Fizično varovanje podatkovnega centra je kompleksen koncept. Podatkovni center: faze velikega življenja

Center za obdelavo Podatki (ali podatkovno središče) po zakonu imenujemo srce korporativnega omrežja sodobnega podjetja – industrijskega, telekomunikacijskega ali delujočega na finančnem področju.

Glavni namen podatkovnega centra je konsolidacija obdelave in shranjevanja podatkov, vzdrževanje določenega načina avtomatizacije poslovnih nalog podjetja ter zagotavljanje varnosti podatkovnih baz podjetja in drugih informacij, ki so praviloma visoke tržne vrednosti. Podatkovni center je za podjetje strateško pomemben objekt, ki zahteva poseben pristop in posebna pravila, zato ta koncept vključuje:

• razširljiv kompleks programske in strojne opreme, skoncentriran v posebej opremljenem prostoru,
• posebej razvit nabor organizacijskih ukrepov in varnostnih politik,
• ustrezno usposobljeno osebje.

Za mnoge organizacije je prisotnost podatkovnega centra znak vstopa na kakovostno novo raven zrelosti in upravljanja - na prvih stopnjah razvoja imajo raje strežniške sobe, ki so praviloma organizirane v neposredni bližini sedeža. . Pride pa čas, ko se količina informacij, število vozlišč, kjer so skoncentrirane, in število uporabljenih poslovnih aplikacij »naenkrat« v podjetju poveča kot plaz. Uporaba zmogljivih ERP in CRM sistemov, DBMS, internih in javnih portalov, korporativnih orodij za izmenjavo podatkov začne narekovati visoke zahteve po vsestranskosti, zanesljivosti, nemotenem delovanju in varnosti IT infrastrukture podjetja – ob zniževanju stroškov lastništva. To je zanesljiv znak, da je prišel čas za razmislek o posodobitvi zgodovinsko uveljavljene IT-arhitekture in prehodu na uporabo »odraslega« podatkovnega centra.

V nekaterih primerih podjetja najprej zgradijo svojo poslovno in IT infrastrukturo z uporabo prednosti podatkovnega centra. Praviloma so to velike telekomunikacijske, finančne, industrijske strukture, ki aktivno razvijajo svoje regionalno omrežje.

Obstajajo podjetniški in gostiteljski podatkovni centri (DC ali DPC). V prvem primeru je podatkovni center prvotno ustvarjen za reševanje problemov avtomatizacije poslovnih procesov stranke in lastnika podatkovnega centra. V drugem primeru lastnik podatkovnega centra organizacijam dodeli prostore v stojalih ali grozde, ki so napolnjeni z opremo najemnikov. Lastnik podatkovnega centra hkrati skrbi za vzdrževanje ugodne klime za opremo in oskrbo z energijo. Možne so različice tako imenovanih mešanih podatkovnih centrov, v katerih je en del podatkovnega centra osredotočen na podporo poslovnim procesom lastnika, drugi pa na reševanje težav najemnikov.

Obstaja še en kriterij, po katerem se razlikuje namen podatkovnega centra - njegova trenutna obremenitev. S tega vidika je podatkovni center lahko glavni, rezervni ali izvzet iz regije ali celo države. Glavni podatkovni center, kot izhaja iz njegovega statusa, prevzame celotno obremenitev v običajnem načinu. Je jedro informacijsko-telekomunikacijskega sistema, rezerva pa služi za zagotavljanje običajnega načina izvajanja storitev v primeru okvare, vzdrževanja ali vroče zamenjave opreme, nameščene v glavnem podatkovnem centru. Tretja možnost podatkovnega centra je za tiste organizacije, ki popolnoma izključujejo možnost zavrnitve storitev svojim strankam.

Jasno je, da kljub drugačnemu statusu in načinu delovanja oz. Podatkovni center je vedno strateško pomemben objekt, za opremo in varnost katerih veljajo posebne zahteve. Te zahteve so določene v mednarodnem standardu TIA 942, ki ga danes uporabljajo strokovnjaki, ki delajo v Rusiji.

Danes smo se odločili posvetiti temi "življenjskega cikla" podatkovnih centrov, govoriti o tem, kaj je in kako pravilno upravljanje omogoča podjetjem, da zmanjšajo ne le tekoče, ampak tudi kapitalske stroške. Glede na trenutne trende uvajanja vse novih rešitev (vključno s hiperkonvergiranimi sistemi) in storitev so znatne težave v tem procesu lahko povezane s spreminjanjem in prilagajanjem fizične infrastrukture podatkovnih centrov.

Življenjski cikel podatkovnega centra vključuje fazni proces razvoja inženirske infrastrukture v skladu s poslovnimi cilji in IT procesi in ga lahko razdelimo na več stopenj:

1. Pripravljalni: razumevanje ciljev ustvarjanja, oblikovanje koncepta rešitve, izbira lokacije;
2. Oblikovanje v skladu z izbranim konceptom in značilnostmi mesta;
3. Gradnja;
4. Izkoriščanje;
5. Ugotavljanje skladnosti in analiza delovanja.

Poslovne zahteve za storitve IT se nenehno spreminjajo, ocena skladnosti, ki zaključi ta cikel, pa pomaga razumeti, kako učinkovito lahko podatkovni center rešuje trenutne težave in ali je kos novim, ali je pripravljen na rast. Sledi načrtovanje dodelave oziroma posodobitve strani za nove naloge in vse nadaljnje faze – krog se sklene.

Projektiranje in konstrukcija

Ruski trg je nabral trdne kompetence pri načrtovanju in izgradnji podatkovnih centrov, obstajajo strokovnjaki z ustreznimi kvalifikacijami, vendar ni vedno mogoče dokončati projekta v skladu s KPI, ki jih je določil naročnik. Že med izvajanjem projekta se lahko poslovne zahteve spremenijo in so dodatno napačno oblikovane in odražene v projektni nalogi. Posledično je gradnja lokacije izvedena zelo kakovostno, vendar je glavna težava v fazi načrtovanja razumeti, s kakšnimi nalogami se sooča objekt in kako natančno naj bo zasnovan in opremljen podatkovni center, da bo izpolnil vse poslovne zahteve, ki ni vedno mogoče.

Danes je treba jasno oblikovati projektno nalogo, ki opisuje pravilne in optimalne rešitve, ki izpolnjujejo naloge poslovanja v prihodnosti, vsaj 5-8 let. Pri pripravi kompetentnih strokovnjakov lahko pomaga izobraževalni center prodajalca z ustrezno usposobljenostjo. Naloga izobraževalnega centra Schneider Electric je torej seznaniti partnerje in stranke s tehnično zapletenimi izdelki podjetja, značilnostmi njegove uporabe, namestitve in delovanja v dejanskih pogojih.
Podatkovni center praviloma ni fizično vezan na uporabnike svojih storitev, vendar je pomembno upoštevati, da njegova namestitev v napačno zgradbo močno poveča stroške infrastrukture mesta. Ne smemo pozabiti, da lahko okolje podatkovnega centra vpliva na njegovo zanesljivost.

