Domov
Dodávka vody
Fyzická ochrana dátového centra je komplexný koncept. Dátové centrum: etapy veľkého života

Fyzická ochrana dátového centra je komplexný koncept. Dátové centrum: etapy veľkého života

Spracovateľské centrum Údaje (alebo Dátové centrum) zo zákona sa nazýva srdcom korporátnej siete modernej spoločnosti – priemyselnej, telekomunikačnej či pracujúcej v oblasti financií.

Hlavným účelom dátového centra je konsolidácia spracovania a ukladania údajov, udržiavanie špecifikovaného režimu automatizácie obchodných úloh podniku, ako aj zaistenie bezpečnosti podnikových databáz a iných informácií, ktoré sú spravidla s vysokou obchodnou hodnotou. Dátové centrum je strategicky dôležité zariadenie pre spoločnosť, ktoré si vyžaduje špeciálny prístup a špeciálne pravidlá, preto tento koncept zahŕňa:

  • škálovateľný komplex softvéru a hardvéru sústredený v špeciálne vybavenej miestnosti,
  • špeciálne vyvinutý súbor organizačných opatrení a bezpečnostných politík,
  • vhodne vyškolený personál.

Pre mnohé organizácie je prítomnosť dátového centra znakom vstupu na kvalitatívne novú úroveň zrelosti a riadenia - v prvých fázach vývoja uprednostňujú serverové miestnosti, usporiadané spravidla v bezprostrednej blízkosti ústredia. . Prichádza však čas, kedy sa množstvo informácií, počet uzlov, kde sa sústreďujú, a počet používaných biznis aplikácií „zrazu“ vo firme zväčší ako lavína. Využitie výkonných ERP a CRM systémov, DBMS, interných a verejných portálov, firemných nástrojov na výmenu dát začína diktovať vysoké požiadavky na všestrannosť, spoľahlivosť, neprerušovanú prevádzku a bezpečnosť firemnej IT infraštruktúry – a zároveň znižovať náklady na vlastníctvo. To je neklamný znak toho, že nastal čas zamyslieť sa nad modernizáciou historicky zavedenej IT architektúry a prejsť na využitie „dospeláckeho“ dátového centra.

V niektorých prípadoch spoločnosti spočiatku budujú svoju obchodnú a IT infraštruktúru s využitím výhod dátového centra. Spravidla ide o veľké telekomunikačné, finančné, priemyselné štruktúry, ktoré aktívne rozvíjajú svoju regionálnu sieť.

Existujú firemné a hostingové dátové centrá (DC alebo DPC). V prvom prípade je dátové centrum pôvodne vytvorené na riešenie problémov s automatizáciou obchodných procesov zákazníka a majiteľa dátového centra. V druhom prípade vlastník dátového centra prideľuje organizáciám rackové priestory alebo klastre, ktoré sú naplnené zariadením nájomcov. Majiteľ dátového centra sa zároveň stará o udržiavanie priaznivej klímy pre zariadenia a zásobovanie energiou. Možné sú varianty takzvaných zmiešaných dátových centier, v ktorých je jedna časť dátového centra zameraná na podporu obchodných procesov majiteľa a druhá na riešenie problémov nájomníkov.

Existuje ďalšie kritérium, podľa ktorého sa rozlišuje účel dátového centra - jeho aktuálne zaťaženie. Z tohto pohľadu môže byť dátové centrum hlavné, záložné, alebo vyvezené mimo regiónu či dokonca krajiny. Hlavné dátové centrum, ako vyplýva z jeho stavu, preberá celú záťaž v normálnom režime. Je jadrom informačného a telekomunikačného systému.Záloha slúži na zabezpečenie bežného režimu poskytovania služieb v prípade poruchy, údržby alebo horúcej výmeny zariadení inštalovaných v hlavnom dátovom centre. Tretia možnosť dátového centra je pre tie organizácie, ktoré úplne vylučujú možnosť odmietnuť obsluhovať svojich zákazníkov.

Je zrejmé, že napriek rozdielnemu stavu a režimu prevádzky, Dátové centrum je vždy strategicky dôležitým zariadením, na vybavenie a bezpečnosť ktorých sú kladené osobitné požiadavky. Tieto požiadavky sú stanovené v medzinárodnom štandarde TIA 942, ktorý dnes používajú odborníci pracujúci v Rusku.

Dnes sme sa rozhodli venovať pozornosť téme „životného cyklu“ dátových centier, porozprávať sa o tom, čo to je a ako ich správna správa umožňuje spoločnostiam znižovať nielen bežné, ale aj kapitálové náklady. Vzhľadom na súčasné trendy v zavádzaní všetkých nových riešení (vrátane hyper-konvergovaných systémov) a služieb môžu byť značné ťažkosti v tomto procese spojené so zmenou a prispôsobením fyzickej infraštruktúry dátových centier.

Životný cyklus dátového centra zahŕňa fázový proces vývoja inžinierskej infraštruktúry v súlade s obchodnými cieľmi a IT procesmi a možno ho rozdeliť do niekoľkých etáp:

1. Prípravné: pochopenie cieľov tvorby, formovanie koncepcie riešenia, výber lokality;
2. Dizajn v súlade so zvolenou koncepciou a charakteristikou lokality;
3. Stavebníctvo;
4. Vykorisťovanie;
5. Posudzovanie zhody a analýza výkonu.

Obchodné požiadavky na IT služby sa neustále menia a hodnotenie súladu, ktoré završuje tento cyklus, pomáha pochopiť, ako efektívne dokáže dátové centrum riešiť súčasné problémy a či je schopné vysporiadať sa s novými, či je pripravené na rast. Nasleduje plánovanie spresnenia alebo modernizácie lokality pre nové úlohy a všetky nasledujúce etapy – kruh sa uzatvára.

Dizajn a konštrukcia

Ruský trh nahromadil solídne kompetencie v oblasti navrhovania a výstavby dátových centier, existujú špecialisti s príslušnou kvalifikáciou, ale nie vždy je možné dokončiť projekt v súlade s KPI stanovenými klientom. Už počas realizácie projektu sa obchodné požiadavky môžu meniť a sú ďalej nesprávne formulované a premietnuté do zadávacích podmienok. Výsledkom je, že výstavba lokality sa vykonáva vo vysokej kvalite, ale hlavným problémom v štádiu návrhu je pochopiť, akým úlohám zariadenie čelí a ako presne by malo byť dátové centrum navrhnuté a vybavené, aby spĺňalo všetky obchodné požiadavky, ktoré nie je vždy možné.

Dnes je potrebné jasne formulovať zadávacie podmienky a popísať v nich správne a optimálne riešenia, ktoré spĺňajú úlohy podnikania v budúcnosti, najmenej 5-8 rokov. Školiace centrum predajcu s príslušnou kompetenciou môže pomôcť pri príprave kompetentných špecialistov. Úlohou školiaceho strediska Schneider Electric je teda oboznámiť partnerov a zákazníkov s technicky zložitými produktmi spoločnosti, s vlastnosťami ich aplikácie, inštalácie a prevádzky v reálnych podmienkach.
Dátové centrum spravidla nie je fyzicky viazané na spotrebiteľov svojich služieb, je však dôležité vziať do úvahy, že jeho umiestnenie v nesprávnej budove radikálne zvyšuje náklady na infraštruktúru lokality. Je potrebné pripomenúť, že prostredie dátového centra môže ovplyvniť jeho spoľahlivosť.

