Главная
Водоснабжение
Физическая защита ЦОДа — понятие комплексное. ЦОД: этапы большой жизни

Физическая защита ЦОДа — понятие комплексное. ЦОД: этапы большой жизни

Центр Обработки Данных (или Дата Центр) по праву называют сердцем корпоративной сети современной компании – промышленной, телекоммуникационной или работающей в области финансов.

Основное предназначение ЦОД состоит в консолидированной обработке и хранении данных, поддержании заданного режима автоматизации бизнес-задач предприятия, а также в обеспечении сохранности корпоративных баз данных и иной информации, как правило, представляющей высокую коммерческую ценность. ЦОД - стратегически важный для компании объект, требующий особого подхода и особых правил, поэтому это понятие включает в себя:

  • масштабируемый комплекс программных и аппаратных средств, сосредоточенных в специально оснащенном помещении,
  • специально разработанный свод организационных мер и политик безопасности,
  • соответствующим образом подготовленный персонал.

Для многих организаций наличие ЦОД является признаком выхода на качественно новый уровень зрелости и управления - на первых этапах развития они отдают предпочтение серверным комнатам, организованным, как правило, в непосредственной близости от головного офиса. Однако наступает момент, когда в компании "вдруг" лавинообразно возрастает объем информации, количество узлов, где она концентрируется, а также численность применяемых бизнес-приложений. Использование мощных ERP- и CRM-систем, СУБД, внутренних и публичных порталов, средств корпоративного обмена данными начинает диктовать высокие требования к универсальности, надежности, бесперебойности работы и защищенности ИТ-инфраструктуры компании – при одновременном снижении стоимости владения. Это - верный признак того, что пришла пора задуматься о модернизации исторически сложившейся ИТ-архитектуры и перейти к использованию "взрослого" ЦОД.

В ряде случаев компании изначально строят свой бизнес и ИТ-инфраструктуру с использованием преимуществ ЦОД. Как правило, это крупные телекоммуникационные, финансовые, промышленные структуры, активно развивающие свою региональную сеть.

Различают корпоративные и хостинговые Дата Центры (ДЦ или ЦОД). В первом случае ЦОД изначально создается для решения задач автоматизации бизнес-процессов самого заказчика и владельца ЦОД. Во втором – владелец ЦОД выделяет организациям стойко-места или кластеры, которые заполняются оборудованием арендатора. При этом все заботы по поддержанию благоприятного для оборудования климата и энергообеспечения принимает на себя владелец ЦОД. Возможны варианты так называемых смешанных ЦОД, при которых одна часть Дата Центра ориентирована на обеспечение бизнес-процессов владельца, а другая – для решения задач арендаторов.

Есть еще один критерий, по которому отличают целевое назначение ЦОД – его текущую загрузку. С этой точки зрения ЦОД может быть основным, резервным или вынесенным за пределы региона или даже страны. Основной ЦОД, как это и следует из его статуса, принимает на себя всю нагрузку в штатном режиме. Он – ядро информационной и телекоммуникационной системы Резервный служит для того, чтобы обеспечить привычный режим предоставления сервисов в случае выхода из строя, профилактики или горячей замены оборудования, установленного в основном ЦОД. Третий вариант ЦОД – для тех организаций, которые полностью исключают для себя возможность отказов в обслуживании своих клиентов.

Совершенно очевидно, что, несмотря на разный статус и режим функционирования, ЦОД всегда является стратегически важным объектом , к оснащению и безопасности которого предъявляются особые требования. Эти требования зафиксированы в международном стандарте TIA 942 , на который сегодня ориентируются специалисты, работающие в России.

Cегодня мы решили обратить внимание на тему «жизненного цикла» центров обработки данных, рассказать о том, что это такое и как правильное управление им позволяет компаниям сократить не только текущие, но и капитальные затраты. Учитывая современные тенденции к внедрению все новых решений (включая гиперконвергентные системы) и сервисов, значительные трудности в этом процессе могут быть связаны с изменением и адаптацией физической инфраструктуры дата-центров.

Жизненный цикл ЦОДа включает в себя поэтапный процесс развития инженерной инфраструктуры в соответствии с задачами бизнеса и ИТ-процессами и может быть разделен на несколько этапов:

1. Подготовительный : понимание целей создания, формирование концепции решения, выбор площадки;
2. Проектирование в соответствии с выбранной концепцией и характеристиками площадки;
3. Строительство ;
4. Эксплуатация ;
5. Оценка соответствия и анализ эффективности.

Требования бизнеса к ИТ-сервисам постоянно меняются, и завершающая данный цикл оценка соответствия как раз и помогает понять, насколько эффективно ЦОД позволяет решать текущие задачи, и способен ли он справиться с новыми, готов ли он к росту. Далее следует планирование доработки или модернизации площадки под новые задачи и все последующие этапы – круг замыкается.

Проектирование и строительство

На российском рынке накоплена солидная компетенция в области проектирования и строительства ЦОДов, есть специалисты соответствующей квалификации, однако не всегда удается выполнить проект в соответствие с заданными клиентом KPI. Уже в ходе реализации проекта требования бизнеса могут измениться и далее некорректно сформулированы и отражены в техзадании. Как следствие, строительство площадки производится качественно, однако основная сложность на этапе проектирования – понять, какие задачи стоят перед объектом и как именно ЦОД должен быть сконструирован и оснащен, чтобы отвечать всем требованиям бизнеса, что удается сделать не всегда.

Сегодня требуется четко формировать техническое задание, описывая в нём корректные и оптимальные решения, отвечающие задачам бизнеса в перспективе как минимум 5-8 лет. Помочь в подготовке грамотных специалистов может Центр обучения вендора, обладающего соответствующей компетенцией. Так задачей Центра обучения Schneider Electri c является ознакомление партнеров и клиентов с технически сложной продукцией компании, особенностями ее применения, установки и эксплуатации в реальных условиях.
ЦОД, как правило, физически не привязан к потребителям его услуг, однако, важно учитывать, что размещение его в неподходящем здании радикально увеличивает стоимость инфраструктуры площадки. Стоит помнить и о том, что окружение ЦОДа может влиять на его надежность.

