DEAC об информационной безопасности дата-центров в интервью порталу PC week
Информационная безопасность дата-центров является одной из важнейших составляющих при выборе центра обработки данных (ЦОД) Заказчиком и правильный выбор площадки во многом предопределяет будущие риски Заказчика при разворачивании ИТ-инфраструктуры. Олег Наскидаев, руководитель департамента маркетинга и развития компании DEAC, в беседе с российскими коллегами по ИТ-цеху делится наработанным DEAC опытом в сфере информационной безопасности дата-центров и указывает на главные моменты, требующие самого пристального внимания.
Как бы Вы описали типовую модель угроз и нарушителей для ЦОДа?
Сразу стоит отметить, что DEAC – это европейский оператор ЦОД, но, тем не менее, европейские типовые модели угроз и нарушителей информационной безопасности схожи с российскими. Типовая модель нарушителей для любого дата-центра делится на внутренних нарушителей, имеющих право пребывания на территории контролируемой зоны информационной системы с различной категорией доступа к техническим средствам и ресурсам системы, и внешних, не имеющих такового права. В свою очередь, типовую модель угроз следует рассматривать только в комплексе угроз непосредственного и удаленного несанкционированного доступа, угроз внедрения сетевых вредоносных программ и угроз создания нештатных режимов работы.
Какие ИБ-угрозы специфичны именно для ЦОДов?
При осуществлении угрозы непосредственного доступа происходит несанкционированный физический доступ к информационной системе посредством использования программно-аппаратных средств, например, при получении доступа в операционную систему сервера нарушители преследуют самые различные цели начиная с доступа к конфиденциальной информации и заканчивая установкой специализированных программ для сбора, модификации или удаления определенной информации.
Угроза удаленного доступа происходит при отсутствии непосредственного доступа и реализуется посредством использования протоколов межсетевого взаимодействия – сканирования сети, анализа сетевого трафика, организация DoS-атак, внедрения ложных объектов и маршрутов сети, удаленный запуск приложений, внедрение по сети вредоносных программ в виде классических вирусов и сетевых червей.
Опасны также внештатные угрозы, дестабилизирующие работу инфраструктуры ЦОДов по вине непродуманных алгоритмов написанного системного и прикладного программного обеспечения, нерегулярная или неполноценная установка обновлений, особенно в сфере открытого программного обеспечения, что приводит к зависанию, потере пакетов, переполнению буферов и блокирования процедур обработки, и т.д..
Какие новые компоненты, устройства, узлы появились в системе ИБ ЦОДов с приходом в них виртуализации и облачных вычислений?
В последние годы направление «облачные вычисления» развивается настолько бурно, что нужно постоянно следить за новинками от вендоров и регулярно обновлять по мере необходимости узлы инфраструктуры ЦОДов для поддержания уровня информационной безопасности на максимально высоком уровне. Стоит отметить, что разумные инвестирование в новые решения однозначно окупаются - повышается масштабируемость, снижаются операционные расходы, экономится время обслуживания инфраструктуры.
Среди последних новинок стоит отметить новое поколение систем хранения данных, конкретно VNX от EMC и 3PAR от HP, интегрированных с системой управления Vmware и позволяющих более наглядно и эффективно распределять ресурсы. Не остается без внимания, например, сетевой коммутатор нового поколения Flexfabric от HP, который интегрирован в лезвийную серверную структуру HP и включает в себя возможности обмена данными как на уровне сетевой инфраструктуры 8Gb Fibre Channel NAS, так и 10Gb Ethernet, а при использовании в тандеме с системами хранения данных достигается еще и существенная экономия времени обслуживания.
Как защитить сегменты автоматизированные системы управления технологическим процессом (АСУ ТП) ЦОДов от атак типа Stuxnet?
Для организации любой защиты требуется комплекс мер и прежде всего следует оценивать возможные риски и сопоставлять их с потерями в случае остановки работы информационной системы. В случае с ориентированным на промышленный шпионаж и поражающим компьютеры под управлением ОС Microsoft Windows компьютерным червем win32/Stuxnet, атака которого направлена на системы управления и контроля программного обеспечения (ПО) класса SCADA, сложно ответить однозначно. Еще не стерлись из памяти проблемы годичной давности, возникшие на бушерской атомной электростанции (АЭС) в Иране, когда данный вирус проник системы управления АЭС.
При поверхностном анализе ситуации могу отметить, что модель угроз и нарушителей информационной системы не была достаточно проработана, и, опуская детали конкретного случая в Бушере, компаниям, занятым в промышленности и имеющим объекты стратегического значения, следует рассматривать использования альтернативных операционных систем (ОС), сократить до минимума доступ сотрудников в интернет и усилить контроль над информационной системой.
Как защищают ЦОДы от злонамеренного инсайда?
Сегментация сетевой инфраструктуры и защита межсетевыми экранами в основном решают проблему злонамеренного инсайда, но окончательный сценарий защиты определяется после детальной проработки модели угроз и нарушителей информационной системы.
Какие существуют подходы к автоматизации работы системы ИБ в ЦОДе?
Подход должен быть системным и продуманным в контексте модели угроз и нарушителей информационной среды, что обеспечивается выбором адекватных и разумных средств защиты при получении сертификации по стандарту ISO 27001, который является международным стандартом и определяет требования к системе управления информационной безопасностью. Это гарантирует высокую степень надежности и обработки информации в ЦОДе по многим причинам – проводится управление соответствиями и рисками, обеспечивается контроль защищенности и защита от утечки данных, запущен постоянный мониторинг событий и использования файловых ресурсов, и т.д..
Как реализовать для клиентов ЦОДа поддержку клиентских ИБ-политик и контроль за их исполнением в сервисной модели предоставления ИТ-ресурсов?
При использовании сервисной модели все зависит от степени готовности клиента делегировать оператору ЦОДа определенные задачи, а далее оператор ЦОД уже разрабатывает сценарии поддержки клиентских ИБ-политик и контроль за их исполнением. Однозначный ответ можно дать только проанализировав стратегические планы конкретного Заказчика.
В целом, последние исследования в мире показывают, что доля использования коммерческих дата-центров в реализации ИТ-проектов Заказчиков уже начинает вытеснять собственные площадки по целому ряду причин - более высокий уровень маштабируемости, быстрый запуск ИТ-решений, круглосуточно доступный компетентный многоязычный персонал, а также еще много других преимуществ, которых Заказчику реализовать самостоятельно на порядок сложнее и затратнее.
Как выполнить в ЦОДе требования регуляторов к ИБ, актуальные для России (такие, как закон "О персональных данных", PCI DSS, СТО БР ИББС)?
Особо стоит отметить то обстоятельство, что ИТ-инфраструктура дата-центров DEAC не противоречит ФЗ-152. После консультаций с юристами и ИТ-консультантами было сделано заключение, что использование услуг DEAC не упрощает и не усложняет российским компаниям процесса аттестации в качестве оператора персональных данных и позволяет российскому бизнесу рассматривать варианты использования зарубежных ЦОД, более того, использование DEAC в ряде аспектов упрощает и удешевляет процесс аттестации по ФЗ-152.
Назад

Профессиональная и оперативная ИТ поддержка 24/7.

Опыт работы с клиентами из 40 стран, ведущий оператор дата-центров в Европе.

Высочайший уровень защиты данных от всех видов угроз.