У дома
Водоснабдяване
Физическата защита на центъра за данни е сложна концепция. Център за данни: етапи от големия живот

Физическата защита на центъра за данни е сложна концепция. Център за данни: етапи от големия живот

Център за обработка Данни (или център за данни) по законсе нарича сърцето на корпоративната мрежа на модерна компания - индустриална, телекомуникационна или работеща в сферата на финансите.

Основната цел на центъра за данни е да консолидира обработката и съхранението на данни, поддържайки определения режим на автоматизиране на бизнес задачите на предприятието, както и да гарантира безопасността на корпоративните бази данни и друга информация, която по правило е с висока търговска стойност. Центърът за данни е стратегически важно съоръжение за една компания, което изисква специален подход и специални правила, така че тази концепция включва:

  • мащабируем комплекс от софтуер и хардуер, концентриран в специално оборудвана стая,
  • специално разработен набор от организационни мерки и политики за сигурност,
  • подходящо обучен персонал.

За много организации наличието на център за данни е знак за навлизане в качествено ново ниво на зрялост и управление - на първите етапи на развитие те предпочитат сървърни стаи, организирани, като правило, в непосредствена близост до централния офис . Идва обаче момент, в който компанията "внезапно" като лавина увеличава количеството информация, броя на възлите, където е концентрирана, както и броя на използваните бизнес приложения. Използването на мощни ERP и CRM системи, СУБД, вътрешни и публични портали, инструменти за корпоративен обмен на данни започва да диктува високи изисквания за гъвкавост, надеждност, непрекъсната работа и сигурност на ИТ инфраструктурата на компанията – като същевременно намалява разходите за притежание. Това е сигурен знак, че е дошло времето да помислим за модернизиране на исторически установената ИТ архитектура и да преминем към използването на център за данни за "възрастни".

В някои случаи компаниите първоначално изграждат своя бизнес и ИТ инфраструктура, използвайки предимствата на центъра за данни. По правило това са големи телекомуникационни, финансови, индустриални структури, които активно развиват своята регионална мрежа.

Има корпоративни и хостинг центрове за данни (DC или DPC). В първия случай центърът за данни първоначално е създаден за решаване на проблемите с автоматизирането на бизнес процесите на клиента и собственика на центъра за данни. Във втория, собственикът на центъра за данни разпределя стелажни пространства или клъстери на организации, които са пълни с оборудване за наематели. В същото време собственикът на центъра за данни се грижи за поддържането на благоприятен климат за оборудване и енергоснабдяване. Възможни са варианти на т. нар. смесени центрове за данни, при които едната част от Центъра за данни е насочена към подпомагане на бизнес процесите на собственика, а другата - за решаване на проблемите на наемателите.

Има и друг критерий, по който се отличава предназначението на центъра за данни - текущото му натоварване. От тази гледна точка центърът за данни може да бъде основен, резервен или изнесен извън региона или дори страната. Основният център за данни, както следва от състоянието му, поема цялото натоварване в нормален режим. Той е ядрото на информационната и телекомуникационната система.Архивът служи за осигуряване на обичайния режим на предоставяне на услуги в случай на повреда, поддръжка или гореща подмяна на оборудване, инсталирано в основния център за данни. Третият вариант на центъра за данни е за онези организации, които напълно изключват възможността да откажат да обслужват своите клиенти.

Ясно е, че въпреки различното състояние и режим на работа, Центърът за данни винаги е стратегически важно съоръжение, за оборудването и безопасността на които са наложени специални изисквания. Тези изисквания са фиксирани в международния стандарт TIA 942, който днес се използва от специалисти, работещи в Русия.

Днес решихме да обърнем внимание на темата за "жизнения цикъл" на центровете за данни, да поговорим за това какво е това и как правилното управление на него позволява на компаниите да намалят не само текущите, но и капиталовите разходи. Предвид настоящите тенденции за въвеждане на всички нови решения (включително хиперконвергирани системи) и услуги, значителни трудности в този процес могат да бъдат свързани с промяната и адаптирането на физическата инфраструктура на центровете за данни.

Жизненият цикъл на центъра за данни включва поетапен процес на развитие на инженерната инфраструктура в съответствие с бизнес целите и ИТ процесите и може да бъде разделен на няколко етапа:

1. Подготвителни: разбиране на целите на създаването, формиране на концепцията на решението, избор на място;
2. Дизайнв съответствие с избраната концепция и характеристики на обекта;
3. Строителство;
4. експлоатация;
5. Оценка на съответствието и анализ на ефективността.

Бизнес изискванията към ИТ услугите се променят непрекъснато и оценката на съответствието, която завършва този цикъл, помага да се разбере колко ефективно центърът за данни може да решава текущи проблеми и дали е в състояние да се справи с нови, дали е готов за растеж. Следва планиране на усъвършенстването или модернизацията на сайта за нови задачи и всички последващи етапи – кръгът се затваря.

Проектиране и строителство

Руският пазар е натрупал солидна компетентност в проектирането и изграждането на центрове за данни, има специалисти с подходяща квалификация, но не винаги е възможно проектът да се завърши в съответствие с KPI, зададени от клиента. Още по време на изпълнението на проекта бизнес изискванията могат да се променят и допълнително да бъдат неправилно формулирани и отразени в техническото задание. В резултат на това изграждането на обекта се извършва с високо качество, но основната трудност на етапа на проектиране е да се разбере какви задачи е изправено пред съоръжението и как точно трябва да бъде проектиран и оборудван центърът за данни, за да отговори на всички бизнес изисквания, които не винаги е възможно.

Днес се изисква ясно да се формулира техническото задание, като се описват правилните и оптимални решения, които отговарят на задачите на бизнеса в бъдеще, най-малко 5-8 години. Центърът за обучение на продавач със съответната компетентност може да помогне при подготовката на компетентни специалисти. Така че задачата на Центъра за обучение на Schneider Electric е да запознае партньорите и клиентите с технически сложните продукти на компанията, характеристиките на неговото приложение, инсталиране и експлоатация в реални условия.
Центърът за данни, като правило, не е физически обвързан с потребителите на неговите услуги, но е важно да се има предвид, че поставянето му в грешна сграда радикално увеличава цената на инфраструктурата на сайта. Струва си да се помни, че средата на центъра за данни може да повлияе на неговата надеждност.

Типични грешки, направени на подготвителния етап:

1. Проектиране на центъра за данни като офис, докато е индустриално съоръжение;
2. Грешки при резервирането на системи, компоненти, комуникации;
3. Грешки при изчисляване на размера на разпределената площ за инженерни системи и спомагателни помещения, с оценка на теглото на оборудването и неговите размери, като се гарантира автономността на съоръжението.

Важно е да се разберат ключовите показатели на центъра за данни, перспективите за неговото развитие, тъй като инженерните системи трябва да "оцелеят" 2-3 поколения ИТ оборудване. Операциите рядко са включени в проект по време на фазата на строителство. Междувременно специалисти по електроснабдяване и охладителни системи трябва да участват на етапа на проектиране и да присъстват в работните групи.

експлоатация

Колкото и добре да е обмислен и компетентно изпълнен проектът, на етапа на експлоатация възникват много проблеми. Един от тях е от организационен характер и се отнася до взаимодействието между административно-стопанските и ИТ отделите. Когато няма такава връзка, решението като цяло може да работи неефективно или изобщо да не функционира.
На практика административните и икономическите звена понякога се оказват изключително далеч от разбирането какво е център за данни и какви са изискванията към него, а понякога просто се превръщат в непреодолима бюрократична бариера, така че е препоръчително тази услуга да се покаже концепцията за изграждане на център за данни в тяхното съоръжение, обясняват принципите на работата на инженерните системи и приблизителни параметри на оборудването.

ИТ отделът може да има свои вътрешни проблеми. Когато различни ИТ отдели отговарят за различни компоненти (сървъри, съхранение, мрежово оборудване, охладителни системи и т.н.) и в същото време нямат ясни регулации и разпределение на отговорностите, в сайта възниква хаос.


В този случай е по-лесно да се „премести“ на нов сайт, отколкото да се извърши дълбока модернизация на стария и едва след това да се преработи съществуващият център за данни, без да се нарушава работата на ИТ услугите, функциониращи на новото място. Друг вариант е да наемете място в търговски център за данни за периода на „основен ремонт”. Във всеки конкретен случай се избира оптималното решение.
В съвременните центрове за данни обикновено отделен екип от специалисти отговаря за непрекъснатата и ефективна работа на инфраструктурата. За автоматизиране на наблюдението, управлението, отчитането, управлението на движението и контрола на производителността се използват инструменти, които обикновено се наричат ​​с абревиатурата DCIM (Управление на инфраструктурата на центъра за данни).


Задачите за наблюдение на събития, състоянието на оборудването и околната среда често се решават преди всичко - за това се използват инструменти като NetBotz контролери и системата за мониторинг на Data Center Expert. Но сега най-належащи са задачите за ефективно използване на ресурсите – от електричеството до пространството в машинните помещения. Навременното прилагане на ефективни регулации и контрол върху използването на електроенергия позволява не само да се намалят много значителни оперативни разходи и по-рано възвръщаемост на инвестициите, но и да се планират нови придобивания или строителство, като се вземе предвид оценката на реално, а не на "хартиено" оборудване ефективност. Като платформа за организиране на този подход можете да използвате Data Center Operation - модулно решение с набор от всички необходими функции.


Това решение на Schneider Electric позволява на операторите на центрове за данни да контролират и по-ефективно управляват центровете за данни и да изпълняват ежедневни задачи, докато интегрирането на ИТ услуги на трети страни позволява споделянето на съответната информация между системи от различни доставчици, което води до по-добро разбиране на производителността и наличността на центъра за данни за подобряване на надеждността и оперативната ефективност на центъра за данни.

Оценка и оптимизация

Оптимизацията - подобряване на параметрите на подсистемите на центъра за данни - изисква предварителен етап на оценка - одит, анализ на тяхната производителност, създаване на математически модел на сайта и отстраняване на проблемни точки на базата на данни от мониторинг.
Висококачествена система за мониторинг, създадена специално за решаване на проблемите на работата на центъра за данни, система за симулиране на работата на оборудването, която ви позволява да получите ясен модел на функционирането на центъра за данни, са важни инструменти, чрез които специалистите по операции могат да наблюдават състоянието на центъра за данни в реално време.

Различни подобрения, като изграждане на системи за изолация на въздушни коридори, реорганизация на повдигнати подови плочи, премахване на места в стелажи с неправилна циркулация на въздуха, последвано от преконфигуриране на климатични системи, могат да намалят консумацията на енергия в центъра за данни в реални проекти с 10 -20%. Подобна оптимизация се изплаща (ако вземем предвид само консумацията на енергия) за 3-3,5 години.

Друг оптимизационен ефект е подобряването на охладителните системи, когато предварително инсталираното оборудване се използва по-ефективно, например става възможно да се инсталират повече сървъри в стелаж. „Коефициентът на използване на центъра за данни“ може да бъде увеличен от 70-75% на 90-95%. Такава оптимизация се изплаща за около шест месеца.

Анализът на данни може да ви помогне да намерите конкретно решение за намаляване на разходите за работа на устройства на клиентски сайт, да изберете най-енергийно ефективния режим или да оптимизирате използването на ресурси. Или разберете, че е дошло времето за модернизация.

Модернизацията на центъра за данни не винаги означава инсталиране на ново оборудване и на първо място е повишаване на ефективността на системите и ефективността на тяхното използване.

Оценката на ситуацията помага да се разбере какво трябва да се направи, за да може центърът за данни да работи отново ефективно. Един от клиентите реши този проблем, като създаде затворени студени коридори и блокира въздушните потоци, където намали ефективността на отвеждане на топлината. Освен това работата беше извършена без спиране на системите на центъра за данни.

Много проекти работят на пресечната точка на фазите Операции и Оценка. Днес много клиенти имат нови ИТ задачи, информатизацията, дигитализацията на бизнеса е в ход и трябва да се решават различни оперативни проблеми. Помощта на експерти на етапа на оценка и одита на центъра за данни помага да се справим с тях. Създаден от Schneider Electric в Русия, Регионалният център за разработка на приложения (Регионален център за приложения) се занимава с комплексни решения за центрове за данни. Основната му задача е да създава и поддържа устойчиво и ефективно функциониране на центъра за данни на всички етапи от неговия жизнен цикъл.

Специалистите на Schneider Electric участват в проектирането, изграждането, комплексните тестове и въвеждане в експлоатация на съоръжения, в последващата поддръжка и модернизация на центъра за данни. На всеки етап на клиента се осигурява отказоустойчивост и ефективност на центъра за данни. С нарастването на мащаба и скоростта на цифровите технологии, нашите решения ще помогнат на компаниите, облачните доставчици, телекомуникационните услуги и търговските платформи да гледат с увереност в бъдещето.

DPCs.RF

Никой не спори, че центърът за данни трябва да бъде снабден с инструменти за сигурност. Въпреки това често се има предвид системите за информационна сигурност, докато физическата сигурност често е последното нещо, за което трябва да се мисли поради икономии на бюджет. Въпреки това средствата за физическа защита са не по-малко важни за съвременния център за данни от защитата на информацията. Но какви решения ще бъдат най-подходящи в руските реалности? От какво трябва да се страхувате на първо място и как най-ефективно да предотвратите възможни инциденти? На въпросите на списание ЦОДи. Руската федерация, под рубриката „Кръгла маса“, отговаря Алексей Красов, ръководител на отдела за проекти на дирекция за интегрирана сигурност на групата Asteros.

Алексей Красов, ръководител на отдел „Проекти“ на Дирекция „Интегрирана сигурност“ на „Астерос Груп“.

Какви заплахи за физическа сигурност смятате за най-реални за руските центрове за данни? От какво трябва да се предпазим на първо място?

Алексей Красов: Трудно е да си представим, че в днешните реалности група нападатели ще се опитат да атакуват "челно" центъра за данни. Най-вероятната заплаха е вътрешен човек, който може самостоятелно да извършва неоторизирани действия с оборудването (изземване на информация, копиране или повреждане, въвеждане на злонамерен софтуер и т.н.) или предоставяне на достъп на трети страни директно до помещенията на центъра за данни. Както знаете, служителите на собствената си служба за сигурност или ИТ услуга имат такива възможности - тези, които имат почти неограничени потребителски права. В тази връзка днес основната задача на физическата защита на центъра за данни е да идентифицира вътрешните нарушители и да създава пречки за тях.

Какви елементи на физическата сигурност са наистина необходими в съвременния център за данни и какво е загуба на пари?

А.К.: За осигуряване на сигурността на центъра за данни е необходим стандартен набор от технически средства, които се използват и в други съоръжения. Първо, говорим за системи за видеонаблюдение, докато зрителните зони на камерите трябва, ако е възможно, да се „пресекат“: ако нарушител деактивира една камера, другите продължават да записват действията на натрапника. Второ, това е ACS - организацията на вложена структура на Съвета за сигурност, до осигуряване на контрол на достъпа до всеки стелаж. Използването на услуги за въоръжена сигурност е въпрос на анализ на риска, цената на последствията от нарушаване на физическата сигурност, оценка на разходите за внедряване и поддръжка, тоест прилагане на подход, основан на риска.

Необходимо ли е да се разпределят отделни зони за сигурност (периметри) в центъра за данни?

А.К.: Към този въпрос трябва да се подходи от гледна точка на цялостна оценка на риска. Ако центърът за данни се намира в добре охранявана зона, недостъпна за неоторизирани лица, тогава може да има по-малко вложени линии за сигурност. Друго нещо е, ако обектът се намира в обществена сграда, достъп до която имат неоторизирани лица. В този случай, естествено, трябва да има повече линии за сигурност. Ако обаче говорим за вътрешен човек, броят на периметрите за сигурност става маловажен. Колкото и да има, нападателят ще бъде готов да ги преодолее. В този случай следва да се предвидят допълнителни организационни мерки, както и да се въведат системи за наблюдение на действията на оператори и администратори на системата, персонал по сигурността и др.

Различава ли се подходът за организиране на физическата сигурност на център за данни за руски и западни съоръжения?

А.К.: Днес различията в подхода за осигуряване на физическа сигурност са практически заличени: руските стандарти постепенно се доближават до европейските и американските. Ако говорим за техническата страна на въпроса, тогава несмъртоносните средства са широко разпространени в западните страни. Използват се не само в центрове за данни, но и в търговски компании (бижутерийни магазини, малки банки и др.). Като правило капсули с втечнен газ, стробоскопи и високоговорители се монтират в защитено помещение. При задействане на аларма обектът се изпълва с непрозрачен дим за няколко секунди, сирената се включва с ниво на звука от 120 dB (точка на прага на болка). В тази ситуация човекът е напълно дезориентиран. У нас като правило такива средства се използват главно на критични съоръжения, включително военни.

От какви регулаторни документи (руски и чуждестранни) трябва да се ръководите при изграждането на система за физическа сигурност за център за данни?

А.К.: В момента нито в руската, нито в световната практика има стандарти за изграждане на SB в центрове за данни. Съответно тук трябва да се разчита на стандартни нормативни документи, които уреждат създаването на системи за физическа защита като цяло, и на опита на интегратора, който ги внедрява.

Какви са най-новите тенденции във физическата сигурност на центровете за данни?

А.К.: Пазарът на центрове за данни е в етап на непрекъснат растеж, но по отношение на техническите решения за сигурност няма радикални промени. Като цяло се наблюдава тенденция клиентите да обръщат повече внимание на информационната сигурност. В края на краищата, получаването на отдалечен достъп до данни и оборудване в център за данни е много по-лесно и по-евтино, отколкото, да речем, организиране на въоръжена група за физически превземане на обект.


Благодарим ви за проявения интерес към групата Asteros! За да можем да Ви предоставим информация на тема „Физическата защита на центъра за данни е сложно понятие“, моля попълнете полетата „Имейл“ или „Телефон“.

Дмитрий Костров
Дирекция за информационна сигурност на MTS OJSC

Център за данни: състав, типове

Центърът за обработка на данни (DPC) е устойчива на грешки интегрирана централизирана система, която осигурява автоматизация на бизнес процеси с високо ниво на производителност и качество на предоставяните услуги.

Обикновено центърът за данни включва:

  • високо надежден сървърен хардуер;
  • Системи за съхранение и предаване на данни, включително системи за архивиране;
  • енергийни, климатични и физически системи за настаняване;
  • системи за наблюдение и контрол;
  • системи за сигурност;
  • Резервни центрове за обработка на информация;
  • решения за виртуализация на ресурси;
  • консолидационни решения.

Определят се предимствата на създаването на собствен център за данни (или наемането му) - това е предоставянето на устойчиви на грешки инфраструктурни услуги в 24x7 режим, повишена ефективност и надеждност на работата на изчислителните ресурси, опростена централизирана администрация, намалени разходи за предоставяне комунални услуги, високо ниво на защита на информационната система, централизирано управление и отчитане на ресурсите, контрол на достъпа до центъра за данни (както и връзки чрез използване на специални конектори), просто и удобно мащабиране на изчислителните ресурси.

Като цяло има три основни типа центрове за данни:

  1. Основният център за данни е специално подготвена стая (сграда), оборудвана с комплекс от инженерни системи (разработва се индивидуално, въз основа на конфигурацията на предоставените помещения и нуждите на клиента).
  2. Интегриран център за данни (от производителя).
  3. Мобилен (контейнер).

Непрекъснатостта на всеки център за данни обикновено се измерва като процент от работното време на година. При най-често срещаното ниво на "три деветки" (99,9%), работата не трябва да се прекъсва за общо повече от осем часа годишно. "Четири деветки" (99,99%) позволяват почивка от не повече от час, "пет деветки" (99,999%) - това е почти 100% приемственост, спирането не надвишава минута. Само независим одит може да се счита за обективна оценка на възможностите на един център за данни. В този случай можете да използвате определени стандарти за оценка. Това могат да бъдат: ISO 17799, FISMA, Basel II, COBIT, HIPAA, NIST SP800-53.

Информационна сигурност на центъра за данни: анализ на зрялост

Ако подходим към сигурността на информацията, съхранявана (обработена) в центъра за данни, трябва да изхождаме от изискванията за конфиденциалност, достъпност и интегритет. Трябва да се отбележи, че целта за гарантиране на сигурността и защитата на функционалните приложения, услуги и данни (информация) е да се сведат до приемлив минимум (анализ на риска, апетит за риск) щети при възможни външни и вътрешни влияния.

Проблемите с информационната сигурност на центъра за данни могат да бъдат описани само след анализ на текущото ниво, развитие на проектни и стратегически нива на зрялост на процеса за управление на непрекъснатостта на бизнеса (BCM) във връзка с критичните технологични процеси на една съвременна телекомуникационна компания. Този анализ на нивото на зрялост трябва да се извърши за ключови области на BCM процеса в съответствие с методологията на Института за непрекъснатост на бизнеса и да се проведе в следните области:

  1. Анализ на въздействието върху бизнеса (BIA).
  2. Оценка на риска (RA).
  3. Корпоративна стратегия на BCM.
  4. Нивото на зрялост на BCM процеса.
  5. BCM стратегия по отношение на възстановяването на ресурсите.
  6. План за непрекъснатост на бизнеса.
  7. Решения и планове за възстановяване на ресурси.
  8. План за управление на кризи.
  9. BCM обучение, култура, развитие на осведомеността.
  10. Тестване на BCM процеса.
  11. Поддръжка и поддръжка на BCM процеса.
  12. Одит на BCM процеса.
  13. Управление на BCM процеси.
  14. BCM политика.
  15. Проверка и валидиране на BCM процеса.

Основната цел на управлението на функционалната стабилност на технологичните процеси е да се осигури изпълнението на бизнес функциите на компанията под въздействието на дестабилизиращи фактори. За извършване на анализ на нивото на зрялост на компанията по отношение на BCM е разработена система за оценка на базата на материалите на Института за непрекъснатост на бизнеса (BCI), Международната организация по стандартизация (ISO) и методологията CobIT на Одит на информационните системи и Асоциация за контрол (ISACA).

След извършване на работа в рамките на проекта VSM се правят изводи дали изобщо е необходим център за данни; построете сами или под наем; дали да се направи дубликат. На този етап възниква въпросът за осигуряване на информационна и технологична сигурност, като се вземе предвид анализът на риска на цялата компания.

Въпросът за осигуряване на информационната сигурност на центъра за данни може формално да бъде разделен на сигурността на мрежовата част, сървърната част и частта за съхранение на данни.

Етапи на сигурност на центъра за данни, обекти на защита

Основните етапи на сигурността на центъра за данни:

  • изграждане на модел на заплаха;
  • избор на обекти, към които могат да бъдат насочени заплахи;
  • изграждане на модел на действията на нарушителя;
  • оценка и анализ на риска;
  • разработване и внедряване на методи и средства за защита в системите на центровете за данни.

Анализирайки горното, става ясно, че без изграждане на ISMS (система за управление на информационната сигурност) както на цялото предприятие, така и на елемента (DPC), не може да се осигури адекватна защита.

Изброяваме основните обекти на защита в центъра за данни:

  • информация, циркулираща в системата;
  • оборудване (елементи);
  • софтуер.

Модел PDCA

Специалистите по информационна сигурност вече са добре запознати с модела Plan-Do-Check-Act (PDCA), който се използва за структуриране на всички ISMS процеси.

Днес много организации, които заемат водещи позиции в областта на информационната сигурност, разработват (съгласно Федералния закон „За техническото регулиране“) корпоративен стандарт „Осигуряване на информационна сигурност на организациите“, който трябва напълно да отразява изискванията за информационна сигурност на център за данни, който трябва да осигури непрекъснатото изпълнение на бизнес функциите на компанията.

Отклонението от прилагането на този модел е изпълнено с грешки при прилагането на защита, което ще доведе до загуби на предприятието (изтичане на информация и др.).

От какво трябва да се състои мрежовата част?

Центърът за данни може (обикновено) да работи както с интернет, така и с мрежа, базирана на VPN-MPLS, така че мрежовата част трябва да има защитна стена (за предпочитане в режим на отказ), устройство, което осигурява криптиране на трафика (особено при свързване към интернет ), системи за откриване на IDS/IPS прониквания, преходна антивирусна програма. Освен това мрежовата част съдържа root рутери, балансьор на натоварване и така наречения превключвател за агрегиране (работи на ниво 2 или 3, може да агрегира данни от няколко физически порта).

Сървърна част

Сървърната част се състои от превключватели. Тук е добре да се използва VLAN технологията за разграничаване на достъпа и информационните потоци. Обикновено тази част отговаря за комуникацията с центъра за управление на мрежата. Центърът за мрежови операции може да бъде домакин на Център за контрол на сигурността (SOC). Тук е инсталирана системата за контрол на достъпа и идентификация (IDM).

Съхранение на данни

В частта за съхранение на данни има дискови масиви, резервни сървъри, лентови библиотеки. Проблемите с целостта са много важни в тази част на центъра за данни. Сега има решения, според които тази част отговаря за комуникацията с вторичния център за данни (често използваща мрежа, базирана на DWDM технология).
Интересен пример за подобна реализация е набор от центрове за данни, изградени от Telecom Italia. Една от задачите за изграждане на защитен център за данни беше изпълнението на изискванията на Закона „За личните данни“. Италия приложи по-строги мерки за защита, отколкото в европейската конвенция, заради сериозно изтичане на данни за високопоставени служители. Всички лични данни не само се намират в един център за данни, но тяхното съхранение и обработка са напълно контролирани. Около 25 души постоянно наблюдават системите за сигурност от един SOC.

Увеличаването на броя на заплахите и обема на трафика принуждава собствениците на центрове за данни да прилагат различни решения за защитата им, което от своя страна води до експлозивен растеж на съответния пазар. Така, според Markets and Markets, общите продажби на продукти за сигурност за центрове за данни трябва да бъдат 6,3 милиарда долара през 2016 г., а до 2021 г. се очаква двукратно увеличение - до 12,9 милиарда долара, тоест увеличение с над 15% годишно . Подобни цифри дават и други аналитични агенции – например Transparency Market Research прогнозира годишен ръст от 12,6%.

В широк смисъл сигурността на центъра за данни може да бъде разделена на физическа и логическа защита. Въпреки важността на първото, основните усилия са насочени към второто. И така, според Transparency Market Research, още през 2013 г. 85% от всички средства, насочени за премахване на риска от заплахи за центровете за данни, са изразходвани за логически компоненти. В същото време, поради широко разпространения преход към облачни изчисления и необходимостта от ускоряване на разработването на приложения, принципите на защита трябва да бъдат преразгледани.

Актуални теми за защита на центрове за данни бяха обсъдени в секция Сигурност по време на СВЕТА НА DPC - 2016. Услуги.Услуги. Облаци".

АВТОМАТИЗИРАНА DDoS ЗАЩИТА

DDoS атаките получават може би най-голямо внимание поради широкообхватните си последици. Така неотдавнашна атака срещу сървърите на Dyn, който контролира значителна част от DNS инфраструктурата, доведе до недостъпност на много добре познати сайтове в САЩ и Европа. Това беше най-голямата атака, използваща заразени устройства, които сега обикновено се наричат ​​Интернет на нещата (в този случай цифрови фотоапарати и DVD плейъри). Силата на атака, използваща мрежа от 100 000 бота на Mirai, беше оценена на 1,2 Tbps, два пъти повече от всякога (виж Фигура 1).

Както беше отбелязано в неотдавнашен доклад на Nexusguard (услуги за защита от DDoS), броят на атаките през второто тримесечие на 2016 г. спрямо същия период на 2015 г. е намалял с почти 40%, но интензитетът им се е увеличил значително. За защита срещу масови атаки мерките за сигурност на ниво център за данни сами по себе си не са достатъчни. Междувременно, според Антон Шевчук, продуктов мениджър за Arbor Networks в Netwell, все още има клиенти, които са уверени, че могат да се защитят от DDoS атаки, използвайки защитни стени и системи за предотвратяване на проникване. Статистиката показва, че повече от половината от организациите, които са инсталирали тези устройства, са имали прекъсвания в мрежата в резултат на DDoS атаки. В допълнение към използването на специализирани средства е необходимо да се организира многопластова защита.

По време на DDoS атака ресурсите на центъра за данни са „бомбардирани“, като им изпращат много специфични заявки и в крайна сметка престават да се справят с натоварването. Общо могат да се разграничат три големи класа атаки: масирани атаки срещу препълването на интернет канала; атаки срещу устройства с поддържане на състоянието, като балансьори на натоварване, защитни стени, сървъри на приложения; Атаките на ниво приложение, по-малки по сила, но не по-малко ефективни, обикновено са насочени към специфични уязвимости. DDoS атаките са лесни за организиране, а цената на съответните оферти започва от $5 на час.

Концепцията за защита в дълбочина за DDoS защита, предложена от Arbor Networks, включва инсталирането на два специализирани компонента - в центъра за данни и при оператора. Първият ви позволява да блокирате всички видове атаки, но когато мащабът на атаката на канала стане сравним с наличната честотна лента, той се обръща за помощ към компонента, инсталиран от оператора. Ето защо, както отбелязва Антон Шевчук, е много важно тези компоненти да „знаят как“ да взаимодействат един с друг.

Когато атаката върху канал достигне предварително определена сила, компонент в центъра за данни информира оператора да почисти трафика, който е насочен към конкретен префикс. Освен това в идеалния случай подобно решение от две части трябва да синхронизира черните и белите списъци, както и защитните профили. Фокусирайки се върху черните списъци, операторът може да извърши предварително филтриране на трафика, намалявайки натоварването на системата за защита на центъра за данни. По този начин клиентът (операторът на центъра за данни) не трябва да се свързва с доставчика с искане за предприемане на спешни мерки за блокиране на атаката - защитата се включва автоматично, а времето за престой е сведено до минимум.

Arbor Networks разполага с разнообразие от оборудване, вариращо от 100Mbps до 160Gbps на устройство. Тези решения могат да бъдат внедрени и като виртуални машини. В Русия услугите за защита от DDoS на базата на оборудване Arbor Networks се предоставят от Rostelecom, Orange, RETN, Akado и други оператори, което означава, че този модел вече може да бъде внедрен в центрове за данни, свързани с тях. Според Антон Шевчук само този подход позволява на предприятията да гарантират защитата и наличността на своите ресурси.

ЗАЩО НИЕ НУЖДАЕМ ОТ АГЕНТ?

Според чуждестранни експерти общият размер на загубите от хакване на система за сигурност е средно около 4 милиона долара. В Русия цифрите са сравними. И така, според доклада на Руската международна банка, на 21 януари 2016 г. е извършена хакерска атака, в резултат на която са откраднати 508 милиона рубли от кореспондентската сметка на банката в Централната банка. Много атаки започват с това, че нападателят получава достъп, включително чрез социално инженерство, до работното място, една виртуална машина и атаките вече са инициирани от него.

В новата виртуална реалност решенията, използвани от десетилетия за защита на физическата среда, вече не работят. Според Юрий Бражников, главен изпълнителен директор на 5nine Software за Русия и ОНД, подобни инциденти, поне значителна част от тях, са свързани именно с факта, че много компании продължават да използват старите инструменти за управление и защита на виртуализационни среди, които са на базата на агентски подход. В същото време на всяка защитена единица (VM) е инсталиран агент, което не винаги е оправдано, особено след като може да бъде деактивирано. Освен това директната защита на крайните точки консумира голямо количество ограничени ресурси, което значително намалява производителността и ефективността на центъра за данни.

Старият модел беше фокусиран върху осигуряването на крайни точки, но сега много натоварвания се преместват към сървъри и облаци. Междувременно, според Юрий Бражников, известни производители продължават да възпроизвеждат във виртуална среда архитектурата за информационна сигурност, първоначално разработена за физическата среда. Това води до факта, че новите уязвимости на ниво хипервизор и ОС са незащитени. Например, атаките на ниво виртуална мрежа или от една виртуална машина към друга не се определят от хардуера, който контролира физическата среда.

Във виртуалната среда трябва да се използват нови методи за защита. По този начин, в съответствие с препоръките на Централната банка на Руската федерация за осигуряване на информационна сигурност при използване на технология за виртуализация, предпочитаното решение е да се използват средства за защита срещу ефектите на злонамерен код на ниво хипервизор, без да се инсталира софтуер на агент на виртуални машини . Този подход обаче е възможен само ако разработчикът има достъп до нивото на виртуалния комутатор, вътре в което преминават всички пакети, които след това се доставят на VM. Като партньор за решения за сигурност и управление на виртуална среда на Microsoft Hyper-V, 5nine Software има достъп до виртуалния комутатор Hyper-V, който внедрява сигурност (вижте фигура 2).

Този подход спестява до 30% от ресурсите на сървъра, а антивирусното сканиране е 70 пъти по-бързо. Сред другите предимства на подхода без агенти Юрий Бражников нарича премахването на зависимостта от действията на персонала и клиентите, тъй като системата за защита не може да бъде деактивирана на ниво VM. В допълнение, общите усилия за сигурност се намаляват в резултат, тъй като вече не трябва да се грижи за всяка виртуална машина. Политиката може да се конфигурира на хоста или в контролния център и след това да се мащабира много бързо в рамките на центъра за данни, тъй като виртуалната среда е изключително динамична - VM постоянно се създават, преместват и унищожават.

Чрез интегрирането на 5nine Cloud Security Plugin в System Center, доставчиците могат да предоставят на своите клиенти не само инструменти за управление на инфраструктурата, но и инструменти за контрол на сигурността. „Всеки клиент ще може самостоятелно да гарантира и контролира сигурността на своите решения“, казва Юрий Бражников. „Ако използвате ресурсите на няколко центъра за данни (например ваш собствен и собственост на хостинг доставчик), политиките за сигурност се синхронизират, така че при мигриране в случай на авария или преразпределение на натоварването от един център към друг, всички настройките за корпоративна сигурност ще бъдат запазени."

Ако в началния етап в облака бяха прехвърлени капацитетни, но не най-ценните ресурси, сега, когато въпросът за прехвърлянето на критични ресурси е на дневен ред, препъникамъкът е въпросът за осигуряване на информационна сигурност. Когато клиент възлага своите ключови бизнес услуги в облака, той иска да е сигурен, че поддържа политика за сигурност, която отговаря на техните нужди.

БЕЗОПАСНОСТТА Е МРЕЖА

Резонансните пробиви в сигурността ясно показаха, че традиционната защита на периметъра, която се фокусира върху трафика от север-юг (защитни стени, системи за откриване и предотвратяване, които предпазват от атаки отвън), не е в състояние да защити центъра за данни от проблеми, където трафикът между сървърите преобладава „изток – запад", без да излиза извън него. Според някои оценки, последният представлява три четвърти от целия трафик на центрове за данни.

Ефективно решение на проблема с диференцирането на трафика в центъра за данни е микросегментацията: разделяне на множество защитени зони. Благодарение на съвременните виртуализирани решения, почти всяка виртуална машина може да бъде оборудвана със собствена защитна стена, която ви позволява да създадете мрежа с нулево доверие вътре в центъра за данни. Въпреки това, както беше отбелязано в предишния раздел, много по-ефективно решение е да се внедри сигурност на ниво хипервизор – говорим за виртуален превключвател, вграден в този хипервизор.

