Безопасность дата-центра

Безопасность центра обработки данных — это набор политик, мер предосторожности и практик, принятых в центре обработки данных для предотвращения несанкционированного доступа и манипулирования его ресурсами. ^[1] В центре обработки данных размещаются корпоративные приложения и данные, поэтому обеспечение надлежащей системы безопасности имеет решающее значение. Отказ в обслуживании (DoS), кража конфиденциальной информации, изменение и потеря данных — вот некоторые из распространенных проблем безопасности, от которых страдают центры обработки данных. ^[2]

Проблемы безопасности данных иногда могут нанести вред многим компаниям, поэтому очень важно знать, в чем заключаются проблемы, и находить для них полезные решения. Целью безопасности данных является защита цифровой информации от несанкционированного доступа. Также важно отметить, что безопасность данных отличается от конфиденциальности данных . Существует множество ситуаций, когда безопасность центров обработки данных может оказаться под угрозой, особенно в случае облачных данных .

Обзор

Согласно стоимости исследования утечки данных , ^[3] в котором приняли участие 49 американских компаний из 14 различных секторов промышленности, они заметили, что:

39% компаний утверждают, что халатность была основной причиной утечки данных
На злонамеренные или преступные атаки приходится 37 процентов от общего числа нарушений.
Средняя стоимость нарушения составляет 5,5 миллиона долларов.

Многие крупные компании в настоящее время используют облако для хранения своих данных и данных своих клиентов, но риски сохранения данных в облаке могут быть огромными. Кибератаки могут нанести большой вред многим компаниям. Только в 2020 году 64% компаний по всему миру столкнулись с проблемами кибератак. ^[4] Некоторые кибератаки, нацеленные на личную информацию, такие как кража личных данных, могут нанести ущерб чьему-либо кредиту и повлиять на изменение жизни.

Потребность в безопасном дата-центре

Физическая безопасность необходима для защиты стоимости находящегося в нем оборудования. ^[5]

Защита данных

Цена нарушения безопасности может иметь серьезные последствия как для компании, управляющей центром обработки данных, так и для клиентов, чьи данные копируются. Взлом в 2012 году компании Global Payments, поставщика процессинговых услуг для Visa, в результате которого были украдены 1,5 миллиона номеров кредитных карт, подчеркивает риски хранения и управления ценными и конфиденциальными данными. ^[6] В результате партнерство Global Payments с Visa было прекращено; ^[7] По оценкам, они потеряли более 100 миллионов долларов.

Инсайдерские атаки

Защита от уязвимостей программного обеспечения, которыми можно воспользоваться, часто строится на предположении, что «инсайдерам» можно доверять. ^[8] Исследования показывают, что внутренние атаки, как правило, более разрушительны из-за разнообразия и объема информации, доступной внутри организаций.

Уязвимости и распространенные атаки

Количество данных, хранящихся в центрах обработки данных, увеличилось, отчасти из-за концентрации, создаваемой облачными вычислениями. ^[3]

Угрозы

Некоторые из наиболее распространенных угроз для центров обработки данных:

DoS (отказ в обслуживании)
Кража или изменение данных
Несанкционированное использование вычислительных ресурсов
Кража личных данных

Уязвимости

К распространенным уязвимостям относятся:

Реализация : недостатки дизайна программного обеспечения и протоколов, ошибки кодирования и неполное тестирование.
Конфигурация : использование значений по умолчанию, элементы настроены неправильно.

Эксплуатация устаревшего программного обеспечения

Многие «червевые» атаки на центры обработки данных использовали известные уязвимости:

Использование настроек программного обеспечения по умолчанию

Многие системы поставляются с учетными записями и паролями по умолчанию, которые используются для несанкционированного доступа и кражи информации.

