DEAC об информационной безопасности дата-центров в интервью порталу PC week

Грамотно составленная модель угроз и нарушителей для ЦОДов позволяет разработать максимально надежную политику информационной безопасности (ИБ) ЦОДа. Для снижения вероятности перехвата частичного или полного контроля над информационной системой до нуля необходимо максимально детально описать модели угроз и нарушителей, проанализировать все возможные риски и реализовать механизмы защиты.

Сразу стоит отметить, что DEAC – это европейский оператор ЦОД, но, тем не менее, европейские типовые модели угроз и нарушителей информационной безопасности схожи с российскими. Типовая модель нарушителей для любого дата-центра делится на внутренних нарушителей, имеющих право пребывания на территории контролируемой зоны информационной системы с различной категорией доступа к техническим средствам и ресурсам системы, и внешних, не имеющих такового права.  В свою очередь, типовую модель угроз следует рассматривать только в комплексе угроз непосредственного и удаленного несанкционированного доступа, угроз внедрения сетевых вредоносных программ и угроз создания нештатных режимов работы.
 
Какие ИБ-угрозы специфичны именно для ЦОДов?
 
При осуществлении угрозы непосредственного доступа происходит несанкционированный физический доступ к информационной системе посредством использования программно-аппаратных средств, например, при получении доступа в операционную систему сервера нарушители преследуют самые различные цели начиная с доступа к конфиденциальной информации и заканчивая установкой специализированных программ для сбора, модификации или удаления определенной информации.
 
Угроза удаленного доступа происходит при отсутствии непосредственного доступа и реализуется посредством использования протоколов межсетевого взаимодействия – сканирования сети, анализа сетевого трафика, организация DoS-атак, внедрения ложных объектов и маршрутов сети, удаленный запуск приложений, внедрение по сети вредоносных программ в виде классических вирусов и сетевых червей.
 
Опасны также внештатные угрозы, дестабилизирующие работу инфраструктуры ЦОДов по вине непродуманных алгоритмов написанного системного и прикладного программного обеспечения, нерегулярная или неполноценная установка обновлений, особенно в сфере открытого программного обеспечения, что приводит к зависанию, потере пакетов, переполнению буферов и блокирования процедур обработки, и  т.д..
 
Какие новые компоненты, устройства, узлы появились в системе ИБ ЦОДов с приходом в них виртуализации и облачных вычислений?
 
В последние годы направление «облачные вычисления» развивается настолько бурно, что нужно постоянно следить за новинками от вендоров и регулярно обновлять по мере необходимости узлы инфраструктуры ЦОДов для поддержания уровня информационной безопасности на максимально высоком уровне. Стоит отметить, что разумные инвестирование в новые решения однозначно окупаются - повышается масштабируемость, снижаются операционные расходы, экономится время обслуживания инфраструктуры.
 
Среди последних новинок стоит отметить новое поколение систем хранения данных, конкретно VNX от EMC и 3PAR от HP, интегрированных с системой управления Vmware и позволяющих более наглядно и эффективно распределять ресурсы. Не остается без внимания, например, сетевой коммутатор нового поколения Flexfabric от HP, который интегрирован в лезвийную серверную структуру HP и включает в себя возможности обмена данными как на уровне сетевой инфраструктуры 8Gb Fibre Channel NAS, так и 10Gb Ethernet, а при использовании в тандеме с системами хранения данных достигается еще и существенная экономия времени обслуживания.
 
Как защитить сегменты автоматизированные системы управления технологическим процессом (АСУ ТП) ЦОДов от атак типа Stuxnet?
 
Для организации любой защиты требуется комплекс мер и прежде всего следует оценивать возможные риски и сопоставлять их с потерями в случае остановки работы информационной системы. В случае с ориентированным на промышленный шпионаж  и поражающим компьютеры под управлением ОС Microsoft Windows компьютерным червем win32/Stuxnet, атака которого направлена на системы управления и контроля программного обеспечения (ПО) класса SCADA, сложно ответить однозначно. Еще не стерлись из памяти проблемы годичной давности, возникшие на бушерской атомной электростанции (АЭС) в Иране, когда данный вирус проник системы управления АЭС.
 
При поверхностном анализе ситуации могу отметить, что модель угроз и нарушителей информационной системы не была достаточно проработана, и, опуская детали конкретного случая в Бушере, компаниям, занятым в промышленности и имеющим объекты стратегического значения, следует рассматривать использования альтернативных операционных систем (ОС), сократить до минимума доступ сотрудников в интернет и усилить контроль над информационной системой.
 
Как защищают ЦОДы от злонамеренного инсайда?
 
Сегментация сетевой инфраструктуры и защита межсетевыми экранами в основном решают проблему злонамеренного инсайда, но окончательный сценарий защиты определяется после детальной проработки модели угроз и нарушителей информационной системы.
 
Какие существуют подходы к автоматизации работы системы ИБ в ЦОДе?
 
Подход должен быть системным и продуманным в контексте модели угроз и нарушителей информационной среды, что обеспечивается выбором адекватных и разумных средств защиты при получении сертификации по стандарту ISO 27001, который является международным стандартом и определяет требования к системе управления информационной безопасностью. Это гарантирует высокую степень надежности и обработки информации в ЦОДе по многим причинам – проводится управление соответствиями и рисками, обеспечивается контроль защищенности и защита от утечки данных, запущен постоянный мониторинг событий и использования файловых ресурсов, и т.д..
 
Как реализовать для клиентов ЦОДа поддержку клиентских ИБ-политик и контроль за их исполнением в сервисной модели предоставления ИТ-ресурсов?
 
При использовании сервисной модели все зависит от степени готовности клиента делегировать оператору ЦОДа определенные задачи, а далее оператор ЦОД уже разрабатывает сценарии поддержки клиентских ИБ-политик и контроль за их исполнением. Однозначный ответ можно дать только проанализировав стратегические планы конкретного Заказчика.
 
В целом, последние исследования в мире показывают, что доля использования коммерческих дата-центров в реализации ИТ-проектов Заказчиков уже начинает вытеснять собственные площадки по целому ряду причин - более высокий уровень маштабируемости, быстрый запуск ИТ-решений, круглосуточно доступный компетентный многоязычный персонал, а также еще много других преимуществ, которых Заказчику реализовать самостоятельно на порядок сложнее и затратнее.
 
Как выполнить в ЦОДе требования регуляторов к ИБ, актуальные для России (такие, как закон "О персональных данных", PCI DSS, СТО БР ИББС)?
 
Особо стоит отметить то обстоятельство, что ИТ-инфраструктура дата-центров DEAC не противоречит ФЗ-152. После консультаций с юристами и ИТ-консультантами было сделано заключение, что использование услуг DEAC не упрощает и не усложняет российским компаниям процесса аттестации в качестве оператора персональных данных и позволяет российскому бизнесу рассматривать варианты использования зарубежных ЦОД, более того, использование DEAC в ряде аспектов упрощает и удешевляет процесс аттестации по ФЗ-152.