Вводное руководство по безопасности центра обработки данных
Безопасность центра обработки данных начинается с обнаружения угроз. Чтобы эффективно защитить свою ИТ-инфраструктуру, вы должны быть знакомы с различными аспектами безопасности в ней и вокруг нее. Итак, если вы используете центр обработки данных для размещения своей инфраструктуры, вы должны быть знакомы с безопасностью центра обработки данных.
В этой статье я собираюсь дать вам обзор безопасности центра обработки данных. Вы узнаете, что это такое, кому это нужно, какие угрозы могут на него повлиять, соответствующие рекомендации, уровни безопасности и многое другое. Нам нужно многое рассказать, так что давайте приступим к делу.
Во-первых, давайте ответим на вопрос: что такое безопасность центра обработки данных?
Что такое безопасность центра обработки данных?
Безопасность центра обработки данных — это комбинация элементов управления, предназначенных для защиты ресурсов вашего центра обработки данных. Активы вашего центра обработки данных могут включать физические активы, такие как серверы, устройства хранения, маршрутизаторы и другие сетевые устройства. Он также может включать программные активы, такие как операционные системы, приложения и данные.
Таким образом, безопасность данных должна сочетать физические и программные элементы управления для защиты активов вашего центра обработки данных от угроз. Обо всем этом и многом другом мы поговорим далее в этой статье. А пока давайте определим, кому именно нужна безопасность ЦОД.
Кому нужна безопасность центра обработки данных?
Каждое лицо или организация, арендующие помещения в центре обработки данных, будут иметь активы, которые необходимо полностью защитить.
Конфиденциальные данные должны храниться в тайне. Вы также должны сохранить целостность вашего бизнеса. Для этого вы должны обеспечить постоянную доступность сервисов и процессов в вашем центре обработки данных.
Эти три атрибута — конфиденциальность, целостность и доступность — всегда подвержены риску компрометации из-за различных угроз. Давайте обсудим некоторые из этих угроз сейчас.
Распространенные угрозы центра обработки данных
Ваш дата-центр всегда подвержен различным природным и техногенным угрозам. Чтобы избежать или свести к минимуму влияние этих угроз на ваш бизнес, вы должны сначала ознакомиться с ними. Вот некоторые из наиболее распространенных угроз для центров обработки данных по всему миру.
Природные угрозы
Природные угрозы, или стихийные бедствия, представляют собой угрозы, связанные с разрушительными явлениями в природной среде. Вот некоторые из них:
- Землетрясения. Землетрясения большой магнитуды могут привести к обрушению стен и потолков вашего центра обработки данных на стойки, серверы и сетевое оборудование.
- Цунами: повышенный уровень воды может затопить серверы, сетевое оборудование, электрогенераторы и т. д.
- Лесные пожары: сильное тепло может повредить электронные детали. В крайних случаях части вашего центра обработки данных также могут загореться.
- Ураганы: могут вызывать наводнения, которые, в свою очередь, могут привести к затоплению серверов, сетевого оборудования, генераторов и т. д. Высокий уровень влажности также может повредить определенное оборудование.
Каждая из этих угроз может иметь несколько возможных последствий, включая экстремальные уровни простоя, повреждение ваших физических активов и потерю данных. Далее я расскажу о техногенных угрозах.
Искусственные угрозы
Техногенные угрозы – это инциденты, инициированные людьми. Они могут быть преднамеренно осуществлены злонамеренным киберпреступником. Кроме того, они могут произойти случайно из-за невнимательности. Ниже вы найдете некоторые из распространенных техногенных угроз:
- Атака типа «отказ в обслуживании» (DoS): сетевая атака может вывести из строя ваши серверы или сетевые устройства . Это может отключить ваши службы или помешать пользователям подключиться.
- Атака «человек посередине» (MITM): сетевая атака, предназначенная для перехвата и кражи конфиденциальных данных — обычно учетных данных для входа — из сетевого сеанса. Затем киберпреступник может использовать эти учетные данные для входа на ваши серверы.
