إلى الخارج. لتقليل الضرر ، قد يكون أحد الحلول هو اعتماد نموذج الحد الأدنى من الثقة في مركز البيانات ، والتمييز بين حقوق المسؤول وتقييدها ، والتجزئة الدقيقة للشبكة.

تميل الشركات الكبيرة أو أكثر إلى بناء مراكز البيانات الخاصة بها وضمان حمايتها بمفردها - مثل هذه الوظيفة الحاسمة مثل تفويض الأمن على مضض. كما تعلم ، فإن أحد أكبر التهديدات لأي IP هو الشخص الذي يستغلها. ومع ذلك ، كما يشير مقدمو خدمات مركز البيانات ، فإن الموارد السحابية يتم تجريدها من أفراد محددين أكثر من موارد الشركات. بالإضافة إلى ذلك ، يراكم مقدمو الخدمة عن قصد الكفاءات اللازمة لتنظيم الحماية المهنية وبالتالي الفعالة.

سواء أكنت ستوفر الأمن بنفسك أو تثق في مزودي خدمات أمن المعلومات - يختار الجميع اعتمادًا على أولوياتهم وقدراتهم ، ولكن أصبح من الصعب بشكل متزايد مواكبة مجرمي الإنترنت في سباق التسلح الإلكتروني. وتبين أن المطاردة مسألة ميؤوس منها تمامًا إذا حاولت التغلب عليها بأساليب قديمة فقط لحماية المحيط.

ديمتري جانزا، رئيس تحرير مجلة Journal of Networking Solutions / LAN