Typické chyby urobené v prípravnej fáze:

1. Návrh dátového centra ako kancelárie, pričom ide o priemyselné zariadenie;
2. Chyby v redundancii systémov, komponentov, komunikácií;
3. Chyby pri výpočte veľkosti pridelenej plochy pre inžinierske systémy a pomocné priestory s posúdením hmotnosti zariadenia a jeho rozmerov pri zabezpečení autonómie zariadenia.

Je dôležité pochopiť kľúčové metriky dátového centra, perspektívy jeho rozvoja, keďže inžinierske systémy musia „prežiť“ 2-3 generácie IT zariadení. Prevádzka je zriedkavo začlenená do projektu počas fázy výstavby. Medzitým by mali byť špecialisti na napájanie a chladiace systémy zapojení do fázy projektovania a prítomní v pracovných skupinách.

Vykorisťovanie

Bez ohľadu na to, ako dobre je projekt premyslený a kompetentne implementovaný, v prevádzkovej fáze vzniká veľa problémov. Jedna z nich je organizačného charakteru a týka sa interakcie medzi administratívnym, ekonomickým a IT oddelením. Ak takéto prepojenie neexistuje, riešenie ako celok môže fungovať neefektívne alebo nemusí fungovať vôbec.
V praxi sa niekedy ukazuje, že administratívne a ekonomické jednotky sú extrémne vzdialené od chápania toho, čo je dátové centrum a aké sú naň požiadavky, a niekedy sa jednoducho stanú neprekonateľnou byrokratickou bariérou, preto je vhodné ukázať tejto službe koncept vybudovanie dátového centra vo svojom zariadení, vysvetliť princípy fungovania inžinierskych systémov a približné parametre zariadení.

IT oddelenie môže mať svoje vlastné interné problémy. Keď sú rôzne IT oddelenia zodpovedné za rôzne komponenty (servery, úložiská, sieťové zariadenia, chladiace systémy atď.) a zároveň nemajú jasné predpisy a rozdelenie zodpovednosti, vzniká na mieste chaos.


V tomto prípade je jednoduchšie „presunúť“ sa na nové miesto, ako vykonať hĺbkovú modernizáciu starého a až potom prerobiť existujúce dátové centrum bez narušenia práce IT služieb fungujúcich na novom mieste. Ďalšou možnosťou je prenájom priestorov v komerčnom dátovom centre na dobu „generálnej opravy“. V každom konkrétnom prípade sa vyberie optimálne riešenie.
V moderných dátových centrách je za nepretržitú a efektívnu prevádzku infraštruktúry zvyčajne zodpovedný samostatný tím špecialistov. Na automatizáciu monitorovania, správy, reportingu, riadenia pohybu a kontroly efektívnosti sa používajú nástroje, ktoré sú bežne označované skratkou DCIM (Data Center Infrastructure Management).


Často sa riešia predovšetkým úlohy monitorovania udalostí, stavu zariadení a prostredia – na to slúžia nástroje ako kontroléry NetBotz a monitorovací systém Data Center Expert. Teraz sú však najnaliehavejšie úlohy efektívneho využívania zdrojov – od elektriny až po priestor v strojovniach. Včasná implementácia účinných predpisov a kontrola využívania elektriny umožňuje nielen znížiť veľmi významné prevádzkové náklady a vrátiť investície skôr, ale aj plánovať nové akvizície či výstavbu s prihliadnutím na posúdenie skutočných, a nie „papierových“ zariadení. efektívnosť. Ako platformu pre organizáciu tohto prístupu môžete použiť Data Center Operation - modulárne riešenie so sadou všetkých potrebných funkcií.


Toto riešenie Schneider Electric umožňuje operátorom dátových centier riadiť a efektívnejšie spravovať dátové centrá a vykonávať každodenné úlohy, zatiaľ čo integrácia IT služieb tretích strán umožňuje zdieľanie relevantných informácií medzi systémami od rôznych dodávateľov, čo vedie k lepšiemu porozumeniu. výkonu a dostupnosti dátového centra na zlepšenie spoľahlivosti dátového centra a prevádzkovej efektívnosti.

Odhad a optimalizácia

Optimalizácia - zlepšenie parametrov podsystémov dátového centra - vyžaduje predbežné hodnotenie - audit, analýzu ich výkonnosti, vytvorenie matematického modelu lokality a odstránenie problémových bodov na základe údajov z monitoringu.
Kvalitný monitorovací systém vytvorený špeciálne na riešenie problémov prevádzky dátového centra, systém na simuláciu prevádzky zariadení, ktorý umožňuje získať prehľadný model fungovania dátového centra, sú dôležitými nástrojmi, pomocou ktorých môžu prevádzkoví špecialisti monitorovať stav dátového centra v reálnom čase.

Rôzne vylepšenia, ako je výstavba izolačných systémov vzduchových koridorov, reorganizácia zdvojených podlahových dosiek, eliminácia miest v stojanoch s nesprávnou cirkuláciou vzduchu, po ktorej nasleduje rekonfigurácia klimatizačných systémov, môžu znížiť spotrebu energie dátového centra v reálnych projektoch o 10 -20 %. Takáto optimalizácia sa vyplatí (ak berieme do úvahy len spotrebu energie) za 3-3,5 roka.

Ďalším optimalizačným efektom je zlepšenie chladiacich systémov, keď sa predtým inštalované zariadenia využívajú efektívnejšie, napríklad je možné inštalovať viac serverov do racku. „Faktor využitia dátového centra“ možno zvýšiť zo 70 – 75 % na 90 – 95 %. Takáto optimalizácia sa vyplatí približne za šesť mesiacov.

Analýza údajov vám môže pomôcť nájsť konkrétne riešenie na zníženie nákladov na prevádzku zariadení na mieste zákazníka, výber energeticky najefektívnejšieho režimu alebo optimalizáciu využívania zdrojov. Alebo pochopiť, že nastal čas na modernizáciu.

Modernizácia dátového centra nemusí vždy znamenať inštaláciu nového zariadenia a v prvom rade je to zvýšenie efektivity systémov a efektivity ich využívania.

Posúdenie situácie pomáha pochopiť, čo je potrebné urobiť, aby dátové centrum opäť fungovalo efektívne. Jeden zo zákazníkov tento problém vyriešil vytvorením uzavretých studených uličiek a zablokovaním prúdenia vzduchu, čím sa znížila účinnosť odvodu tepla. Práce sa navyše vykonali bez zastavenia systémov dátového centra.