Типичные ошибки, совершаемые на подготовительном этапе:

1. Проектирование ЦОДа как офиса, в то время как это промышленный объект;
2. Ошибки в резервировании систем, компонентов, коммуникаций;
3. Ошибки в расчете размера выделяемой площади под инженерные системы и вспомогательные помещения, с оценкой веса оборудования и его габаритов, с обеспечением автономности объекта.

Важным является понимание ключевых метрик ЦОДа, перспектив его развития, так как инженерные системы должны «пережить» 2-3 поколения ИТ-оборудования. Службу эксплуатации редко вовлекают в проект на этапе строительства. Между тем специалисты по электроснабжению и системам охлаждения должны привлекаться еще на этапе проектных работ и присутствовать в рабочих группах.

Эксплуатация

Как бы хорошо не был продуман и грамотно реализован проект, на этапе эксплуатации возникает немало проблем. Одна из их носит организационный характер и касается взаимодействия между административно-хозяйственным и ИТ-департаментом. Когда такой связки нет, решение в целом может работать неэффективно или вовсе не функционировать.
На практике административно-хозяйственные подразделения порой оказываются крайне далеки от понимания, что такое дата-центр и каковы предъявляемые к нему требования, а иногда попросту становятся непреодолимым бюрократическим барьером, поэтому желательно показать этой службе концепцию построения дата-центра на их объекте, объяснить принципы работы инженерных систем и приблизительные параметры оборудования.

В ИТ-отделе могут быть и свои, внутренние проблемы. Когда разные ИТ-подразделения отвечают за разные компоненты (серверы, СХД, сетевое оборудование, системы охлаждения и пр.) и при этом не имеют четких регламентов и разделения зон ответственности, на площадке возникает хаос.


В этом случае проще «переехать» на новую площадку, чем проводить глубокую модернизацию старой, и уже потом переделывать имеющийся ЦОД, не нарушая работы функционирующих на новом месте ИТ-сервисов. Еще один вариант – на время «капремонта» арендовать площади в коммерческом ЦОДе. Оптимальное решение выбирается в каждом конкретном случае.
В современных ЦОДах за непрерывную и эффективную работу инфраструктуре, как правило, отвечает отдельная команда специалистов. Для автоматизации мониторинга, управления, ведения отчётности, управления перемещениями и контроля эффективности используют инструменты, которые принято обозначать аббревиатурой DCIM (Data Center Infrastructure Management).


Задачи мониторинга событий, состояния оборудования и среды зачастую решаются в первую очередь – для этого применяются такие средства, как контроллеры NetBotz и система мониторинга Data Center Expert. Но сейчас наиболее актуальными становятся задачи эффективного использования ресурсов - от электроэнергии до пространства в машинных залах. Своевременное внедрение эффективных регламентов и контроль использования электроэнергии позволяет не только снизить весьма значительные эксплуатационные затраты и вернуть инвестиции раньше, но и планировать новые приобретения или строительство с учётом оценки реальной, а не «бумажной» эффективности оборудования. В качестве платформы для организации такого подхода можно использовать Data Center Operation – модульное решение с набором всех необходимых функций.


Данное решение Schneider Electric позволяет операторам ЦОДов контролировать и эффективнее управлять центрами обработки данных и выполнять текущие задачи, а интеграция сторонних ИТ-сервисов позволяет обмениваться соответствующей информацией между системами разных вендоров, получая в результате более полное представление о производительности и доступности ЦОДа для повышения его надежности и эффективности эксплуатации.

Оценка и оптимизация

Оптимизация – улучшение параметров подсистем ЦОДа – требует предварительного проведения этапа оценки – аудита, анализа эффективности их работы, создания математической модели площадки и устранения проблемных точек на основе данных мониторинга.
Качественная система мониторинга, созданная специально для решения задач эксплуатации дата центра, система моделирования работы оборудования, позволяющая получить понятную модель функционирования ЦОДа, - важные инструменты, благодаря которым специалисты по эксплуатации могут отследить состояние ЦОДа в режиме реального времени.

Различные улучшения, такие как построение систем изоляции воздушных коридоров, реорганизация плит фальшпола, устранение в стойках мест с неправильной циркуляцией воздушных потоков с последующей перенастройкой систем кондиционирования, позволяет сократить энергопотребление ЦОДа в реальных проектах на 10-20%. Окупается такая оптимизация (если брать в расчет только энергопотребление) за 3-3,5 года.

Еще один эффект оптимизации – улучшение работы систем охлаждения, когда эффективнее используется установленное ранее оборудование , к примеру, становится возможной установка в стойку большего числа серверов. «Коэффициент полезного использования ЦОДа» можно довести с 70-75% до 90-95%. Такая оптимизация окупается примерно за полгода.

Аналитика данных помогает найти конкретное решение для снижения стоимости эксплуатации устройств на площадке заказчика, выбрать наиболее энергоэффективный режим или оптимизировать использование ресурсов. Или понять, что пришла пора модернизации.

Модернизация ЦОДа не всегда означает установку нового оборудования и в первую очередь представляет собой повышение КПД систем и эффективности их использования.

Оценка ситуации помогает понять, что нужно сделать, чтобы ЦОД вновь работал эффективно. У одного из заказчиков такая проблема была решена с помощью создания закрытых холодных коридоров и блокирования воздушных потоков там, где они снижали эффективность отвода тепла. Причем работа выполнялась без остановки систем дата-центра.

Во многих проектах работа ведется на стыке этапов эксплуатации и оценки. Сегодня у многих заказчиков появляются новые ИТ-задачи, идет информатизация, цифровизация бизнеса, приходится решать различные эксплуатационные проблемы. Справиться с ними помогает помощь экспертов на этапе оценки и проведение аудита ЦОДа. Созданный Schneider Electric в России Региональный центр разработки приложений (Regional Application Center) занимается комплексными решениями для дата-центров. Его основная задача – создание и поддержка устойчивого и эффективного функционирования ЦОДа на всех этапах его жизненного цикла.

