Securitatea Centrului de Date: Layere fizice si digitale de protectie

Datele sunt extrem de importante si necesita o strategie activa de securitate in centrele de date pentru a fi gestionate corect. O singura incalcare a sistemului poate provoca ravagii pentru o companie si are efecte pe termen lung.

Sursele dvs. de munca critice sunt izolate de amenintarile din afara securitatii cibernetice? Aceasta este prima garantie pe care doriti sa o aveti daca compania dvs. utilizeaza (sau intentioneaza sa foloseasca) servicii gazduite.

Incalcarile in centrele de date de incredere tind sa se intample mai des. Pentru a opri aceasta tendinta, furnizorii de servicii trebuie sa adopte un model de Zero Trust. De la structura fizica la rafturile in retea, fiecare componenta este proiectata in acest sens.

Arhitectura Zero Trust

Modelul Zero Trust trateaza fiecare tranzactie, miscare sau iterare a datelor ca fiind suspecte. Este una dintre cele mai recente metode de detectare a intruziunilor.

Sistemul urmareste comportamentul retelei si datele curg dintr-un centru de comanda in timp real. Verifica pe oricine extrage date din sistem si avertizeaza personalul sau revoca drepturile din conturi, fiind detectata o anomalie.

Layere de securitate si redundanta in centrele de date

Pastrarea in siguranta a datelor necesita controale de securitate, iar verificarile sistemului sunt incorporate strat cu strat in structura unui centru de date. Incepand cu cladirea fizica insasi, sistemele software si pana la personalul implicat in sarcinile zilnice.

Puteti separa layerele intr-un format fizic sau digital.

Standarde de securitate fizica a Centrului de date

Locatie

Evaluarea sigurantei unui centru de date incepe cu locatia.

Proiectarea unui centru de date de incredere va tine cont de:

  • Activitate geologica in regiune
  • Industrii cu risc ridicat din zona
  • Orice risc de inundatii
  • Alte riscuri de forta majora

Puteti preveni unele dintre riscurile enumerate mai sus, avand bariere sau redundante suplimentare in proiectarea fizica. Datorita efectelor nocive, care le-ar putea avea aceste evenimente asupra operatiunilor centrului de date, cel mai bine este sa le evitam cu totul.

Sisteme de asistenta pentru cladiri, structuri si centre de date

Proiectarea structurilor care alcatuiesc centrul de date trebuie sa reduca orice risc de control al accesului. Gardurile din jurul perimetrului, grosimea si materialul peretilor cladirii si numarul de intrari pe care le are. Toate acestea afecteaza securitatea centrului de date.

Unii factori cheie pot include, de asemenea:

  • Dulapuri pentru servere dotate cu lacat.
  • Cladirile au nevoie de mai multi furnizori atat pentru servicii de telecomunicatii, cat si pentru electricitate.
  • Sistemele de rezerva suplimentare de putere, cum ar fi UPS-urile si generatoarele sunt o infrastructura critica.
  • Utilizarea capcanelor pentru oameni. Aceasta implica o blocare a aerului intre doua usi separate, folosindu-se autentificarea la ambele usi.
  • Tineti cont de extinderea viitoare in aceeasi limita
  • Sistemele de asistenta separate de spatiile albe permit membrilor personalului autorizat sa isi indeplineasca sarcinile. De asemenea, opreste tehnicienii de intretinere si service sa nu primeasca o intrare nesupravegheata.

Controlati accesul fizic

Controlul vizitatorilor si a personalului din jurul centrului de date este crucial. Daca aveti scanere biometrice pe toate usile – si inregistrati cine a avut acces si cand – va ajuta la investigarea eventualelor incalcari in viitor.

Rutele de evacuare in caz de incendiu ar trebui sa le permita oamenilor sa iasa usor din cladire. Nu trebuie sa existe manere externe, pentru a impiedica reintrarea. Deschiderea oricarei usi de siguranta ar trebui sa activeze o alarma.

Securizati toate punctele finale

Orice dispozitiv, fie ca este un server, tableta, smartphone sau un laptop conectat la o retea de centru de date este un punct final.

Centrele de date acorda spatiu rack si custi clientilor ale caror standarde de securitate pot fi dubioase. Daca clientul nu securizeaza corect serverul, intregul centru de date ar putea fi in pericol. Atacatorii vor incerca sa profite de dispozitivele nesecurizate conectate la internet.

De exemplu, majoritatea clientilor doresc acces la distanta la unitatea de distributie a puterii (PDU), astfel incat acestia isi pot reporni serverele de la distanta. Securitatea este o preocupare semnificativa in astfel de cazuri de utilizare. Furnizorii de servicii trebuie sa constientizeze si sa asigure toate dispozitivele conectate la internet.

Mentineti jurnalele video si de intrare

Toate jurnalele, inclusiv materialele de supraveghere video si jurnalele de intrare, ar trebui sa fie stocate pentru cel putin trei luni. Unele incalcari sunt identificate atunci cand este deja prea tarziu, dar inregistrarile ajuta la identificarea sistemelor vulnerabile si a punctelor de intrare.