Tipične napake v pripravljalni fazi:

1. Zasnova podatkovnega centra kot pisarne, medtem ko je industrijski objekt;
2. Napake v redundanci sistemov, komponent, komunikacij;
3. Napake pri izračunu velikosti dodeljenega območja za inženirske sisteme in pomožne prostore z oceno teže opreme in njenih dimenzij ob zagotavljanju avtonomije objekta.

Pomembno je razumeti ključne meritve podatkovnega centra, možnosti za njegov razvoj, saj morajo inženirski sistemi "preživeti" 2-3 generacije IT opreme. Operacije so redko vključene v projekt v fazi gradnje. Medtem bi morali biti strokovnjaki za sisteme napajanja in hlajenja vključeni v fazi projektiranja in prisotni v delovnih skupinah.

Izkoriščanje

Ne glede na to, kako dobro je projekt premišljen in kompetentno izveden, se v operativni fazi pojavijo številne težave. Eden od njih je organizacijske narave in se nanaša na interakcijo med upravno-ekonomskimi in IT oddelki. Če te povezave ni, lahko rešitev kot celota deluje neučinkovito ali sploh ne deluje.
V praksi se včasih izkaže, da so upravne in gospodarske enote izjemno daleč od razumevanja, kaj je podatkovni center in kakšne so zahteve zanj, včasih pa preprosto postanejo nepremostljiva birokratska ovira, zato je priporočljivo tej storitvi prikazati koncept gradnjo podatkovnega centra v njihovem objektu, razložijo principe delovanja inženirskih sistemov in približne parametre opreme.

Oddelek IT ima lahko svoje notranje težave. Ko so različni IT oddelki odgovorni za različne komponente (strežnike, shranjevanje, omrežno opremo, hladilne sisteme itd.) in hkrati nimajo jasnih predpisov in razdelitve odgovornosti, nastane kaos na strani.

V tem primeru se je lažje "preseliti" na novo mesto kot izvesti globoko posodobitev starega in šele nato obnoviti obstoječi podatkovni center, ne da bi motili delo IT storitev, ki delujejo na novi lokaciji. Druga možnost je najem prostora v komercialnem podatkovnem centru za čas »remonta«. V vsakem posameznem primeru se izbere optimalna rešitev.
V sodobnih podatkovnih centrih je za neprekinjeno in učinkovito delovanje infrastrukture običajno odgovorna posebna skupina strokovnjakov. Za avtomatizacijo spremljanja, upravljanja, poročanja, upravljanja gibanja in nadzora učinkovitosti se uporabljajo orodja, ki jih običajno imenujemo okrajšava DCIM (Data Center Infrastructure Management).

Naloge spremljanja dogodkov, stanja opreme in okolja se pogosto rešijo najprej - za to se uporabljajo orodja, kot so krmilniki NetBotz in nadzorni sistem Data Center Expert. A zdaj so najbolj nujne naloge učinkovite rabe virov - od električne energije do prostora v strojnicah. Pravočasna uvedba učinkovitih predpisov in nadzora nad porabo električne energije omogoča ne le zmanjšanje zelo pomembnih obratovalnih stroškov in zgodnejše povračilo naložb, temveč tudi načrtovanje novih pridobitev ali gradenj ob upoštevanju ocene prave in ne "papirnate" opreme. učinkovitost. Kot platformo za organizacijo tega pristopa lahko uporabite Data Center Operation - modularno rešitev z naborom vseh potrebnih funkcij.

Ta rešitev Schneider Electric operaterjem podatkovnih centrov omogoča nadzor in učinkovitejše upravljanje podatkovnih centrov ter izvajanje vsakodnevnih opravil, medtem ko integracija IT storitev tretjih oseb omogoča deljenje ustreznih informacij med sistemi različnih prodajalcev, kar ima za posledico boljše razumevanje. zmogljivosti in razpoložljivosti podatkovnega centra za izboljšanje zanesljivosti in učinkovitosti delovanja podatkovnega centra.

Ocenjevanje in optimizacija

Optimizacija - izboljšanje parametrov podsistemov podatkovnega centra - zahteva fazo predhodne ocene - revizijo, analizo njihovega delovanja, izdelavo matematičnega modela mesta in odpravo težavnih točk na podlagi podatkov spremljanja.
Visokokakovosten nadzorni sistem, ustvarjen posebej za reševanje težav delovanja podatkovnega centra, sistem za simulacijo delovanja opreme, ki vam omogoča jasen model delovanja podatkovnega centra, so pomembna orodja, s katerimi lahko operacijski strokovnjaki spremljajo stanje podatkovnega centra v realnem času.

Različne izboljšave, kot so izgradnja izolacijskih sistemov zračnih koridorjev, reorganizacija dvignjenih talnih plošč, odprava mest v regalih z nepravilnim kroženjem zraka, čemur sledi rekonfiguracija klimatskih sistemov, lahko zmanjšajo porabo energije podatkovnega centra v realnih projektih za 10 -20 %. Takšna optimizacija se povrne (če upoštevamo samo porabo energije) v 3-3,5 letih.

Drug učinek optimizacije je izboljšanje hladilnih sistemov, ko se predhodno nameščena oprema uporablja učinkoviteje, na primer postane možno namestiti več strežnikov v omaro. "Faktor izkoriščenosti podatkovnega centra" se lahko poveča s 70-75 % na 90-95 %. Takšna optimizacija se povrne v približno šestih mesecih.

Podatkovna analitika vam pomaga najti specifično rešitev za zmanjšanje stroškov delovanja naprav na mestu stranke, izbiro najbolj energetsko učinkovitega načina ali optimizacijo porabe virov. Ali razumeti, da je prišel čas za modernizacijo.

Posodobitev podatkovnega centra ne pomeni vedno vgradnje nove opreme, temveč je v prvi vrsti povečanje učinkovitosti sistemov in učinkovitosti njihove uporabe.

Ocena situacije pomaga razumeti, kaj je treba storiti, da bo podatkovni center spet deloval učinkovito. Ena od strank je to težavo rešila tako, da je ustvarila zaprte hladne prehode in blokirala zračne tokove, kjer so zmanjšali učinkovitost odvajanja toplote. Poleg tega je delo potekalo brez zaustavitve sistemov podatkovnega centra.

Številni projekti delujejo na presečišču faz delovanja in ocenjevanja. Danes ima veliko strank nove IT naloge, poteka informatizacija, digitalizacija poslovanja, reševati je treba različne operativne težave. Pomoč strokovnjakov v fazi ocenjevanja in revizija podatkovnega centra pomaga pri soočanju z njimi. Regionalni center za razvoj aplikacij (Regionalni aplikacijski center), ki ga je ustvaril Schneider Electric v Rusiji, se ukvarja s kompleksnimi rešitvami za podatkovne centre. Njegova glavna naloga je ustvariti in podpirati trajnostno in učinkovito delovanje podatkovnega centra v vseh fazah njegovega življenjskega cikla.