Появата на такова устройство беше отговор на необходимостта от осигуряване на бързо внедряване и жива миграция на виртуални машини и приложения. Например, когато разгръщате ново приложение, след стартиране на VM, беше необходимо ръчно да настроите VLAN, да конфигурирате маршрутизирането във физическата мрежа и да конфигурирате ITU политиките. Всички тези операции отнеха време, а освен това се оказаха уникални за всяка хардуерна платформа, на която е изграден центърът за данни. С други думи, приложенията и виртуалните машини бяха обвързани с конкретна физическа мрежа. Беше необходимо да се премахне това обвързване, тоест да се виртуализира мрежата. Сега, както отбелязва Александър Кренев, ръководител на мрежовата виртуализация в московския офис на VMware, всяка платформа за виртуализация има свой собствен комутатор, който е „роден“ за нея. Например, за хипервизора ESXi такъв виртуален разпределен комутатор е Distributed Virtual Switch, за KVM в мащаб на център за данни това може да се счита за Open Virtual Switch и т.н.

Върху виртуалния комутатор на софтуерно ниво са реализирани основни мрежови функции: превключване, маршрутизиране, защитна стена и балансиране на натоварването. Всеки физически сървър с хипервизор се превръща не просто в изчислителна платформа, на която се разпределят ресурси за виртуални машини, но и в мултигигабитов комутатор и рутер (старият лозунг „мрежата е компютър” получава ново значение). За да работят тези функции, ви е необходима основна IP свързаност между сървърите. Във физическата мрежа вече не е нужно да отделяте време за конфигуриране на VLAN – трябва само веднъж да конфигурирате транспортната мрежа. VxLAN капсулирането се използва за пренасяне на трафик през физическата мрежа.

Използването на виртуални превключватели ви позволява да автоматизирате рутинните операции за настройка на мрежата, да ускорите възстановяването при бедствия и, разбира се, да увеличите ефективността на защитата. „Когато функциите за сигурност и филтриране на трафика се изпълняват на ниво виртуална платформа, на ниво хипервизор, приложенията могат да бъдат защитени независимо от основната физическа архитектура“, обяснява Александър Кренев. - Със сигурност мнозина са чували за микросегментацията или модела с нулево доверие. Много е лесно да се изгради такъв модел на платформа за виртуализация на мрежата и не изисква разполагане на много защитни стени.

Като оставим настрана малко по-широк поглед върху проблемите със сигурността, виртуализацията на мрежата проправя пътя за внедряването на напълно софтуерно дефинирани центрове за данни (виж Фигура 3).

ЗА ЗАЩИТА НА ПРИЛОЖЕНИЯТА

В своята прогноза за 2017 г. Gartner изброява адаптивната архитектура за сигурност като една от 10-те най-добри технологични тенденции. Вярно е, че в сравнение с прогнозата за текущата 2016 г., сега не е на седмо място, а на десето, което се обяснява повече с ефекта от загубата на новост, отколкото с намаляването на релевантността. Както е отбелязано в коментара, „многослойната защита и анализ на поведението на потребителите и обектите ще станат задължителни изисквания за всяко предприятие“.

Адаптивната защита включва вграждане на мерки за сигурност във всички бизнес процеси - прилагането им след факта означава създаване на проблеми за себе си. Съответно, специалистите по сигурността трябва да работят в тясно сътрудничество с архитектите на решения и разработчиците на приложения, за да включат контроли за сигурност още в фазата на проектиране на решение и разработка на приложения. Последните все по-често стават обект на целенасочени атаки.

Както отбеляза в речта си Рустем Хайретдинов, заместник-главен изпълнителен директор на InfoWatch и мениджър на проекта Appercut, всеки се е научил да защитава добре своята мрежа, така че атаките постепенно се прехвърлят към слоя на приложението. За съжаление, те не се откриват с помощта на традиционни инструменти, които не могат да определят къде е програмираната функция и къде се вижда грешката - тоест няма аномалии, по които човек може да реши, че атаката е в ход.

При внедряването на облачни услуги се обръща повече внимание на възможностите, но не и на рисковете. „Сега е време да запишем успехите“, призовава Рустем Хайретдинов, „и да помислим за заплахите, които започват да затрупват изградените услуги, без да се отчита такава опасност“. Вградената защита, фокусирана върху монолитни приложения, разбира се, ви позволява да изравните някои от тях, тъй като старите атаки не са изчезнали. Атакуват се обаче не само услугата като цяло (което се изразява в опити за блокиране на канала или реализиране на други добре познати атаки), но и отделни приложения в нея.

Тази ситуация се влошава от факта, че доставчиците нямат контрол върху предоставените приложения, които също често се актуализират. В крайна сметка облакът - независимо дали IaaS, PaaS или SaaS - всъщност е набор от приложения, създадени от други хора. „Без да знаем как работят конкретни приложения, става все по-трудно и по-трудно да се отблъснат нови атаки срещу тях, които използват спецификата на начина, по който са написани и проектирани“, предупреждава той.

Нападателите използват грешки и уязвимости в тези приложения, които се пишат бързо в съответствие с гъвкава методология за разработка. Скоростта на пускане на нови функции на пазара е по-важна от осигуряването на тяхната сигурност, а старите методи за защита просто не могат да се справят със скоростта на разработка. По този начин тестът за проникване (pentest) отнема няколко седмици и докато приключи, можете само да сте сигурни, че предишната версия на сайта е била безопасна.

Развитието се ускорява, почти "излиза от релсите" - промени се случват на всеки две седмици, а проверки като тест за проникване се извършват на всеки шест месеца. В тази ситуация има само един изход - интегрирането на системите за защита със самия обект. Досега обаче тази функция е била внедрена само в най-големите услуги на ниво Amazon, където няма отделна услуга за сигурност: има отговорни за сигурността в екипа за разработка и представители на същия екип, например в разделение, което осигурява достъпност.

По този начин подходът към защитата на приложенията се променя драстично (виж Фигура 4). „Мисля, че до 20-те години парадигмите за разработка и защита на приложенията ще бъдат напълно актуализирани. Те ще се слеят и ще се развиват заедно. Тази тенденция е ясно видима, заключава Рустем Хайретдинов. - Сега сме на междинен етап, който се характеризира с внедряване на адаптивна сигурност, когато инструментът за защита не само изучава този или онзи защитен обект, но и се адаптира към него, а също така приспособява обекта към неговите изисквания. Въпреки това все още има повече въпроси, отколкото отговори.”