Proceduri de securitate a documentelor

Avand proceduri stricte, bine definite si documentate este extrem de important. Ceva la fel de simplu ca o livrare obisnuita trebuie sa fie bine planificat la detaliile sale principale. Nu lasati nimic deschis pentru interpretare.

Efectuati audituri periodice de securitate

Auditurile pot varia de la verificari zilnice de securitate si instructiuni fizice pana la audituri trimestriale SOC si PCI.

Auditurile fizice sunt necesare pentru a valida daca conditiile reale se conformeaza datelor raportate.

Straturi digitale de securitate intr-un centru de date

La fel ca toate controalele fizice, software-ul si retelele constituie restul modelelor de securitate si acces pentru un centru de date de incredere.

Exista niveluri de protectie digitala care vizeaza prevenirea accesului amenintarilor de securitate.

Sisteme de detectie si prevenire a intruziunilor

Acest sistem verifica daca exista amenintari persistente avansate (APT). Se concentreaza pe gasirea celor care au reusit sa obtina acces la centrul de date. APT-urile sunt de obicei atacuri sponsorizate, iar hackerii vor avea in vedere un scop specific pentru datele colectate.

Detectarea acestui tip de atac necesita monitorizarea in timp real a activitatii retelei si a sistemului pentru orice eveniment neobisnuit.

Evenimente neobisnuite ar putea include:

  • cresterea utilizatorilor cu drepturi mari care acceseaza sistemul in momente ciudate
  • Cresterea consumului de resurse care ar putea duce la un atac distribuit al serviciului (DDoS)
  • Seturi de date mari care apar sau se deplaseaza in jurul sistemului
  • Extragerea seturilor de date mari din sistem
  • Cresterea incercarilor de phishing pentru personalul crucial

Pentru a face fata acestui tip de atac, detectarea intruziunilor si sistemele de prevenire (IDPS) folositi linii de baza ale starilor normale ale sistemului. Orice activitate anormala primeste un raspuns. IDP utilizeaza acum retele neuronale artificiale sau tehnologii de invatare automata pentru a gasi aceste activitati.

Cele mai bune practici de securitate pentru sistemele de gestionare a cladirilor

Sistemele de gestionare a cladirilor (BMS) au crescut in concordanta cu alte tehnologii ale centrelor de date. Acum pot gestiona fiecare fata a sistemelor unei cladiri. Aceasta include controlul accesului, fluxul de aer, sistemele de alarma la incendiu si temperatura mediului.

Un BMS modern vine echipat cu multe dispozitive conectate. Ele trimit date sau primesc instructiuni de la un sistem de control descentralizat. Dispozitivele in sine pot fi un risc, precum si retelele pe care le utilizeaza. Orice lucru care are o adresa IP este vulnerabil.

Sisteme sigure de gestionare a cladirilor

Profesionistii din securitate stiu ca cea mai simpla modalitate de a scoate un centru de date de pe harta este prin atacarea sistemelor sale de gestionare a cladirilor.

Este posibil ca producatorii sa nu aiba in minte securitatea atunci cand proiecteaza aceste dispozitive, astfel incat patch-urile sunt necesare. Ceva la fel de neinsemnat ca un sistem de stropire poate distruge sute de servere daca este pornit de un atac cibernetic.

Segmentarea Sistemelor

Segmentarea sistemelor de gestionare a cladirilor din reteaua principala nu mai este optionala. Mai mult decat atat, chiar si cu astfel de masuri de precautie, atacatorii pot gasi o modalitate de a incalca reteaua de date primara.

In timpul incalcarii de date infamous Target, sistemul de gestionare a cladirilor a fost intr-o retea separata fizic. Totusi, asta a incetinit atacatorii, in timp ce au sarit in cele din urma de la o retea la alta.

Ceea ce ne duce catre un alt punct critic – monitorizarea miscarii laterale.

Miscare laterala

Miscarea laterala este un set de tehnici pe care atacatorii le utilizeaza pentru a se deplasa prin dispozitive si retele si pentru a obtine privilegii mai mari. Odata ce atacatorii se infiltreaza intr-un sistem, ei mapeaza toate dispozitivele si aplicatiile in incercarea de a identifica componentele vulnerabile.

Daca amenintarea nu este detectata din timp, atacatorii pot avea acces privilegiat si, in cele din urma, vor face ravagii. Monitorizarea miscarilor laterale limiteaza timpul in care amenintarile de securitate ale centrelor de date sunt active in interiorul sistemului.

Chiar si cu aceste controale suplimentare, este inca posibil sa existe puncte de acces necunoscute in cadrul BMS.

Securizare la nivelul retelei

Utilizarea crescuta a infrastructurii bazate pe virtualizare a adus un nou nivel de provocari de securitate. In acest scop, centrele de date adopta o abordare la nivel de retea a securitatii.

Criptarea la nivel de retea cuprinde utilizarea criptografiei in stratul de transfer de date de retea, care este responsabil de conectivitate si de rutare intre punctele finale. