Рубрикатор |
Статьи | ИКС № 2 2018 |
Николай НОСОВ | 05 сентября 2018 |
Безопасный ЦОД
«Того, кто не задумывается о далеких трудностях, поджидают близкие неприятности», – емко сформулировал древний китайский философ. Стремление защититься от потенциальных угроз было всегда – люди укрепляли входы в пещеры, строили крепостные стены, ковали мечи и кольчуги, развертывали зенитно-ракетные комплексы. Менялись только технологии и объекты защиты. В цифровую эпоху одним из таких объектов стал ЦОД.
Политики информационной безопасности
Для злоумышленников наиболее привлекательны информационные системы банков, и не удивительно, что именно банки стали лидерами в деле защиты информации, а разработанные ими стандарты безопасности – ориентиром для других отраслей.
В 2010 г. Банком России был принят первый отраслевой стандарт обеспечения информационной безопасности СТО БР ИББС-1.0-2010, который распространялся и на дата-центры коммерческих банков. Предложенные принципы построения системы нормативных документов безопасности можно сравнить с подходом к управлению государством.
На первом (верхнем) уровне – в общей политике (концепции) ИБ, как и в конституции страны, прописываются общие задачи, которые конкретизируются в частных политиках (второй уровень), таких как «Политика физической защиты информационных систем», «Политика управления доступом и регистрацией», «Политика использования средств криптографической защиты информации» и т.п. Третий уровень представляют регламенты, процедуры и инструкции, подробно описывающие способы применения средств защиты, порядок и частоту выполнения процедур. Примером могут служить положения о персональных данных, о проведении аварийного восстановления, регламент контроля состояния систем информационной безопасности. Нижний уровень – журналы учета предоставления доступа, сообщений об инцидентах ИБ, аудита систем.
Таблица 1. Область действия политики безопасности ЦОДа в зависимости от модели предоставляемых сервисов |
Таблица 2. Модель угроз и нарушителей ИБ |
Основными объектами защиты при обеспечении информационной безопасности ЦОДа являются: информационные ресурсы (данные); процессы сбора, обработки, хранения и передачи информации; пользователи системы и обслуживающий персонал; информационная инфраструктура, включающая технические и программные средства обработки, передачи и отображения информации, в том числе каналы информационного обмена, системы защиты информации и помещения. Зона ответственности ЦОДа зависит от модели предоставляемых услуг (табл. 1).
Важнейшая часть разработки политики информационной безопасности – построение модели угроз и нарушителей (табл. 2).
Анализ рисков – выявление потенциальных угроз и оценка масштабов последствий их реализации – поможет правильно выбрать первоочередные задачи, которые должны решать специалисты по информационной безопасности ЦОДа, спланировать бюджеты на покупку технических и программных средств.
Обеспечение безопасности – непрерывный процесс, который включает этапы планирования, реализации и эксплуатации, мониторинга, анализа и совершенствования системы ИБ. Для создания систем менеджмента информационной безопасности используют так называемый цикл Деминга.
Важной частью политик безопасности является распределение ролей и ответственности персонала за их выполнение. Следует постоянно пересматривать политики с учетом изменений законодательства, новых угроз и появляющихся средств защиты. И, конечно, доводить требования к информационной безопасности до персонала и проводить его обучение.
Организационные меры
Некоторые эксперты скептически относятся к «бумажной» безопасности, считая главным умение взламывать системы. Практический опыт работы по обеспечению информационной безопасности в банках говорит об обратном. Специалисты по ИБ могут иметь отличную экспертизу в деле выявления и снижения рисков, но если персонал ЦОДа не будет выполнять их указания, все будет напрасным.
Безопасность, как правило, не приносит денег, а лишь минимизирует риски. Поэтому к ней часто относятся как к чему-то мешающему и второстепенному. Требования специалистов по безопасности нередко приводят к конфликтам с персоналом и руководителями эксплуатационных подразделений.
Наличие отраслевых стандартов и требований регуляторов помогает безопасникам отстаивать свои позиции на переговорах с руководством, а утвержденные политики ИБ, положения и регламенты позволяют добиваться от персонала выполнения изложенных там требований, подводя базу под проведение зачастую непопулярных решений.