Strokovnjaki Schneider Electric sodelujejo pri načrtovanju, gradnji, kompleksnem testiranju in zagonu objektov, pri kasnejši podpori in posodobitvi podatkovnega centra. Na vsaki stopnji je stranki zagotovljena toleranca napak in učinkovitost podatkovnega centra. Z rastjo obsega in hitrosti digitalnih tehnologij bodo naše rešitve pomagale podjetjem, ponudnikom oblakov, telekomunikacijskim storitvam in komercialnim platformam zreti v prihodnost z zaupanjem.

DPCs.RF

Nihče ne trdi, da mora biti podatkovni center opremljen z varnostnimi orodji. Vendar se pogosto omenjajo sistemi informacijske varnosti, medtem ko je fizična varnost pogosto zadnja stvar, na katero pomislimo zaradi proračunskih prihrankov. Vendar sredstva fizične zaščite za sodoben podatkovni center niso nič manj pomembna kot zaščita informacij. Toda katere rešitve bodo najbolj pomembne v ruski realnosti? Česa se je treba najprej bati in kako najučinkoviteje preprečiti morebitne incidente? Na vprašanja revije TsODy. Ruska federacija, pod naslovom "Okrogla miza", odgovarja Aleksej Krasov, vodja projektnega oddelka direktorata za integrirano varnost skupine Asteros.

Alexey Krasov, vodja projektnega oddelka direktorata za integrirano varnost skupine Asteros

Katere grožnje fizični varnosti se vam zdijo najbolj resnične za ruske podatkovne centre? Pred čim se je treba najprej zaščititi?

Aleksej Krasov: Težko si je predstavljati, da bo v današnji realnosti skupina napadalcev poskušala "čelno" napasti podatkovni center. Najverjetnejša grožnja je notranja oseba, ki lahko samostojno izvaja nepooblaščena dejanja z opremo (zaseže informacije, kopira ali poškoduje, vnese zlonamerno programsko opremo ipd.) ali omogoči tretjim osebam dostop neposredno do prostorov podatkovnega centra. Kot veste, imajo takšne možnosti zaposleni v lastni varnostni službi ali IT službi – tisti, ki imajo skoraj neomejene uporabniške pravice. V zvezi s tem je danes glavna naloga fizične zaščite podatkovnega centra prepoznavanje notranjih kršiteljev in ustvarjanje ovir zanje.

Kateri elementi fizičnega varovanja so v sodobnem podatkovnem centru resnično potrebni in kaj je zapravljanje denarja?

A.K.: Za zagotavljanje varnosti podatkovnega centra je potreben standardni nabor tehničnih sredstev, ki se uporabljajo tudi na drugih objektih. Prvič, govorimo o videonadzornih sistemih, medtem ko naj se vidna območja kamer, če je le mogoče, "sekajo": če vsiljivec onemogoči eno kamero, druge še naprej snemajo dejanja vsiljivca. Drugič, to je ACS - organizacija ugnezdene strukture Varnostnega sveta, vse do zagotavljanja nadzora dostopa do vsakega stojala. Uporaba oboroženih varnostnih služb je stvar analize tveganja, stroškov posledic kršitve fizičnega varovanja, ocene stroškov izvedbe in vzdrževanja, torej uporabe pristopa, ki temelji na tveganju.

Ali je treba v podatkovnem centru dodeliti ločene varnostne cone (perimetre)?

A.K.: Tega vprašanja je treba obravnavati s stališča celovite ocene tveganja. Če se podatkovni center nahaja na dobro varovanem območju, ki je nedostopno nepooblaščenim osebam, je morda manj ugnezdenih varnostnih linij. Druga stvar je, če se objekt nahaja v javni zgradbi, do katere imajo dostop nepooblaščene osebe. V tem primeru bi seveda moralo biti več varnostnih linij. Če pa govorimo o insajderju, postane število varnostnih perimetrov nepomembno. Ne glede na to, koliko jih je, bo napadalec pripravljen, da jih premaga. V tem primeru je treba predvideti dodatne organizacijske ukrepe ter uvesti sisteme za spremljanje delovanja operaterjev in skrbnikov sistema, varnostnega osebja itd.

Ali se pristop k organizaciji fizične varnosti podatkovnega centra razlikuje za ruske in zahodne objekte?

A.K.: Danes so razlike v pristopu k zagotavljanju fizične varnosti praktično izbrisane: ruski standardi se postopoma približujejo evropskim in ameriškim. Če govorimo o tehnični plati vprašanja, potem so nesmrtonosna sredstva v zahodnih državah postala razširjena. Uporabljajo se ne le v podatkovnih centrih, temveč tudi v komercialnih podjetjih (dragalarne, majhne banke itd.). V varovanem prostoru so praviloma nameščene kapsule z utekočinjenim plinom, stroboskopi in zvočniki. Ob sprožitvi alarma se objekt v nekaj sekundah napolni z motnim dimom, vklopi se sirena z glasnostjo 120 dB (točka praga bolečine). V tem primeru je oseba popolnoma dezorientirana. V naši državi se takšna sredstva praviloma uporabljajo predvsem na kritičnih objektih, vključno z vojaškimi.

Katere regulativne dokumente (ruske in tuje) je treba upoštevati pri izgradnji fizičnega varnostnega sistema za podatkovni center?

A.K.: Trenutno niti v ruski niti v svetovni praksi ni standardov za gradnjo SB v podatkovnih centrih. V skladu s tem se je treba zanašati na standardne regulativne dokumente, ki urejajo ustvarjanje sistemov fizične zaščite na splošno, in na izkušnje integratorja, ki jih izvaja.

Kakšni so najnovejši trendi fizične varnosti podatkovnih centrov?

A.K.: Trg podatkovnih centrov je v fazi nenehne rasti, vendar pa na področju tehničnih varnostnih rešitev ni radikalnih sprememb. Na splošno obstaja težnja, da stranke namenjajo več pozornosti informacijski varnosti. Navsezadnje je pridobitev oddaljenega dostopa do podatkov in opreme v podatkovnem centru veliko lažja in cenejša kot na primer organiziranje oborožene skupine za fizično zavzetje predmeta.

Hvala za vaše zanimanje za skupino Asteros! Da vam lahko posredujemo informacije na temo “Fizično varovanje podatkovnega centra je kompleksen pojem”, vas prosimo, da izpolnite polja “E-pošta” ali “Telefon”.