КАК ДА ЗАЩИТЕ ВАШИЯ ЦЕНТЪР ДАННИ

Атаките стават многопластови, многоетапни и многостепенни, извършват се от различни страни, с разузнаване, с разсейване, с прикритие. Вече няма чист DDoS или чисто хакване. Следователно тези, които проектират защити, трябва да разбират видовете атаки. Само в рамките на центъра за данни на сериозен хостинг доставчик е възможно да се съберат компетенции и оборудване от такова ниво, което да издържа на DDoS атаки и други видове най-тежки и разрушителни действия за бизнеса и репутацията на компанията. Владимир Малиновски, ръководител на продажбите на решения за центрове за данни Lattelecom, национален латвийски доставчик на телекомуникационни и облачни услуги, говори за това как е организирана защитата на истински център за данни.

Доставчиците на облачни услуги са в основната рискова група - именно срещу тях е насочена по-голямата част от DDoS атаките. Въпреки това, дори доставчикът не може да приложи всички мерки за защита наведнъж, така че прилагането им става на етапи. Построен през 2013 г., центърът за данни Dattum отговаря на основните изисквания за физическа сигурност на центъра за данни от Tier III: отделен периметър около помещенията на центъра за данни, 24-часова физическа сигурност, комбиниран контрол на достъпа с помощта на RFID и биометрични данни и дистанционно видеонаблюдение с архивиране на записи . Въпреки това, както отбелязва Владимир Малиновски, физическата защита е само малка част от мерките за сигурност.

На първо място, Lattelecom класифицира наличните данни според критериите за тяхната критичност и достъпност и обобщи всичко в таблица, която ви позволява ясно да видите каква приоритетна защита е необходима (виж фиг. 5). „След като съставите такава таблица, вие вече повече или по-малко разбирате с какви системи трябва да се справите на първо място“, обяснява Владимир Малиновски. Освен това за центъра за данни като цяло бяха идентифицирани основните източници на заплахи, които включват DDoS атаки, хакери, нелоялни служители и хостинг клиенти.

На следващата година след пускането в експлоатация на центъра за данни бяха приложени мерки за осигуряване на съответствие с изискванията на PCI DSS. PCI DSS сертификация е необходима за тези клиенти, които извършват финансови транзакции. Този сложен процес включва изпълнението на цяла програма, състояща се от повече от 250 точки. AlientVault беше разгърнат за защита на периметъра на мрежата. Платформата за управление на сигурността AlienVault (USM) ви позволява да контролирате пет ключови функции за сигурност от една конзола: инвентаризация на активи, оценка на уязвимостите, наблюдение на поведението, откриване на проникване и корелация на събития в сигурността (SIEM).

Импулсът за въвеждането на следващото ниво на защита беше европредседателството на Латвия – беше необходимо да се осигури интернет в национален мащаб. За защита от DDoS атаки беше внедрено решението RADware, но за компанията се оказа излишно, така че предоставянето на услуги за банки беше организирано на негова база. Истинското търсене за тях се появи едва след нападението на банките. „Когато банките започнаха да получават „писма на щастие“ от хакери с предложение да плащат пари, на следващия ден почти всички от тях дойдоха при нас и подписаха договори и ние успешно елиминирахме всички заплахи“, казва Владимир Малиновски.

И накрая, тази година беше внедрена системата RAPID 7, която позволява тестване на уязвимости в операционната система и услугите, идентифициране на грешки в конфигурацията и проверка на съответствието с политиките за сигурност. Също така ви позволява да симулирате хак, да оцените нивото на готовност на системата за работа и да съставите отчет с препоръки за извършване на необходимите подобрения. Lattelecom предлага услуги за откриване на уязвимости на своите клиенти: „Изглежда, че можете да сканирате веднъж и да сте доволни от това. Всъщност, след всяка промяна в операционната система и инсталирането на някоя корекция, сканирането трябва да се извърши отново. Така за клиентите е по-изгодно да се абонират за услугата”, обобщава представителят на Lattelecom.

МЕЧ И ЩИТ

Вечната конфронтация между атака и защита достига ново ниво. Атаките бързо се роботизират и ботовете вече имат признаци на изкуствен интелект: действат автономно, сами намират приложения с уязвимости, които могат да отворят, и започват да действат според определена програма. Концепции като адаптивна отбранителна архитектура включват преминаване от пасивни мерки към активни мерки за противодействие в опит да се надминат киберпрестъпниците в тяхната област. Както Gartner казва, сигурността трябва да стане „подвижна и адаптивна“.

Въпреки това, в края на дискусията във форума „Моделът на заплахата за центъра за данни. От какво да се страхуваме и какво да защитаваме на първо място ”много се казваше, че прилаганите мерки за защита все още са недостатъчни: никакви технически средства не са в състояние да елиминират вероятността от успешна атака със 100%, ако има размяна на данни с някаква външна система и информацията се предава навън. За да се сведат до минимум щетите, едно от решенията може да бъде приемането на модел на минимално доверие в центъра за данни, диференцирането и ограничаването на администраторските права и микросегментирането на мрежата.

Повече или по-малко големите компании са склонни да изграждат своите центрове за данни и сами да осигуряват защитата им – такава критична функция като сигурността се делегира много неохотно. Както знаете, една от най-големите заплахи за всеки IP е този, който го експлоатира. Въпреки това, както посочват доставчиците на услуги за центрове за данни, облачните ресурси са по-абстрахирани от конкретен персонал, отколкото от корпоративните. Освен това доставчиците целенасочено натрупват необходимите компетенции за организиране на професионална и следователно ефективна защита.

Дали сами да осигурите сигурност или да се доверите на доставчиците на услуги за информационна сигурност – всеки избира в зависимост от своите приоритети и възможности, но става все по-трудно да се справим с киберпрестъпниците в надпреварата във въоръжаването в кибернетичното пространство. И преследването се оказва напълно безнадеждно, ако се опитате да се справите само с остарели методи за защита на периметъра.

Дмитрий Ганжа, главен редактор на Journal of Networking Solutions / LAN



Секции