Специалисты Schneider Electric принимают участие в проектировании, строительстве, комплексных испытаниях и вводе объектов в эксплуатацию, в последующей поддержке и модернизации дата-центра. На каждом этапе заказчику обеспечивается отказоустойчивость и эффективность работы ЦОДа. При росте масштабов и скорости цифровых технологий предлагаемые нами решения помогут компаниям, провайдерам облачных, телекоммуникационных сервисов и коммерческих площадок смотреть в будущее с уверенностью.

ЦОДы.РФ

С тем, что дата-центр должен быть обеспечен средствами безопасности, никто не спорит. Однако зачастую имеются в виду системы информационной защиты, в то время как о физической безопасности нередко задумываются в последнюю очередь по причине экономии бюджета. Тем не менее средства физической защиты не менее важны для современного ЦОДа, чем информационная защита. Но какие решения будут наиболее актуальны в российских реалиях? Чего следует опасаться в первую очередь и как наиболее эффективно предотвратить возможные инциденты? На вопросы журнала ЦОДы. РФ в рамках рубрики «Круглый стол» отвечает Алексей Красов, начальник проектного отдела дирекции комплексной безопасности группы «Астерос».

Алексей Красов, начальник проектного отдела дирекции комплексной безопасности группы «Астерос»

Какие угрозы физической безопасности вы считаете наиболее реальными для российских ЦОДов? От чего необходимо защищаться в первую очередь?

Алексей Красов : Трудно себе представить, что в современных реалиях группа злоумышленников попытается «в лоб» атаковать ЦОД. Наиболее вероятную угрозу представляет собой внутренний нарушитель, который может самостоятельно произвести несанкционированные действия с оборудованием (изъятие информации, ее копирование или повреждение, внедрение вредоносного ПО и т. д.) либо предоставить доступ третьим лицам непосредственно в помещение дата-центра. Как известно, такие возможности есть у работников собственной службы безопасности или ИТ-службы — тех, кто имеет практически безграничные пользовательские права. В связи с этим сегодня основной задачей физической защиты ЦОДа становится выявление внутренних нарушителей и создание им препятствий.

Какие элементы обеспечения физической безопасности действительно необходимы в современном ЦОДе, а что является бессмысленной тратой денег?

А. К. : Для обеспечения безопасности ЦОДа требуется стандартный набор технических средств, который применяется и на других объектах. Во-первых, речь идет о системах видеонаблюдения, при этом области обзора камер по возможности должны «пересекаться»: если нарушитель выводит из строя одну камеру, другие продолжают фиксировать действия злоумышленника. Во-вторых, это СКУД - организация вложенной структуры СБ, вплоть до обеспечения контроля доступа к каждой стойке. Использование услуг вооруженной охраны - это вопрос анализа рисков, стоимости последствий нарушения физической безопасности, оценки расходов на внедрение и содержание, то есть применения риск-ориентированного подхода.

Нужно ли выделять отдельные зоны (периметры) безопасности в дата-центре?

А. К. : К данному вопросу необходимо подходить с позиции комплексной оценки рисков. Если ЦОД находится на хорошо охраняемой, недоступной для посторонних лиц территории, тогда вложенных рубежей безопасности может быть меньше. Другое дело, если объект находится в общественном здании, доступ к которому имеют посторонние люди. В этом случае, естественно, рубежей безопасности должно быть больше. Однако если мы говорим о внутреннем нарушителе, число периметров безопасности становится непринципиально. Сколько бы их ни было, злоумышленник будет готов их преодолеть. В этом случае должны быть предусмотрены дополнительные организационные меры, а также внедрены системы контроля за действиями операторов и администраторов системы, сотрудников охраны и т. д.

Отличается ли подход к организации физической безопасности дата-центра для российских и западных объектов?

А. К. : Сегодня различия в подходе к обеспечению физической безопасности практически стираются: российские нормативы постепенно приближаются к европейским и американским. Если говорить о технической стороне вопроса, то в западных странах получили распространение средства нелетального воздействия. Они применяются не только в дата-центрах, но и в коммерческих компаниях (ювелирных магазинах, мелких банках и т. д.). Как правило, в охраняемом помещении устанавливаются капсулы со сжиженным газом, стробоскопы и динамики. При срабатывании тревожной сигнализации объект за несколько секунд заполняется непрозрачным дымом, включается сирена с уровнем громкости 120 дБ (точка болевого порога). В этой ситуации человек абсолютно дезориентируется. В нашей стране, как правило, такие средства используются в основном на критически важных объектах, в том числе военных.

На какие нормативные документы (российские и зарубежные) стоит ориентироваться при построении системы физической безопасности дата-центра?

А. К. : На данный момент ни в российской, ни в общемировой практике не существует нормативов по построению СБ именно в ЦОДах. Соответственно, здесь надо полагаться на стандартные нормативные документы, которые регламентируют создание систем физической защиты в целом, и на опыт интегратора, который занимается их внедрением.

Каковы последние тенденции в сфере организации физической безопасности дата-центров?

А. К. : Рынок дата-центров находится в стадии непрерывного роста, однако с точки зрения технических решений защиты радикальных изменений не произошло. В целом есть тенденция к тому, что заказчики начинают больше внимания уделять информационной безопасности. Ведь получить удаленный доступ к данным и оборудованию в ЦОДе гораздо проще и менее накладно, чем, скажем, организовать вооруженную группу для физического захвата объекта.


Спасибо за интерес к группе «Астерос»! Чтобы мы могли предоставить вам информацию по теме «Физическая защита ЦОДа - понятие комплексное», заполните, пожалуйста, поля «E-mail» или «Телефон».

Дмитрий Костров
Дирекция информационной безопасности ОАО "МТС"

ЦОД: состав, виды

Центр обработки данных (ЦОД) - это отказоустойчивая комплексная централизованная система, обеспечивающая автоматизацию бизнес-процессов с высоким уровнем производительности и качеством предоставляемых сервисов.

Обычно в состав ЦОД входят:

  • высоконадежное серверное оборудование;
  • системы хранения и передачи данных, включая системы резервного копирования;
  • системы энергообеспечения, кондиционирования и физического размещения;
  • системы мониторинга и управления;
  • системы безопасности;
  • резервные центры обработки информации;
  • решения по виртуализации ресурсов;
  • решения по консолидации.

Определены преимущества создания собственного ЦОД (или его аренды) - это предоставление отказоустойчивых инфраструктурных сервисов в режиме 24х7, повышение эффективности и надежности эксплуатации вычислительных ресурсов, упрощенное централизованное администрирование, снижение издержек на предоставление инженерных коммуникаций, высокий уровень защиты информационной системы, централизованное управление и учет ресурсов, контроль доступа к ЦОД (а также подключения в рамках применения специальных разъемов), простое и удобное масштабирование вычислительных ресурсов.

Обычно выделяют три основных вида ЦОД:

  1. Основной ЦОД - это специально подготовленное помещение (здание), оборудованное комплексом инженерных систем (разрабатывается индивидуально, исходя из конфигурации предоставленных помещений и потребностей заказчика).
  2. Комплексный ЦОД (от производителя).
  3. Мобильный (контейнерный).

Непрерывность работы любого ЦОД обычно измеряется в процентах рабочего времени в год. При наиболее распространенном уровне "три девятки" (99,9%) функционирование не должно прерываться в целом более чем на восемь часов в год. "Четыре девятки" (99,99%) допускают перерыв не более часа, "пять девяток" (99,999%) - это почти 100%-ная непрерывность, остановка не превышает и минуты. Объективной оценкой возможностей ЦОД можно считать только независимый аудит. При этом можно воспользоваться определенными стандартами для оценки. Это могут быть: ISO 17799, FISMA, Basel II, COBIT, HIPAA, NIST SP800-53.

Информационная безопасность ЦОД: анализ уровня зрелости

Если подходить к обеспечению безопасности информации, хранимой (обрабатываемой) в ЦОД, мы должны исходить из требований конфиденциальности, доступности и целостности. Необходимо отметить, что цель обеспечения безопасности и защиты функциональных приложений, сервисов и данных (информации) - сведение к приемлемому минимуму (анализ рисков, аппетит рисков) ущерба при возможных внешних и внутренних воздействиях.

Вопросы информационной безопасности ЦОД могут быть описаны только после проведения анализа текущего уровня, разработки проектного и стратегического уровней зрелости процесса управления непрерывностью бизнеса (BCM) в отношении критичных технологических процессов современной телекоммуникационной компании. Данный анализ уровня зрелости должен выполняться для ключевых областей процесса BCM в соответствии с методологией Института непрерывности бизнеса и проводиться по следующим областям:

  1. Анализ последствий для деятельности (BIA).
  2. Оценка рисков (RA).
  3. Корпоративная стратегия BCM.
  4. Уровень зрелости процесса BCM.
  5. Стратегия BCM в части восстановления ресурсов.
  6. План непрерывности бизнеса.
  7. Решения и планы восстановления ресурсов.
  8. План кризисного управления.
  9. Тренировки по BCM, культура, развитие осведомленности.
  10. Испытание процесса BCM.
  11. Поддержка и сопровождение процесса BCM.
  12. Аудит процесса BCM.
  13. Управление процессом BCM.
  14. Политика BCM.
  15. Верификация и валидация процесса BCM.

Основная цель управления функциональной стабильностью технологических процессов - обеспечить выполнение бизнес-функций компании в условиях воздействия дестабилизирующих факторов. Для выполнения анализа уровня зрелости компании в аспекте BCM разработана система оценки, основанная на материалах Института непрерывности бизнеса (BCI), Международной организации по стандартизации (ISO) и методологии CobIT Ассоциации аудита и контроля информационных систем (ISACA).

После проведения работ в рамках проекта ВСМ делаются выводы о том, нужен ли вообще ЦОД; строить собственный или арендовать; делать ли дублирующий. На этом этапе возникает вопрос обеспечения информационной и технологической безопасности с учетом анализа рисков всей компании.

Вопрос обеспечения информационной безопасности ЦОД можно формально разделить на безопасность сетевой части, серверной части и части хранения данных.

Этапы обеспечения безопасности ЦОД, объекты защиты

Основные этапы обеспечения безопасности ЦОД:

  • построение модели угроз;
  • выделение объектов, на которые могут быть направлены угрозы;
  • построение модели действий нарушителя;
  • оценка и анализ рисков;
  • разработка и внедрение в системы ЦОД методов и средств защиты.

Анализируя вышесказанное, становится ясно, что без построения СУИБ (системы управления информационной безопасностью) как всего предприятия, так и элемента (ЦОД) адекватной защиты не обеспечить.

Перечислим основные объекты защиты в ЦОД:

  • информация, циркулирующая в системе;
  • оборудование (элементы);
  • программное обеспечение.

Модель PDCA

Специалисты информационной безопасности уже прекрасно знают модель "Планирование-реализация-проверка-совершенствование" ("Plan-Do-Check-Act" - PDCA), которая применена для структурирования всех процессов СУИБ.

Сегодня многие организации, занимающие лидирующие позиции в области обеспечения ИБ, разрабатывают (согласно ФЗ "О техническом регулировании") корпоративный стандарт "Обеспечение информационной безопасности организаций", где в полной мере должны быть отражены и требования по ИБ ЦОД, которые должны обеспечить непрерывное выполнение бизнес-функций компании.

Отклонение от реализации данной модели чревато ошибками в реализации защиты, что приведет к потерям предприятия (утечка информации и т.п.).

Из чего должна состоять сетевая часть?