Mnoho projektov funguje na priesečníku fáz prevádzky a hodnotenia. Dnes má veľa zákazníkov nové IT úlohy, prebieha informatizácia, podniková digitalizácia a treba riešiť rôzne prevádzkové problémy. Pomoc odborníkov vo fáze hodnotenia a audit dátového centra im pomáha vyrovnať sa s nimi. Regionálne centrum vývoja aplikácií (Regional Application Center), ktoré vytvorila spoločnosť Schneider Electric v Rusku, sa zaoberá komplexnými riešeniami pre dátové centrá. Jeho hlavnou úlohou je vytvárať a podporovať udržateľné a efektívne fungovanie dátového centra vo všetkých fázach jeho životného cyklu.

Špecialisti Schneider Electric sa podieľajú na návrhu, výstavbe, komplexnom testovaní a uvádzaní zariadení do prevádzky, následnej podpore a modernizácii dátového centra. V každej fáze je zákazníkovi poskytnutá odolnosť voči chybám a efektívnosť dátového centra. S rastom rozsahu a rýchlosti digitálnych technológií pomôžu naše riešenia spoločnostiam, poskytovateľom cloudu, telekomunikačným službám a komerčným platformám s dôverou hľadieť do budúcnosti.

DPCs.RF

Nikto netvrdí, že dátové centrum by malo byť vybavené bezpečnostnými nástrojmi. Často sú však myslené systémy informačnej bezpečnosti, pričom fyzická bezpečnosť je často to posledné, na čo treba myslieť kvôli úspore rozpočtu. Napriek tomu sú prostriedky fyzickej ochrany pre moderné dátové centrum nemenej dôležité ako ochrana informácií. Aké riešenia však budú v ruskej realite najdôležitejšie? Čoho sa treba v prvom rade báť a ako najefektívnejšie predchádzať prípadným incidentom? Na otázky časopisu TsODy. Ruskej federácii pod hlavičkou „Okrúhly stôl“ odpovedá Alexej Krasov, vedúci projektového oddelenia riaditeľstva integrovanej bezpečnosti skupiny Asteros.

Alexey Krasov, vedúci projektového oddelenia Riaditeľstva integrovanej bezpečnosti skupiny Asteros

Aké fyzické bezpečnostné hrozby považujete za najreálnejšie pre ruské dátové centrá? Pred čím sa treba v prvom rade chrániť?

Alexej Krasov: Ťažko si predstaviť, že v dnešnej realite sa skupina útočníkov pokúsi „čelom“ zaútočiť na dátové centrum. Najpravdepodobnejšou hrozbou je insider, ktorý môže nezávisle vykonávať neoprávnené akcie so zariadením (zmocniť sa informácií, skopírovať ich alebo poškodiť, zaviesť malvér atď.) alebo poskytnúť prístup tretím stranám priamo do priestorov dátového centra. Ako viete, takéto možnosti majú zamestnanci vlastnej bezpečnostnej služby alebo IT služby - tí, ktorí majú takmer neobmedzené užívateľské práva. V tomto smere je dnes hlavnou úlohou fyzickej ochrany dátového centra identifikovať interných narušiteľov a vytvárať im prekážky.

Aké prvky fyzickej bezpečnosti sú v modernom dátovom centre skutočne potrebné a čo sú vyhodené peniaze?

A.K.: Na zabezpečenie bezpečnosti dátového centra je potrebný štandardný súbor technických prostriedkov, ktorý sa používa aj na iných zariadeniach. Po prvé, hovoríme o kamerových monitorovacích systémoch, pričom oblasti pohľadu kamier by sa mali, ak je to možné, „pretínať“: ak narušiteľ zakáže jednu kameru, ostatné pokračujú v zaznamenávaní akcií narušiteľa. Po druhé, toto je ACS - organizácia vnorenej štruktúry Bezpečnostnej rady až po poskytovanie kontroly prístupu ku každému stojanu. Využitie ozbrojených bezpečnostných služieb je vecou analýzy rizík, nákladov dôsledkov narušenia fyzickej bezpečnosti, posúdenia nákladov na implementáciu a údržbu, teda aplikácie rizikového prístupu.

Je potrebné v dátovom centre vyčleniť samostatné bezpečnostné zóny (perimetre)?

A.K.: K tejto problematike by sa malo pristupovať z hľadiska komplexného hodnotenia rizík. Ak sa dátové centrum nachádza v dobre stráženom priestore neprístupnom neoprávneným osobám, potom môže byť vnorených menej bezpečnostných liniek. Iná vec je, ak sa objekt nachádza vo verejnej budove, do ktorej majú nepovolané osoby prístup. V tomto prípade by, prirodzene, malo byť viac bezpečnostných liniek. Ak však hovoríme o zasvätených, počet bezpečnostných perimetrov sa stáva nepodstatným. Bez ohľadu na to, koľko ich bude, útočník bude pripravený ich prekonať. V tomto prípade by sa mali zabezpečiť dodatočné organizačné opatrenia, ako aj systémy na monitorovanie činnosti prevádzkovateľov a správcov systému, bezpečnostného personálu atď.

Líši sa prístup k organizácii fyzickej bezpečnosti dátového centra pre ruské a západné zariadenia?

A.K.: Dnes sa rozdiely v prístupe k zaisteniu fyzickej bezpečnosti prakticky stierajú: ruské štandardy sa postupne približujú európskym a americkým. Ak hovoríme o technickej stránke problému, potom sa v západných krajinách rozšírili neletálne prostriedky. Používajú sa nielen v dátových centrách, ale aj v obchodných spoločnostiach (klenotníctva, malé banky a pod.). Kapsuly so skvapalneným plynom, stroboskopy a reproduktory sú spravidla inštalované v chránenej miestnosti. Pri spustení alarmu sa objekt v priebehu niekoľkých sekúnd naplní nepriehľadným dymom, siréna sa zapne s úrovňou hlasitosti 120 dB (bod prahu bolesti). V tejto situácii je človek úplne dezorientovaný. V našej krajine sa takéto prostriedky spravidla používajú najmä v kritických zariadeniach vrátane vojenských.

Aké regulačné dokumenty (ruské a zahraničné) by sa mali riadiť pri budovaní systému fyzickej bezpečnosti pre dátové centrum?

A.K.: V súčasnosti ani v ruskej, ani v celosvetovej praxi neexistujú štandardy pre výstavbu SB v dátových centrách. Preto sa tu treba spoliehať na štandardné regulačné dokumenty, ktoré upravujú tvorbu systémov fyzickej ochrany vo všeobecnosti, a na skúsenosti integrátora, ktorý ich implementuje.

Aké sú najnovšie trendy vo fyzickom zabezpečení dátových centier?

A.K.: Trh s dátovými centrami je v štádiu neustáleho rastu, avšak z hľadiska technických bezpečnostných riešení nedošlo k žiadnym radikálnym zmenám. Vo všeobecnosti existuje tendencia zákazníkov venovať väčšiu pozornosť informačnej bezpečnosti. Koniec koncov, získanie vzdialeného prístupu k údajom a zariadeniam v dátovom centre je oveľa jednoduchšie a lacnejšie ako napríklad zorganizovanie ozbrojenej skupiny na fyzické zabavenie objektu.