- Саботаж или террористическая атака: преднамеренные действия, которые разрушают части вашего центра обработки данных. Субъектом угрозы может быть активный стрелок, подрывник, поджигатель и т. д.
- Вредоносное ПО: Вредоносное программное обеспечение, которое может заразить ваши серверы. Вредоносное ПО может повредить файлы, снизить производительность сети или привести к сбою серверов.
- Программа-вымогатель: особый тип вредоносного ПО, которое может заблокировать ваши файлы, серверы или всю вашу сеть, а затем отобразить примечание о выкупе.
- Кража данных: преднамеренное действие, которое может быть столь же изощренным, как удаленный взлом или так же грубо, как злонамеренный инженер центра обработки данных, ушедший с одним из ваших жестких дисков.
- Случайное нарушение данных: непреднамеренное действие, которое приводит к утечке данных. Обычно это происходит из-за неправильной конфигурации или неправильно отправленного файла.
Воздействие антропогенных угроз включает ущерб репутации, финансовые потери, потерю данных, простои и штрафы регулирующих органов.
Теперь, когда вы знакомы с наиболее распространенными потенциальными угрозами для вашего центра обработки данных, пришло время обсудить, как вы можете их смягчить.
Как защитить активы вашего центра обработки данных
Чтобы смягчить угрозы, которые я определил ранее, вам необходимо защитить свой центр обработки данных в двух областях. Вам необходимо защитить физические и программные аспекты вашего центра обработки данных. Давайте углубимся и начнем с защиты физического центра обработки данных.
Безопасность физического центра обработки данных
Безопасность физического центра обработки данных относится к элементам управления, предназначенным для защиты ваших физических активов. Обычно оператор вашего центра обработки данных должен обеспечивать физическую безопасность. Однако вы можете добавить эти элементы управления как часть ваших критериев при выборе безопасных центров обработки данных. Вот несколько примеров средств контроля безопасности физического центра обработки данных.
| Контроль безопасности | Описание | Как он защищает активы вашего центра обработки данных |
| Расположение | Это местоположение вашего центра обработки данных. | Расположение вашего центра обработки данных может помочь устранить определенные угрозы. Если ваш центр обработки данных находится на суше, вдали от растительности, вы можете устранить цунами и лесные пожары как потенциальные угрозы. |
| Камеры наблюдения | Сеть камер, используемых для наблюдения за помещениями дата-центра. | Камеры служат сдерживающим фактором для террористических актов, поджогов и физической кражи ваших физических активов. |
| Охранники | Люди, ответственные за безопасность в помещениях дата-центра. Они обеспечивают соблюдение ваших политик физической безопасности. | Охранники служат сдерживающим фактором для террористических актов, поджогов, саботажа и физической кражи ваших физических активов. Они также могут ответить, если эти действия осуществляются. |
| Многофакторная аутентификация для физических активов | Выбор методов аутентификации, таких как биометрическое сканирование, PIN-коды, удостоверения личности, бейджи и т. д. | Помогает гарантировать, что только авторизованные люди имеют доступ к вашим физическим активам. |
| Клетки | Металлические корпуса, разделяющие серверы, стойки и другие устройства, принадлежащие разным клиентам. | Предотвращает несанкционированный доступ к вашим серверам и другим физическим активам. |
| Система пожаротушения | Система, предназначенная для предотвращения распространения огня. | Предотвращает уничтожение ваших активов огнем. |
| Сейсмические серверные стойки | Стойки, которые специально разработаны, чтобы противостоять землетрясениям. | Предотвращает повреждение ваших активов землетрясением. |
Программное обеспечение безопасности центра обработки данных
Безопасность программного центра обработки данных относится к элементам управления, предназначенным для защиты ваших программных ресурсов, таких как приложения и данные. Вот несколько примеров безопасности программных центров обработки данных.
