Практики обеспечения безопасного доступа к центру обработки данных
Безопасность центра обработки данных — это набор политик, мер предосторожности и практик, принятых в центре обработки данных для предотвращения несанкционированного доступа и манипулирования его ресурсами. [1] В центре обработки данных размещаются корпоративные приложения и данные, поэтому обеспечение надлежащей системы безопасности имеет решающее значение. Отказ в обслуживании (DoS), кража конфиденциальной информации, изменение данных и потеря данных — вот некоторые из распространенных проблем безопасности, с которыми сталкиваются среды центров обработки данных. [2]
Проблемы безопасности данных могут иногда быть вредными для многих компаний, поэтому очень важно знать, в чем заключаются проблемы, и находить для них полезные решения. Целью безопасности данных является защита цифровой информации от несанкционированного доступа. Также важно отметить, что безопасность данных отличается от конфиденциальности данных . Существует много ситуаций, когда безопасность центра обработки данных может оказаться под угрозой, особенно для облачных данных .
Обзор
По данным исследования «Стоимость утечки данных» [3] , в котором приняли участие 49 американских компаний из 14 различных отраслей промышленности, они отметили, что:
39% компаний утверждают, что халатность стала основной причиной утечек данных
Злонамеренные или преступные атаки составляют 37 процентов от общего числа нарушений.
Средняя стоимость нарушения составляет 5,5 млн долларов.
Многие крупные компании в настоящее время используют облако для хранения своих данных и данных своих клиентов, но риски сохранения данных в облаке могут быть огромными. Кибератаки могут быть очень вредными для многих компаний. Только в 2020 году 64% компаний по всему миру столкнулись с проблемами кибератак. [4] Некоторые кибератаки, нацеленные на личную информацию, например кража личных данных, могут нанести ущерб чьей-либо репутации и изменить жизнь.
Необходимость в безопасном центре обработки данных
Физическая безопасность необходима для защиты ценности оборудования, находящегося в нем. [5]
Защита данных
Стоимость нарушения безопасности может иметь серьезные последствия как для компании, управляющей центром обработки данных, так и для клиентов, чьи данные копируются. Взлом 2012 года в Global Payments, поставщике процессинга для Visa, в результате которого были украдены 1,5 миллиона номеров кредитных карт, подчеркивает риски хранения и управления ценными и конфиденциальными данными. [6] В результате партнерство Global Payments с Visa было прекращено; [7] было подсчитано, что они потеряли более 100 миллионов долларов.
Внутренние атаки
Защита от уязвимостей программного обеспечения, которые можно эксплуатировать, часто строится на предположении, что «инсайдерам» можно доверять. [8] Исследования показывают, что внутренние атаки, как правило, наносят больший ущерб из-за разнообразия и объема информации, доступной внутри организаций.
Уязвимости и распространенные атаки
Количество данных, хранящихся в центрах обработки данных, увеличилось, отчасти из-за концентрации, созданной облачными вычислениями [3]
Угрозы
Некоторые из наиболее распространенных угроз для центров обработки данных:
DoS (отказ в обслуживании)
Кража или изменение данных
Несанкционированное использование вычислительных ресурсов
Кража личных данных
Уязвимости
К распространенным уязвимостям относятся:
Реализация : недостатки в разработке программного обеспечения и протоколах, ошибки кодирования и неполное тестирование.
Конфигурация : использование значений по умолчанию, элементы настроены неправильно.
Эксплуатация устаревшего программного обеспечения
Многие атаки «червей» на центры обработки данных использовали известные уязвимости:
Многие системы поставляются с учетными записями и паролями по умолчанию, которые используются для несанкционированного доступа и кражи информации.
Распространенные атаки
К распространенным атакам относятся:
Сканирование или зондирование : одним из примеров атаки, основанной на зондировании или сканировании, является сканирование портов , при котором используются «запросы к диапазону адресов портов сервера на хосте» для поиска «активного порта», а затем причинения вреда через «известную уязвимость этой службы». [12] [13] Эта разведывательная деятельность часто предшествует атаке; ее цель — получить доступ путем обнаружения информации о системе или сети.