ЦОД может работать (обычно) как с Интернетом, так и с сетью на базе VPN-MPLS, поэтому в сетевой части должен стоять межсетевой экран (желательно в режиме failover), устройство, обеспечивающее шифрование трафика (особенно при соединении с Интернетом), системы обнаружения вторжения IDS/IPS, проходной антивирус. Кроме того, в сетевой части находятся корневые маршрутизаторы, балансировщик нагрузки и так называемый aggregation switch (работает на уровне 2 или 3, может агрегировать данные от нескольких физических портов).

Серверная часть

Серверная часть состоит из коммутаторов. Тут хорошо применять технологию VLAN для разграничения доступа и информационных потоков. Обычно именно эта часть отвечает за связь с центром управления сетью. В центре управления сетью может размещаться центр управления безопасностью (SOC). Здесь ставится система контроля доступа и идентификации (IDM).

Хранилище данных

В части хранилища данных находятся дисковые массивы, серверы бэкапирования, ленточные библиотеки. Вопросы обеспечения целостности очень важны именно в этой части ЦОД. Сейчас появились решения, по которым именно эта часть отвечает за связь с вторичным ЦОД (часто с использованием сети на основе технологии спектрального уплотнения сигнала (DWDM).
Интересным примером подобной реализации служит набор ЦОД, построенный компанией "Телеком Италия". Одной из задач построения защищенного ЦОД была реализация требований Закона "О персональных данных". Италия применила более строгие меры по защите, чем в европейской конвенции, из-за серьезной утечки данных о высокопоставленных чиновниках. Все персональные данные не только находятся в одном ЦОД, но и полностью контролируется их хранение, обработка. Около 25 человек постоянно контролируют системы обеспечения безопасностью из единого SOC.

Увеличение числа угроз и объема трафика заставляет владельцев центров обработки данных применять различные решения для их защиты, что, в свою очередь, приводит к бурному росту соответствующего рынка. Так, по данным Markets and Markets, общие продажи продуктов безопасности для ЦОДов должны составить в 2016 году 6,3 млрд долларов, а к 2021 году ожидается двукратное увеличение - до 12,9 млрд долларов, то есть приращение более 15% ежегодно. Схожие цифры приводят и другие аналитические агентства - например, Transparency Market Research прогнозирует ежегодный прирост в 12,6%.

В широком смысле обеспечение безопасности ЦОДа можно разделить на физическую и логическую защиту. Несмотря на всю важность первой, главные усилия сосредоточены на второй. Так, согласно Transparency Market Research, еще в 2013 году на логические компоненты тратилось 85% всех средств, направляемых на устранение риска угроз для ЦОДов. При этом из-за повсеместного перехода к облачным вычислениям и необходимости ускорения разработки приложений принципы защиты приходится пересматривать.

Актуальные темы защиты центров обработки данных обсуждались на секции «Безопасность» во время проведения форума «МИР ЦОД – 2016. Услуги. Облака».

АВТОМАТИЗИРОВАННАЯ ЗАЩИТА ОТ DDoS

DDoS-атаки привлекают, пожалуй, наибольшее внимание из-за их широкомасштабных последствий. Так, недавняя атака на серверы компании Dyn, контролирующей значительную часть инфраструктуры DNS, привела к недоступности множества известных сайтов в США и Европе. Это была самая крупная атака с использованием зараженных устройств, которые сейчас принято относить к Интернету вещей (в данном случае цифровых камер и DVD-плееров). Мощность атаки с использованием сети 100 тыс. ботов Mirai составила, по некоторым оценкам, 1,2 Тбит/с, что вдвое больше, чем когда-либо ранее (см. рис. 1).

Как отмечается в недавнем отчете Nexusguard (службы защиты от DDoS), число атак во II квартале 2016 года по сравнению с аналогичным периодом 2015 года уменьшилось почти на 40%, зато их интенсивность значительно возросла. Чтобы защититься от массированных атак, одних мер безопасности на уровне ЦОДа недостаточно. Между тем, как отмечает Антон Шевчук, менеджер по продукции Arbor Networks в компании Netwell, до сих пор есть заказчики, уверенные в том, что они могут уберечься от DDoS-атаки с помощью межсетевых экранов и систем предотвращения вторжений. Как свидетельствует статистика, свыше половины организаций, у которых были установлены эти устройства, столкнулись со сбоями сети в результате атак DDoS. Помимо использования специализированных средств, необходимо организовать эшелонированную оборону.

В ходе DDoS-атаки ресурсы ЦОДа подвергаются «бомбардировке» путем направления к ним множества специфических запросов и в конечном итоге перестают справляться с нагрузкой. Всего можно выделить три больших класса атак: массированные атаки на переполнение интернет-канала; атаки на устройства с контролем состояния, такие как балансировщики нагрузки, межсетевые экраны, серверы приложений; атаки на уровне приложений, небольшие по мощности, но не менее эффективные - как правило, они нацелены на конкретные уязвимости. DDoS-атаки легко организовать, а стоимость соответствующих предложений начинается от 5 долларов в час.

Концепция эшелонированной обороны для защиты от DDoS, предложенная компанией Arbor Networks, предполагает установку двух специализированных компонентов - в ЦОДе и у оператора. Первый позволяет блокировать все типы атак, однако, когда масштаб атаки на канал становится сопоставимым с имеющейся пропускной способностью, он обращается за помощью к компоненту, установленному у оператора. Поэтому, как отмечает Антон Шевчук, очень важно, чтобы эти компоненты «умели» взаимодействовать друг с другом.

Когда атака на канал достигает предопределенной мощности, компонент в ЦОДе сообщает оператору о необходимости очистки трафика, который направляется на определенный префикс. Кроме того, в идеале такое двухсоставное решение должно синхронизировать черные и белые списки, а также профили защиты. Ориентируясь на черные списки, оператор может осуществлять предварительную фильтрацию трафика, снижая нагрузку на систему защиты ЦОДа. Таким образом, клиенту (оператору ЦОДа) не нужно обращаться к провайдеру с просьбой о принятии срочных мер для блокирования атаки - защита включается автоматически, а время простоя сводится к минимуму.

У Arbor Networks есть различное оборудование - с производительностью от 100 Мбит/с до 160 Гбит/с на устройство. Эти решения могут разворачиваться и в виде виртуальных машин. В России услуги по защите от DDoS-атак на базе оборудования Arbor Networks предоставляют «Ростелеком», Orange, RETN, «Акадо» и другие операторы, а значит, уже сейчас эту модель можно реализовывать в подключенных к ним ЦОДах. Как заявляет Антон Шевчук, только такой подход позволяет предприятиям обеспечить защиту и доступность своих ресурсов.

ЗАЧЕМ НАМ АГЕНТ?

По оценкам зарубежных экспертов, общая величина потерь от взлома системы безопасности составляет в среднем около 4 млн долларов. В России цифры сопоставимые. Так, согласно отчету Русского международного банка, 21 января 2016 года на него была совершена хакерская атака, в результате которой с корсчета банка в ЦБ похищено 508 млн руб. Многие атаки начинаются с того, что злоумышленник получает доступ, в том числе с помощью социальной инженерии, к рабочему месту, одной ВМ, а с нее уже инициируются атаки.

В новой, виртуальной реальности те решения, которые использовались десятилетиями для защиты физических сред, перестают работать. По мнению Юрия Бражникова, генерального директора 5nine Software по России и СНГ, подобные инциденты, во всяком случае заметная их часть, связаны именно с тем, что многие компании продолжают использовать старые средства управления и защиты для сред виртуализации, которые основаны на агентском подходе. При этом на каждую защищаемую единицу (ВМ) устанавливается агент, что не всегда оправданно, тем более что его можно отключить. К тому же при непосредственной защите конечных точек потребляется большое количество ограниченных ресурсов, из-за чего существенно снижаются производительность и эффективность ЦОДа.

Старая модель была сфокусирована на защите конечных точек, но теперь многие нагрузки перемещаются на серверы и в облака. Между тем, по словам Юрия Бражникова, известные производители продолжают воспроизводить в виртуальной среде архитектуру информационной безопасности, изначально разработанную для физической среды. Это приводит к тому, что новые уязвимости на уровне гипервизора и ОС оказываются незащищенными. Так, например, атаки на уровне виртуальной сети или с одной ВМ на другую не определяются аппаратными средствами, контролирующими физическую среду.

Внутри виртуальной среды надо использовать новые способы защиты. Так, в соответствии с рекомендациями ЦБ РФ по обеспечению информационной безопасности при использовании технологии виртуализации, предпочтительным решением является применение средств защиты от воздействия вредоносного кода на уровне гипервизора без установки агентского ПО на виртуальные машины. Однако такой подход возможен, только если разработчик имеет доступ на уровень виртуального коммутатора, внутри которого и проходят все пакеты, которые потом доставляются в ВМ. Будучи партнером по разработке решений для защиты и управления виртуальными средами на базе Microsoft Hyper-V, компания 5nine Software имеет доступ к виртуальному коммутатору Hyper-V, на уровне которого и реализуется защита (см. рис. 2).

Такой подход позволяет сэкономить до 30% ресурсов сервера, а антивирусное сканирование выполняется в 70 раз быстрее. В числе других преимуществ безагентского подхода Юрий Бражников называет устранение зависимости от действий персонала и клиентов, поскольку систему защиты нельзя отключить на уровне ВМ. Кроме того, общая трудоемкость обеспечения безопасности в результате снижается, поскольку теперь не нужно заботиться о каждой ВМ. Политику можно настроить на хосте или в центре управления, а затем очень быстро масштабировать ее в рамках ЦОДа, ведь виртуальная среда чрезвычайно динамична - ВМ постоянно создаются, переносятся и ликвидируются.

Благодаря интеграции 5nine Cloud Security Plugin в System Center, провайдеры могут предоставить своим клиентам не только средства управления инфраструктурой, но и инструменты контроля за безопасностью. «Любой клиент сможет самостоятельно обеспечивать и контролировать безопасность своих решений, - говорит Юрий Бражников. - Если вы пользуетесь ресурсами нескольких ЦОДов (например, собственного и принадлежащего хостинг-провайдеру), политики безопасности синхронизируются, так что при миграции в случае аварии или перераспределения нагрузки из одного центра в другой будут сохраняться все настройки корпоративной безопасности».

Если на начальном этапе в облако переносились емкие, но не самые ценные ресурсы, то теперь, когда на повестке дня встал вопрос о переносе критичных ресурсов, камнем преткновения оказывается вопрос обеспечения ИБ. Когда клиент передает свои ключевые бизнес-сервисы в облако, он хочет быть уверен в поддержании такой политики безопасности, которая удовлетворяет его требованиям.

БЕЗОПАСНОСТЬ - ЭТО СЕТЬ

Резонансные взломы системы безопасности с очевидностью продемонстрировали, что традиционная защита периметра, фокусирующаяся на трафике «север - юг» (межсетевые экраны, системы обнаружения и предотвращения, защищающие от атак извне), не способна оградить от неприятностей центр обработки данных, где между серверами преобладает трафик «восток - запад», не выходящий за его пределы. По некоторым оценкам, на последний приходится три четверти всего объема трафика ЦОДа.

Действенным решением проблемы разграничения трафика внутри центра обработки данных является микросегментация: разделение на многочисленные защищенные зоны. Благодаря современным виртуализированным решениям практически каждая виртуальная машина может быть снабжена собственным межсетевым экраном, что позволяет создать сеть с нулевым уровнем доверия внутри ЦОДа. Однако, как уже отмечалось в предыдущем разделе, гораздо более эффективным решением оказывается реализация средств безопасности на уровне гипервизора - речь идет о встроенном в этот гипервизор виртуальном коммутаторе.

