Физическая защита ЦОДа — понятие комплексное. ЦОД: этапы большой жизни
Безопасность ЦОД - немаловажное условие эффективности его работы, а значит и качества бизнес-процессов предприятия. Более того, в современных условиях под безопасностью ЦОД, как правило, понимается не только обеспечение защиты всех его подсистем от пожара, взлома и т. д., но и повышение дисциплины труда персонала, а также автоматизация таких серьезных и трудоемких процессов, как, например, кадровый учет. Именно поэтому нельзя сказать, что какая-либо из интегрированных систем, входящих в состав единого комплекса безопасности, является первоочередной и наиболее важной: все они функционируют в тесной взаимосвязи друг с другом.
Основные компоненты комплексной системы безопасности ЦОД и их функции
Итак, современная практика организации вычислительных центров определяет несколько подсистем, на основе которых обеспечивается безопасность ЦОД. При этом, одновременно в ход идут как «физические», так и «программные» средства защиты. Под «физическими» средствами, как правило, понимаются:
- охранное видеонаблюдение
- охранно-пожарная сигнализация
- система голосового оповещения
- система контроля и управления доступом
- системы жизнеобеспечения ЦОД и правильность его местоположения
Системы охранного видеонаблюдения позволяет операторам видеонаблюдения и сотрудникам службы безопасности осуществлять дистанционный визуальный мониторинг всех «проблемных» зон объекта. Преимущество видеонаблюдения определяется уже тем, что у Вас не будет надобности приставлять к каждому помещению своего охранника: контроль охраняемых зон ведется дистанционно, в круглосуточном режиме без выходных и праздников. Кроме того, архивирование видеоинформации позволяет в любое время организовать ретроспективный просмотр того или иного происшествия с целью проведения расследования. Также видеонаблюдение повышает трудовую дисциплину персонала, исключая нерациональное использование рабочего времени, производственные хищения, промышленный шпионаж и т. д.
К видеонаблюдению тесно примыкает система контроля и управления доступом (СКУД), осуществляющая автоматическое управление входами-выходами и призванная разграничивать доступ тех или иных лиц на определенные территории, вести подсчет посетителей, фиксировать их перемещения по территории и т. д. В связке с видеонаблюдением данная система также способна распознавать лица, цвета, автомобильные номерные знаки и т. п. и на основе полученной информации «принимать решение» о доступе объекта или предмета, обладающего данными признаками, к определенной зоне.
Система светозвукового оповещения осуществляет оперативное реагирование на полученную от системы охранно-пожарной сигнализации информацию о возгорании, проникновении нарушителя и любом другом чрезвычайном происшествии, а затем передает соответствующие тому или иному сценарию звуковые и световые сигналы при помощи сирен, а также указывает кратчайшие безопасные пути эвакуации людей при помощи световых табло.
Важным фактором обеспечения безопасности ЦОД является своевременное установление факта пожара, задымления и т. п. и оперативное оповещение о нем службы безопасности. Таким образом, список дополняет автоматическая система пожаротушения - один из самых эффективных методов оперативного экстренного пожаротушения. Данная система воздействует на очаг возгорания еще в процессе его зарождения, позволяя избежать распространения огня на большой площади и, соответственно, минимизируя ущерб.
И, наконец, важную роль играет размещение ЦОД в соответствии с определенными правилами. Так, например, система бесперебойного питания существенно продлевает срок эксплуатации оборудования ЦОД. И даже такой «пустяк», как глухие стены без окон, способен предотвратить не только вторжение злоумышленника, но и проникновение в помещение излишней пыли, губительно сказывающейся на работе сложной вычислительной системы ЦОД.
Что же касается «программных» средств, политика безопасности ЦОД, прежде всего, предполагает надежную защиту проходящих через ЦОД данных посредством многоуровневого шифрования информации, аутентификацию пользователей, установку усовершенствованных антивирусных продуктов, строгое разграничение доступа персонала к определенным данным и, конечно же, функционирование сложной системы бэкапов, благодаря которой система оперативно восстанавливает сама себя даже после удачной попытки взлома.
Опираясь на многолетний опыт работы в области создания охранных систем и ЦОДов различного масштаба и назначения, компания «Флайлинк» разработает и реализует продуманный, надежный и эффективный охранный комплекс, с тем, чтобы безопасности ЦОД, равно как и Вашему предприятию в целом, ничто не угрожало.
В. А. Конявский, д.т.н.
Д. В. Угаров
Специфика угроз информационной безопасности и защиты от них в ЦОД
Если человек будет платить в 5 раз меньше, то ему это выгодно. И если ресурсы компьютера разделить на 20 человек, и каждый будет платить за 10 процентов ресурсов, то и владелец компьютера останется в ощутимой выгоде, тем более что на оплату энергетики будет уходить в разы меньше средств. Вот такие рассуждения и явились причиной появления систем виртуализации.
Очевидно, что чем мощнее компьютер, тем больше виртуальных машин может на нем работать, и тем эффективнее будет виртуализация. Конечно, в том случае, если большая часть виртуальных машин будет использоваться. Мало их создать, нужно, чтобы они были востребованы.
Если компьютер достаточно мощный, и все его ресурсы уже заняты, а виртуальных машин не хватает — тогда нужно покупать еще один компьютер. Станет их много — нужно строить специальное инженерное сооружение, эффективно обеспечивающее энергетикой компьютеры, на которых функционируют ВМ. Все вместе это называется ЦОД — центр обработки данных.
Чтобы получить на ЦОДе в свое распоряжение ВМ, нужно определить, какими именно ресурсами эта машина должна располагать, и попросить администратора создать именно такую ВМ. Однажды созданная, ВМ останется именно такой до тех пор, пока не будет изменена или удалена администратором. Другими словами, мы наблюдаем статическое распределение ресурсов. Пользователь знает, где именно находится его ВМ, и что она из себя представляет.