Защита помещений
Чтобы попасть в машзал в ЦОДе Сбербанка в Сколково, нужно пройти через сканирующую кабину |
При предоставлении ЦОДом услуг по модели colocation на первый план выходит обеспечение физической безопасности и контроля доступа к оборудованию клиента. Для этого используются выгородки (огороженные части зала), которые находятся под видеонаблюдением клиента и к которым доступ персонала ЦОДа крайне ограничен.
В государственных вычислительных центрах с физической безопасностью и в конце прошлого века дела обстояли неплохо. Был пропускной режим, контроль доступа в помещения, пусть без компьютеров и видеокамер, системы пожаротушения – в случае возгорания в машинный зал автоматически пускался фреон.
В наше время физическая безопасность обеспечивается еще лучше. Системы контроля и фотоуправления доступом (СКУД) стали интеллектуальными, внедряются биометрические методы, например контроль входа в машзал по руке человека в ЦОДе IXcellerate или специальная кабинка, сканирующая человека при доступе в машзал ЦОДа Сбербанка в Сколково.
Более безопасными для персонала и оборудования стали системы пожаротушения, среди которых можно выделить установки пожаротушения тонкораспыленной водой. Наряду с обязательными системами противопожарной защиты в ЦОДах часто используется система раннего обнаружения пожара аспирационного типа.
Для защиты дата-центров от внешних угроз – пожаров, взрывов, обрушения конструкций здания, затопления, коррозийных газов – стали использоваться комнаты и сейфы безопасности (см. «ЦОДу и стены помогают»), в которых серверное оборудование защищено практически от всех внешних повреждающих факторов.
Слабое звено – человек
«Умные» системы видеонаблюдения, датчики объемного слежения (акустические, инфракрасные, ультразвуковые, микроволновые), СКУД снизили риски, но не решили всех проблем. Эти средства не помогут, например, когда правильно допущенные в ЦОД люди с правильно пронесенным инструментом что-нибудь зацепят («Из чего состоит безопасность», с. 89).
Алексей Карпинский, заместитель гендиректора, ИТ-компания iCore Не секрет, что в российском бизнесе, покупая сотрудника конкурентов, покупают и имеющуюся у него информацию. Люди скачивают архивы и уносят с собой, и только очень крупные компании занимаются этой проблемой. |
На работе дата-центра может сказаться нецелевое использование персоналом его ресурсов, например нелегальный майнинг («Как бороться с нелегальным майнингом в ЦОДах?», с. 41). Помочь в этих случаях могут системы управления инфраструктурой ЦОДа (DCIM).
Защиты требует и сам персонал. Целевые атаки профессиональных преступников чаще всего начинаются с использования методов социальной инженерии. Олег Наскидаев (DEAC) напоминает, что подобные риски можно минимизировать, обучая персонал и внедряя лучшие мировые практики в области информационной безопасности.
Защита инженерной инфраструктуры
Традиционные угрозы функционированию дата-центра – сбои электропитания и отказы систем охлаждения («Безопасность инженерной инфраструктуры – основа жизнедеятельности ЦОДа», с. 90). К таким угрозам уже привыкли и научились с ними бороться.
Дмитрий Гуляев, руководитель направления инфраструктуры ЦОД, Delta Electronics Специалисты по безопасности, как правило, воспринимают инженерную инфраструктуру как некую изолированную сущность, по умолчанию защищенную от действий злоумышленников, а сотрудники, занимающиеся эксплуатацией инженерной инфраструктуры, не разбираются в вопросах безопасности. |
Новой тенденцией стало повсеместное внедрение «умного» оборудования, объединенного в сеть: управляемые ИБП, интеллектуальные системы охлаждения и вентиляции, разнообразные контроллеры и датчики, подключенные к системам мониторинга. При построении модели угроз ЦОДа не стоит забывать о вероятности атаки на сеть инфраструктуры (а, возможно, и на связанную с ней ИТ-сеть ЦОДа). Усугубляет ситуацию то, что часть оборудования, например чиллеры, может быть вынесена за пределы ЦОДа, скажем, на крышу арендуемого здания.