DoS (отказ в обслуживании) : атака типа «отказ в обслуживании» происходит, когда законные пользователи не могут получить доступ к информационным системам, устройствам или другим сетевым ресурсам из-за действий злонамеренного субъекта киберугрозы. [14] Этот тип атаки генерирует большой объем данных для преднамеренного потребления ограниченных ресурсов, таких как полоса пропускания, циклы ЦП и блоки памяти.
Распределенный отказ в обслуживании (DDoS) : Этот тип атаки является частным случаем DoS, когда большое количество систем скомпрометировано и используется в качестве источника или трафика для синхронизированной атаки. В этом типе атаки хакер использует не один IP-адрес, а тысячи. [15]
Несанкционированный доступ : когда кто-то, кроме владельца учетной записи, использует привилегии, связанные со скомпрометированной учетной записью, для доступа к ограниченным ресурсам с использованием действительной учетной записи или бэкдора. [16]
Подслушивание : Этимологически подслушивание означает тайное прослушивание разговора. [17] В области сетей это несанкционированный перехват информации (имен пользователей, паролей), которая передается по сети. Наиболее распространенными сигналами являются входы пользователей в систему.
Вирусы и черви : Это вредоносный код, который при выполнении производит нежелательные результаты. Черви — это самовоспроизводящиеся вредоносные программы, [18] тогда как вирусы, которые также могут размножаться, нуждаются в каком-то человеческом действии, чтобы нанести ущерб. [19]
Атаки на инфраструктуру Интернета : этот тип атак нацелен на критически важные компоненты инфраструктуры Интернета, а не на отдельные системы или сети.
Эксплуатация доверия : эти атаки эксплуатируют доверительные отношения, которые существуют между компьютерными системами.
Перехват сеанса, также известный как перехват cookie : заключается в краже законного сеанса, установленного между целью и доверенным хостом. Злоумышленник перехватывает сеанс и заставляет цель поверить, что она общается с доверенным хостом. [20]
Атаки переполнения буфера : когда программа выделяет пространство буфера памяти сверх того, что она зарезервировала, это приводит к повреждению памяти, затрагивающему данные, хранящиеся в переполненных областях памяти. [21]
Атаки уровня 2 : этот тип атак использует уязвимости протоколов канального уровня и их реализаций на платформах коммутации уровня 2.
SQL-инъекция : также известная как инъекция кода, это когда ввод данных в форму ввода из-за неполной проверки данных позволяет ввести вредоносные данные, которые приводят к выполнению вредоносных инструкций. [22]
Инфраструктура сетевой безопасности
Инфраструктура сетевой безопасности включает в себя инструменты безопасности, используемые в центрах обработки данных для обеспечения соблюдения политик безопасности. Инструменты включают в себя технологии фильтрации пакетов, такие как ACL, брандмауэры и системы обнаружения вторжений (IDS) как на основе сети, так и на основе хоста.
ACL (списки контроля доступа)
ACL — это фильтрующие механизмы, явно определяемые на основе информации заголовка пакета, чтобы разрешать или запрещать трафик на определенных интерфейсах. ACL используются в нескольких местах в центре обработки данных, таких как Internet Edge и ферма серверов интрасети. Ниже описаны стандартные и расширенные списки доступа:
Стандартные ACL: простейший тип ACL, фильтрующий трафик исключительно на основе исходных IP-адресов. Стандартные ACL обычно развертываются для управления доступом к сетевым устройствам для управления сетью или удаленного доступа. Например, можно настроить стандартный ACL в маршрутизаторе, чтобы указать, каким системам разрешено подключаться к нему через Telnet. Стандартные ACL не являются рекомендуемым вариантом для фильтрации трафика из-за отсутствия детализации. Стандартные ACLS настраиваются с помощью числа от 1 до 99 в маршрутизаторах Cisco.