Несколько ЦОДов иногда объединяются одним механизмом управления. Теперь ВМ могут размещаться не только на разных физических серверах, но и на разных ЦОДах. Но до сих пор пользователь при желании может точно установить, где находится его конкретная виртуальная машина.
Так может продолжаться до тех пор, пока ресурсов группы ЦОД хватает для размещения всех требуемых виртуальных машин. Рано или поздно все ресурсы ЦОД окажутся занятыми, и тогда придется «уплотняться».
Мало кто удержится от заказа ВМ «на вырост». Конечно, за заказанные ресурсы нужно платить, но не так уж и много, и, значит, лучше взять «про запас». В результате, хотя эффективность использования ресурсов в ЦОД намного выше, чем при использовании ПЭВМ, все-таки оптимальным такое использование не назовешь. Каждый взял себе по 20-30% запаса ресурсов, значит, свободные ресурсы есть, а использовать их нельзя. Неэкономно получается.
Вот только здесь появляется потребность в том, что отличает «облако» от виртуализации оборудования. Это — динамическое распределение (выделение) ресурсов. «Облако» характеризуется виртуализацией оборудования, виртуализацией ОС, виртуализацией приложений и динамическим распределением ресурсов.
При работе «в облаке» ВМ может размещаться на любой памяти, исполняться на любом сервере любого ЦОД, входящего в состав облачной инфраструктуры. Говорят, что ВМ «мигрируют» между ЦОД. Решение о миграции ВМ принимает «планировщик», исходя из различных соображений, например, из логики равномерности загрузки ЦОД, цены ресурсов, просто наличия свободных ресурсов, и других.
То есть облачные технологии начинаются тогда, когда исчерпаны все ресурсы ЦОДов. Облачная инфраструктура — это взаимодействующие на основе специализированного «планировщика» ЦОДы, средства доступа и клиентские машины. Защищенная облачная инфраструктура — это защищенные серверы, защищенные ЦОД, защищенные ВМ, защищенный доступ (WEB и/или терминальный), и, наконец, защищенный планировщик, планирующий миграцию ВМ из соображений, в том числе, защищенности информационных ресурсов.
Защищенность ЦОДа, соответственно, обеспечивается «проще» на планировщик. Это важно, так как серьезных технологий защиты планировщика на рынке пока не представлено, они находятся в разработке.
Требования к защите понятны - если информационное взаимодействие связано с обработкой персональных данных и обработкой государственных информационных ресурсов, то меры по защите должны соответствовать требованиям приказов 17 и 21 ФСТЭК.
Перечислим возможные средства защиты:
- Доверенная среда на компьютерах пользователей может создаваться применением СЗИ НСД (например, «Аккорд») или СОДС (например, «МАРШ!»);
- Защищенный доступ пользователей к ВМ можно обеспечить применением VPN в доверенной среде для WEB-доступа, или системой доверенной терминальной загрузки (например, «Центр-Т»);
- Контролируемый старт (доверенная загрузка) системы виртуализации и защита ВМ обеспечивается специализированными СЗИ для виртуальных инфраструктур (например, для VMware — «Аккорд-В.», для MS HV — «ГиперАккорд»);
Очевидно, что защищенность ЦОДа не имеет никакого смысла, если взаимодействующие с ним пользователи работают в недоверенной среде — контур защиты теряет непрерывность.
В этом смысле необходимо учитывать два обстоятельства:
- являются ли пользовательские рабочие места контролируемыми (это так, если ЦОД корпоративный и пользователи — сотрудники организации, но не так — если это ЦОД, предоставляющий облачные сервисы неограниченному кругу пользователей, использующих неограниченный круг компьютеров);
- ПЭВМ или тонкие клиенты используются в качестве рабочих мест пользователей.
Легко заметить, что эти вопросы находятся в иерархической связи и дают следующие варианты систем:
1) Фиксированные рабочие места пользователей, контролируемые (управляемые) службой информационной безопасности (относится она к владельцу ЦОДа или нет — вопрос в данном случае второстепенный; достаточно знать, что какой-то службой информационной безопасности — контролируются).
- тонкие клиенты
2) неизвестный и неконтролируемый парк СВТ.
Неизвестный и неконтролируемый парк СВТ
Казалось бы, этот случай полностью исключает возможность гарантировать защищенность. И если ЦОД может доказать свою безопасность для использующих его клиентов, подтверждением своей защищенности теми или иными средствами, аттестатом соответствия, и так далее, то рассчитывать на такие же подтверждения со стороны пользователей, конечно, невозможно.
При этом такой незащищенный клиент подвергает опасности не только себя (считая, что он защищен, раз облако — защищенное), но и сам ЦОД, создавая «дыру в заборе».
Для доверия ЦОДа пользователю необходим механизм контроля его вычислительной среды, что невозможно ни при каких других обстоятельствах, кроме применения технологии доверенного сеанса связи (ДСС) и средств его обеспечения (СОДС).
Принципиально важно, чтобы средство защиты ЦОДа могло контролировать, действительно ли клиент подключился из доверенной среды!
Не всегда у пользователя «под рукой» оказывается одинаковый набор условий, но и не всегда ему нужен одинаковый набор услуг. Очевидно, что нельзя обеспечить безопасность любого сервиса на любом типе устройства в любое время в любом месте. Естественно ожидать, что в предоставлении части сервисов для некоторых устройств может быть отказано.
Отказ может последовать и в случае совокупности нетехнических факторов. Например, нахождение корпоративного абонентского устройства за пределами корпоративной беспроводной или проводной сети. А может и не последовать, если устройство при этом поддерживает работу в доверенном сеансе связи с необходимыми характеристиками.
Фиксированные рабочие места, контролируемые службой информационной безопасности
Этот случай проще потому, что на состояние клиентских рабочих мест проще влиять: средства защиты, предписанные проектной документацией на систему, будут установлены на рабочие места пользователей.
Рабочие места в общем случае можно разделить на ПЭВМ и тонкие клиенты.
ПЭВМ почти наверняка используются не только для взаимодействия с ЦОДом, но и автономно. И значит, они должны быть защищены полноценным программно-аппаратным комплексом СЗИ НСД (например, «Аккорд-Win32» или «Аккорд-Win64). В зависимости от политики безопасности запуск ВМ может требовать от пользователя, например, предъявления другого идентификатора.
Важно понимать, что даже в том случае, если единственной задачей пользователя ПЭВМ является работа с виртуальной инфраструктурой, все равно необходима установка именно ПАК, ограничиваться только АМДЗ — неверно, так как даже если пользователь не должен , он может использовать ОС своего компьютера для каких-либо не установленных ему задач, и контролировать потенциальных общий ресурс — необходимо.
Применение тонких клиентов как правило связано с тем, что локально задачи пользователями не выполняются или они минимальны. В то же время, ОС тонких клиентов тоже должна быть доверенной. И в этом случае целесообразно применять либо СОДС, либо — если пользователи работают в терминальном режиме с виртуальным терминальным сервером — ПАК для защищенной сетевой загрузки ОС терминальных клиентов (например, КАМИ-терминал или «Центр-Т»), обеспечивающий защищенное хранение и доверенную сетевую загрузку образов ПО терминальных станций с подтверждением их целостности и аутентичности.
При этом с точки зрения действий пользователей система практически не будет отличаться, с одной стороны, от построенной на базе СОДС, а с другой — от «реальной» терминальной системы: пользователь будет подключать USB-устройство, вводить PIN-код и ожидать загрузки терминала и старта сессии с терминальным сервером. Что он виртуальный — пользователь может и вовсе не знать. В рамках сессии то же USB-устройство выполняет функцию идентификатора пользователя в ПАК СЗИ НСД на серверной части системы.
Увеличение числа угроз и объема трафика заставляет владельцев центров обработки данных применять различные решения для их защиты, что, в свою очередь, приводит к бурному росту соответствующего рынка. Так, по данным Markets and Markets, общие продажи продуктов безопасности для ЦОДов должны составить в 2016 году 6,3 млрд долларов, а к 2021 году ожидается двукратное увеличение - до 12,9 млрд долларов, то есть приращение более 15% ежегодно. Схожие цифры приводят и другие аналитические агентства - например, Transparency Market Research прогнозирует ежегодный прирост в 12,6%.
В широком смысле обеспечение безопасности ЦОДа можно разделить на физическую и логическую защиту. Несмотря на всю важность первой, главные усилия сосредоточены на второй. Так, согласно Transparency Market Research, еще в 2013 году на логические компоненты тратилось 85% всех средств, направляемых на устранение риска угроз для ЦОДов. При этом из-за повсеместного перехода к облачным вычислениям и необходимости ускорения разработки приложений принципы защиты приходится пересматривать.
Актуальные темы защиты центров обработки данных обсуждались на секции «Безопасность» во время проведения форума «МИР ЦОД – 2016. Услуги. Облака».
АВТОМАТИЗИРОВАННАЯ ЗАЩИТА ОТ DDoS
DDoS-атаки привлекают, пожалуй, наибольшее внимание из-за их широкомасштабных последствий. Так, недавняя атака на серверы компании Dyn, контролирующей значительную часть инфраструктуры DNS, привела к недоступности множества известных сайтов в США и Европе. Это была самая крупная атака с использованием зараженных устройств, которые сейчас принято относить к Интернету вещей (в данном случае цифровых камер и DVD-плееров). Мощность атаки с использованием сети 100 тыс. ботов Mirai составила, по некоторым оценкам, 1,2 Тбит/с, что вдвое больше, чем когда-либо ранее (см. рис. 1).
Как отмечается в недавнем отчете Nexusguard (службы защиты от DDoS), число атак во II квартале 2016 года по сравнению с аналогичным периодом 2015 года уменьшилось почти на 40%, зато их интенсивность значительно возросла. Чтобы защититься от массированных атак, одних мер безопасности на уровне ЦОДа недостаточно. Между тем, как отмечает Антон Шевчук, менеджер по продукции Arbor Networks в компании Netwell, до сих пор есть заказчики, уверенные в том, что они могут уберечься от DDoS-атаки с помощью межсетевых экранов и систем предотвращения вторжений. Как свидетельствует статистика, свыше половины организаций, у которых были установлены эти устройства, столкнулись со сбоями сети в результате атак DDoS. Помимо использования специализированных средств, необходимо организовать эшелонированную оборону.
В ходе DDoS-атаки ресурсы ЦОДа подвергаются «бомбардировке» путем направления к ним множества специфических запросов и в конечном итоге перестают справляться с нагрузкой. Всего можно выделить три больших класса атак: массированные атаки на переполнение интернет-канала; атаки на устройства с контролем состояния, такие как балансировщики нагрузки, межсетевые экраны, серверы приложений; атаки на уровне приложений, небольшие по мощности, но не менее эффективные - как правило, они нацелены на конкретные уязвимости. DDoS-атаки легко организовать, а стоимость соответствующих предложений начинается от 5 долларов в час.
Концепция эшелонированной обороны для защиты от DDoS, предложенная компанией Arbor Networks, предполагает установку двух специализированных компонентов - в ЦОДе и у оператора. Первый позволяет блокировать все типы атак, однако, когда масштаб атаки на канал становится сопоставимым с имеющейся пропускной способностью, он обращается за помощью к компоненту, установленному у оператора. Поэтому, как отмечает Антон Шевчук, очень важно, чтобы эти компоненты «умели» взаимодействовать друг с другом.
Когда атака на канал достигает предопределенной мощности, компонент в ЦОДе сообщает оператору о необходимости очистки трафика, который направляется на определенный префикс. Кроме того, в идеале такое двухсоставное решение должно синхронизировать черные и белые списки, а также профили защиты. Ориентируясь на черные списки, оператор может осуществлять предварительную фильтрацию трафика, снижая нагрузку на систему защиты ЦОДа. Таким образом, клиенту (оператору ЦОДа) не нужно обращаться к провайдеру с просьбой о принятии срочных мер для блокирования атаки - защита включается автоматически, а время простоя сводится к минимуму.
У Arbor Networks есть различное оборудование - с производительностью от 100 Мбит/с до 160 Гбит/с на устройство. Эти решения могут разворачиваться и в виде виртуальных машин. В России услуги по защите от DDoS-атак на базе оборудования Arbor Networks предоставляют «Ростелеком», Orange, RETN, «Акадо» и другие операторы, а значит, уже сейчас эту модель можно реализовывать в подключенных к ним ЦОДах. Как заявляет Антон Шевчук, только такой подход позволяет предприятиям обеспечить защиту и доступность своих ресурсов.
ЗАЧЕМ НАМ АГЕНТ?
По оценкам зарубежных экспертов, общая величина потерь от взлома системы безопасности составляет в среднем около 4 млн долларов. В России цифры сопоставимые. Так, согласно отчету Русского международного банка, 21 января 2016 года на него была совершена хакерская атака, в результате которой с корсчета банка в ЦБ похищено 508 млн руб. Многие атаки начинаются с того, что злоумышленник получает доступ, в том числе с помощью социальной инженерии, к рабочему месту, одной ВМ, а с нее уже инициируются атаки.
В новой, виртуальной реальности те решения, которые использовались десятилетиями для защиты физических сред, перестают работать. По мнению Юрия Бражникова, генерального директора 5nine Software по России и СНГ, подобные инциденты, во всяком случае заметная их часть, связаны именно с тем, что многие компании продолжают использовать старые средства управления и защиты для сред виртуализации, которые основаны на агентском подходе. При этом на каждую защищаемую единицу (ВМ) устанавливается агент, что не всегда оправданно, тем более что его можно отключить. К тому же при непосредственной защите конечных точек потребляется большое количество ограниченных ресурсов, из-за чего существенно снижаются производительность и эффективность ЦОДа.
Старая модель была сфокусирована на защите конечных точек, но теперь многие нагрузки перемещаются на серверы и в облака. Между тем, по словам Юрия Бражникова, известные производители продолжают воспроизводить в виртуальной среде архитектуру информационной безопасности, изначально разработанную для физической среды. Это приводит к тому, что новые уязвимости на уровне гипервизора и ОС оказываются незащищенными. Так, например, атаки на уровне виртуальной сети или с одной ВМ на другую не определяются аппаратными средствами, контролирующими физическую среду.
Внутри виртуальной среды надо использовать новые способы защиты. Так, в соответствии с рекомендациями ЦБ РФ по обеспечению информационной безопасности при использовании технологии виртуализации, предпочтительным решением является применение средств защиты от воздействия вредоносного кода на уровне гипервизора без установки агентского ПО на виртуальные машины. Однако такой подход возможен, только если разработчик имеет доступ на уровень виртуального коммутатора, внутри которого и проходят все пакеты, которые потом доставляются в ВМ. Будучи партнером по разработке решений для защиты и управления виртуальными средами на базе Microsoft Hyper-V, компания 5nine Software имеет доступ к виртуальному коммутатору Hyper-V, на уровне которого и реализуется защита (см. рис. 2).
Такой подход позволяет сэкономить до 30% ресурсов сервера, а антивирусное сканирование выполняется в 70 раз быстрее. В числе других преимуществ безагентского подхода Юрий Бражников называет устранение зависимости от действий персонала и клиентов, поскольку систему защиты нельзя отключить на уровне ВМ. Кроме того, общая трудоемкость обеспечения безопасности в результате снижается, поскольку теперь не нужно заботиться о каждой ВМ. Политику можно настроить на хосте или в центре управления, а затем очень быстро масштабировать ее в рамках ЦОДа, ведь виртуальная среда чрезвычайно динамична - ВМ постоянно создаются, переносятся и ликвидируются.
Благодаря интеграции 5nine Cloud Security Plugin в System Center, провайдеры могут предоставить своим клиентам не только средства управления инфраструктурой, но и инструменты контроля за безопасностью. «Любой клиент сможет самостоятельно обеспечивать и контролировать безопасность своих решений, - говорит Юрий Бражников. - Если вы пользуетесь ресурсами нескольких ЦОДов (например, собственного и принадлежащего хостинг-провайдеру), политики безопасности синхронизируются, так что при миграции в случае аварии или перераспределения нагрузки из одного центра в другой будут сохраняться все настройки корпоративной безопасности».
Если на начальном этапе в облако переносились емкие, но не самые ценные ресурсы, то теперь, когда на повестке дня встал вопрос о переносе критичных ресурсов, камнем преткновения оказывается вопрос обеспечения ИБ. Когда клиент передает свои ключевые бизнес-сервисы в облако, он хочет быть уверен в поддержании такой политики безопасности, которая удовлетворяет его требованиям.
БЕЗОПАСНОСТЬ - ЭТО СЕТЬ
Резонансные взломы системы безопасности с очевидностью продемонстрировали, что традиционная защита периметра, фокусирующаяся на трафике «север - юг» (межсетевые экраны, системы обнаружения и предотвращения, защищающие от атак извне), не способна оградить от неприятностей центр обработки данных, где между серверами преобладает трафик «восток - запад», не выходящий за его пределы. По некоторым оценкам, на последний приходится три четверти всего объема трафика ЦОДа.
Действенным решением проблемы разграничения трафика внутри центра обработки данных является микросегментация: разделение на многочисленные защищенные зоны. Благодаря современным виртуализированным решениям практически каждая виртуальная машина может быть снабжена собственным межсетевым экраном, что позволяет создать сеть с нулевым уровнем доверия внутри ЦОДа. Однако, как уже отмечалось в предыдущем разделе, гораздо более эффективным решением оказывается реализация средств безопасности на уровне гипервизора - речь идет о встроенном в этот гипервизор виртуальном коммутаторе.