Защита каналов связи
Если дата-центр предоставляет услуги не только по модели colocation, то придется заниматься защитой облаков. По данным Check Point, только в прошлом году 51% организаций по всему миру столкнулись с атаками на облачные структуры. DDoS-атаки останавливают бизнес, вирусы-шифровальщики требуют выкуп, целевые атаки на банковские системы приводят к хищению средств с корсчетов. Угрозы внешних вторжений беспокоят и специалистов по информационной безопасности дата-центров. По мнению Артема Гавриченкова (Qrator Labs), наиболее актуальны для ЦОДов распределенные атаки, нацеленные на прекращение предоставления услуг, а также угрозы взлома, кражи либо изменения данных, содержащихся в виртуальной инфраструктуре или системах хранения.
Для защиты внешнего периметра ЦОДа служат современные системы с функциями выявления и нейтрализации вредоносного кода, контроля приложений и возможностью импорта технологии проактивной защиты Threat Intelligence. Некоторые пользователи разворачивают системы с функционалом IPS (предотвращения вторжений) c автоматической подстройкой сигнатурного набора под параметры защищаемого окружения.
Для защиты от DDoS-атак российские компании, как правило, используют внешние специализированные сервисы, которые уводят трафик на другие узлы и фильтруют его в облаке. Защита на стороне оператора выполняется гораздо эффективнее, чем на стороне клиента, а ЦОДы выступают в качестве посредников по продаже услуг.
В ЦОДах возможны и внутренние DDoS-атаки: злоумышленник проникает на слабо защищенные серверы одной компании, размещающей свое оборудование по модели colocation, и с них по внутренней сети проводит атаку «отказ в обслуживании» на других клиентов этого дата-центра.
Внимание виртуальным средам
Нужно учитывать специфику защищаемого объекта – использование средств виртуализации, динамичность изменения ИТ-инфраструктур, взаимосвязанность сервисов, когда успешная атака на одного клиента может угрожать безопасности соседей. Как отмечает Нарек Татевосян (BI.Zone), взломав front-end докер при работе в PaaS на базе Kubernetes, злоумышленник сразу может получить всю парольную информацию и даже доступ к системе оркестрации.
Продукты, предоставляемые по сервисной модели, имеют высокую степень автоматизации. Чтобы не мешать бизнесу, не меньшую степень автоматизации и горизонтального масштабирования должны иметь наложенные средства защиты информации. Масштабирование должно обеспечиваться на всех уровнях ИБ, включая автоматизацию контроля доступа и ротацию ключей доступа. Особняком стоит задача масштабирования функциональных модулей, осуществляющих инспекцию сетевого трафика. По мнению Александра Власова (BI.Zone), фильтрация сетевого трафика на прикладном, сетевом и сеансовом уровнях в ЦОДах с высокой степенью виртуализации должна выполняться на уровне сетевых модулей гипервизора (например, Distributed Firewall компании VMware) либо путем создания цепочек сервисов (виртуальные межсетевые экраны от Palo Alto Networks).
При наличии слабых мест на уровне виртуализации вычислительных ресурсов усилия по созданию комплексной системы информационной безопасности на уровне платформы будут затрачены впустую.
Уровни защиты информации в ЦОДе
Общий подход к защите – использование интегрированных, многоуровневых систем обеспечения ИБ, включающих макросегментацию на уровне межсетевого экрана (выделение сегментов под различные функциональные направления бизнеса), микросегментацию на базе виртуальных межсетевых экранов или маркирования метками трафика групп (ролей пользователей или сервисов), определенных политиками доступа.
Андрей Акинин, генеральный директор, Web Control Устанавливать систему обнаружения вторжений на весь внутренний трафик, как правило, экономически не оправданно. Оптимальный вариант – сбор и анализ сетевой статистики в узловых точках (flow monitoring) с целью обнаружения сетевых аномалий и смягчения DDoS-атак. |
Следующий уровень – выявление аномалий внутри сегментов и между ними. Анализируется динамика трафика, которая может свидетельствовать о наличии вредоносных активностей, таких как сканирование сети, попытки DDoS-атак, скачивание данных, например путем нарезки файлов базы данных и вывода их периодически появляющимися сессиями через длительные промежутки времени. Внутри ЦОДа проходят гигантские объемы трафика, так что для выявления аномалий нужно использовать продвинутые алгоритмы поиска, причем без пакетного анализа. Важно, чтобы распознавались не только признаки вредоносной и аномальной активности, но и работа вредоносного ПО даже в зашифрованном трафике без его расшифровки, как это предлагается в решениях Cisco (Stealthwatch).