| Контроль безопасности | Описание | Как он защищает активы вашего центра обработки данных |
| Резервная система | Система, позволяющая создавать копии ваших данных и хранить их в другом месте. | Гарантирует, что у вас все еще будут пригодные для использования копии ваших данных, если ваш центр обработки данных выйдет из строя. |
| Брандмауэр | Инструмент безопасности, который контролирует поток трафика в вашей сети. | Помогает предотвратить попадание нежелательного сетевого трафика на ваши серверы. |
| Система обнаружения вторжений | Система, которая обнаруживает потенциальные вторжения в вашу сеть. | Помочь вам обнаружить угрозы, чтобы ваши сотрудники службы безопасности могли их предотвратить. |
| Система предотвращения вторжений | Система, которая предотвращает вторжения в вашу сеть. | Автоматически блокирует попадание потенциальных угроз в вашу сеть или хосты. |
| Многофакторная аутентификация для программных активов | Выбор методов аутентификации, таких как пароли, одноразовые пароли (OTP), PIN-коды, закрытые ключи и т. д. | Помогает гарантировать, что только авторизованные пользователи могут получить удаленный сетевой доступ к этим активам. |
| Антивредоносное ПО | Решение для обеспечения безопасности, которое обнаруживает вредоносные программы и воздействует на них. | Предотвращает заражение вашего программного обеспечения вредоносными программами. |
| Зашифрованные протоколы | Сетевые протоколы, такие как HTTPS, SFTP и FTPS, которые предотвращают атаки MITM. | Предотвращает кражу конфиденциальных данных злоумышленниками из ваших сетевых подключений. |
Чем ценнее ваши активы, тем более высокий уровень безопасности центра обработки данных вам потребуется. Но как определить уровень безопасности для конкретного дата-центра? Конечно, вы можете внимательно изучить его список элементов управления, но я здесь, чтобы показать вам более быстрый способ — уровни безопасности центра обработки данных! Давайте поговорим о них сейчас.
Уровни безопасности центра обработки данных
Уровни центров обработки данных представляют собой стандартизированные классификации центров обработки данных, основанные на степени их сложности. Чем выше уровень классификации, тем сложнее центр обработки данных. В результате более высокие уровни соответствуют более высоким уровням безопасности и обходятся дороже. Это следует учитывать при выборе дата-центра.
Всего у вас 4 уровня. Давайте пройдемся по каждому.
1-й уровень
Это установка с одноместными компонентами. Одиночная емкость — это емкость, соответствующая минимальным требованиям к компьютеру или сетевому оборудованию. Этого уровня будет достаточно, если вы управляете небольшим бизнесом, и ваша работа лишь немного зависит от безопасности и времени безотказной работы.
Уровень 2
Это объект с резервными компонентами мощности. Избыточная мощность превышает минимум, необходимый для конкретного компьютера или сетевого оборудования. Например, уровень 2 имеет резервные компоненты для питания и охлаждения. Таким образом, если компонент выходит из строя, резервный компонент может занять его место. У уровня 2 лучше условия для минимизации сбоев, чем у уровня 1. Подумайте о том, чтобы выбрать центр обработки данных с этой классификацией, как минимум, если угрозы безопасности и времени безотказной работы значительно влияют на ваш бизнес.
Уровень 3
Этот тип центра обработки данных также поставляется с резервными компонентами емкости. Однако у него лучше условия для минимизации сбоев, чем у уровня 2. Например, он может иметь больше избыточных компонентов. Он также создан, чтобы противостоять большинству природных угроз. Вам следует рассмотреть этот уровень, если у вас есть строгие требования к безопасности и времени безотказной работы. Этот уровень центра обработки данных также будет хорошо работать в секторах здравоохранения и финансов.
Уровень 4
В дополнение к избыточным компонентам емкости центры обработки данных уровня 4 также обладают полной отказоустойчивостью. Эти центры обработки данных продолжают работать без перерыва даже в неблагоприятных ситуациях. Если вы не можете позволить себе простои, вам подойдет дата-центр уровня 4. Тем не менее, вы должны отметить, что вам нужны достаточные финансовые ресурсы для оплаты этого центра обработки данных. Крупные предприятия обычно используют центры обработки данных уровня 4.