Ďakujeme za váš záujem o skupinu Asteros! Aby sme vám mohli poskytnúť informácie na tému „Fyzická ochrana dátového centra je komplexný koncept“, vyplňte prosím polia „E-mail“ alebo „Telefón“.

Dmitrij Kostrov
Riaditeľstvo informačnej bezpečnosti MTS OJSC

Dátové centrum: zloženie, typy

Centrum spracovania údajov (DPC) je integrovaný centralizovaný systém odolný voči chybám, ktorý poskytuje automatizáciu obchodných procesov s vysokou úrovňou výkonu a kvality poskytovaných služieb.

Dátové centrum zvyčajne zahŕňa:

  • vysoko spoľahlivý serverový hardvér;
  • systémy na ukladanie a prenos údajov, vrátane zálohovacích systémov;
  • napájanie, klimatizácia a fyzické ubytovacie systémy;
  • monitorovacie a kontrolné systémy;
  • bezpečnostné systémy;
  • Záložné centrá na spracovanie informácií;
  • riešenia virtualizácie zdrojov;
  • konsolidačné riešenia.

Predurčujú sa výhody vytvorenia vlastného dátového centra (alebo jeho prenájmu) - ide o poskytovanie služieb infraštruktúry odolnej voči poruchám v režime 24x7, zvýšenie efektivity a spoľahlivosti prevádzky výpočtových zdrojov, zjednodušenie centralizovanej správy, zníženie nákladov na poskytovanie utilít, vysoká úroveň ochrany informačného systému, centralizovaná správa a účtovanie zdrojov, riadenie prístupu do dátového centra (ako aj pripojenia pomocou špeciálnych konektorov), jednoduché a pohodlné škálovanie výpočtových zdrojov.

Vo všeobecnosti existujú tri hlavné typy dátových centier:

  1. Hlavné dátové centrum je špeciálne pripravená miestnosť (budova) vybavená komplexom inžinierskych systémov (vyvíja sa individuálne, na základe konfigurácie poskytovaných priestorov a potrieb zákazníka).
  2. Integrované dátové centrum (od výrobcu).
  3. Mobilný (kontajner).

Kontinuita akéhokoľvek dátového centra sa zvyčajne meria ako percento prevádzkového času za rok. Pri najbežnejšom stupni „troch deviatok“ (99,9 %) by prevádzka nemala byť prerušená celkovo na viac ako osem hodín ročne. „Štyri deviatky“ (99,99 %) umožňujú prestávku nie dlhšiu ako hodinu, „päť deviatok“ (99,999 %) – to je takmer 100 % nadväznosť, zastávka nepresahuje minútu. Za objektívne posúdenie schopností dátového centra možno považovať len nezávislý audit. V tomto prípade môžete na hodnotenie použiť určité štandardy. Môžu to byť: ISO 17799, FISMA, Basel II, COBIT, HIPAA, NIST SP800-53.

Bezpečnosť informácií dátového centra: Analýza zrelosti

Ak pristupujeme k bezpečnosti informácií uložených (spracovávaných) v dátovom centre, musíme vychádzať z požiadaviek dôvernosti, dostupnosti a integrity. Je potrebné poznamenať, že cieľom zaistenia bezpečnosti a ochrany funkčných aplikácií, služieb a dát (informácií) je znížiť na akceptovateľné minimum (analýza rizík, rizikový apetít) škody pri možných vonkajších a vnútorných vplyvoch.

Problémy informačnej bezpečnosti dátových centier možno popísať až po analýze súčasnej úrovne, vypracovaní projektovej a strategickej úrovne zrelosti procesu riadenia kontinuity podnikania (BCM) vo vzťahu ku kritickým technologickým procesom modernej telekomunikačnej spoločnosti. Táto analýza úrovne zrelosti by mala byť vykonaná pre kľúčové oblasti procesu BCM v súlade s metodikou Business Continuity Institute a vykonaná v nasledujúcich oblastiach:

  1. Analýza obchodného vplyvu (BIA).
  2. Hodnotenie rizika (RA).
  3. Firemná stratégia BCM.
  4. Úroveň zrelosti procesu BCM.
  5. Stratégia BCM z hľadiska obnovy zdrojov.
  6. Plán kontinuity podnikania.
  7. Riešenia a plány obnovy zdrojov.
  8. Plán krízového manažmentu.
  9. Školenie BCM, kultúra, rozvoj povedomia.
  10. Testovanie procesu BCM.
  11. Podpora a údržba procesu BCM.
  12. Audit procesu BCM.
  13. riadenie procesov BCM.
  14. politika BCM.
  15. Overenie a validácia procesu BCM.

Hlavným cieľom riadenia funkčnej stability technologických procesov je zabezpečenie výkonu podnikových funkcií podniku pod vplyvom destabilizujúcich faktorov. Na vykonanie analýzy úrovne vyspelosti spoločnosti z hľadiska BCM bol vyvinutý hodnotiaci systém na základe materiálov Business Continuity Institute (BCI), Medzinárodnej organizácie pre štandardizáciu (ISO) a metodiky CobIT Auditu informačných systémov a Control Association (ISACA).

Po vykonaní prác v rámci projektu VSM sa vyvodia závery, či je vôbec dátové centrum potrebné; postaviť si vlastný alebo prenajať; či urobiť duplikát. V tejto fáze vyvstáva otázka zabezpečenia informačnej a technologickej bezpečnosti s prihliadnutím na analýzu rizík celej spoločnosti.

Problematiku zabezpečenia informačnej bezpečnosti dátového centra možno formálne rozdeliť na bezpečnosť sieťovej časti, serverovej časti a časti dátového úložiska.

Etapy zabezpečenia dátového centra, predmety ochrany

Hlavné fázy zabezpečenia dátového centra:

  • vytvorenie modelu hrozby;
  • výber objektov, na ktoré môžu smerovať hrozby;
  • vytvorenie modelu konania páchateľa;
  • hodnotenie a analýza rizík;
  • vývoj a implementácia metód a prostriedkov ochrany v systémoch dátových centier.

Analýzou vyššie uvedeného je zrejmé, že bez vybudovania ISMS (systému riadenia informačnej bezpečnosti) celého podniku aj prvku (DPC) nie je možné poskytnúť primeranú ochranu.

Uvádzame hlavné predmety ochrany v dátovom centre:

  • informácie obiehajúce v systéme;
  • vybavenie (prvky);
  • softvér.

Model PDCA

Profesionáli informačnej bezpečnosti už dobre poznajú model Plan-Do-Check-Act (PDCA), ktorý sa používa na štruktúrovanie všetkých procesov ISMS.

V súčasnosti mnohé organizácie, ktoré zastávajú vedúce pozície v oblasti informačnej bezpečnosti, vyvíjajú (podľa federálneho zákona „o technickom predpise“) podnikový štandard „Zaistenie informačnej bezpečnosti organizácií“, ktorý by mal plne odrážať požiadavky na informačnú bezpečnosť dátové centrum, ktoré by malo zabezpečiť nepretržitý výkon obchodno - funkcií spoločnosti.