Последний рубеж – защита оконечных устройств локальной сети: серверов и виртуальных машин, например, с помощью агентов, устанавливаемых на оконечные устройства (виртуальные машины), которые анализируют операции ввода-вывода, удаления, копирования и сетевые активности, передают данные в облако, где и проводятся требующие больших вычислительных мощностей расчеты. Там производится анализ с помощью алгоритмов Big Data, строятся деревья машинной логики и выявляются аномалии. Алгоритмы самообучаются на базе огромного количества данных, поставляемых глобальной сетью сенсоров.
Можно обойтись и без установки агентов. Так, Юрий Бражников из 5nine Software считает, что современные средства защиты информации должны быть безагентными и интегрироваться в операционные системы на уровне гипервизора («Как защитить гибридную инфраструктуру предприятия», с. 91).
Перечисленные меры значительно снижают риски информационной безопасности, но этого может быть недостаточно для дата-центров, обеспечивающих автоматизацию производственных процессов повышенной опасности, например, атомных станций.
Эксперты «Московского завода «Физприбор», разрабатывающего аппаратные системы противоаварийной защиты (ПАЗ) для атомных станций, предлагают отделить автоматизированную систему безопасности от системы АСУ ТП. Системы верхнего уровня могут использовать программно определяемые устройства, гиперконвергентные системы – в общем, все возможности современных информационных технологий. А система ПАЗ, не позволяющая ни при каких условиях произойти аварии, будет работать по жестко заданному неизменяемому алгоритму, задействуя максимально упрощенные и надежные контроллеры.
Требования регуляторов
Денис Дубцов, директор центра компетенций информационной безопасности, ГК «Рамакс» Позиция регулятора неоднозначная. ФСТЭК не готова отнести к субъектам КИИ ни облачных провайдеров, ни дата-центры и предлагает смотреть на конкретные предоставляемые услуги. В целом 187-ФЗ похож на попытку разобраться с деятельностью хозяйствующих субъектов с их же помощью. |
В зависимости от обрабатываемой информации физические и виртуализованные инфраструктуры дата-центра должны удовлетворять разным требованиям по безопасности, сформулированным в законах и отраслевых стандартах.
К таким законам относится закон «О персональных данных» (152-ФЗ) и вступивший в этом году в силу закон «О безопасности объектов КИИ РФ» (187-ФЗ) – прокуратура уже стала интересоваться ходом его выполнения. Споры о принадлежности ЦОДов к субъектам КИИ еще идут («Является ли субъектом КИИ облачный провайдер?», с. 88), но, скорее всего, дата-центрам, желающим предоставлять услуги субъектам КИИ, придется выполнять требования нового законодательства.
Непросто придется ЦОДам, размещающим у себя государственные информационные системы («ЦОДы и безопасность ГИС», с. 93). Согласно Постановлению Правительства РФ от 11.05.2017 № 555 вопросы информационной безопасности следует решить до ввода ГИС в промышленную эксплуатацию. Соответственно ЦОД, который хочет размещать у себя ГИС, заранее должен соответствовать требованиям регуляторов.
За последние 30 лет системы обеспечения безопасности ЦОДов проделали огромный путь: от простых систем физической защиты и организационных мер, не потерявших, впрочем, своей актуальности, к сложным интеллектуальным системам, в которых все чаще используются элементы искусственного интеллекта. Но суть подхода при этом не поменялась. Самые современные технологии не спасут без организационных мер и обучения персонала, а бумаги – без программных и технических решений. Безопасность ЦОДа нельзя обеспечить раз и навсегда, это постоянный ежедневный труд по выявлению первоочередных угроз и комплексному решению возникающих проблем.