Тем не менее, вы все еще можете сделать больше для повышения безопасности в средах центров обработки данных. Вот 3 лучших метода обеспечения безопасности центров обработки данных, которые я рекомендую.
Три основных передовых метода обеспечения безопасности центров обработки данных
Эти передовые методы обеспечения безопасности центров обработки данных требуют дополнительных усилий со стороны членов вашей организации. Но все они того стоят. Они также могут иметь большое значение для улучшения средств управления безопасностью, предоставляемых вашим центром обработки данных.
1. Создайте план аварийного восстановления
Хотя резервные копии чрезвычайно важны, они могут сделать не так много. У вас должен быть план аварийного восстановления (DRP). DRP включает в себя резервное копирование с другими ключевыми элементами, такими как оценка рисков, инвентаризация критически важных для бизнеса активов и тестирование. DRP также позволит вам быстро возобновить работу после аварии.
2. Развивайте осведомленность об ИТ-безопасности в своей организации
Большинство злоумышленников попытаются проникнуть в вашу систему через самые уязвимые места. В средах кибербезопасности вашим самым слабым звеном всегда будут ваши конечные пользователи. Вы можете повысить осведомленность об ИТ-безопасности в своей организации, уменьшив вероятность того, что пользователи потеряют бдительность.
3. Повысьте безопасность вашей сети
Многие из ваших серверов и приложений доступны из Интернета. Кроме того, они также могут быть связаны с другими вашими аппаратными и программными активами. Эта настройка делает всю вашу ИТ-инфраструктуру уязвимой для сетевых угроз. Вы можете смягчить эти угрозы, усилив безопасность вашей сети. Надежная сетевая безопасность может сделать экономически невыгодной атаку злоумышленника на вашу сеть или ее компоненты.
Прежде чем закончить, я хотел бы поделиться некоторыми программными решениями для обеспечения безопасности, которые могут помочь вам улучшить безопасность вашего центра обработки данных.
Лучшее программное обеспечение для обеспечения безопасности центров обработки данных для малого и среднего бизнеса
Я выбрал 3 решения, которые могут дать наибольшую ценность для определенного размера бизнеса. Я рассмотрю особенности каждого из них, и вы сможете выбрать предложение, соответствующее потребностям вашего бизнеса.
1. ГФИ ЛанГард
GFI LanGuard — это решение для сетевой безопасности , специально разработанное для малого и среднего бизнеса. Это позволяет вам:
- Легко обнаруживайте все компоненты вашей сети, включая серверы, маршрутизаторы, виртуальные машины, ПК, ноутбуки, телефоны и т. д.
- Сканируйте свою сеть на наличие отсутствующих исправлений, а затем развертывайте исправления из центрального расположения.
- Поддерживайте полную инвентаризацию активов вашего центра обработки данных.
Эти функции помогут вам свести к минимуму подверженность активов вашего центра обработки данных различным угрозам, не нарушая бюджета.
2. Фортинет Фортигейт
Fortinet Fortigate — это брандмауэр нового поколения (NGFW), созданный для крупных предприятий. NGFW — это тип брандмауэра, который включает в себя расширенные функции, такие как:
- Глубокая проверка пакетов для более тщательной проверки содержимого каждого пакета.
- Система предотвращения вторжений (IPS) для обнаружения предполагаемых угроз и реагирования на них.
- Интеграция аналитики угроз для подключения к различным источникам аналитики угроз.
Fortinet Fortigate — хороший вариант, если у вас нет бюджетных ограничений.
3. Cisco NGFW
Cisco NGFW — это брандмауэр нового поколения, который помогает администраторам автоматизировать как установку, так и обслуживание с помощью намерений. Это программное обеспечение использует искусственный интеллект с уровнем абстракции для отображения и защиты сети. Предложение Cisco обеспечивает:
- Автоматическая защита от угроз, в том числе программ-вымогателей.