Распространенные атаки

Общие атаки включают в себя:

Сканирование или зондирование . Одним из примеров атаки на основе зондирования или сканирования является сканирование портов , при котором используются «запросы к диапазону адресов портов сервера на хосте», чтобы найти «активный порт», а затем нанести вред через « известная уязвимость этого сервиса.». ^[12]^[13] Эта разведывательная деятельность часто предшествует нападению; его цель — получить доступ путем обнаружения информации о системе или сети.
DoS (отказ в обслуживании) : атака типа «отказ в обслуживании» происходит, когда законные пользователи не могут получить доступ к информационным системам, устройствам или другим сетевым ресурсам из-за действий злонамеренного субъекта киберугроз. ^[14] Этот тип атаки генерирует большой объем данных для преднамеренного использования ограниченных ресурсов, таких как полоса пропускания, циклы ЦП и блоки памяти.
Распределенный отказ в обслуживании (DDoS) . Этот вид атаки является частным случаем DoS, когда большое количество систем скомпрометировано и используется в качестве источника или трафика при синхронизированной атаке. В такого рода атаках хакер использует не один IP-адрес, а тысячи из них. ^[15]
Несанкционированный доступ : когда кто-то, кроме владельца учетной записи, использует привилегии, связанные со скомпрометированной учетной записью, для доступа к ограниченным ресурсам с использованием действующей учетной записи или бэкдора. ^[16]
Подслушивание : Этимологически подслушивание означает тайное прослушивание разговора. ^[17] В сетевой сфере это несанкционированный перехват информации (имен пользователей, паролей), которая передается по сети. Входы пользователей являются наиболее распространенными сигналами.
Вирусы и черви . Это вредоносный код, который при запуске приводит к нежелательным результатам. Черви — это самовоспроизводящиеся вредоносные программы. ^[18] тогда как вирусы, которые также могут размножаться, требуют каких-то действий человека, чтобы нанести ущерб. ^[19]
Атаки на инфраструктуру Интернета . Этот вид атак нацелен на критически важные компоненты инфраструктуры Интернета, а не на отдельные системы или сети.
Эксплуатация доверия . Эти атаки используют доверительные отношения, которыми должны обмениваться компьютерные системы.
Перехват сеанса, также известный как перехват файлов cookie : состоит из кражи законного сеанса, установленного между целью и доверенным хостом. Злоумышленник перехватывает сеанс и заставляет цель поверить, что она общается с доверенным хостом. ^[20]
Атаки на переполнение буфера . Когда программа выделяет буферное пространство памяти сверх того, что она зарезервировала, это приводит к повреждению памяти, влияющему на данные, хранящиеся в областях памяти, которые были переполнены. ^[21]
Атаки уровня 2. Этот тип атаки использует уязвимости протоколов уровня канала передачи данных и их реализаций на платформах коммутации уровня 2.
SQL-инъекция : также известная как внедрение кода. Это когда ввод в форму ввода данных из-за неполной проверки данных позволяет вводить вредоносный ввод, который приводит к выполнению вредоносных инструкций. ^[22]

Инфраструктура сетевой безопасности

Инфраструктура сетевой безопасности включает в себя инструменты безопасности, используемые в центрах обработки данных для обеспечения соблюдения политик безопасности. Эти инструменты включают в себя технологии фильтрации пакетов, такие как списки ACL, межсетевые экраны и системы обнаружения вторжений (IDS), как на уровне сети, так и на уровне хоста.

ACL (список контроля доступа)

Списки ACL — это механизмы фильтрации, явно определенные на основе информации заголовка пакета, позволяющие разрешать или запрещать трафик на определенных интерфейсах. Списки ACL используются в нескольких местах в центре обработки данных, таких как Internet Edge и ферма серверов интрасети. Ниже описаны стандартные и расширенные списки доступа:

Стандартные списки ACL: самый простой тип ACL, фильтрующий трафик исключительно на основе исходных IP-адресов. Стандартные списки ACL обычно развертываются для контроля доступа к сетевым устройствам для управления сетью или удаленного доступа. Например, можно настроить стандартный список ACL в маршрутизаторе, чтобы указать, каким системам разрешено подключаться к нему через Telnet. Стандартные списки ACL не рекомендуются для фильтрации трафика из-за недостаточной детализации. Стандартные ACLS в маршрутизаторах Cisco имеют номер от 1 до 99.

Расширенные списки ACL: Решения по расширенной фильтрации ACL основаны на IP-адресах источника и назначения, протоколах уровня 4, портах уровня 4, типе и коде сообщения ICMP, типе службы и приоритете. В маршрутизаторах Cisco можно определить расширенные списки ACL по имени или по номеру в диапазоне от 100 до 199. ^[2]

Брандмауэры

Брандмауэр — это сложное фильтрующее устройство, которое разделяет сегменты локальной сети, присваивая каждому сегменту разный уровень безопасности и создавая периметр безопасности, который контролирует поток трафика между сегментами. Брандмауэры чаще всего развертываются на границе Интернета, где они действуют как граница с внутренними сетями. Ожидается, что они будут обладать следующими характеристиками:

Производительность: основная цель брандмауэра — разделить защищенные и незащищенные области сети. Затем межсетевые экраны размещаются на основном пути трафика, потенциально подвергающемся воздействию больших объемов данных. Следовательно, производительность становится естественным фактором проектирования, гарантирующим соответствие брандмауэра конкретным требованиям.

Поддержка приложений. Еще одним важным аспектом является способность межсетевого экрана контролировать и защищать определенное приложение или протокол, например Telnet, FTP и HTTP. Ожидается, что межсетевой экран будет понимать обмен пакетами на уровне приложения, чтобы определить, следуют ли пакеты поведению приложения, и, если нет, запрещает трафик.

Существуют различные типы межсетевых экранов в зависимости от их возможностей обработки пакетов и осведомленности об информации уровня приложения:

Межсетевые экраны с фильтрацией пакетов
Прокси-брандмауэры
Брандмауэры с отслеживанием состояния
Гибридные межсетевые экраны ^[2]

IDS

IDS — это системы реального времени, которые могут обнаруживать злоумышленников и подозрительные действия и сообщать о них в систему мониторинга. Они настроены на блокирование или смягчение текущих вторжений и, в конечном итоге, на защиту систем от будущих атак. Они состоят из двух фундаментальных компонентов:

Датчики: устройства и программные агенты, которые анализируют сетевой трафик или использование ресурсов конечных систем для выявления вторжений и подозрительных действий.
Управление IDS: система с одним или несколькими устройствами, используемая для настройки и администрирования датчиков, а также для дополнительного сбора всей аварийной информации, генерируемой датчиками. Датчики эквивалентны инструментам наблюдения, а управление IDS — это центр управления, наблюдающий за информацией, создаваемой инструментами наблюдения. ^[2]

Уровень безопасности 2

Коммутаторы Cisco уровня 2 предоставляют инструменты для предотвращения распространенных атак уровня 2 (сканирование или зондирование, DoS, DDoS и т. д.). Ниже приведены некоторые функции безопасности, на которые распространяется уровень безопасности 2 :

Безопасность порта
ARP-инспекция
Частные VLAN
Частные VLAN и межсетевые экраны

Меры безопасности

Ворота в дата-центре для предотвращения несанкционированного доступа

Процесс обеспечения безопасности центра обработки данных требует как комплексного подхода к системному анализу, так и постоянного процесса, который повышает уровень безопасности по мере развития центра обработки данных. Центр обработки данных постоянно развивается по мере появления новых приложений или услуг. Атаки становятся все более изощренными и частыми. Эти тенденции требуют постоянной оценки готовности системы безопасности.

Ключевым компонентом оценки готовности к обеспечению безопасности являются политики, регулирующие применение безопасности в сети, включая центр обработки данных. Приложение включает в себя как лучшие практики проектирования, так и детали реализации. ^[2] В результате безопасность часто рассматривается как ключевой компонент основных требований к инфраструктуре. Поскольку ключевой обязанностью центров обработки данных является обеспечение доступности сервисов, системы управления центром обработки данных часто учитывают, как его безопасность влияет на потоки трафика, сбои и масштабируемость. В связи с тем, что меры безопасности могут различаться в зависимости от конструкции ЦОД, использования уникальных функций, требований соответствия или бизнес-целей компании, не существует набора конкретных мер, охватывающих все возможные сценарии. ^[23]

Обычно существует два типа безопасности центров обработки данных: физическая безопасность и виртуальная безопасность. ^[24]

Физическая безопасность

Физическая безопасность центра обработки данных — это набор протоколов, встроенных в объекты центра обработки данных для предотвращения любого физического повреждения машин, хранящих данные. Эти протоколы должны быть в состоянии справиться со всем: от стихийных бедствий до корпоративного шпионажа и террористических атак. ^[25]