Odchýlka od implementácie tohto modelu je plná chýb pri implementácii ochrany, čo povedie k stratám podniku (únik informácií atď.).

Z čoho by mala pozostávať sieťová časť?

Dátové centrum môže (zvyčajne) pracovať s internetom aj so sieťou založenou na VPN-MPLS, takže sieťová časť musí mať firewall (najlepšie v režime failover), teda zariadenie, ktoré zabezpečuje šifrovanie prevádzky (najmä pri pripájaní na internet). ), detekčné systémy IDS/IPS prienikov, priechodný antivírus. Okrem toho sieťová časť obsahuje root routery, load balancer a takzvaný agregačný prepínač (funguje na úrovni 2 alebo 3, dokáže agregovať dáta z viacerých fyzických portov).

Serverová časť

Serverová časť pozostáva z prepínačov. Tu je dobré využiť technológiu VLAN na odlíšenie prístupových a informačných tokov. Zvyčajne je táto časť zodpovedná za komunikáciu s riadiacim centrom siete. Centrum sieťových operácií môže hostiť Centrum riadenia bezpečnosti (SOC). Tu je nainštalovaný prístupový a identifikačný systém (IDM).

Uloženie údajov

V časti dátového úložiska sú diskové polia, zálohovacie servery, páskové knižnice. V tejto časti dátového centra sú veľmi dôležité problémy s integritou. Teraz existujú riešenia, podľa ktorých je táto časť zodpovedná za komunikáciu so sekundárnym dátovým centrom (často pomocou siete založenej na technológii DWDM).
Zaujímavým príkladom takejto implementácie je súbor dátových centier vybudovaných spoločnosťou Telecom Italia. Jednou z úloh vybudovania bezpečného dátového centra bola implementácia požiadaviek zákona „O osobných údajoch“. Taliansko uplatnilo prísnejšie ochranné opatrenia ako v európskom dohovore pre vážny únik údajov o vysokých predstaviteľoch. Všetky osobné údaje sa nielen nachádzajú v jednom dátovom centre, ale ich uchovávanie a spracovanie je plne kontrolované. Približne 25 ľudí neustále monitoruje bezpečnostné systémy z jedného SOC.

Nárast počtu hrozieb a objemu prevádzky núti majiteľov dátových centier používať rôzne riešenia na ich ochranu, čo následne vedie k explozívnemu rastu príslušného trhu. Podľa Markets and Markets by teda celkový predaj bezpečnostných produktov pre dátové centrá mal v roku 2016 predstavovať 6,3 miliardy USD a do roku 2021 sa očakáva dvojnásobný nárast – až na 12,9 miliardy USD, teda nárast o viac ako 15 % ročne. . Podobné čísla uvádzajú aj iné analytické agentúry – napríklad Transparency Market Research predpovedá ročný nárast o 12,6 %.

V širšom zmysle možno bezpečnosť dátového centra rozdeliť na fyzickú a logickú ochranu. Napriek dôležitosti prvého sa hlavné úsilie sústreďuje na druhý. Podľa prieskumu Transparency Market Research sa teda v roku 2013 85 % všetkých prostriedkov určených na elimináciu rizika hrozieb pre dátové centrá minulo na logické komponenty. Zároveň je potrebné v dôsledku rozsiahleho prechodu na cloud computing a potreby urýchliť vývoj aplikácií zrevidovať zásady ochrany.

Aktuálne témy ochrany dátových centier boli prediskutované v sekcii Bezpečnosť počas WORLD OF DPC - 2016. Služby. Oblaky“.

AUTOMATIZOVANÁ OCHRANA DDoS

Útoky DDoS dostávajú snáď najväčšiu pozornosť vzhľadom na ich rozsiahle dôsledky. Nedávny útok na servery Dyn, ktorý riadi významnú časť infraštruktúry DNS, teda viedol k nedostupnosti mnohých známych stránok v USA a Európe. Išlo o najväčší útok pomocou infikovaných zariadení, ktoré sa dnes bežne označujú ako internet vecí (v tomto prípade digitálne fotoaparáty a DVD prehrávače). Sila útoku pomocou siete 100 000 robotov Mirai bola odhadnutá na 1,2 Tbps, čo je dvakrát viac ako kedykoľvek predtým (pozri obrázok 1).

Ako sa uvádza v nedávnej správe spoločnosti Nexusguard (služby ochrany DDoS), počet útokov v 2. štvrťroku 2016 v porovnaní s rovnakým obdobím roku 2015 klesol takmer o 40 %, ale ich intenzita sa výrazne zvýšila. Na ochranu pred masívnymi útokmi nestačia len bezpečnostné opatrenia na úrovni dátového centra. Podľa Antona Shevchuka, produktového manažéra Arbor Networks v Netwell, stále existujú zákazníci, ktorí sú presvedčení, že sa dokážu chrániť pred DDoS útokmi pomocou brán firewall a systémov prevencie narušenia. Štatistiky ukazujú, že viac ako polovica organizácií, ktoré mali tieto zariadenia nainštalované, zaznamenala výpadky siete v dôsledku DDoS útokov. Okrem použitia špecializovaných prostriedkov je potrebné zorganizovať vrstvenú obranu.

Počas DDoS útoku sú zdroje dátového centra „bombardované“ posielaním mnohých špecifických požiadaviek a nakoniec prestanú zvládať záťaž. Celkovo možno rozlíšiť tri veľké triedy útokov: masívne útoky na pretečenie internetového kanála; útoky na stavové zariadenia, ako sú vyrovnávače zaťaženia, brány firewall, aplikačné servery; Útoky na aplikačnej vrstve, výkonovo menšie, ale nemenej účinné, sa zvyčajne zameriavajú na špecifické zraniteľnosti. DDoS útoky sa dajú ľahko organizovať a náklady na zodpovedajúce ponuky začínajú od 5 USD za hodinu.

Koncept ochrany do hĺbky pre DDoS ochranu navrhovaný spoločnosťou Arbor Networks zahŕňa inštaláciu dvoch špecializovaných komponentov – v dátovom centre a u operátora. Prvý z nich vám umožňuje blokovať všetky typy útokov, ale keď sa rozsah útoku na kanál stane porovnateľným s dostupnou šírkou pásma, požiada o pomoc komponent nainštalovaný operátorom. Preto, ako poznamenáva Anton Shevchuk, je veľmi dôležité, aby tieto komponenty „vedeli ako“ na seba navzájom pôsobiť.

Keď útok na kanál dosiahne vopred stanovenú silu, komponent v dátovom centre informuje operátora, aby vyčistil prevádzku, ktorá smeruje na špecifickú predponu. Okrem toho by v ideálnom prípade malo takéto dvojdielne riešenie synchronizovať blacklisty a whitelisty, ako aj ochranné profily. So zameraním na čierne listiny môže operátor vykonávať predbežné filtrovanie prevádzky, čím sa znižuje zaťaženie systému ochrany dátového centra. Klient (prevádzkovateľ dátového centra) tak nemusí kontaktovať poskytovateľa so žiadosťou o urgentné opatrenia na zablokovanie útoku - ochrana je zapnutá automaticky a prestoje sú minimalizované.