- Централизованная видимость вашей сетевой безопасности помогает вам управлять даже сложными системами.
- Автоматическое подавление поверхностей атак, которые вы могли пропустить с помощью брандмауэров предыдущего поколения.
- Настройка и обслуживание сегментов сети с нулевым доверием выполняются просто и без проблем.
Cisco NGFW опирается на идентификацию угроз от команды Talos Team; самый крупный в своем роде. Это делает его отличным решением для тех, кто беспокоится о новых угрозах, которые другие решения не могут найти или устранить.
Теперь, когда у вас есть представление о хорошем решении для обеспечения безопасности центра обработки данных для малого и среднего бизнеса, давайте подведем итоги.
Заключительные слова
Вам необходимо защитить активы вашего центра обработки данных от естественных и техногенных угроз, которые могут поставить под угрозу конфиденциальность, целостность и доступность этих активов. Вот почему у вас есть система безопасности центра обработки данных — набор физических и программных элементов управления, которые защищают ваши активы от различных угроз.
Каждый центр обработки данных классифицируется в соответствии с уровнем безопасности и временем безотказной работы, который они обеспечивают. Эти классификации, варьирующиеся от самого низкого до самого высокого уровня безопасности, включают уровень 1, уровень 2, уровень 3 и уровень 4. При выборе правильного центра обработки данных для вашего бизнеса вам необходимо согласовать свои требования к безопасности с центром обработки данных, который может удовлетворить эти требования. Уровни центра обработки данных могут помочь упростить эту задачу.
В дополнение к существующим элементам управления вы можете еще больше повысить безопасность своего центра обработки данных, применяя определенные рекомендации. Эти передовые методы могут включать в себя разработку плана аварийного восстановления, повышение осведомленности об ИТ-безопасности и усиление сетевой безопасности.
Если у вас есть дополнительные вопросы, ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже.
Часто задаваемые вопросы
Как составить план аварийного восстановления (DRP)?
Если вы не знаете, как разработать план аварийного восстановления ресурсов вашего центра обработки данных, вы можете начать с шаблона плана аварийного восстановления. Шаблон DRP содержит все основные элементы плана DRP. Затем вы можете настроить и использовать этот шаблон в соответствии с требованиями вашей организации.
Могу ли я выбрать любой брандмауэр для своего малого бизнеса?
Нет. Малые предприятия имеют другие бизнес-требования и ограничения по сравнению с крупными предприятиями. Таким образом, вы должны выбрать брандмауэр, который соответствует вашим конкретным потребностям.
В чем основное различие между IDS и IPS?
Система обнаружения вторжений (IDS) только помогает обнаруживать потенциальные вторжения в хост или сеть. С другой стороны, система предотвращения вторжений (IPS) может обнаруживать потенциальные вторжения и принимать превентивные меры против них. В этой статье о IDS и IPS подробно рассматривается эта тема.
Помимо HTTPS, SFTP и FTPS, какие у меня есть другие варианты защиты от MITM-атак?
Вы можете использовать VPN. Виртуальная частная сеть (VPN) может шифровать ваши соединения, такие как HTTPS, SFTP, FTPS и другие зашифрованные протоколы. Одним из больших преимуществ использования VPN является то, что он защищает приложения, которые не используют зашифрованные сетевые протоколы. Эта статья о VPN с безопасностью интернет-протокола (IPsec) предлагает хорошее объяснение.
Когда лучше размещать мою ИТ-инфраструктуру в общедоступном облаке?
Вы должны разместить свою ИТ-инфраструктуру в общедоступном облаке, а не в центре обработки данных, когда вам нужна лучшая масштабируемость, глобальный охват и более быстрое выделение ресурсов. Вы также должны сделать это, если вам не хватает капитала для покупки физических компонентов этой инфраструктуры и собственных специалистов для управления ими. В этой статье о характеристиках облачных вычислений некоторые из этих концепций рассматриваются более подробно.