Чтобы предотвратить физические атаки, центры обработки данных используют такие методы, как:

Сеть видеонаблюдения: локации и точки доступа с сохранением видео до 90 дней. ^[26]
24×7
- охрана на территории,
- Центр сетевых операций (NOC) Сервисно-техническая группа
Турникет с защитой от ворот/обратного прохода. Разрешает проход только одному человеку после аутентификации.
Единая точка входа в комплекс колокейшн.
Минимизация трафика за счет выделенных залов обработки данных, помещений и ячеек.
Дальнейшее ограничение доступа к частным клеткам
Трехфакторная аутентификация
Объекты, соответствующие стандарту SSAE 16 .
Проверка происхождения и конструкции используемого оборудования.
Снижение инсайдерского риска за счет мониторинга деятельности и обеспечения безопасности учетных данных. ^[27]
Мониторинг температуры и влажности
Противопожарная защита с помощью зонального сухотрубного спринклера
Места, защищенные от стихийных бедствий ^[28]

Виртуальная безопасность

Виртуальная безопасность — это меры безопасности, принимаемые центрами обработки данных для предотвращения удаленного несанкционированного доступа, который может повлиять на целостность, доступность или конфиденциальность данных, хранящихся на серверах. ^[29]

Виртуальная или сетевая безопасность — сложная задача, поскольку существует множество способов ее атаки. Хуже всего то, что он развивается год за годом. Например, злоумышленник может решить использовать вредоносное ПО (или аналогичные эксплойты), чтобы обойти различные брандмауэры и получить доступ к данным. Старые системы также могут поставить под угрозу безопасность, поскольку они не содержат современных методов защиты данных. ^[24]

Виртуальные атаки можно предотвратить с помощью таких методов, как

Надежное шифрование данных во время передачи или нет: 256-битное SSL-шифрование для веб-приложений. 1024-битные открытые ключи RSA для передачи данных. 256-битное шифрование AES для файлов и баз данных.
Журналы аудита действий всех пользователей.
Защищенные имена пользователей и пароли: шифрование с помощью 256-битного SSL, требования к сложным паролям, настройка запланированного срока действия, предотвращение повторного использования паролей.
Доступ в зависимости от уровня допуска.
Интеграция AD/LDAP.
Управление по IP-адресам.
Шифрование файлов cookie идентификатора сеанса для идентификации каждого уникального пользователя.
Наличие двухфакторной аутентификации.
Стороннее тестирование на проникновение проводится ежегодно. ^[26]
Предотвращение вредоносного ПО с помощью межсетевых экранов и автоматического сканера ^[30]

Безопасность компании

Некоторые возможные стратегии повышения безопасности данных в компании:

Определите риски. Найдите все инструменты, которые могут хранить данные, такие как компьютеры и базы данных, и убедитесь, что все хранится в соответствии с требованиями.
Обзор существующих систем безопасности данных. Проверьте наличие обновлений в действующей системе безопасности данных, если они есть. Иногда устаревшие данные необходимо удалить, а также полезно установить программное обеспечение для очистки, которое поможет компании удалить неиспользуемые или ненужные данные.
Соберите команду по обеспечению безопасности данных. Создайте профессиональную команду внутренней безопасности, которая поможет компании защитить свои данные и сэкономить деньги на найме других групп безопасности. У группы безопасности должен быть план восстановления на случай, если произойдет что-то неожиданное.
Обновите подход к обеспечению безопасности данных. Убедитесь, что доступ к системе имеют только авторизованные люди. Программное обеспечение для шифрования необходимо, поскольку оно может защитить данные от людей, которые расшифровывают систему. Если правильный ключ не был предоставлен, программное обеспечение может сделать данные бесполезными для других людей. Программное обеспечение для маскировки данных — это еще одно полезное программное обеспечение, поскольку оно может скрыть от просмотра некоторую конфиденциальную информацию. Последнее программное обеспечение — это программное обеспечение для оценки рисков, которое представляет собой инструмент, который помогает пользователям отслеживать и проверять свои сетевые ценные бумаги.