Arbor Networks má rôzne zariadenia v rozsahu od 100 Mbps do 160 Gbps na zariadenie. Tieto riešenia je možné nasadiť aj ako virtuálne stroje. V Rusku poskytujú služby ochrany DDoS založené na zariadeniach Arbor Networks operátori Rostelecom, Orange, RETN, Akado a ďalší, čo znamená, že tento model je už možné implementovať do dátových centier, ktoré sú k nim pripojené. Podľa Antona Shevchuka iba tento prístup umožňuje podnikom zabezpečiť ochranu a dostupnosť svojich zdrojov.

PREČO POTREBUJEME AGENTU?

Podľa zahraničných expertov je celková výška strát z hacknutia bezpečnostného systému v priemere asi 4 milióny dolárov. V Rusku sú čísla porovnateľné. Takže podľa správy Ruskej medzinárodnej banky bol na ňu 21. januára 2016 vykonaný hackerský útok, v dôsledku ktorého bolo z korešpondenčného účtu banky v centrálnej banke odcudzených 508 miliónov rubľov. Mnoho útokov začína tým, že útočník získa prístup, a to aj prostredníctvom sociálneho inžinierstva, na pracovisko, jeden VM a útoky sa už z neho iniciujú.

V novej, virtuálnej realite, už nefungujú riešenia, ktoré sa desaťročia používali na ochranu fyzického prostredia. Podľa Jurija Bražnikova, generálneho riaditeľa spoločnosti 5nine Software pre Rusko a SNŠ, takéto incidenty, prinajmenšom významná časť z nich, súvisí práve s tým, že mnohé spoločnosti naďalej využívajú staré nástroje na správu a ochranu virtualizačných prostredí, ktoré sú založené na agentskom prístupe. Zároveň je na každej chránenej jednotke (VM) nainštalovaný agent, čo nie je vždy opodstatnené, najmä preto, že ho možno deaktivovať. Priama ochrana koncových bodov navyše spotrebúva veľké množstvo obmedzených zdrojov, čo výrazne znižuje výkon a efektivitu dátového centra.

Starý model bol zameraný na zabezpečenie koncových bodov, no teraz sa mnohé úlohy presúvajú na servery a cloudy. Medzitým podľa Jurija Bražnikova známi výrobcovia pokračujú v reprodukovaní architektúry informačnej bezpečnosti pôvodne vyvinutej pre fyzické prostredie vo virtuálnom prostredí. To vedie k tomu, že nové zraniteľnosti na úrovni hypervízora a OS sú nechránené. Napríklad útoky na úrovni virtuálnej siete alebo z jedného VM na druhý nie sú určené hardvérom, ktorý riadi fyzické prostredie.

Vo virtuálnom prostredí treba využívať nové spôsoby ochrany. V súlade s odporúčaniami Centrálnej banky Ruskej federácie o zaistení informačnej bezpečnosti pri používaní virtualizačnej technológie je teda preferovaným riešením použitie prostriedkov ochrany pred účinkami škodlivého kódu na úrovni hypervízora bez inštalácie agentského softvéru na virtuálne stroje. . Tento prístup je však možný len vtedy, ak má vývojár prístup k úrovni virtuálneho prepínača, v rámci ktorej prechádzajú všetky pakety, ktoré sú následne doručené do VM. Ako partner riešenia zabezpečenia a správy virtuálneho prostredia Microsoft Hyper-V má 5nine Software prístup k virtuálnemu prepínaču Hyper-V, ktorý implementuje zabezpečenie (pozri obrázok 2).

Tento prístup šetrí až 30 % zdrojov servera a antivírusová kontrola je 70-krát rýchlejšia. Medzi ďalšie výhody prístupu bez agentov Jurij Brazhnikov nazýva odstránenie závislosti na činnosti personálu a zákazníkov, pretože systém ochrany nemožno deaktivovať na úrovni VM. Okrem toho sa v dôsledku toho znižuje celkové úsilie o zabezpečenie, pretože sa už nemusí starať o každý VM. Politiku je možné nakonfigurovať na hostiteľovi alebo v riadiacom centre a potom veľmi rýchlo škálovať v rámci dátového centra, pretože virtuálne prostredie je mimoriadne dynamické – virtuálne počítače sa neustále vytvárajú, presúvajú a ničia.

Integráciou 5nine Cloud Security Plugin do System Center môžu poskytovatelia poskytnúť svojim zákazníkom nielen nástroje na správu infraštruktúry, ale aj nástroje na kontrolu bezpečnosti. „Každý klient bude môcť nezávisle zaistiť a kontrolovať bezpečnosť svojich riešení,“ hovorí Yury Brazhnikov. „Ak využívate zdroje viacerých dátových centier (napríklad svoje vlastné a vo vlastníctve poskytovateľa hostingu), bezpečnostné zásady sa synchronizujú, takže pri migrácii v prípade nehody alebo pri prerozdeľovaní záťaže z jedného centra do druhého budú všetky firemné bezpečnostné nastavenia zostanú zachované.“

Ak v počiatočnom štádiu boli do cloudu presunuté objemné, ale nie najcennejšie zdroje, teraz, keď je na programe otázka prenosu kritických zdrojov, je kameňom úrazu otázka zabezpečenia informačnej bezpečnosti. Keď zákazník outsourcuje svoje kľúčové obchodné služby do cloudu, chce si byť istý, že dodržiava politiku zabezpečenia, ktorá vyhovuje jeho potrebám.

BEZPEČNOSŤ JE SIEŤ

Rezonančné narušenia bezpečnosti jasne ukázali, že tradičná obrana perimetra, ktorá sa sústreďuje na prevádzku zo severu na juh (firewally, detekčné a preventívne systémy, ktoré chránia pred útokmi zvonku), nie je schopná ochrániť dátové centrum pred problémami, kde prevádzka medzi servermi prevažuje „východ – západ“, neprekračujúc ho. Podľa niektorých odhadov, posledné uvedené predstavujú tri štvrtiny celkovej prevádzky dátových centier.

Efektívnym riešením problému diferenciácie prevádzky v rámci dátového centra je mikrosegmentácia: rozdelenie do početných chránených zón. Vďaka moderným virtualizovaným riešeniam môže byť takmer každý virtuálny stroj vybavený vlastným firewallom, ktorý umožňuje vytvárať vo vnútri dátového centra sieť s nulovou dôverou. Ako však bolo uvedené v predchádzajúcej časti, oveľa efektívnejším riešením je implementácia zabezpečenia na úrovni hypervízora – hovoríme o virtuálnom prepínači zabudovanom do tohto hypervízora.