Появление такого устройства стало ответом на потребность в обеспечении оперативного развертывания и динамической миграции виртуальных машин и приложений. Например, при развертывании нового приложения после запуска ВМ нужно было вручную задать VLAN, сконфигурировать маршрутизацию в физической сети, настроить политики МСЭ. Все эти операции занимали время, и к тому же они оказывались уникальными для каждой аппаратной платформы, на которой построен ЦОД. Иначе говоря, приложения и ВМ были привязаны к конкретной физической сети. Необходимо было устранить эту привязку, то есть виртуализировать сеть. Теперь, как отмечает Александр Кренев, руководитель направления сетевой виртуализации в московском офисе VMware, у каждой платформы виртуализации есть свой коммутатор, который является для нее «родным». Например, для гипервизора ESXi такой виртуальный распределенный коммутатор - Distributed Virtual Switch, для KVM в масштабах ЦОДа таковым можно считать Open Virtual Switch и т. д.
Поверх виртуального коммутатора на программном уровне реализуютcя базовые сетевые функции: коммутация, маршрутизация, брандмауэр и балансировка нагрузки. Каждый физический сервер с гипервизором становится не просто вычислительной платформой, на которой можно выделить ресурсы виртуальным машинам, но еще и многогигабитным коммутатором и маршрутизатором (старый слоган «сеть - это компьютер» получает новый смысл). Чтобы эти функции работали, нужна базовая IP-связность между серверами. На физической сети больше не нужно тратить время на настройку VLAN - достаточно один раз настроить транспортную сеть. Для передачи трафика через физическую сеть используется инкапсуляция VxLAN.
Использование виртуальных коммутаторов позволяет автоматизировать рутинные операции по настройке сети, ускорить аварийное восстановление и, конечно, повысить эффективность защиты. «Когда функции безопасности и фильтрации трафика выполняются на уровне виртуальной платформы, на уровне гипервизора, приложения можно защитить независимо от нижележащей физической архитектуры, - объясняет Александр Кренев. - Наверняка многие слышали о микросегментации или о модели нулевого доверия. Построить такую модель на платформе сетевой виртуализации очень просто, для этого не потребуется развертывать множество МСЭ».
Если отойти от вопросов безопасности и взглянуть чуть шире, то виртуализация сети открывает путь к реализации полностью программно определяемых центров обработки данных (см. рис. 3).
НА ЗАЩИТУ ПРИЛОЖЕНИЙ
В своем прогнозе на 2017 год среди 10 ключевых технологических тенденций Gartner называет адаптивную архитектуру защиты. Правда, по сравнению с прогнозом на текущий 2016-й, она теперь находится не на седьмом месте, а на десятом, что объясняется скорее эффектом потери новизны, чем снижением актуальности. Как отмечается в комментарии, «многоуровневая защита и анализ поведения пользователей и объектов станут обязательными требованиями для каждого предприятия».
Адаптивная защита предполагает встраивание мер безопасности во все бизнес-процессы - реализация их постфактум означает создание проблем самому себе. Соответственно, специалисты по безопасности должны тесно взаимодействовать с архитекторами решений и разработчиками приложений для включения мер безопасности еще на этапе проектирования решений и разработки приложений. Последние все чаще становятся объектом целенаправленных атак.
Как отметил в своем выступлении Рустэм Хайретдинов, заместитель генерального директора InfoWatch и руководитель проекта Appercut, все научились неплохо защищать свою сеть, поэтому атаки постепенно переносятся на прикладной уровень. К сожалению, они не детектируются с помощью традиционных средств, неспособных определить, где запрограммированная функция, а где просмотренная ошибка, - то есть нет аномалий, по которым можно решить, что идет атака.
При развертывании облачных сервисов большее внимание уделялось возможностям, но не рискам. «Теперь же настала пора фиксировать успехи, - призывает Рустэм Хайретдинов, - и думать об угрозах, которые начинают захлестывать сервисы, построенные без учета такой опасности». Выстроенная защита, ориентированная на монолитные приложения, безусловно, позволяет нивелировать часть из них, потому что старые атаки никуда не делись. Однако нападению подвергается не только сервис в целом (что выражается в попытках заблокировать канал или реализовать какие-то другие известные атаки), но и отдельные приложения в нем.
Эта ситуация усугубляется тем, что провайдеры не имеют контроля за предоставляемыми приложениями, которые к тому же часто обновляются. Ведь облако - неважно IaaS, PaaS или SaaS - это, по сути, некоторый набор приложений, создаваемых другими людьми. «Не зная, как устроены конкретные приложения, отражать новые атаки против них, при организации которых используется специфика их написания и проектирования, становится все труднее», - предостерегает он.
Злоумышленники используют ошибки и уязвимости в тех приложениях, которые пишутся быстро в соответствии с гибкой методологией разработки (agile). Скорость вывода на рынок новых функций оказывается важнее обеспечения их безопасности, к тому же старые методы защиты просто не успевают за скоростью разработки. Так, тест на проникновение (pentest) занимает несколько недель, и к моменту его завершения можно быть уверенным лишь в том, что позапрошлая версия сайта была безопасной.
Разработка ускоряется, практически «идет с колес» - изменения происходят каждые две недели, а такие проверки, как тест на проникновение, выполняются раз в полгода. В сложившейся ситуации есть лишь один выход - интеграция систем защиты с самим объектом. Однако пока подобная возможность реализована только в крупнейших сервисах уровня Amazon, где отдельной службы безопасности нет: имеются ответственные за безопасность в команде разработчиков и представители той же команды, например, в подразделении, обеспечивающем доступность.
Таким образом, подход к защите приложений кардинально меняется (см. рис. 4). «Я думаю, что к 20-м годам парадигмы разработки и защиты приложений полностью обновятся. Они сольются и будут развиваться вместе. Эта тенденция явно прослеживается, - заключает Рустэм Хайретдинов. - Сейчас мы находимся на промежуточном этапе, который характеризуется реализацией адаптивной безопасности, когда средство защиты не только изучает тот или иной защищаемый объект, но и подстраивается под него, а также подстраивает объект под свои требования. Однако пока здесь больше вопросов, чем ответов».
КАК ЗАЩИТИТЬ ЦОД
Атаки становятся многослойными, многоэтапными и многоуровневыми, они осуществляются с разных сторон, с разведкой, с отвлечением, с прикрытием. Сейчас уже нет чистой DDoS- или чистой хакерской атаки. Поэтому те, кто проектирует средства защиты, должны разбираться в видах атак. Только в рамках ЦОДа серьезного хостинг-провайдера можно собрать компетенции и оборудование такого уровня, которое сможет противостоять атакам DDoS и прочим видам наиболее тяжелых и разрушительных для бизнеса и репутации компании действий. О том, как организована защита реального ЦОДа, в своем выступлении рассказал Владимир Малиновский, руководитель продаж решений дата-центра Lattelecom, национального латвийского провайдера телекоммуникационных и облачных услуг.
Провайдеры облачных услуг находятся в основной группе риска - именно против них направлена основная доля атак DDoS. Однако даже провайдеру невозможно реализовать сразу все меры защиты, поэтому их внедрение происходило поэтапно. Построенный в 2013 году центр обработки данных Dattum отвечает базовым требованиям к физической защите ЦОДа уровня Tier III: отделенный периметр вокруг помещений ЦОДа, круглосуточная физическая охрана, комбинированный контроль доступа с использованием RFID и биометрии, а также удаленное видеонаблюдение с ведением архива записей. Однако, как отмечает Владимир Малиновский, физическая защита представляет собой лишь небольшую часть мер по обеспечению безопасности.
Прежде всего в Lattelecom классифицировали имеющиеся данные по критериям их критичности и доступности и свели все в таблицу, которая позволяет наглядно видеть, для чего требуется обеспечить приоритетную защиту (см. рис. 5). «Составив такую таблицу, вы уже более-менее понимаете, какими системами нужно заниматься в первую очередь», - объясняет Владимир Малиновский. Кроме этого, для ЦОДа в целом были определены основные источники угроз, к которым отнесены DDoS-атаки, хакеры, нелояльные сотрудники и клиенты хостинга.
|
На следующий год после введения ЦОДа в эксплуатацию были реализованы меры по обеспечению соответствия требованиям PCI DSS. Cертификация по PCI DSS нужна для тех клиентов, кто проводит финансовые транзакции. Этот сложный процесс предполагает реализацию целой программы, состоящей из более чем 250 пунктов. Для защиты сетевого периметра было развернуто решение AlientVault. Платформа AlienVault Security Management (USM) позволяет контролировать пять основных функций безопасности с единой консоли: инвентаризацию активов, оценку уязвимостей, мониторинг поведения, обнаружение вторжения и корреляцию событий безопасности (SIEM).
Толчком к внедрению следующего уровня защиты стало председательство Латвии в ЕС - требовалось обезопасить Интернет в национальном масштабе. Для защиты от DDoS-атак было внедрено решение RADware, однако для компании оно оказалось избыточным, поэтому на его базе было организовано предоставление услуг для банков. Реальный спрос на них появился только после того, как банки подверглись атакам. «Когда банки стали получать «письма счастья» от хакеров с предложением заплатить деньги, на следующий день почти все они приходили к нам и заключали договоры, и мы успешно устранили все угрозы», - рассказывает Владимир Малиновский.
Наконец, в этом году была реализована система RAPID 7, которая позволяет проводить тестирование уязвимостей в ОС и сервисах, выявлять ошибки в конфигурации, проверять соответствие политикам безопасности. Она же позволяет имитировать взлом, оценить уровень готовности системы к работе и составить отчет с рекомендациями о внесении требуемых улучшений. Lattelecom предлагает услуги по выявлению уязвимостей своим клиентам: «Казалось бы, можно один раз выполнить сканирование и на этом успокоиться. На самом деле после любого изменения в ОС и установки любой заплаты сканирование необходимо проводить снова. Так что заказчикам оказывается выгоднее подписаться на услугу», - резюмирует представитель Lattelecom.
МЕЧ И ЩИТ
Вечное противостояние между нападением и защитой выходит на новый уровень. Атаки быстро роботизируются, а боты уже имеют признаки искусственного интеллекта: они действуют автономно, сами находят приложения с уязвимостями, которые они умеют вскрывать, и начинают действовать по определенной программе. Такие концепции, как адаптивная архитектура защиты, предполагают переход от пассивных мер к активному противодействию в стремлении переиграть киберпреступников на их поле. Как выражаются в Gartner, защита должна стать «подвижной и адаптивной».
Однако на завершавшей форум дискуссии «Модель угроз для дата-центра. Чего бояться и что защищать в первую очередь» много говорилось о том, что применяемые меры защиты все же недостаточны: исключить на 100% вероятность успешной атаки неспособно ни одно техническое средство, если существует обмен данными с какой-то внешней системой и информация передается вовне. Для сведения ущерба к минимуму одним из решений могут быть принятие модели минимального доверия в ЦОДе, разграничение и ограничение прав администраторов, микросегментация сети.
Более-менее крупные компании стремятся построить свои ЦОДы и обеспечить их защиту собственными силами - такая критичная функция, как безопасность, делегируется весьма неохотно. Как известно, одной из самых больших угроз для любой ИС является тот, кто ее эксплуатирует. Однако, как указывают провайдеры услуг ЦОДов, облачные ресурсы более абстрагированы от конкретного персонала, чем корпоративные. К тому же провайдеры целенаправленно накапливают необходимые компетенции для организации профессиональной и потому эффективной защиты.
Обеспечивать безопасность самому или довериться провайдерам услуг ИБ - каждый выбирает в зависимости от своих приоритетов и возможностей, но угнаться в гонке кибервооружений за злоумышленниками становится все сложнее. И погоня оказывается совсем безнадежным делом, если пытаться обойтись лишь устаревшими методами периметральной защиты.
Дмитрий Ганьжа , главный редактор «Журнала сетевых решений/LAN»
Дмитрий Костров
Дирекция информационной безопасности ОАО "МТС"
ЦОД: состав, виды
Центр обработки данных (ЦОД) - это отказоустойчивая комплексная централизованная система, обеспечивающая автоматизацию бизнес-процессов с высоким уровнем производительности и качеством предоставляемых сервисов.
Обычно в состав ЦОД входят:
- высоконадежное серверное оборудование;
- системы хранения и передачи данных, включая системы резервного копирования;
- системы энергообеспечения, кондиционирования и физического размещения;
- системы мониторинга и управления;
- системы безопасности;
- резервные центры обработки информации;
- решения по виртуализации ресурсов;
- решения по консолидации.
Определены преимущества создания собственного ЦОД (или его аренды) - это предоставление отказоустойчивых инфраструктурных сервисов в режиме 24х7, повышение эффективности и надежности эксплуатации вычислительных ресурсов, упрощенное централизованное администрирование, снижение издержек на предоставление инженерных коммуникаций, высокий уровень защиты информационной системы, централизованное управление и учет ресурсов, контроль доступа к ЦОД (а также подключения в рамках применения специальных разъемов), простое и удобное масштабирование вычислительных ресурсов.
Обычно выделяют три основных вида ЦОД:
- Основной ЦОД - это специально подготовленное помещение (здание), оборудованное комплексом инженерных систем (разрабатывается индивидуально, исходя из конфигурации предоставленных помещений и потребностей заказчика).
- Комплексный ЦОД (от производителя).
- Мобильный (контейнерный).
Непрерывность работы любого ЦОД обычно измеряется в процентах рабочего времени в год. При наиболее распространенном уровне "три девятки" (99,9%) функционирование не должно прерываться в целом более чем на восемь часов в год. "Четыре девятки" (99,99%) допускают перерыв не более часа, "пять девяток" (99,999%) - это почти 100%-ная непрерывность, остановка не превышает и минуты. Объективной оценкой возможностей ЦОД можно считать только независимый аудит. При этом можно воспользоваться определенными стандартами для оценки. Это могут быть: ISO 17799, FISMA, Basel II, COBIT, HIPAA, NIST SP800-53.
Информационная безопасность ЦОД: анализ уровня зрелости
Если подходить к обеспечению безопасности информации, хранимой (обрабатываемой) в ЦОД, мы должны исходить из требований конфиденциальности, доступности и целостности. Необходимо отметить, что цель обеспечения безопасности и защиты функциональных приложений, сервисов и данных (информации) - сведение к приемлемому минимуму (анализ рисков, аппетит рисков) ущерба при возможных внешних и внутренних воздействиях.
Вопросы информационной безопасности ЦОД могут быть описаны только после проведения анализа текущего уровня, разработки проектного и стратегического уровней зрелости процесса управления непрерывностью бизнеса (BCM) в отношении критичных технологических процессов современной телекоммуникационной компании. Данный анализ уровня зрелости должен выполняться для ключевых областей процесса BCM в соответствии с методологией Института непрерывности бизнеса и проводиться по следующим областям:
- Анализ последствий для деятельности (BIA).
- Оценка рисков (RA).
- Корпоративная стратегия BCM.
- Уровень зрелости процесса BCM.
- Стратегия BCM в части восстановления ресурсов.
- План непрерывности бизнеса.
- Решения и планы восстановления ресурсов.
- План кризисного управления.
- Тренировки по BCM, культура, развитие осведомленности.
- Испытание процесса BCM.
- Поддержка и сопровождение процесса BCM.
- Аудит процесса BCM.
- Управление процессом BCM.
- Политика BCM.
- Верификация и валидация процесса BCM.
Основная цель управления функциональной стабильностью технологических процессов - обеспечить выполнение бизнес-функций компании в условиях воздействия дестабилизирующих факторов. Для выполнения анализа уровня зрелости компании в аспекте BCM разработана система оценки, основанная на материалах Института непрерывности бизнеса (BCI), Международной организации по стандартизации (ISO) и методологии CobIT Ассоциации аудита и контроля информационных систем (ISACA).
После проведения работ в рамках проекта ВСМ делаются выводы о том, нужен ли вообще ЦОД; строить собственный или арендовать; делать ли дублирующий. На этом этапе возникает вопрос обеспечения информационной и технологической безопасности с учетом анализа рисков всей компании.
Вопрос обеспечения информационной безопасности ЦОД можно формально разделить на безопасность сетевой части, серверной части и части хранения данных.
Этапы обеспечения безопасности ЦОД, объекты защиты
Основные этапы обеспечения безопасности ЦОД:
- построение модели угроз;
- выделение объектов, на которые могут быть направлены угрозы;
- построение модели действий нарушителя;
- оценка и анализ рисков;
- разработка и внедрение в системы ЦОД методов и средств защиты.
Анализируя вышесказанное, становится ясно, что без построения СУИБ (системы управления информационной безопасностью) как всего предприятия, так и элемента (ЦОД) адекватной защиты не обеспечить.
Перечислим основные объекты защиты в ЦОД:
- информация, циркулирующая в системе;
- оборудование (элементы);
- программное обеспечение.
Модель PDCA
Специалисты информационной безопасности уже прекрасно знают модель "Планирование-реализация-проверка-совершенствование" ("Plan-Do-Check-Act" - PDCA), которая применена для структурирования всех процессов СУИБ.
Сегодня многие организации, занимающие лидирующие позиции в области обеспечения ИБ, разрабатывают (согласно ФЗ "О техническом регулировании") корпоративный стандарт "Обеспечение информационной безопасности организаций", где в полной мере должны быть отражены и требования по ИБ ЦОД, которые должны обеспечить непрерывное выполнение бизнес-функций компании.
Отклонение от реализации данной модели чревато ошибками в реализации защиты, что приведет к потерям предприятия (утечка информации и т.п.).
