Рубрикатор |
Статьи | ИКС № 3 2018 |
Тарас ЧИРКОВ | 30 сентября 2018 |
ЦОД как сейф
Почему физическая защита дата-центров – самый важный уровень общей безопасности данных, и какую роль в процессе ее обеспечения играет сегодня биометрия.
Сизифов труд?Как ни совершенствуются инженерные системы современных ЦОДов и механизмы контроля и мониторинга, полностью избежать аварий и последующего простоя не удается. Достаточно просмотреть публикации в отраслевых СМИ на данную тему, чтобы получить подтверждение этого тезиса. «Падают» даже самые авторитетные частные дата-центры глобальных организаций и коммерческие ЦОДы, в которых размещается ИТ-нагрузка ведущих мировых компаний.
Причины сбоев самые разные. Посмотрим хотя бы на недавние примеры. В дата-центре Джорджтаунского университета произошел пожар, ИТ-системы учебного заведения вышли из строя, и полное восстановление всей функциональности заняло несколько дней. Сбой системы электроснабжения ЦОДа стал причиной проблем с мессенджером Telegram, а авария в дата-центре диспетчерского агентства Eurocontrol, управляющего авиасообщением в Европе, привела к многочисленным задержкам рейсов на протяжении пяти часов. Погодные аномалии вызвали сбои в работе ЦОДов Equinix, негативно отразившись на доступности ресурсов облака Amazon Web Services и связанных с ним сервисов крупных ИТ-компаний.
Причинами «падения» дата-центров оказываются и действия человека -- как на стадии проектирования, так и на стадии эксплуатации. Можно вспомнить компанию OVH и ее провал с контейнерным форматом дата-центров в Европе, чисто механические казусы (рабочий киркой вывел из строя электрический кабель) или атаки хакеров.
Физика процесса
Защита сетевого периметра, каналов связи, серверного сегмента и хостов – материал для отдельной статьи. Я же хочу остановиться на обеспечении физической безопасности доступа к стойкам в залах дата-центра и на применяемых стандартах и требованиях.
Исходя из своего опыта могу сказать, что большинство клиентов, особенно из банковской сферы, приходя в ЦОД, в первую очередь смотрят на то, как организована физическая безопасность на объекте -- как с точки зрения инфраструктуры, так и в процедурном аспекте. Услуги ЦОДа носят комплексный, многоступенчатый характер, и уровень физической безопасности систем заказчика является в этой иерархии базовым, без которого вся система безопасности становится уязвимой. Для обеспечения физической защищенности оборудования разработан ряд стандартов, прежде всего ISO:2701 и PCI DSS, по которым дата-центры сертифицируются.
Фундаментальность аспекта физической безопасности подтверждается и высоким вниманием со стороны аудиторов заказчика. Теоретически они проверяют все что угодно, любой аспект работы ЦОДа. Но чаще всего проверки затрагивают именно физический уровень доступа к стойкам с данными. Они спрашивают: «Как у вас работают камеры видеонаблюдения? как ведется журнал посещений? сколько уровней авторизации нужно пройти для прохода в серверный зал? как они устроены? Покажите нам визит нашего сотрудника для техобслуживания стойки» и т.д.
Опись, протокол, отпечатки пальцев
Отмечу, что биометрические технологии контроля доступа в помещения ЦОДов, а также к отдельным стойкам с клиентским оборудованием внедряются все шире. Ведущие мировые операторы дата-центров используют решения на основе биометрии, и это не просто дань моде или формальность. Биометрия как технология сегодня достигла оптимального уровня функциональности при доступной стоимости, так что высокий спрос объясним.
Если учесть, что обычно в число клиентов коммерческого дата-центра входят компании из сферы финансовых услуг, здравоохранения и промышленности, а также транспортные, торговые и энергетические компании, максимально требовательные к уровню защиты информации, то характеристику «излишний» к понятию «уровень физической защиты данных в ЦОДе» применить нельзя.
Аналитическая компания Markets & Markets оценивает общий объем систем контроля доступа в ЦОДы в 2018 году в $13,77 млрд. Логическая и сетевая безопасность на уровне DNS/SSL и физическая безопасность данных, которую обеспечивают видеонаблюдение и биометрический контроль, играют сегодня важнейшую роль в стратегии интегрированного подхода к целостности данных.
Технологии предлагают широкий выбор биометрических инструментов контроля и идентификации. Самой зрелой признается авторизация по отпечатку пальца, проводятся эксперименты в направлении распознавания радужной оболочки глаза, сканирования запястья руки и даже индивидуального запаха человека. Сканирование глаза от радужки переходит к распознаванию структуры кровеносных сосудов в глазном яблоке. По оценкам Gartner, рост общего объема использования биометрической авторизации с помощью мобильных инструментов с 2014 по 2016 годы составил 25%. Темпы развития этого направления Markets & Markets оценивает в 9,6%. Основной тренд сегодня – использование биометрии в банковских приложениях, а также компаниями, работающими с данными, которые имеют высокий уровень важности и составляют коммерческую тайну. Распознавание лиц также перешло в стадию коммерческой эксплуатации, но в дата-центрах эта технология не так популярна, поскольку существует ряд стратегий фальсификации для ее обхода.
Следующим этапом после сканирования отпечатка пальцев станет скан венограммы запястья (расположение вен так же уникально, как и отпечаток пальца, но быстрее и проще верифицируется).
Инсайдер неизбежен?
Сегодня доступен широкий спектр решений для обеспечения физической защиты данных.