Vznik takéhoto zariadenia bol reakciou na potrebu zabezpečiť rýchle nasadenie a živú migráciu virtuálnych strojov a aplikácií. Napríklad pri nasadzovaní novej aplikácie bolo po spustení VM potrebné manuálne nastaviť VLAN, nakonfigurovať smerovanie vo fyzickej sieti a nakonfigurovať politiky ITU. Všetky tieto operácie si vyžiadali čas a okrem toho sa ukázali ako jedinečné pre každú hardvérovú platformu, na ktorej bolo dátové centrum postavené. Inými slovami, aplikácie a VM boli viazané na konkrétnu fyzickú sieť. Túto väzbu bolo potrebné eliminovať, teda sieť virtualizovať. Teraz, ako poznamenáva Alexander Krenev, vedúci sieťovej virtualizácie v moskovskej pobočke VMware, každá virtualizačná platforma má svoj vlastný prepínač, ktorý je pre ňu „natívny“. Napríklad pre hypervízor ESXi je takýto virtuálny distribuovaný prepínač Distributed Virtual Switch, pre KVM v meradle dátového centra to možno považovať za otvorený virtuálny prepínač atď.

Okrem virtuálneho prepínača na softvérovej úrovni sú implementované základné sieťové funkcie: prepínanie, smerovanie, firewall a vyvažovanie záťaže. Každý fyzický server s hypervízorom sa stáva nielen výpočtovou platformou, na ktorej sa alokujú zdroje virtuálnym strojom, ale aj multigigabitovým prepínačom a smerovačom (starý slogan „sieť je počítač“ dostáva nový význam). Aby tieto funkcie fungovali, potrebujete základné pripojenie IP medzi servermi. Vo fyzickej sieti už nemusíte tráviť čas konfiguráciou VLAN – transportnú sieť stačí nakonfigurovať len raz. Zapuzdrenie VxLAN sa používa na prenos dát cez fyzickú sieť.

Použitie virtuálnych prepínačov umožňuje automatizovať bežné operácie nastavenia siete, urýchliť obnovu po havárii a samozrejme zvýšiť efektivitu ochrany. „Keď sa funkcie zabezpečenia a filtrovania prevádzky vykonávajú na úrovni virtuálnej platformy, na úrovni hypervízora, aplikácie môžu byť chránené bez ohľadu na základnú fyzickú architektúru,“ vysvetľuje Alexander Krenev. - Mnohí určite počuli o mikrosegmentácii alebo modeli nulovej dôvery. Postaviť takýto model na platforme sieťovej virtualizácie je veľmi jednoduché a nevyžaduje nasadenie mnohých firewallov.“

Ak vezmeme bokom trochu širší pohľad na otázky bezpečnosti, virtualizácia siete otvára cestu pre implementáciu plne softvérovo definovaných dátových centier (pozri obrázok 3).

NA OCHRANU APLIKÁCIÍ

Gartner vo svojej prognóze na rok 2017 uvádza adaptívnu bezpečnostnú architektúru ako jeden z top 10 technologických trendov. Je pravda, že v porovnaní s prognózou na súčasný rok 2016 nie je teraz na siedmom mieste, ale na desiatom mieste, čo sa vysvetľuje skôr účinkom straty novosti ako znížením relevantnosti. Ako je uvedené v komentári, "viacvrstvová ochrana a analýza správania používateľov a objektov sa stanú povinnými požiadavkami pre každý podnik."

Adaptívna ochrana zahŕňa zabudovanie bezpečnostných opatrení do všetkých obchodných procesov – ich implementácia po skutočnosti znamená vytváranie problémov pre vás samotných. Profesionáli v oblasti bezpečnosti by preto mali úzko spolupracovať s architektmi riešení a vývojármi aplikácií na začlenení bezpečnostných kontrol už vo fáze návrhu riešenia a vývoja aplikácií. Tie sa čoraz častejšie stávajú terčom cielených útokov.

Ako vo svojom prejave poznamenal Rustem Khairetdinov, zástupca generálneho riaditeľa InfoWatch a projektový manažér Appercut, každý sa naučil dobre chrániť svoju sieť, takže útoky sa postupne prenášajú aj na aplikačnú vrstvu. Bohužiaľ, nie sú detekované pomocou tradičných nástrojov, ktoré nedokážu určiť, kde je naprogramovaná funkcia a kde sa zobrazuje chyba - to znamená, že neexistujú žiadne anomálie, podľa ktorých by sa dalo rozhodnúť, že útok prebieha.

Pri nasadzovaní cloudových služieb sa viac dbalo na príležitosti, nie však na riziká. „Teraz je čas zaznamenať úspechy,“ volá Rustem Khairetdinov, „a premýšľať o hrozbách, ktoré začínajú prevalcovať služby budované bez toho, aby sme brali do úvahy takéto nebezpečenstvo.“ Zabudovaná ochrana, zameraná na monolitické aplikácie, samozrejme umožňuje niektoré z nich levelovať, pretože staré útoky nezmizli. Nie je však napadnutá len služba ako celok (čo sa prejavuje pokusmi zablokovať kanál alebo realizovať niektoré iné známe útoky), ale aj jednotlivé aplikácie v nej.

Túto situáciu zhoršuje skutočnosť, že poskytovatelia nemajú žiadnu kontrolu nad poskytovanými aplikáciami, ktoré sú navyše často aktualizované. Cloud – či už IaaS, PaaS alebo SaaS – je v skutočnosti súborom aplikácií vytvorených inými ľuďmi. „Bez toho, aby sme vedeli, ako konkrétne aplikácie fungujú, je čoraz ťažšie brániť sa novým útokom, ktoré využívajú špecifiká toho, ako boli napísané a navrhnuté,“ varuje.

Útočníci používajú chyby a zraniteľné miesta v aplikáciách, ktoré sú napísané rýchlo v súlade s agilnou metodikou vývoja. Rýchlosť uvedenia nových funkcií na trh je dôležitejšia ako zaistenie ich bezpečnosti a staré spôsoby ochrany jednoducho nedokážu držať krok s rýchlosťou vývoja. Prienikový test (pentest) teda trvá niekoľko týždňov a po jeho dokončení si môžete byť istí iba tým, že predchádzajúca verzia stránky bola bezpečná.

Vývoj sa zrýchľuje, takmer „ide z koľají“ – zmeny nastávajú každé dva týždne a kontroly ako penetračný test sa vykonávajú každých šesť mesiacov. V tejto situácii existuje len jedna cesta von - integrácia ochranných systémov so samotným objektom. Zatiaľ však bola táto funkcia implementovaná len v najväčších službách na úrovni Amazonu, kde neexistuje samostatná bezpečnostná služba: vo vývojovom tíme sú zodpovední za bezpečnosť a zástupcovia toho istého tímu napríklad v divízia, ktorá zabezpečuje dostupnosť.