Из чего должна состоять сетевая часть?
ЦОД может работать (обычно) как с Интернетом, так и с сетью на базе VPN-MPLS, поэтому в сетевой части должен стоять межсетевой экран (желательно в режиме failover), устройство, обеспечивающее шифрование трафика (особенно при соединении с Интернетом), системы обнаружения вторжения IDS/IPS, проходной антивирус. Кроме того, в сетевой части находятся корневые маршрутизаторы, балансировщик нагрузки и так называемый aggregation switch (работает на уровне 2 или 3, может агрегировать данные от нескольких физических портов).
Серверная часть
Серверная часть состоит из коммутаторов. Тут хорошо применять технологию VLAN для разграничения доступа и информационных потоков. Обычно именно эта часть отвечает за связь с центром управления сетью. В центре управления сетью может размещаться центр управления безопасностью (SOC). Здесь ставится система контроля доступа и идентификации (IDM).
Хранилище данных
В части хранилища данных находятся дисковые массивы, серверы бэкапирования, ленточные библиотеки. Вопросы обеспечения целостности очень важны именно в этой части ЦОД. Сейчас появились решения, по которым именно эта часть отвечает за связь с вторичным ЦОД (часто с использованием сети на основе технологии спектрального уплотнения сигнала (DWDM).Интересным примером подобной реализации служит набор ЦОД, построенный компанией "Телеком Италия". Одной из задач построения защищенного ЦОД была реализация требований Закона "О персональных данных". Италия применила более строгие меры по защите, чем в европейской конвенции, из-за серьезной утечки данных о высокопоставленных чиновниках. Все персональные данные не только находятся в одном ЦОД, но и полностью контролируется их хранение, обработка. Около 25 человек постоянно контролируют системы обеспечения безопасностью из единого SOC.
В современных условиях комплексная система безопасности должна не только решать основные задачи безопасности - обеспечения защиты от пожара и защиты от проникновения посторонних, но и способствовать повышению трудовой дисциплины, автоматизировать кадровый учет.
Одним из важнейших компонентов ЦОД является система технической безопасности. Дорогостоящее оборудование должно быть надежно защищено от несанкционированного проникновения, от возникновения пожара. Обслуживающий персонал ЦОД должен быть защищен от пожара, непредвиденных внештатных ситуаций. Комплексная система безопасности ЦОД объединяет в себе систему видеонаблюдения (СВН), систему контроля и управления доступом (СКУД), систему охранной сигнализации (СОС), систему голосового оповещения (СГО) о пожаре и систему пожарной сигнализации (СПС), интегрированную с системой газового, либо порошкового пожаротушения (ГПТ).
Для обеспечения безопасности персонала ЦОД, в здании установлена автоматическая система светозвукового оповещения о пожаре, которая, в случае возгорания и получения информации от системы пожарной сигнализации, будет передавать звуковые сигналы при помощи сирен, установленных в помещении здания, и указывать эвакуационные выходы при помощи световых табло «Выход».
При проектировании и создании системы пожарной сигнализации, входящей в состав комплексной системы безопасности, используется в основном оборудование и технологии компании НВП «БОЛИД». Информация с дымовых и ручных пожарных извещателей поступает на панель управления пожарной сигнализации. Установленное в системе сигнализации программное обеспечение организует автоматическую работу системы в случаях задымления или возгорания в помещениях, которые контролирует система безопасности.
В частности, при поступлении тревоги от любого извещателя системы, прибор пожарной сигнализации подает команду на включение системы оповещения о пожаре, отключает систему вентиляции и открывает двери, которые оборудованы системой контроля и управления доступом. В случае поступления тревожной информации от системы пожаротушения, прибор пожарной сигнализации будет отрабатывать ту же самую последовательность действий.
Для контроля и фиксации событий на территории ЦОД комплексная система безопасности использует возможности системы видеонаблюдения, которая позволяет сотрудникам службы безопасности осуществлять дистанционный визуальный контроль над всеми зонами объекта, а также записывать и хранить всю видеоинформацию. Цифровые системы видеонаблюдения - самый эффективный метод охраны. Автоматическая система видео наблюдения работает одинаково эффективно в любое время суток, регистрируя все внештатные ситуации. Архивирование данных производится в папки с указанием даты и времени записи. При просмотре видеозаписи пользователь получает полную картину событий, происходящих в охраняемой зоне.
Есть еще один немаловажный аспект видеоконтроля - сотрудники, находящиеся под непрерывным наблюдением начинают работать гораздо эффективнее.
Автоматическая система пожаротушения это один из самых эффективных способов (методов) экстренного пожаротушения. Автоматическая система пожаротушения воздействует на очаг возгорания, в самом его зарождении, таким образом можно избежать распространения огня и соответственно огромного ущерба от пожара.В качестве огнетушащего вещества - системы используют двуокись углерода, инертные газы, а также различные составы фторосодержащих углеводородов. Установка автоматического пожаротушения позволяют обезопасить, а затем предотвратить пожар на ранней стадии возгораний.
Функциональные возможности комплексной системы безопасности:
- Фиксация и оповещение службы безопасности о возникновении задымления или пожара на территории предприятия с указанием адреса тревожного помещения.
- Автоматическое включение системы пожаротушения в местах возникновения пожара.
- Управление входными дверьми.
- Отключение системы вентиляции при поступлении сигнала тревоги с пожарных извещателей.
- Звуковое оповещение персонала ЦОД о пожаре и указание безопасных путей их эвакуации.
- Круглосуточное видеонаблюдение за охраняемой территорией с записью видеоинформации на цифровые устройства комплексной системы безопасности.
- Архивирование видеозаписей по помещениям ЦОД с возможностью по кадрового воспроизведения записей тревог, в том числе по дате, времени суток, по камере и т.п.
- Управление системой контроля и управления доступом для регулирования санкционированного входа/выхода сотрудников ЦОД и учета рабочего времени каждого сотрудника.