Ссылки

^ Крейг Вольф (13 декабря 1989 г.). «Отчет обнаруживает неисправности в компьютерах скорой помощи» . Нью-Йорк Таймс . слишком много сотрудников EMS имеют доступ к...
^ Jump up to: ^а ^б ^с ^д ^и Морис Портолани, Морис Аррегосес (2004). Основы дата-центра . Издательства, Cisco Press, 800 East 96th Street, Индианаполис, Индиана, 46240 США, Глава 5.
^ Jump up to: ^а ^б Четыре уровня физической безопасности центра обработки данных для комплексного и интегрированного подхода [1]
^ «Что нужно знать о безопасности данных в 2021 году» . Разведка безопасности . Проверено 10 апреля 2022 г.
^ «Ограбление центров обработки данных приводит к новому мышлению о безопасности» .
^ Джессика Сильвер-Гринберг (2 апреля 2012 г.). «После утечки данных Visa удаляет поставщика услуг» . Нью-Йорк Таймс .
^ Робин Сайдел (2 апреля 2012 г.). «Процессор карт: хакеры украли номера счетов» . «Уолл Стрит Джорнал» (WSJ) . Visa сняла с себя печать одобрения
^ Отчет CSI/ФБР 2003 г. «Обзор компьютерной преступности и безопасности». Архивировано 23 ноября 2022 г. в Wayback Machine.
^ Дэвид Мур; Коллин Шеннон (2001). «Распространение Code-Red Worm (CRv2)» . Проверено 3 октября 2006 г.
^ «Сетевой червь: описание W32/Nimda» . F-secure.com (F-Secure Labs) .
^ Джон Лейден (6 февраля 2003 г.). «Slammer: Почему безопасность выигрывает от проверки концептуального кода» . Регистр .
^ «Атаки сканирования портов и методологии их обнаружения» .
^ Виталий Шматиков; Мин-Сю Ван. «Безопасность от атак с ответом на зондирование при совместном обнаружении вторжений» (PDF) . Техасский университет в Остине.
^ «Понимание атак типа «отказ в обслуживании»» . США-CERT. 6 февраля 2013 года . Проверено 26 мая 2016 г.
^ Халифе, Солтаниан, Мохаммад Реза. Теоретические и экспериментальные методы защиты от DDoS-атак . Амири, Ирадж Садег, 1977-. Уолтем, Массачусетс. ISBN 0128053992 . ОКЛК 930795667.
^ Сертификаты GIAC. Сертификационный документ по глобальному обеспечению информационной безопасности .
^ «Подслушивать - Определение подслушивания на английском языке в Оксфордских словарях» . Оксфордские словари - английский.
^ Барвайз, Майк. «Что такое интернет-червь?» . Би-би-си.
^ Столлингс, Уильям (2012). Компьютерная безопасность: принципы и практика . Бостон: Пирсон. п. 182. ISBN 978-0-13-277506-9 .
^ «Предупреждение о взломе Wi-Fi веб-почты» . Новости Би-би-си. 3 августа 2007 г.
^ «Современные цели переполнения» (PDF) .
^ Ли, К. (май 2019 г.). «Метод обнаружения SQL-инъекций на основе LSTM для интеллектуальной транспортной системы». Транзакции IEEE по автомобильным технологиям . 68 (5): 4182–4191.
^ Справочное руководство Cisco SAFE [2], глава 4.
^ Jump up to: ^а ^б Богатые типы Banta для безопасности центров обработки данных
^ Сара Д. Скалет. 19 способов обеспечить физическую безопасность вашего центра обработки данных. Архивировано 8 июля 2022 г. в Wayback Machine.
^ Jump up to: ^а ^б Обзор безопасности и центра обработки данных
^ Обзор проектирования безопасности инфраструктуры Google
^ Центр обработки данных Илиада, «Безопасность центра обработки данных». Архивировано 23 октября 2021 г. в Wayback Machine, глава 4.
^ Защита облачной инфраструктуры Microsoft , 2009.
^ «Управление центром обработки данных» (PDF) . Архивировано из оригинала (PDF) 23 ноября 2022 г. Проверено 30 июня 2018 г.

