数据中心信息安全

这就是位于莫斯科的NORD-2数据中心的监视中心的外观

关于采取什么措施来确保信息安全（IS），您已经阅读了不止一次。 任何具有自尊心的IT人员都可以轻松地命名5-10 IS规则。 Cloud4Y还提供了有关数据中心的信息安全性的讨论。

在确保数据中心信息安全时，最受保护的对象是：

• 信息资源（数据）；
• 收集，处理，存储和传输信息的过程；
• 系统用户和维护人员；
• 信息基础设施，包括用于处理，传输和显示信息的硬件和软件，包括信息交换渠道，信息保护系统和房屋。

数据中心的责任范围取决于所提供服务的模型（IaaS / PaaS / SaaS）。 外观如何，请参见下图：


数据中心安全策略的范围取决于提供的服务模型

制定信息安全策略最重要的部分是建立威胁和违规者模型。 有什么可能对数据中心构成威胁？

1. 具有自然，技术和社会性质的不良事件
2. 恐怖分子，犯罪分子等
3. 对供应商，提供商，合作伙伴，客户的依赖
4. 故障，失败，破坏，软件和硬件损坏
5. 数据中心员工使用合法授予他们的权利和权力来实现IS威胁（内部IS违规者）
6. 数据中心员工在合法授予他们的权利和权力以及不属于数据中心人员但企图未经授权的访问和未经授权的行为的实体（外部IS违规者）以外的权利和权力中意识到IS威胁
7. 不遵守监管机构的要求，适用法律

风险分析-识别潜在威胁并评估实施后果的严重程度-将有助于选择数据中心信息安全专家应解决的优先任务，计划购买硬件和软件的预算。

安全性是一个持续的过程，包括信息安全系统的计划，实施和运行，监视，分析和改进的阶段。 为了创建信息安全管理系统，使用了所谓的“ 戴明周期 ”。

安全策略的重要组成部分是人员分配和实施的职责。 应不断审查政策，以考虑立法变化，新威胁和新出现的补救办法。 并且，当然，将信息安全要求带给员工并进行他们的培训。

组织措施

一些专家对“纸张”安全性持怀疑态度，他们认为主要的实用技能可以抵御黑客攻击。 在确保银行信息安全方面的实际经验表明情况恰恰相反。 信息安全专家可以在识别和缓解风险方面拥有出色的专业知识，但是如果数据中心员工不遵循他们的指示，一切都会徒劳。

通常，安全不会带来金钱，而只会最大程度地降低风险。 因此，通常将其视为干扰和次要的事物。 当安全专家开始不满（拥有这样做的全部权利）时，经常会与运营部门的员工和经理发生冲突。

行业标准和监管机构要求的存在有助于安全警卫在与管理层的谈判中捍卫自己的职位，而经批准的信息系统政策，法规和规则使我们能够使工作人员满足此处概述的要求，从而总结了通常不受欢迎的决策的基础。

房间保护

在为数据中心提供托管模式时，物理安全性和对客户端设备的访问控制至关重要。 为此，使用了分区（大厅的防护部分），这些分区在客户端的视频监控下，并且数据中心人员的访问受到限制。

上世纪末，在具有物理安全性的州立计算机中心，情况还不错。 尽管没有计算机和摄像机，没有灭火系统，但仍设有门禁控制，房屋门禁控制-发生火灾时，氟利昂会自动进入机房。

如今，物理安全性甚至更好。 访问控制和管理系统（ACS）已经变得智能；引入了生物特征访问限制方法。

灭火系统对于人员和设备来说已经变得更加安全，其中包括用于抑制，隔离，冷却和低氧燃烧区域的装置。 与数据中心中的强制性消防系统一起，经常使用早期的抽吸式火灾探测系统。

为了保护数据中心免受外部威胁（火灾，爆炸，建筑结构坍塌，洪水，腐蚀性气体）的侵害，开始使用机房和安全保险箱，其中服务器设备几乎不受所有外部破坏因素的影响。

弱链接-男人

“智能”闭路电视系统，体积跟踪传感器（声学，红外，超声波，微波），ACS降低了风险，但并未解决所有问题。 例如，当人们使用正确携带的工具正确进入数据中心时，这些工具将无济于事。 而且，就像经常发生的那样，随机挂钩会带来最大的问题。

数据中心的工作可能会受到人员滥用资源（例如非法采矿）的影响。 在这些情况下，数据中心基础架构管理系统（DCIM）可以提供帮助。

人员也需要保护，因为人员通常被称为保护系统中最脆弱的环节。 专业罪犯的针对性攻击通常始于使用社会工程方法。 通常，受保护程度最高的系统在某处单击/下载/完成后会崩溃或受到损害。 通过培训人员并引入信息安全领域的全球最佳实践，可以最大程度地降低此类风险。

工程基础设施保护

数据中心功能的传统威胁是电源故障和冷却系统故障。 我们已经习惯了这种威胁，并学会了应对它们。

一个新趋势是广泛引入联网的“智能”设备：受控的UPS，智能的冷却和通风系统，连接到监控系统的各种控制器和传感器。 建立数据中心威胁模型时，不应忘记对基础架构网络（以及可能与之相关的数据中心IT网络）进行攻击的可能性。 由于部分设备（例如冷却器）可以移动到数据中心之外，例如在租用建筑物的屋顶上，因此情况变得复杂。

通讯通道保护

如果数据中心不仅根据托管模式提供服务，那么您将不得不处理云保护。 根据Check Point的说法，仅去年一年，全球51％的组织就遭到了云结构的攻击。 DDoS攻击会停止业务，勒索软件病毒需要勒索，针对银行系统的针对性攻击导致从对应帐户中盗窃资金。

数据中心的信息安全专家也担心外部入侵的威胁。 旨在停止服务提供的分布式攻击以及虚拟基础架构或存储系统中包含的数据被黑客攻击，盗窃或篡改的威胁与数据中心最相关。

为了保护数据中心的外围区域，使用了具有检测和消除恶意代码，监视应用程序以及导入主动防御技术Threat Intelligence的功能的现代系统。 在某些情况下，请部署具有IPS（入侵防御）功能的系统，并自动将签名集调整为受保护环境的参数。

为了防御DDoS攻击，俄罗斯公司通常使用外部专用服务，这些服务将流量传送到其他节点并在云中进行过滤。 运营商方面的保护要比客户端方面有效得多，数据中心充当服务销售的中介。

数据中心也可能发生内部DDoS攻击：攻击者使用托管模式渗透到托管其设备的公司的受保护较弱的服务器，并通过内部网络从该服务器对该数据中心的其他客户端进行拒绝服务攻击。

注意虚拟环境

当对一个客户端的成功攻击会威胁到邻居的安全性时，有必要考虑到受保护对象的细节-虚拟化的使用，不断变化的IT基础架构的动态性，服务的互连性。 例如，在基于Kubernetes的PaaS中工作时，通过黑客入侵前端泊坞窗，攻击者可以立即获取所有密码信息，甚至可以访问编排系统。

服务模型提供的产品具有高度的自动化程度。 为了不干扰业务，自动化程度和横向扩展程度都应采用信息保护工具。 应在所有级别的信息安全性上提供扩展，包括访问控制的自动化和访问密钥的旋转。 一个特殊的挑战是检查网络流量的功能模块的扩展。

例如，应在虚拟机监控程序的网络模块级别（例如VMware的分布式防火墙）或通过创建服务链（来自Palo Alto Networks的虚拟防火墙）在高度虚拟化的数据中心的应用程序，网络和会话级别过滤网络流量。

如果计算资源的虚拟化级别存在弱点，则在平台级别创建集成信息安全系统的工作将无效。

数据中心中的数据保护级别

一种常见的保护方法是使用集成的多层IS安全系统，包括在防火墙级别进行宏分段（针对业务的各个功能领域进行分段），基于虚拟防火墙的微分段或标记访问策略定义的流量组（用户角色或服务） 。

下一级别是识别段内和段之间的异常。 对流量动态进行分析，可以指示恶意活动的存在，例如网络扫描，DDoS攻击，下载数据（例如，通过切片数据库文件并通过长时间出现会话定期将其输出）。 大量流量通过数据中心内部，因此要确定异常情况，您需要使用高级搜索算法，而无需进行批量分析。 重要的是，不仅要识别出恶意和异常活动的迹象，而且，正如Cisco解决方案（Stealthwatch）所建议的那样，恶意软件即使在加密的流量中也可以工作而不解密。

最后一个领域是保护本地网络上的终端设备：例如服务器和虚拟机，使用安装在终端设备（虚拟机）上的代理分析I / O，删除，复制和网络活动，将数据传输到云中 ，以及需要大量计算能力的计算。 在那里，使用大数据算法执行分析，构建机器逻辑树，并检测异常。 算法根据全球传感器网络提供的大量数据进行自学习。

您可以不安装代理而做。 现代的信息保护手段应该是无代理的，并应在虚拟机管理程序级别集成到操作系统中。
这些措施显着降低了信息安全风险，但是对于提供危险度更高的生产过程自动化的数据中心（例如核电厂）而言，这可能还不够。

法规要求

根据所处理的信息，数据中心的物理和虚拟基础架构必须满足法律和行业标准中规定的不同安全要求。

这些法律包括于今年生效的“关于个人数据的法律”（152-）和“关于RF KII RF的物体安全”的法律（187-）–检察官办公室已经对其实施进度产生了兴趣。 关于数据中心归属于KII主体的争议仍在继续，但是最有可能希望为KII主体提供服务的数据中心必须满足新法规的要求。

对于托管状态信息系统的数据中心而言，这并不容易。 根据俄罗斯联邦政府于2017年11月5日发布的第555号法令，应在GIS投入商业运营之前解决信息安全问题。 想要托管GIS的数据中心必须事先满足监管机构的要求。

在过去的30年中，数据中心安全系统已经走了很长一段路：从简单的物理保护系统和没有失去相关性的组织措施，到越来越多地使用人工智能元素的复杂智能系统。 但是这种方法的本质没有改变。 没有组织措施和人员培训以及纸张-没有软件和技术解决方案，最现代的技术将无法保存。 不能一劳永逸地确保数据中心的安全，这是确定优先威胁和解决新出现问题的全面解决方案的一项日常工作。

在Cloud4Y博客上阅读还有什么有用的

→ 在GNU / Linux中配置top
→ 处于网络安全前沿的测试人员
→ 人工智能从一个奇妙的想法到科学产业的道路
→ 4种方式在云中保存备份
→ 马特故事

订阅我们的电报频道，以免错过其他文章！ 我们每周写不超过两次，并且只在商务上写。 我们还提醒您，您可以免费测试 Cloud4Y云解决方案。