Priimek		Ime podjetja
Ime Prosimo, izpolnite to polje, da bomo vedeli, kako stopiti v stik z vami.		Naziv delovnega mesta
E-naslov Prosimo, izpolnite to polje, če želite, da vam pisno odgovorimo		Kontaktna številka Prosimo, izpolnite to polje, če želite, da vas pokličemo nazaj.
Vrsta pritožbe Izberite splošno povpraševanje po informacijah Sodelovanje z mediji Sodelovanje pri analitiki Karierno vprašanje Potencialna stranka Interakcija z investitorjem Pojasnilo/povpraševanje na spletni strani Skladiščna prodaja Drugo			Besedilo pritožbe *
Priložite datoteko doc, docx, rtf, txt, pdf, xls, xlsx; največja velikost: 250 Kb
* S tem dajem soglasje podjetju Asteros JSC za obdelavo osebnih podatkov, ki sem jih posredoval, da bi obravnaval mojo pritožbo in vzdrževal zbirko podatkov o pritožbah. več Privolitev velja za avtomatizirano in neavtomatizirano obdelavo osebnih podatkov, vključno z naslednjimi dejanji z osebnimi podatki: zbiranje, evidentiranje, sistematizacija, kopičenje, shranjevanje, priklic, uporaba, prenos, depersonalizacija, blokiranje, izbris, uničenje. Za obravnavo pritožbe se osebni podatki lahko posredujejo podjetju, ki je del skupine Asteros, ali drugi tretji osebi. Soglasje je dano za 1 leto in ga lahko kadar koli prekličem na podlagi ustrezne pisne vloge v poljubni obliki, poslane Asteros JSC. Opozorjen sem, da se prenos osebnih podatkov in drugih informacij, ki sem jih posredoval, izvaja prek nevarnega komunikacijskega kanala, v zvezi s katerim Asteros JSC ni odgovoren za zagotavljanje njihove zaupnosti in celovitosti med postopkom prenosa.
* zahtevana polja

Dmitrij Kostrov
Direktorat za informacijsko varnost MTS OJSC

Podatkovni center: sestava, vrste

Podatkovni procesni center (DPC) je integriran centraliziran sistem, odporen na napake, ki zagotavlja avtomatizacijo poslovnih procesov z visoko stopnjo zmogljivosti in kakovosti opravljenih storitev.

Običajno podatkovni center vključuje:

• zelo zanesljiva strežniška strojna oprema;
• sistemi za shranjevanje in prenos podatkov, vključno s sistemi za varnostno kopiranje;
• sistemi za oskrbo z električno energijo, klimatizacijo in fizično namestitev;
• sistemi za spremljanje in nadzor;
• varnostni sistemi;
• centri za obdelavo varnostnih kopij informacij;
• rešitve za virtualizacijo virov;
• konsolidacijske rešitve.

Določene so prednosti ustvarjanja lastnega podatkovnega centra (ali njegovega najema) - to je zagotavljanje infrastrukturnih storitev, odpornih na napake, v načinu 24x7, povečana učinkovitost in zanesljivost delovanja računalniških virov, poenostavljena centralizirana administracija, znižani stroški zagotavljanja komunalnih storitev, visoka stopnja zaščite informacijskega sistema, centralizirano upravljanje in računovodstvo virov, nadzor dostopa do podatkovnega centra (kot tudi povezave z uporabo posebnih konektorjev), preprosto in priročno skaliranje računalniških virov.

Na splošno obstajajo tri glavne vrste podatkovnih centrov:

1. Glavni podatkovni center je posebej pripravljena soba (zgradba), opremljena s kompleksom inženirskih sistemov (razvija se individualno, glede na konfiguracijo ponujenih prostorov in potrebe stranke).
2. Integriran podatkovni center (od proizvajalca).
3. Mobilni (kontejner).

Kontinuiteta katerega koli podatkovnega centra se običajno meri kot odstotek časa delovanja na leto. Pri najpogostejši stopnji »treh devetk« (99,9 %) delovanje ne sme biti prekinjeno za skupno več kot osem ur na leto. "Štiri devetke" (99,99%) omogočajo odmor največ eno uro, "pet devetk" (99,999%) - to je skoraj 100-odstotna kontinuiteta, postanek ne presega ene minute. Le neodvisna revizija se lahko šteje za objektivno oceno zmogljivosti podatkovnega centra. V tem primeru lahko za vrednotenje uporabite določene standarde. To so lahko: ISO 17799, FISMA, Basel II, COBIT, HIPAA, NIST SP800-53.

Informacijska varnost podatkovnega centra: analiza zrelosti

Če pristopamo k varnosti informacij, ki se hranijo (obdelujejo) v podatkovnem centru, moramo izhajati iz zahtev po zaupnosti, razpoložljivosti in celovitosti. Pri tem velja opozoriti, da je cilj zagotavljanja varnosti in zaščite funkcionalnih aplikacij, storitev in podatkov (informacij) zmanjšati na sprejemljiv minimum (analiza tveganja, nagnjenost k tveganju) škodo ob morebitnih zunanjih in notranjih vplivih.

Probleme informacijske varnosti podatkovnih centrov je mogoče opisati šele po analizi trenutne stopnje, razvoja projektov in strateških stopenj zrelosti procesa upravljanja neprekinjenega poslovanja (BCM) v povezavi s kritičnimi tehnološkimi procesi sodobnega telekomunikacijskega podjetja. To analizo stopnje zrelosti je treba izvesti za ključna področja procesa BCM v skladu z metodologijo Inštituta za neprekinjeno poslovanje in jo izvesti na naslednjih področjih:

1. Analiza vpliva na poslovanje (BIA).
2. Ocena tveganja (RA).
3. Korporativna strategija BCM.
4. Stopnja zrelosti procesa BCM.
5. Strategija BCM v smislu obnove virov.
6. Načrt neprekinjenega poslovanja.
7. Rešitve in načrti za obnovitev virov.
8. Načrt kriznega upravljanja.
9. BCM usposabljanje, kultura, razvoj ozaveščenosti.
10. Testiranje postopka BCM.
11. Podpora in vzdrževanje procesa BCM.
12. Revizija procesa BCM.
13. Upravljanje procesov BCM.
14. pravilnik BCM.
15. Preverjanje in validacija postopka BCM.

Glavni cilj obvladovanja funkcionalne stabilnosti tehnoloških procesov je zagotoviti opravljanje poslovnih funkcij podjetja pod vplivom destabilizirajočih dejavnikov. Za izvedbo analize stopnje zrelosti podjetja z vidika BCM je bil razvit ocenjevalni sistem, ki temelji na gradivih Inštituta za neprekinjeno poslovanje (BCI), Mednarodne organizacije za standardizacijo (ISO) in metodologije CobIT presoje informacijskih sistemov in Nadzorno združenje (ISACA).

Po opravljenem delu v okviru projekta VSM se sklepa, ali je podatkovni center sploh potreben; zgradite sami ali najemite; ali narediti dvojnik. V tej fazi se postavlja vprašanje zagotavljanja informacijske in tehnološke varnosti ob upoštevanju analize tveganja celotnega podjetja.

Problematiko zagotavljanja informacijske varnosti podatkovnega centra lahko formalno razdelimo na varnost omrežnega dela, strežniškega dela in dela hrambe podatkov.

Stopnje varnosti podatkovnega centra, objekti zaščite

Glavne stopnje varnosti podatkovnega centra:

• izgradnja modela grožnje;
• izbira objektov, na katere je mogoče usmeriti grožnje;
• izgradnja modela storilčevih dejanj;
• ocena in analiza tveganja;
• razvoj in implementacija metod in sredstev zaščite v sistemih podatkovnih centrov.

Ob analizi zgoraj navedenega postane jasno, da brez izgradnje ISMS (sistema upravljanja informacijske varnosti) tako celotnega podjetja kot elementa (DPC) ni mogoče zagotoviti ustrezne zaščite.