Появление такого устройства стало ответом на потребность в обеспечении оперативного развертывания и динамической миграции виртуальных машин и приложений. Например, при развертывании нового приложения после запуска ВМ нужно было вручную задать VLAN, сконфигурировать маршрутизацию в физической сети, настроить политики МСЭ. Все эти операции занимали время, и к тому же они оказывались уникальными для каждой аппаратной платформы, на которой построен ЦОД. Иначе говоря, приложения и ВМ были привязаны к конкретной физической сети. Необходимо было устранить эту привязку, то есть виртуализировать сеть. Теперь, как отмечает Александр Кренев, руководитель направления сетевой виртуализации в московском офисе VMware, у каждой платформы виртуализации есть свой коммутатор, который является для нее «родным». Например, для гипервизора ESXi такой виртуальный распределенный коммутатор - Distributed Virtual Switch, для KVM в масштабах ЦОДа таковым можно считать Open Virtual Switch и т. д.

Поверх виртуального коммутатора на программном уровне реализуютcя базовые сетевые функции: коммутация, маршрутизация, брандмауэр и балансировка нагрузки. Каждый физический сервер с гипервизором становится не просто вычислительной платформой, на которой можно выделить ресурсы виртуальным машинам, но еще и многогигабитным коммутатором и маршрутизатором (старый слоган «сеть - это компьютер» получает новый смысл). Чтобы эти функции работали, нужна базовая IP-связность между серверами. На физической сети больше не нужно тратить время на настройку VLAN - достаточно один раз настроить транспортную сеть. Для передачи трафика через физическую сеть используется инкапсуляция VxLAN.

Использование виртуальных коммутаторов позволяет автоматизировать рутинные операции по настройке сети, ускорить аварийное восстановление и, конечно, повысить эффективность защиты. «Когда функции безопасности и фильтрации трафика выполняются на уровне виртуальной платформы, на уровне гипервизора, приложения можно защитить независимо от нижележащей физической архитектуры, - объясняет Александр Кренев. - Наверняка многие слышали о микросегментации или о модели нулевого доверия. Построить такую модель на платформе сетевой виртуализации очень просто, для этого не потребуется развертывать множество МСЭ».

Если отойти от вопросов безопасности и взглянуть чуть шире, то виртуализация сети открывает путь к реализации полностью программно определяемых центров обработки данных (см. рис. 3).

НА ЗАЩИТУ ПРИЛОЖЕНИЙ

В своем прогнозе на 2017 год среди 10 ключевых технологических тенденций Gartner называет адаптивную архитектуру защиты. Правда, по сравнению с прогнозом на текущий 2016-й, она теперь находится не на седьмом месте, а на десятом, что объясняется скорее эффектом потери новизны, чем снижением актуальности. Как отмечается в комментарии, «многоуровневая защита и анализ поведения пользователей и объектов станут обязательными требованиями для каждого предприятия».

Адаптивная защита предполагает встраивание мер безопасности во все бизнес-процессы - реализация их постфактум означает создание проблем самому себе. Соответственно, специалисты по безопасности должны тесно взаимодействовать с архитекторами решений и разработчиками приложений для включения мер безопасности еще на этапе проектирования решений и разработки приложений. Последние все чаще становятся объектом целенаправленных атак.

Как отметил в своем выступлении Рустэм Хайретдинов, заместитель генерального директора InfoWatch и руководитель проекта Appercut, все научились неплохо защищать свою сеть, поэтому атаки постепенно переносятся на прикладной уровень. К сожалению, они не детектируются с помощью традиционных средств, неспособных определить, где запрограммированная функция, а где просмотренная ошибка, - то есть нет аномалий, по которым можно решить, что идет атака.

При развертывании облачных сервисов большее внимание уделялось возможностям, но не рискам. «Теперь же настала пора фиксировать успехи, - призывает Рустэм Хайретдинов, - и думать об угрозах, которые начинают захлестывать сервисы, построенные без учета такой опасности». Выстроенная защита, ориентированная на монолитные приложения, безусловно, позволяет нивелировать часть из них, потому что старые атаки никуда не делись. Однако нападению подвергается не только сервис в целом (что выражается в попытках заблокировать канал или реализовать какие-то другие известные атаки), но и отдельные приложения в нем.

Эта ситуация усугубляется тем, что провайдеры не имеют контроля за предоставляемыми приложениями, которые к тому же часто обновляются. Ведь облако - неважно IaaS, PaaS или SaaS - это, по сути, некоторый набор приложений, создаваемых другими людьми. «Не зная, как устроены конкретные приложения, отражать новые атаки против них, при организации которых используется специфика их написания и проектирования, становится все труднее», - предостерегает он.

Злоумышленники используют ошибки и уязвимости в тех приложениях, которые пишутся быстро в соответствии с гибкой методологией разработки (agile). Скорость вывода на рынок новых функций оказывается важнее обеспечения их безопасности, к тому же старые методы защиты просто не успевают за скоростью разработки. Так, тест на проникновение (pentest) занимает несколько недель, и к моменту его завершения можно быть уверенным лишь в том, что позапрошлая версия сайта была безопасной.

Разработка ускоряется, практически «идет с колес» - изменения происходят каждые две недели, а такие проверки, как тест на проникновение, выполняются раз в полгода. В сложившейся ситуации есть лишь один выход - интеграция систем защиты с самим объектом. Однако пока подобная возможность реализована только в крупнейших сервисах уровня Amazon, где отдельной службы безопасности нет: имеются ответственные за безопасность в команде разработчиков и представители той же команды, например, в подразделении, обеспечивающем доступность.

Таким образом, подход к защите приложений кардинально меняется (см. рис. 4). «Я думаю, что к 20-м годам парадигмы разработки и защиты приложений полностью обновятся. Они сольются и будут развиваться вместе. Эта тенденция явно прослеживается, - заключает Рустэм Хайретдинов. - Сейчас мы находимся на промежуточном этапе, который характеризуется реализацией адаптивной безопасности, когда средство защиты не только изучает тот или иной защищаемый объект, но и подстраивается под него, а также подстраивает объект под свои требования. Однако пока здесь больше вопросов, чем ответов».