[1] Крейг Вольф (13 декабря 1989 г.). «Отчет обнаруживает неисправности в компьютерах скорой помощи» . Нью-Йорк Таймс . слишком много сотрудников EMS имеют доступ к...

[DCF-2] Jump up to: ^а ^б ^с ^д ^и Морис Портолани, Морис Аррегосес (2004). Основы дата-центра . Издательства, Cisco Press, 800 East 96th Street, Индианаполис, Индиана, 46240 США, Глава 5.

[FLdcp-3] Jump up to: ^а ^б Четыре уровня физической безопасности центра обработки данных для комплексного и интегрированного подхода [1]

[4] «Что нужно знать о безопасности данных в 2021 году» . Разведка безопасности . Проверено 10 апреля 2022 г.

[5] «Ограбление центров обработки данных приводит к новому мышлению о безопасности» .

[6] Джессика Сильвер-Гринберг (2 апреля 2012 г.). «После утечки данных Visa удаляет поставщика услуг» . Нью-Йорк Таймс .

[7] Робин Сайдел (2 апреля 2012 г.). «Процессор карт: хакеры украли номера счетов» . «Уолл Стрит Джорнал» (WSJ) . Visa сняла с себя печать одобрения

[8] Отчет CSI/ФБР 2003 г. «Обзор компьютерной преступности и безопасности». Архивировано 23 ноября 2022 г. в Wayback Machine.

[9] Дэвид Мур; Коллин Шеннон (2001). «Распространение Code-Red Worm (CRv2)» . Проверено 3 октября 2006 г.

[10] «Сетевой червь: описание W32/Nimda» . F-secure.com (F-Secure Labs) .

[11] Джон Лейден (6 февраля 2003 г.). «Slammer: Почему безопасность выигрывает от проверки концептуального кода» . Регистр .

[12] «Атаки сканирования портов и методологии их обнаружения» .

[13] Виталий Шматиков; Мин-Сю Ван. «Безопасность от атак с ответом на зондирование при совместном обнаружении вторжений» (PDF) . Техасский университет в Остине.

[14] «Понимание атак типа «отказ в обслуживании»» . США-CERT. 6 февраля 2013 года . Проверено 26 мая 2016 г.

[15] Халифе, Солтаниан, Мохаммад Реза. Теоретические и экспериментальные методы защиты от DDoS-атак . Амири, Ирадж Садег, 1977-. Уолтем, Массачусетс. ISBN 0128053992 . ОКЛК 930795667.

[16] Сертификаты GIAC. Сертификационный документ по глобальному обеспечению информационной безопасности .

[17] «Подслушивать - Определение подслушивания на английском языке в Оксфордских словарях» . Оксфордские словари - английский.

[18] Барвайз, Майк. «Что такое интернет-червь?» . Би-би-си.

[19] Столлингс, Уильям (2012). Компьютерная безопасность: принципы и практика . Бостон: Пирсон. п. 182. ISBN 978-0-13-277506-9 .

[20] «Предупреждение о взломе Wi-Fi веб-почты» . Новости Би-би-си. 3 августа 2007 г.

[21] «Современные цели переполнения» (PDF) .

[22] Ли, К. (май 2019 г.). «Метод обнаружения SQL-инъекций на основе LSTM для интеллектуальной транспортной системы». Транзакции IEEE по автомобильным технологиям . 68 (5): 4182–4191.

[CSRG-23] Справочное руководство Cisco SAFE [2], глава 4.

[llds-24] Jump up to: ^а ^б Богатые типы Banta для безопасности центров обработки данных

[25] Сара Д. Скалет. 19 способов обеспечить физическую безопасность вашего центра обработки данных. Архивировано 8 июля 2022 г. в Wayback Machine.

[secDC-26] Jump up to: ^а ^б Обзор безопасности и центра обработки данных

[27] Обзор проектирования безопасности инфраструктуры Google

[28] Центр обработки данных Илиада, «Безопасность центра обработки данных». Архивировано 23 октября 2021 г. в Wayback Machine, глава 4.

[29] Защита облачной инфраструктуры Microsoft , 2009.

[30] «Управление центром обработки данных» (PDF) . Архивировано из оригинала (PDF) 23 ноября 2022 г. Проверено 30 июня 2018 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]