Во-первых, это размещение оборудования клиентов внутри защищенного периметра с отдельным доступом к нему. Ограждение устанавливается от потолка до самого пола (ниже уровня фальшпола), на входе в огороженный периметр проводится дополнительная аутентификация по отпечатку пальца и используются отдельные ключи. В некоторых случаях организуется допуск с одновременной биометрической авторизацией двух человек. Таким образом вероятность инсайда уменьшается в разы, поскольку подкуп или внезапный нервный срыв сразу у двух ключевых сотрудников заказчика или персонала ЦОДа практически исключен.
Во-вторых, применяются решения для точечной защиты в рамках многоуровневой архитектуры безопасности доступа. Вход в дата-центр, доступ на этаж, доступ в серверную комнату и, наконец, доступ к нужной стойке – все это можно надежно спрятать за «забором» из нескольких этапов биометрической авторизации по сквозному принципу от шлагбаума до стойки.
Но развиваются не только технологии защиты, но и технологии взлома, кражи и неправомерного доступа к информации. В 2016 году был поставлен новый рекорд темпов роста числа инцидентов класса «кража личности» (identity theft) в США с показателем более 1000 эпизодов (данные Identity Theft Resource Center). По состоянию на текущий момент 2018 года зафиксировано 668 таких эпизодов. В масштабах планеты, по оценкам компании Cifras, в 2017 году произошло 174 523 подобных инцидента (рост 152% за последние 10 лет). Сведения о 1093 масштабных инцидентах, связанных с нарушением защиты данных, просочились в СМИ. 2017 год также запомнился всплеском ransom-ware кейсов в мае и июне, причем среди пострадавших компаний были FedEx, Telefónica, Deutsche Bahn и британская система здравоохранения (UK National Health Services).
Биометрия в стороне от прогресса инсайдерских технологий не остается, так как эти решения реализуются на базе цифровых инструментов и полностью автоматизированы. Многое зависит от качества оборудования для захвата и верификации биометрии и способа хранения этих данных. В частности, большинство современных систем использует одностороннее шифрование для защиты биометрических идентификаторов, чтобы украв цифровую копию биометрической информации пользователя, злоумышленники не могли бы воссоздать оригинал. Такой биометрический шаблон может быть скомпрометирован в месте своего хранения в случае ненадлежащего режима безопасности на объекте. И здесь мы снова видим, что базовая физическая безопасность и защищенность объекта становятся важнейшим уровнем общей безопасности данных. То, как биометрические шаблоны используются мошенниками, определяет степень причиненного ущерба – украденные данные могут служить для реконструкции биометрических паттернов или создания физической копии. Поэтому второй важнейший уровень безопасности -- такое шифрование шаблона, чтобы, оказавшись в руках преступников, он был для них бесполезен. Сам шаблон должен был достаточно защищен, чтобы не нести в себе опцию неправомочного использования.
Практическое применение – борьба не столько с инсайдерами, сколько с человеческим фактором среди сотрудников
Причина внедрения биометрических инструментов контроля доступа в Linxdatacenter – борьба с нарушениями использования личных карт доступа, созданных на первом этапе организации системы контроля. В некоторых случаях карты передавались третьему лицу (забыл дома свою, а выйти/зайти нужно), что привело к недопустимому повышению роли человеческого фактора в процессе, так как сотрудники охраны выявляли нарушителей по несовпадению изображения с видеокамер и фотографии владельца карты в СКУД. Введение системы сканирования отпечатков пальцев сотрудников решило эту задачу. Биометрическая аутентификация стала параллельным инструментом подтверждения личности наряду с визуальной идентификацией и проверкой документов. Со своей задачей сканирование пальца справилось, security-инциденты из нашей практики почти полностью исчезли.
Да, ни одно биометрическое решение не защищает на 100% от инсайдерской деятельности: можно подкупить электрика, он пойдет и выключит ввод, дата-центр «упадет». Построить бизнес ЦОДа по модели, при которой отдельный сотрудник не способен причинить критический ущерб, можно, но обычно за счет удобства для клиентов реализации бизнес-процессов. В этом плане биометрия нам только помогает: после тестового периода биометрического доступа для сотрудников мы начали использовать эту систему для постоянных посетителей ЦОДа – человек регистрируется в системе по документам, передает нам свои биометрические данные (отпечаток пальца) и при всех повторных посещениях достаточно подтверждения аутентичности отпечатков. Для нас – безопасно, для клиентов – удобно, поскольку не требуется носить и предъявлять документы, удостоверяющие личность. Для разовых посещений реализована система электронной регистрации визитов, значительно упростившая ведение и отслеживание архива посещений.
Высокие технологии – высокие риски?
Там, где технологии упрощают жизнь, они же обычно ее и усложняют – просто в другом срезе. С безопасностью биометрии все усложняется, к примеру, с точки зрения возможности компрометации. Так, если компрометируются пароли от аккаунтов, то пользователи оповещаются и пароли меняются. Аналогичные утечки биометрических идентификаторов пользователей могут привести к необратимым последствиям, и безопасное хранение этих данных играет ключевую роль.
В Linxdatacenter качество безопасности и уровень работы СКУД подтверждены аттестацией на соответствие требованиям ФСТЭК по хранению персональных данных. Когда речь заходит о биометрии, важность подобного рода сертификации сложно переоценить.
Популярность биометрии растет, но ее дальнейшая судьба будет зависеть от того, насколько разработчики решений смогут избежать громких инцидентов с утечками и взломами при сохранении удобства и надежности в использовании. Мы в Linxdatacenter реализовали решение на биометрии в узком нишевом ключе и пока можем говорить только о плюсах проекта.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!