Navajamo glavne predmete zaščite v podatkovnem centru:

• informacije, ki krožijo v sistemu;
• oprema (elementi);
• programsko opremo.

Model PDCA

Strokovnjaki za informacijsko varnost že dobro poznajo model Plan-Do-Check-Act (PDCA), ki se uporablja za strukturiranje vseh procesov ISMS.

Danes številne organizacije, ki zasedajo vodilne položaje na področju informacijske varnosti, razvijajo (v skladu z zveznim zakonom "o tehnični ureditvi") korporativni standard "Zagotavljanje informacijske varnosti organizacij", ki bi moral v celoti odražati zahteve za informacijsko varnost organizacij. podatkovni center, ki naj bi zagotavljal neprekinjeno izvajanje poslovnih – funkcij podjetja.

Odstopanje od izvajanja tega modela je polno napak pri izvajanju zaščite, kar bo povzročilo izgube podjetja (puščanje informacij itd.).

Kaj naj obsega mrežni del?

Podatkovni center lahko (običajno) deluje tako z internetom kot z omrežjem, ki temelji na VPN-MPLS, zato mora imeti omrežni del požarni zid (po možnosti v failover načinu), napravo, ki omogoča šifriranje prometa (predvsem pri povezovanju z internetom). ), sistemi za zaznavanje vdorov IDS/IPS, prehodni antivirus. Poleg tega omrežni del vsebuje korenske usmerjevalnike, izravnalnik obremenitve in tako imenovano agregacijsko stikalo (deluje na ravni 2 ali 3, lahko združuje podatke iz več fizičnih vrat).

Strežniški del

Strežniški del sestavljajo stikala. Tukaj je dobro uporabiti tehnologijo VLAN za razlikovanje dostopa in informacijskih tokov. Običajno je ta del odgovoren za komunikacijo z nadzornim centrom omrežja. Center za omrežne operacije lahko gosti center za varnostni nadzor (SOC). Tu je nameščen sistem za kontrolo dostopa in identifikacijo (IDM).

Shramba podatkov

V delu hrambe podatkov so diskovna polja, rezervni strežniki, tračne knjižnice. Vprašanja integritete so v tem delu podatkovnega centra zelo pomembna. Zdaj obstajajo rešitve, po katerih je ta del odgovoren za komunikacijo s sekundarnim podatkovnim centrom (pogosto z uporabo omrežja, ki temelji na tehnologiji DWDM).
Zanimiv primer takšne izvedbe je nabor podatkovnih centrov, ki jih je zgradil Telecom Italia. Ena od nalog izgradnje varnega podatkovnega centra je bila izpolnitev zahtev zakona "O osebnih podatkih". Italija je zaradi resnega odtekanja podatkov o visokih uradnikih uvedla strožje zaščitne ukrepe kot v evropski konvenciji. Vsi osebni podatki se ne nahajajo le v enem podatkovnem centru, temveč sta njihovo shranjevanje in obdelava popolnoma nadzorovana. Približno 25 ljudi nenehno spremlja varnostne sisteme iz enega SOC.

Povečanje števila groženj in obsega prometa sili lastnike podatkovnih centrov v uporabo različnih rešitev za njihovo zaščito, kar posledično vodi v eksplozivno rast ustreznega trga. Tako naj bi po podatkih Markets and Markets leta 2016 skupna prodaja varnostnih izdelkov za podatkovne centre znašala 6,3 milijarde dolarjev, do leta 2021 pa se pričakuje dvakratno povečanje - do 12,9 milijarde dolarjev, torej več kot 15-odstotno povečanje letno. . Podobne številke navajajo tudi druge analitske agencije – na primer Transparency Market Research napoveduje 12,6-odstotno letno rast.

V širšem smislu lahko varnost podatkovnega centra razdelimo na fizično in logično zaščito. Kljub pomembnosti prvega so glavni napori usmerjeni v drugega. Torej, po podatkih Transparency Market Research, je bilo leta 2013 85% vseh sredstev, namenjenih za odpravo tveganja groženj podatkovnim centrom, porabljenih za logične komponente. Hkrati je treba zaradi vsesplošnega prehoda na računalništvo v oblaku in potrebe po pospešenem razvoju aplikacij revidirati načela zaščite.

O aktualnih temah zaščite podatkovnih centrov smo razpravljali na sekciji Varnost na SVET DPC - 2016. Storitve Storitve. Oblaki".

AVTOMATIZIRANA ZAŠČITA DDoS

DDoS napadi so morda deležni največ pozornosti zaradi svojih obsežnih posledic. Tako je nedavni napad na strežnike Dyn, ki nadzoruje pomemben del DNS infrastrukture, povzročil nedostopnost številnih znanih spletnih mest v ZDA in Evropi. To je bil največji napad z uporabo okuženih naprav, ki jih zdaj običajno imenujemo internet stvari (v tem primeru digitalnih fotoaparatov in DVD predvajalnikov). Moč napada z uporabo omrežja 100.000 botov Mirai je bila ocenjena na 1,2 Tbps, kar je dvakrat več kot kdajkoli prej (glej sliko 1).

Kot je navedeno v nedavnem poročilu Nexusguard (storitve zaščite pred DDoS), se je število napadov v drugem četrtletju 2016 v primerjavi z enakim obdobjem leta 2015 zmanjšalo za skoraj 40 %, vendar se je njihova intenzivnost znatno povečala. Za zaščito pred množičnimi napadi samo varnostni ukrepi na ravni podatkovnega centra niso dovolj. Medtem pa po besedah ​​Antona Shevchuka, produktnega vodje za Arbor Networks pri Netwellu, še vedno obstajajo stranke, ki so prepričane, da se lahko zaščitijo pred napadi DDoS s požarnimi zidovi in ​​sistemi za preprečevanje vdorov. Statistični podatki kažejo, da je več kot polovica organizacij, ki so imele nameščene te naprave, doživela izpade omrežja zaradi napadov DDoS. Poleg uporabe specializiranih sredstev je treba organizirati večplastno obrambo.

Med napadom DDoS so viri podatkovnega centra "bombardirani" s pošiljanjem številnih specifičnih zahtev in sčasoma prenehajo kos obremenitvi. Skupno lahko ločimo tri velike razrede napadov: množični napadi na pretok internetnega kanala; napadi na naprave s stanjem, kot so izravnalniki obremenitve, požarni zidovi, aplikacijski strežniki; Napadi na ravni aplikacije, manjši po moči, a nič manj učinkoviti, običajno ciljajo na specifične ranljivosti. Napade DDoS je enostavno organizirati, stroški ustreznih ponudb pa se začnejo pri 5 USD na uro.

Koncept globinske obrambe za DDoS zaščito, ki ga predlaga Arbor Networks, vključuje namestitev dveh specializiranih komponent – ​​v podatkovnem centru in pri operaterju. Prvi omogoča blokiranje vseh vrst napadov, ko pa obseg napada na kanal postane primerljiv z razpoložljivo pasovno širino, se za pomoč obrne na komponento, ki jo je namestil operater. Zato je, kot ugotavlja Anton Shevchuk, zelo pomembno, da te komponente "vedo, kako" medsebojno komunicirati.

Ko napad na kanal doseže vnaprej določeno moč, komponenta v podatkovnem centru obvesti operaterja, naj očisti promet, ki je usmerjen na določeno predpono. Poleg tega bi morala takšna dvodelna rešitev v idealnem primeru sinhronizirati črne in bele sezname ter zaščitne profile. Če se osredotoči na črne sezname, lahko operater izvede predhodno filtriranje prometa, kar zmanjša obremenitev zaščitnega sistema podatkovnega centra. Tako odjemalcu (upravljavcu podatkovnega centra) ni treba stopiti v stik s ponudnikom z zahtevo za sprejetje nujnih ukrepov za blokiranje napada - zaščita se samodejno vklopi in čas izpada je zmanjšan.

Arbor Networks ima raznovrstno opremo, ki sega od 100Mbps do 160Gbps na napravo. Te rešitve je mogoče namestiti tudi kot virtualne stroje. V Rusiji storitve zaščite DDoS, ki temeljijo na opremi Arbor Networks, zagotavljajo operaterji Rostelecom, Orange, RETN, Akado in drugi, kar pomeni, da je ta model že mogoče implementirati v podatkovnih centrih, povezanih z njimi. Po mnenju Antona Shevchuka samo ta pristop omogoča podjetjem, da zagotovijo zaščito in razpoložljivost svojih virov.

ZAKAJ POTREBUJEMO AGENTA?

Po mnenju tujih strokovnjakov skupni znesek izgube zaradi vdora v varnostni sistem v povprečju znaša približno 4 milijone dolarjev. V Rusiji so številke primerljive. Torej, glede na poročilo Ruske mednarodne banke, je bil 21. januarja 2016 nanj izveden hekerski napad, zaradi katerega je bilo s korespondenčnega računa banke pri Centralni banki ukradenih 508 milijonov rubljev. Številni napadi se začnejo tako, da napadalec pridobi dostop, vključno s socialnim inženiringom, do delovnega mesta, enega VM, napadi pa so že sproženi z njega.

V novi, virtualni resničnosti rešitve, ki so jih desetletja uporabljali za zaščito fizičnega okolja, ne delujejo več. Po besedah ​​Jurija Bražnikova, izvršnega direktorja 5nine Software za Rusijo in SND, so tovrstni incidenti, vsaj velik del njih, povezani prav z dejstvom, da mnoga podjetja še naprej uporabljajo stara orodja za upravljanje in zaščito virtualizacijskih okolij, ki so temelji na agentskem pristopu. Hkrati je na vsako zaščiteno enoto (VM) nameščen agent, kar ni vedno upravičeno, še posebej, ker ga je mogoče onemogočiti. Poleg tega neposredna zaščita končne točke porabi veliko količino omejenih virov, kar bistveno zmanjša zmogljivost in učinkovitost podatkovnega centra.

Stari model je bil osredotočen na varovanje končnih točk, zdaj pa se veliko delovnih obremenitev seli na strežnike in oblake. Medtem pa po mnenju Jurija Bražnikova znani proizvajalci še naprej v virtualnem okolju reproducirajo arhitekturo informacijske varnosti, ki je bila prvotno razvita za fizično okolje. To vodi v dejstvo, da so nove ranljivosti na ravni hipervizorja in OS nezaščitene. Napadov na ravni virtualnega omrežja ali iz enega VM v drugega ne določa strojna oprema, ki nadzoruje fizično okolje.

V virtualnem okolju je treba uporabiti nove metode zaščite. Tako je v skladu s priporočili Centralne banke Ruske federacije o zagotavljanju informacijske varnosti pri uporabi tehnologije virtualizacije prednostna rešitev uporaba sredstev za zaščito pred učinki zlonamerne kode na ravni hipervizorja brez namestitve agentske programske opreme na virtualne stroje. . Vendar pa je ta pristop možen le, če ima razvijalec dostop do ravni navideznega stikala, znotraj katerega prehajajo vsi paketi, ki so nato dostavljeni v VM. Kot partner Microsoft Hyper-V virtualnega okolja za varnost in rešitev za upravljanje ima 5nine Software dostop do virtualnega stikala Hyper-V, ki izvaja varnost (glejte sliko 2).

Ta pristop prihrani do 30 % virov strežnika, protivirusno skeniranje pa je 70-krat hitrejše. Med drugimi prednostmi pristopa brez agentov Yuri Brazhnikov imenuje odpravo odvisnosti od dejanj osebja in strank, saj zaščitnega sistema ni mogoče onemogočiti na ravni VM. Poleg tega se posledično zmanjša skupni varnostni napor, saj ni več treba skrbeti za vsak VM. Politiko je mogoče konfigurirati na gostitelju ali v nadzornem centru in nato zelo hitro prilagoditi v podatkovnem centru, ker je virtualno okolje izjemno dinamično – VM se nenehno ustvarjajo, premikajo in uničujejo.

Z integracijo 5nine Cloud Security Plugin v System Center lahko ponudniki svojim strankam ne zagotovijo le orodij za upravljanje infrastrukture, temveč tudi orodja za nadzor varnosti. "Vsaka stranka bo lahko samostojno zagotovila in nadzorovala varnost svojih rešitev," pravi Yury Brazhnikov. »Če uporabljate vire več podatkovnih centrov (na primer svojega in v lasti ponudnika gostovanja), so varnostne politike sinhronizirane, tako da pri selitvi v primeru nesreče ali prerazporeditvi bremena iz enega centra v drugega vsi varnostne nastavitve podjetja bodo ohranjene."

Če so bili v začetni fazi v oblak preneseni zmogljivi, a ne najbolj dragoceni viri, je zdaj, ko je na dnevnem redu vprašanje prenosa kritičnih virov, kamen spotike vprašanje zagotavljanja informacijske varnosti. Ko stranka prenese svoje ključne poslovne storitve v oblak, želi biti prepričana, da vzdržuje varnostno politiko, ki ustreza njenim potrebam.

VARNOST JE OMREŽJE

Odmevne kršitve varnosti so jasno pokazale, da tradicionalna obramba perimetra, ki se osredotoča na promet sever-jug (požarni zidovi, sistemi za odkrivanje in preprečevanje, ki ščitijo pred napadi od zunaj), ne more zaščititi podatkovnega centra pred težavami, kjer promet med strežniki prevladuje »vzhod – zahod", ne da bi presegel to. Slednji po nekaterih ocenah predstavlja tri četrtine vsega prometa podatkovnih centrov.

Učinkovita rešitev problema diferenciacije prometa znotraj podatkovnega centra je mikrosegmentacija: delitev na številne varovane cone. Zahvaljujoč sodobnim virtualiziranim rešitvam je skoraj vsak virtualni stroj mogoče opremiti z lastnim požarnim zidom, ki omogoča ustvarjanje omrežja brez zaupanja znotraj podatkovnega centra. Vendar, kot je bilo omenjeno v prejšnjem razdelku, je veliko bolj učinkovita rešitev implementacija varnosti na ravni hipervizorja - govorimo o virtualnem stikalu, vgrajenem v ta hipervizor.

Pojav takšne naprave je bil odgovor na potrebo po zagotavljanju hitrega uvajanja in žive migracije virtualnih strojev in aplikacij. Na primer, pri uvajanju nove aplikacije je bilo treba po zagonu VM ročno nastaviti VLAN, konfigurirati usmerjanje v fizičnem omrežju in konfigurirati pravilnike ITU. Vse te operacije so zahtevale čas, poleg tega pa so se izkazale za edinstvene za vsako strojno platformo, na kateri je bil zgrajen podatkovni center. Z drugimi besedami, aplikacije in VM so bili vezani na določeno fizično omrežje. To vezavo je bilo treba odpraviti, torej virtualizirati omrežje. Zdaj, kot ugotavlja Alexander Krenev, vodja virtualizacije omrežja v moskovski pisarni VMware, ima vsaka virtualizacijska platforma svoje stikalo, ki je zanjo »domače«. Na primer, za hipervizor ESXi je takšno navidezno porazdeljeno stikalo Distributed Virtual Switch, za KVM v merilu podatkovnega centra se to lahko šteje za odprto navidezno stikalo itd.

Poleg virtualnega stikala so na programski ravni implementirane osnovne omrežne funkcije: preklapljanje, usmerjanje, požarni zid in izravnava obremenitve. Vsak fizični strežnik s hipervizorjem ne postane le računalniška platforma, na kateri se razporejajo viri virtualnim strojem, ampak tudi večgigabitno stikalo in usmerjevalnik (stari slogan »omrežje je računalnik« dobiva nov pomen). Za delovanje teh funkcij potrebujete osnovno povezljivost IP med strežniki. V fizičnem omrežju vam ni več treba porabiti časa za konfiguriranje omrežij VLAN - transportno omrežje morate konfigurirati samo enkrat. Enkapsulacija VxLAN se uporablja za prenos prometa po fizičnem omrežju.

Uporaba navideznih stikal vam omogoča avtomatizacijo rutinskih operacij nastavitve omrežja, pospešitev obnovitve po katastrofi in seveda povečanje učinkovitosti zaščite. "Ko se funkcije varnosti in filtriranja prometa izvajajo na ravni virtualne platforme, na ravni hipervizorja, so lahko aplikacije zaščitene ne glede na osnovno fizično arhitekturo," pojasnjuje Alexander Krenev. - Zagotovo so mnogi slišali za mikrosegmentacijo ali model ničelnega zaupanja. Zelo enostavno je zgraditi tak model na platformi za virtualizacijo omrežja in ne zahteva uvedbe številnih požarnih zidov.«

Če odmislimo nekoliko širši pogled na varnostna vprašanja, virtualizacija omrežja utira pot implementaciji popolnoma programsko definiranih podatkovnih centrov (glej sliko 3).

ZA ZAŠČITO APLIKACIJ

V svoji napovedi za leto 2017 Gartner navaja prilagodljivo varnostno arhitekturo kot enega izmed 10 najboljših tehnoloških trendov. Res je, v primerjavi z napovedjo za tekoče leto 2016 zdaj ni na sedmem mestu, ampak na desetem, kar je bolj razloženo z učinkom izgube novosti kot z zmanjšanjem pomembnosti. Kot je navedeno v komentarju, bosta "večplastna zaščita in analiza vedenja uporabnikov in objektov postala obvezna zahteva za vsako podjetje."

Prilagodljiva zaščita vključuje vgradnjo varnostnih ukrepov v vse poslovne procese – njihova implementacija naknadno pomeni ustvarjanje težav zase. V skladu s tem bi morali varnostni strokovnjaki tesno sodelovati z arhitekti rešitev in razvijalci aplikacij, da vključijo varnostne kontrole že v fazi načrtovanja rešitve in razvoja aplikacije. Slednji postajajo vse pogosteje tarča ciljnih napadov.

Kot je v svojem govoru poudaril Rustem Khairetdinov, namestnik izvršnega direktorja InfoWatch in vodja projekta Appercut, so se vsi naučili dobro zaščititi svoje omrežje, zato se napadi postopoma prenašajo na aplikacijsko plast. Na žalost jih ne zaznajo tradicionalna orodja, ki ne morejo ugotoviti, kje je programirana funkcija in kje je prikazana napaka - to pomeni, da ni nobenih anomalij, na podlagi katerih bi lahko ugotovili, da je napad v teku.

Pri uvajanju oblačnih storitev smo več pozornosti namenili priložnostim, ne pa tudi tveganjem. "Zdaj je čas, da zabeležimo uspehe," poziva Rustem Khairetdinov, "in razmislimo o grožnjah, ki začenjajo preplavljati storitve, zgrajene brez upoštevanja takšne nevarnosti." Vgrajena zaščita, osredotočena na monolitne aplikacije, seveda omogoča izravnavo nekaterih od njih, ker stari napadi niso izginili. Vendar pa ni napadena le storitev kot celota (kar se izraža v poskusih blokade kanala ali izvajanju kakšnih drugih znanih napadov), ampak tudi posamezne aplikacije v njej.

To stanje še poslabšuje dejstvo, da ponudniki nimajo nadzora nad ponujenimi aplikacijami, ki se poleg tega pogosto posodabljajo. Navsezadnje je oblak – bodisi IaaS, PaaS ali SaaS – pravzaprav skupek aplikacij, ki so jih ustvarili drugi ljudje. "Ne da bi vedeli, kako določene aplikacije delujejo, se je vedno težje obraniti pred novimi napadi nanje, ki uporabljajo posebnosti njihovega pisanja in oblikovanja," opozarja.

Napadalci uporabljajo hrošče in ranljivosti v tistih aplikacijah, ki so napisane hitro v skladu z agilno razvojno metodologijo. Hitrost uvajanja novih funkcij na trg je pomembnejša od zagotavljanja njihove varnosti, stari načini zaščite pa enostavno ne dohajajo hitrosti razvoja. Tako penetracijski test (pentest) traja več tednov in ko je končan, ste lahko le prepričani, da je bila prejšnja različica strani varna.

Razvoj se pospešuje, skorajda »iztiri« – spremembe se dogajajo vsaka dva tedna, preverjanja, kot je penetracijski test, pa vsakih šest mesecev. V tej situaciji obstaja samo en izhod - integracija zaščitnih sistemov s samim objektom. Doslej pa je bila ta funkcija implementirana le v največjih storitvah ravni Amazon, kjer ni ločene varnostne službe: za varnost so odgovorni v razvojni ekipi in predstavniki iste ekipe, npr. delitev, ki zagotavlja dostopnost.

Tako se pristop k zaščiti aplikacij dramatično spreminja (glej sliko 4). »Mislim, da bodo do dvajsetih let paradigme razvoja in zaščite aplikacij povsem posodobljene. Združili se bodo in razvijali skupaj. Ta trend je jasno viden, zaključuje Rustem Khairetdinov. - Zdaj smo na vmesni stopnji, za katero je značilna implementacija prilagodljive varnosti, ko zaščitno orodje ne le preučuje ta ali oni varovani objekt, ampak se mu tudi prilagaja in objekt prilagaja svojim zahtevam. Še vedno pa je več vprašanj kot odgovorov.”