Расширенные ACL: Решения по фильтрации расширенных ACL основаны на IP-адресах источника и назначения, протоколах уровня 4, портах уровня 4, типе и коде сообщения ICMP, типе обслуживания и приоритете. В маршрутизаторах Cisco можно определить расширенные ACL по имени или по номеру в диапазоне от 100 до 199. [2]
Брандмауэры
Брандмауэр — это сложное фильтрующее устройство, которое разделяет сегменты локальной сети, предоставляя каждому сегменту свой уровень безопасности и устанавливая периметр безопасности, который контролирует поток трафика между сегментами. Брандмауэры чаще всего развертываются на границе Интернета, где они действуют как граница внутренних сетей. Ожидается, что они будут иметь следующие характеристики:
Производительность: главная цель брандмауэра — разделение защищенных и незащищенных областей сети. Затем брандмауэры размещаются на основном пути трафика, потенциально подверженном большим объемам данных. Таким образом, производительность становится естественным фактором проектирования, гарантирующим, что брандмауэр соответствует определенным требованиям.
Поддержка приложений: Другим важным аспектом является способность брандмауэра контролировать и защищать определенное приложение или протокол, такой как Telnet, FTP и HTTP. Ожидается, что брандмауэр будет понимать обмен пакетами на уровне приложений, чтобы определить, следуют ли пакеты поведению приложения, и, если нет, запрещать трафик.
Существуют различные типы межсетевых экранов в зависимости от их возможностей обработки пакетов и осведомленности об информации на уровне приложений:
Фильтрующие пакеты межсетевые экраны
Прокси-брандмауэры
Межсетевые экраны с отслеживанием состояния
Гибридные брандмауэры [2]
IDS-ы
IDS — это системы реального времени, которые могут обнаруживать злоумышленников и подозрительные действия и сообщать о них в систему мониторинга. Они настроены на блокировку или смягчение вторжений в процессе и в конечном итоге иммунизируют системы от будущих атак. Они имеют два основных компонента:
Датчики: устройства и программные агенты, которые анализируют трафик в сети или использование ресурсов конечных систем для выявления вторжений и подозрительных действий.
Управление IDS: Система с одним или несколькими устройствами, используемая для настройки и администрирования датчиков, а также для дополнительного сбора всей информации о тревогах, генерируемой датчиками. Датчики эквивалентны инструментам наблюдения, а управление IDS — это центр управления, отслеживающий информацию, генерируемую инструментами наблюдения. [2]
Безопасность уровня 2
Коммутаторы Cisco уровня 2 предоставляют инструменты для предотвращения распространенных атак уровня 2 (сканирование или зондирование, DoS, DDoS и т. д.). Ниже приведены некоторые функции безопасности, охватываемые безопасностью уровня 2 :
Безопасность порта
Инспекция ARP
Частные VLAN
Частные VLAN и брандмауэры
Меры безопасности
Процесс обеспечения безопасности центра обработки данных требует как комплексного системного анализа, так и постоянного процесса, который повышает уровень безопасности по мере развития центра обработки данных. Центр обработки данных постоянно развивается по мере появления новых приложений или услуг. Атаки становятся все более изощренными и частыми. Эти тенденции требуют постоянной оценки готовности к обеспечению безопасности.
Ключевым компонентом оценки готовности к безопасности являются политики, которые управляют применением безопасности в сети, включая центр обработки данных. Приложение включает как лучшие практики проектирования, так и детали реализации. [2] В результате безопасность часто рассматривается как ключевой компонент основного требования к инфраструктуре. Поскольку ключевой обязанностью центров обработки данных является обеспечение доступности услуг, системы управления центрами обработки данных часто учитывают, как их безопасность влияет на потоки трафика, сбои и масштабируемость. В связи с тем, что меры безопасности могут различаться в зависимости от конструкции центра обработки данных, использования уникальных функций, требований соответствия или бизнес-целей компании, не существует набора конкретных мер, которые охватывали бы все возможные сценарии. [23]
В целом существует два типа безопасности центров обработки данных: физическая безопасность и виртуальная безопасность. [24]
Физическая безопасность
Физическая безопасность центра обработки данных — это набор протоколов, встроенных в объекты центра обработки данных, чтобы предотвратить любой физический ущерб машинам, хранящим данные. Эти протоколы должны быть способны справиться со всем, начиная от стихийных бедствий и заканчивая корпоративным шпионажем и террористическими атаками. [25]
Для предотвращения физических атак центры обработки данных используют такие методы, как:
Сеть безопасности видеонаблюдения: местоположения и точки доступа с 90-дневным хранением видео. [26]
Проверка происхождения и конструкции используемого оборудования
Снижение риска инсайдеров путем мониторинга деятельности и сохранения их учетных данных в безопасности [27]
Мониторинг температуры и влажности
Противопожарная защита с помощью зонированного сухотрубного спринклера
Места, где нет риска стихийных бедствий [28]
Виртуальная безопасность
Виртуальная безопасность — это меры безопасности, принимаемые центрами обработки данных для предотвращения удаленного несанкционированного доступа, который может повлиять на целостность, доступность или конфиденциальность данных, хранящихся на серверах. [29]
Виртуальная или сетевая безопасность — сложная задача, поскольку существует множество способов ее атаковать. Хуже всего то, что она развивается из года в год. Например, злоумышленник может решить использовать вредоносное ПО (или аналогичные эксплойты), чтобы обойти различные брандмауэры и получить доступ к данным. Старые системы также могут поставить безопасность под угрозу, поскольку они не содержат современных методов защиты данных. [24]
Виртуальные атаки можно предотвратить с помощью таких методов, как
Тяжелое шифрование данных во время передачи или нет: 256-битное SSL-шифрование для веб-приложений. 1024-битные открытые ключи RSA для передачи данных. 256-битное AES-шифрование для файлов и баз данных.
Регистрирует аудиторскую деятельность всех пользователей.
Защищенные имена пользователей и пароли: шифрование с помощью 256-битного SSL, требования к сложным паролям, настройка запланированных сроков действия, предотвращение повторного использования паролей.
Доступ зависит от уровня допуска.
Интеграция AD/LDAP.
Управление на основе IP-адресов.
Шифрование файлов cookie идентификатора сеанса для идентификации каждого уникального пользователя.
Наличие двухфакторной аутентификации.
Тестирование на проникновение третьей стороной проводится ежегодно [26]
Предотвращение вредоносных программ с помощью брандмауэров и автоматизированного сканера [30]
Безопасность компании
Некоторые возможные стратегии повышения безопасности данных в компании:
Определите риски. Найдите все инструменты, которые могут хранить данные, такие как компьютеры и базы данных, и убедитесь, что все хранится в соответствии с требованиями.
Просмотрите текущие системы безопасности данных. Проверьте наличие обновлений в текущей системе безопасности данных, если таковые имеются. Иногда устаревшие данные следует удалить, и также полезно установить программное обеспечение для очистки, чтобы помочь компании удалить неиспользуемые или ненужные данные.
Соберите команду по безопасности данных. Создайте профессиональную внутреннюю команду по безопасности, которая поможет компании защитить свои данные и сэкономить деньги на найме других команд по безопасности. Команда по безопасности должна иметь план восстановления на случай, если произойдет что-то непредвиденное.
Обновление подхода к безопасности данных. Убедитесь, что доступ к системе имеют только уполномоченные лица. Необходимо программное обеспечение для шифрования , поскольку оно может защитить данные от лиц, которые расшифровывают систему. Если не был предоставлен правильный ключ, программное обеспечение может сделать данные бесполезными для других людей. Программное обеспечение для маскировки данных — еще одно полезное программное обеспечение, поскольку оно может скрыть некоторую конфиденциальную информацию от посторонних глаз. Последнее программное обеспечение — это программное обеспечение для оценки рисков, которое является инструментом, помогающим пользователям контролировать и проверять безопасность своей сети.