КАК ЗАЩИТИТЬ ЦОД

Атаки становятся многослойными, многоэтапными и многоуровневыми, они осуществляются с разных сторон, с разведкой, с отвлечением, с прикрытием. Сейчас уже нет чистой DDoS- или чистой хакерской атаки. Поэтому те, кто проектирует средства защиты, должны разбираться в видах атак. Только в рамках ЦОДа серьезного хостинг-провайдера можно собрать компетенции и оборудование такого уровня, которое сможет противостоять атакам DDoS и прочим видам наиболее тяжелых и разрушительных для бизнеса и репутации компании действий. О том, как организована защита реального ЦОДа, в своем выступлении рассказал Владимир Малиновский, руководитель продаж решений дата-центра Lattelecom, национального латвийского провайдера телекоммуникационных и облачных услуг.

Провайдеры облачных услуг находятся в основной группе риска - именно против них направлена основная доля атак DDoS. Однако даже провайдеру невозможно реализовать сразу все меры защиты, поэтому их внедрение происходило поэтапно. Построенный в 2013 году центр обработки данных Dattum отвечает базовым требованиям к физической защите ЦОДа уровня Tier III: отделенный периметр вокруг помещений ЦОДа, круглосуточная физическая охрана, комбинированный контроль доступа с использованием RFID и биометрии, а также удаленное видеонаблюдение с ведением архива записей. Однако, как отмечает Владимир Малиновский, физическая защита представляет собой лишь небольшую часть мер по обеспечению безопасности.

Прежде всего в Lattelecom классифицировали имеющиеся данные по критериям их критичности и доступности и свели все в таблицу, которая позволяет наглядно видеть, для чего требуется обеспечить приоритетную защиту (см. рис. 5). «Составив такую таблицу, вы уже более-менее понимаете, какими системами нужно заниматься в первую очередь», - объясняет Владимир Малиновский. Кроме этого, для ЦОДа в целом были определены основные источники угроз, к которым отнесены DDoS-атаки, хакеры, нелояльные сотрудники и клиенты хостинга.

На следующий год после введения ЦОДа в эксплуатацию были реализованы меры по обеспечению соответствия требованиям PCI DSS. Cертификация по PCI DSS нужна для тех клиентов, кто проводит финансовые транзакции. Этот сложный процесс предполагает реализацию целой программы, состоящей из более чем 250 пунктов. Для защиты сетевого периметра было развернуто решение AlientVault. Платформа AlienVault Security Management (USM) позволяет контролировать пять основных функций безопасности с единой консоли: инвентаризацию активов, оценку уязвимостей, мониторинг поведения, обнаружение вторжения и корреляцию событий безопасности (SIEM).

Толчком к внедрению следующего уровня защиты стало председательство Латвии в ЕС - требовалось обезопасить Интернет в национальном масштабе. Для защиты от DDoS-атак было внедрено решение RADware, однако для компании оно оказалось избыточным, поэтому на его базе было организовано предоставление услуг для банков. Реальный спрос на них появился только после того, как банки подверглись атакам. «Когда банки стали получать «письма счастья» от хакеров с предложением заплатить деньги, на следующий день почти все они приходили к нам и заключали договоры, и мы успешно устранили все угрозы», - рассказывает Владимир Малиновский.

Наконец, в этом году была реализована система RAPID 7, которая позволяет проводить тестирование уязвимостей в ОС и сервисах, выявлять ошибки в конфигурации, проверять соответствие политикам безопасности. Она же позволяет имитировать взлом, оценить уровень готовности системы к работе и составить отчет с рекомендациями о внесении требуемых улучшений. Lattelecom предлагает услуги по выявлению уязвимостей своим клиентам: «Казалось бы, можно один раз выполнить сканирование и на этом успокоиться. На самом деле после любого изменения в ОС и установки любой заплаты сканирование необходимо проводить снова. Так что заказчикам оказывается выгоднее подписаться на услугу», - резюмирует представитель Lattelecom.

МЕЧ И ЩИТ

Вечное противостояние между нападением и защитой выходит на новый уровень. Атаки быстро роботизируются, а боты уже имеют признаки искусственного интеллекта: они действуют автономно, сами находят приложения с уязвимостями, которые они умеют вскрывать, и начинают действовать по определенной программе. Такие концепции, как адаптивная архитектура защиты, предполагают переход от пассивных мер к активному противодействию в стремлении переиграть киберпреступников на их поле. Как выражаются в Gartner, защита должна стать «подвижной и адаптивной».

Однако на завершавшей форум дискуссии «Модель угроз для дата-центра. Чего бояться и что защищать в первую очередь» много говорилось о том, что применяемые меры защиты все же недостаточны: исключить на 100% вероятность успешной атаки неспособно ни одно техническое средство, если существует обмен данными с какой-то внешней системой и информация передается вовне. Для сведения ущерба к минимуму одним из решений могут быть принятие модели минимального доверия в ЦОДе, разграничение и ограничение прав администраторов, микросегментация сети.

Более-менее крупные компании стремятся построить свои ЦОДы и обеспечить их защиту собственными силами - такая критичная функция, как безопасность, делегируется весьма неохотно. Как известно, одной из самых больших угроз для любой ИС является тот, кто ее эксплуатирует. Однако, как указывают провайдеры услуг ЦОДов, облачные ресурсы более абстрагированы от конкретного персонала, чем корпоративные. К тому же провайдеры целенаправленно накапливают необходимые компетенции для организации профессиональной и потому эффективной защиты.

Обеспечивать безопасность самому или довериться провайдерам услуг ИБ - каждый выбирает в зависимости от своих приоритетов и возможностей, но угнаться в гонке кибервооружений за злоумышленниками становится все сложнее. И погоня оказывается совсем безнадежным делом, если пытаться обойтись лишь устаревшими методами периметральной защиты.

Дмитрий Ганьжа , главный редактор «Журнала сетевых решений/LAN»



Разделы