KAKO ZAŠČITITI VAŠ PODATKOVNI CENTER

Napadi postanejo večplastni, večstopenjski in večnivojski, izvajajo se z različnih strani, z izvidovanjem, z odvračanjem pozornosti, s kritjem. Ni več čistega DDoS-a ali čistega hekanja. Zato morajo tisti, ki načrtujejo obrambo, razumeti vrste napadov. Samo v podatkovnem centru resnega ponudnika gostovanja je možno zbrati kompetence in opremo takšnega nivoja, da je kos DDoS napadom in drugim vrstam najtežjih in za posel in ugled podjetja uničujočih dejanj. Vladimir Malinovsky, vodja prodaje rešitev podatkovnega centra Lattelecom, nacionalnega latvijskega ponudnika telekomunikacij in storitev v oblaku, je spregovoril o tem, kako je organizirana zaščita pravega podatkovnega centra.

Ponudniki storitev v oblaku so v glavni skupini tveganja - proti njim je usmerjena večina DDoS napadov. Vendar tudi ponudnik ne more izvesti vseh zaščitnih ukrepov naenkrat, zato je njihovo izvajanje potekalo po fazah. Podatkovni center Dattum, zgrajen leta 2013, izpolnjuje osnovne zahteve glede fizične varnosti podatkovnega centra Tier III: ločeno območje okoli prostorov podatkovnega centra, 24-urno fizično varovanje, kombiniran nadzor dostopa z uporabo RFID in biometrije ter daljinski video nadzor z arhiviranjem zapisov. . Vendar, kot ugotavlja Vladimir Malinovsky, je fizična zaščita le majhen del varnostnih ukrepov.

Najprej je Lattelecom razpoložljive podatke razvrstil glede na kriterije njihove kritičnosti in dostopnosti ter vse strnil v tabelo, iz katere lahko jasno vidite, za kaj je potrebna prednostna zaščita (glej sliko 5). "Ko sestavite takšno tabelo, že bolj ali manj razumete, s katerimi sistemi se morate najprej ukvarjati," pojasnjuje Vladimir Malinovsky. Poleg tega so bili za podatkovni center kot celoto identificirani glavni viri groženj, ki vključujejo napade DDoS, hekerje, nelojalne zaposlene in stranke gostovanja.

Naslednje leto po začetku delovanja podatkovnega centra so bili izvedeni ukrepi za zagotavljanje skladnosti z zahtevami PCI DSS. PCI DSS certifikat je potreben za tiste stranke, ki izvajajo finančne transakcije. Ta zapleten proces vključuje izvedbo celotnega programa, sestavljenega iz več kot 250 točk. AlientVault je bil nameščen za zaščito omrežnega perimetra. Platforma AlienVault Security Management (USM) vam omogoča nadzor petih ključnih varnostnih funkcij z ene same konzole: inventar sredstev, ocena ranljivosti, spremljanje vedenja, zaznavanje vdorov in korelacija varnostnih dogodkov (SIEM).

Spodbuda za uvedbo naslednje stopnje zaščite je bilo latvijsko predsedovanje EU - internet je bilo treba zavarovati na nacionalni ravni. Za zaščito pred napadi DDoS je bila implementirana rešitev RADware, ki pa se je za podjetje izkazala za odveč, zato je bilo na njeni osnovi organizirano opravljanje storitev za banke. Pravo povpraševanje po njih se je pojavilo šele po napadu na banke. »Ko so banke začele prejemati »pisma sreče« od hekerjev s ponudbo za plačilo denarja, so naslednji dan skoraj vsi prišli k nam in podpisali pogodbe, mi pa smo uspešno odpravili vse grožnje,« pravi Vladimir Malinovsky.

Končno je bil letos implementiran sistem RAPID 7, ki omogoča testiranje ranljivosti v OS in storitvah, prepoznavanje konfiguracijskih napak in preverjanje skladnosti z varnostnimi politikami. Omogoča tudi simulacijo vdora, oceno stopnje pripravljenosti sistema za delo in sestavljanje poročila s priporočili za izvedbo zahtevanih izboljšav. Lattelecom svojim strankam ponuja storitve odkrivanja ranljivosti: »Zdi se, da lahko enkrat skenirate in ste s tem zadovoljni. Pravzaprav je treba po kakršni koli spremembi v OS in namestitvi katerega koli popravka ponovno opraviti skeniranje. Tako se strankam bolj splača naročiti storitev,« povzema predstavnik Lattelecoma.

MEČ IN ŠČIT

Večni spopad med napadom in obrambo dosega novo raven. Napadi se hitro robotizirajo, boti pa že imajo znake umetne inteligence: delujejo avtonomno, sami poiščejo aplikacije z ranljivostmi, ki jih lahko odprejo, in začnejo delovati po določenem programu. Koncepti, kot je prilagodljiva obrambna arhitektura, vključujejo premik od pasivnih ukrepov k aktivnim protiukrepom, da bi pregnali kibernetske kriminalce na njihovem področju. Kot pravi Gartner, mora varnost postati "premična in prilagodljiva".

Vendar pa je na koncu forumske razprave »Model groženj za podatkovni center. Česa se bati in kaj zaščititi v prvi vrsti ”Veliko je bilo rečeno, da so uporabljeni zaščitni ukrepi še vedno nezadostni: nobeno tehnično sredstvo ne more za 100% odpraviti verjetnosti uspešnega napada, če pride do izmenjave podatki z nekim zunanjim sistemom in informacije se prenašajo navzven. Za zmanjšanje škode je lahko ena od rešitev sprejetje modela minimalnega zaupanja v podatkovnem centru, diferenciacija in omejitev skrbniških pravic ter mikrosegmentacija omrežja.

Bolj ali manj velika podjetja ponavadi gradijo svoje podatkovne centre in skrbijo za njihovo zaščito sama - tako kritično funkcijo, kot je varnost, prenašajo zelo neradi. Kot veste, je ena največjih groženj vsakemu IP-ju tisti, ki ga izkorišča. Vendar pa, kot poudarjajo ponudniki storitev podatkovnih centrov, so viri v oblaku bolj odvzeti od določenega osebja kot od korporativnih. Poleg tega ponudniki namensko zbirajo potrebne kompetence za organizacijo strokovnega in s tem učinkovitega varovanja.

Ali bo za varnost poskrbel sam ali zaupal ponudnikom storitev informacijske varnosti – vsak se odloči glede na svoje prioritete in zmožnosti, a kiberkriminalcem v kibernetski oboroževalni tekmi je vse težje slediti. In zasledovanje se izkaže za popolnoma brezupno zadevo, če poskušate preživeti le z zastarelimi metodami varovanja perimetra.

Dmitrij Ganža, odgovorni urednik revije Journal of Networking Solutions / LAN