Ссылки
^ Крейг Вольф (13 декабря 1989 г.). «В отчете обнаружены неисправности в компьютерах EMS». The New York Times . слишком много сотрудников EMS имеют доступ к ...
^ abcde Маурицио Портолани, Маурисио Аррегосес (2004). Основы центров обработки данных. Издательство Cisco Press, 800 East 96th Street Indianapolis, IN 46240 USA, Гл.5
^ ab Четыре уровня физической безопасности центра обработки данных для всеобъемлющего и интегрированного подхода [1]
^ "Что вам нужно знать о безопасности данных в 2021 году". Security Intelligence . Получено 2022-04-10 .
^ «Ограбление центра обработки данных привело к новому мышлению о безопасности».
^ Джессика Сильвер-Гринберг (2 апреля 2012 г.). «После утечки данных Visa удаляет поставщика услуг». The New York Times .
^ Робин Сайдел (2 апреля 2012 г.). «Процессор карт: хакеры украли номера счетов». The Wall Street Journal (WSJ) . Visa сорвала свою печать одобрения
↑ Отчет CSI/FBI 2003 года «Обзор компьютерной преступности и безопасности». Архивировано 23 ноября 2022 г. на Wayback Machine
^ Джон Лейден (6 февраля 2003 г.). «Slammer: Почему безопасность выигрывает от кода подтверждения концепции». The Register .
^ «Атаки сканирования портов и методы их обнаружения».
^ Виталий Шматиков; Минг-Сю Ван. «Безопасность против атак зондирования-ответа при совместном обнаружении вторжений» (PDF) . Техасский университет в Остине.
^ "Понимание атак типа "отказ в обслуживании"". US-CERT. 6 февраля 2013 г. Получено 26 мая 2016 г.
^ Халифе, Солтаниан, Мохаммад Реза. Теоретические и экспериментальные методы защиты от DDoS-атак. Амири, Ирадж Садег, 1977-. Уолтем, Массачусетс. ISBN 0128053992. OCLC 930795667.
^ Сертификации GIAC. Документ о сертификации по обеспечению глобальной информационной безопасности.
^ "eavesdrop - Определение слова eavesdrop на английском языке по Оксфордским словарям". Оксфордские словари - английский язык.
^ Барвайз, Майк. «Что такое интернет-червь?». BBC.
^ Столлингс, Уильям (2012). Компьютерная безопасность: принципы и практика . Бостон: Pearson. С. 182. ISBN 978-0-13-277506-9 .
^ "Предупреждение о взломе веб-почты через Wi-Fi". BBC News. 3 августа 2007 г.
^ «Современные цели переполнения» (PDF) .
^ Ли, К. (май 2019 г.). «Метод обнаружения SQL-инъекций на основе LSTM для интеллектуальной транспортной системы». Труды IEEE по транспортным технологиям . 68 (5): 4182–4191.
^ Справочное руководство Cisco SAFE [2] гл.4
^ ab Rich Banta Типы безопасности центров обработки данных
^ Сара Д. Скейлет 19 способов обеспечить физическую безопасность вашего центра обработки данных Архивировано 08.07.2022 на Wayback Machine
^ ab Обзор безопасности и центра обработки данных
^ Обзор проектирования безопасности инфраструктуры Google
^ Iliad Data Center, «Безопасность центра обработки данных». Архивировано 23 октября 2021 г. на Wayback Machine, глава 4.
^ Обеспечение безопасности облачной инфраструктуры Microsoft 2009.
^ "Data Center Management" (PDF) . Архивировано из оригинала (PDF) 2022-11-23 . Получено 2018-06-30 .