Prístup k ochrane aplikácií sa teda dramaticky mení (pozri obrázok 4). „Myslím si, že do 20. rokov budú paradigmy vývoja aplikácií a ochrany úplne aktualizované. Budú sa spájať a rozvíjať sa spolu. Tento trend je jasne viditeľný, uzatvára Rustem Khairetdinov. - Teraz sa nachádzame v medzifáze, ktorá je charakteristická implementáciou adaptívneho zabezpečenia, kedy ochranný nástroj ten či onen chránený objekt nielen študuje, ale sa mu aj prispôsobuje a objekt aj prispôsobuje jeho požiadavkám. Stále je však viac otázok ako odpovedí.“

AKO OCHRÁNIŤ VAŠE DÁTOVÉ CENTRUM

Útoky sa stávajú viacvrstvovými, viacstupňovými a viacúrovňovými, sú vykonávané z rôznych strán, s prieskumom, s rozptýlením, s krytím. Už neexistuje čistý DDoS alebo čisté hackovanie. Preto tí, ktorí navrhujú obranu, musia rozumieť typom útokov. Len v rámci dátového centra seriózneho poskytovateľa hostingu je možné zhromaždiť kompetencie a vybavenie na takej úrovni, aby odolalo DDoS útokom a iným typom najťažších a najničivejších akcií pre biznis a reputáciu firmy. O tom, ako je organizovaná ochrana skutočného dátového centra, hovoril Vladimir Malinovsky, vedúci predaja riešení dátových centier Lattelecom, lotyšského národného poskytovateľa telekomunikačných a cloudových služieb.

V hlavnej rizikovej skupine sú poskytovatelia cloudových služieb – práve proti nim smeruje väčšina DDoS útokov. Ani poskytovateľ však nedokáže zaviesť všetky ochranné opatrenia naraz, preto ich realizácia prebiehala po etapách. Dátové centrum Dattum, postavené v roku 2013, spĺňa základné požiadavky na fyzickú bezpečnosť dátového centra Tier III: oddelený perimeter okolo priestorov dátového centra, 24-hodinovú fyzickú bezpečnosť, kombinovanú kontrolu prístupu pomocou RFID a biometrie a vzdialené video sledovanie s archiváciou záznamov. . Ako však poznamenáva Vladimir Malinovskij, fyzická ochrana je len malou časťou bezpečnostných opatrení.

V prvom rade Lattelecom klasifikoval dostupné dáta podľa kritérií ich kritickosti a dostupnosti a všetko zhrnul do tabuľky, ktorá vám umožňuje jasne vidieť, na čo je prioritná ochrana potrebná (pozri obr. 5). „Po zostavení takejto tabuľky už viac-menej chápete, s akými systémami sa musíte v prvom rade zaoberať,“ vysvetľuje Vladimir Malinovsky. Okrem toho boli pre dátové centrum ako celok identifikované hlavné zdroje hrozieb, medzi ktoré patria DDoS útoky, hackeri, nelojálni zamestnanci a zákazníci hostingu.

Nasledujúci rok po uvedení dátového centra do prevádzky boli implementované opatrenia na zabezpečenie súladu s požiadavkami PCI DSS. Certifikácia PCI DSS je potrebná pre klientov, ktorí vykonávajú finančné transakcie. Tento komplexný proces zahŕňa realizáciu celého programu pozostávajúceho z viac ako 250 bodov. AlienVault bol nasadený na ochranu perimetra siete. Platforma AlienVault Security Management (USM) vám umožňuje ovládať päť kľúčových bezpečnostných funkcií z jednej konzoly: inventár aktív, hodnotenie zraniteľnosti, monitorovanie správania, detekciu narušenia a koreláciu bezpečnostných udalostí (SIEM).

Impulzom na zavedenie ďalšieho stupňa ochrany bolo lotyšské predsedníctvo EÚ – bolo potrebné zabezpečiť internet v národnom meradle. Na ochranu pred DDoS útokmi bolo implementované riešenie RADware, ktoré sa však pre spoločnosť ukázalo ako nadbytočné, a tak sa na jeho základe organizovalo poskytovanie služieb pre banky. Skutočný dopyt po nich sa objavil až po napadnutí bánk. „Keď banky začali dostávať „listy šťastia“ od hackerov s ponukou zaplatiť peniaze, na druhý deň k nám takmer všetci prišli a podpísali zmluvy a všetky hrozby sme úspešne eliminovali,“ hovorí Vladimír Malinovskij.

Nakoniec bol tento rok implementovaný systém RAPID 7, ktorý umožňuje testovanie zraniteľností v OS a službách, identifikáciu chýb v konfigurácii a kontrolu dodržiavania bezpečnostných zásad. Umožňuje tiež simulovať hack, posúdiť úroveň pripravenosti systému na prácu a zostaviť správu s odporúčaniami na vykonanie požadovaných vylepšení. Lattelecom ponúka svojim zákazníkom služby zisťovania zraniteľností: „Zdá sa, že môžete skenovať raz a budete s tým spokojní. V skutočnosti po akejkoľvek zmene v OS a inštalácii akejkoľvek opravy sa musí kontrola vykonať znova. Pre zákazníkov je teda výhodnejšie si službu predplatiť,“ zhŕňa zástupca spoločnosti Lattelecom.

MEČ A ŠTÍT

Večná konfrontácia medzi útokom a obranou sa dostáva na novú úroveň. Útoky sú rýchlo robotizované a boti už majú známky umelej inteligencie: konajú autonómne, sami nájdu aplikácie so zraniteľnými miestami, ktoré dokážu otvoriť, a začnú konať podľa určitého programu. Koncepty ako adaptívna obranná architektúra zahŕňajú prechod od pasívnych opatrení k aktívnym protiopatreniam v snahe vymanévrovať kyberzločincov v ich odbore. Ako hovorí Gartner, bezpečnosť sa musí stať „pohyblivou a prispôsobivou“.

Avšak na konci diskusie na fóre „Model hrozby pre dátové centrum. Čoho sa báť a čo v prvom rade chrániť “veľa sa hovorilo, že aplikované ochranné opatrenia sú stále nedostatočné: žiadne technické prostriedky nedokážu eliminovať pravdepodobnosť úspešného útoku na 100 %, ak dôjde k výmene dáta s nejakým externým systémom a informácie sa prenášajú von. Pre minimalizáciu škôd môže byť jedným z riešení prijatie modelu minimálnej dôvery v dátovom centre, diferenciácia a obmedzenie administrátorských práv a mikrosegmentácia siete.

Viac-menej veľké spoločnosti majú tendenciu stavať svoje dátové centrá a zabezpečovať ich ochranu svojpomocne – takú kritickú funkciu, akou je bezpečnosť, delegujú veľmi neochotne. Ako viete, jednou z najväčších hrozieb pre každú IP je ten, kto ju zneužíva. Ako však zdôrazňujú poskytovatelia služieb dátových centier, cloudové zdroje sú viac abstrahované od konkrétnych zamestnancov ako od firemných. Poskytovatelia navyše cielene kumulujú potrebné kompetencie na organizáciu profesionálnej, a teda efektívnej ochrany.

Či už zabezpečíte bezpečnosť sami alebo budete dôverovať poskytovateľom služieb v oblasti bezpečnosti informácií – každý si vyberie v závislosti od svojich priorít a schopností, no v pretekoch v kybernetickom zbrojení je čoraz ťažšie držať krok s kyberzločincami. A prenasledovanie sa ukáže ako úplne beznádejná záležitosť, ak sa pokúsite vystačiť len so zastaranými metódami obvodovej ochrany.

Dmitrij Ganža, šéfredaktor časopisu Journal of Networking Solutions / LAN



Sekcie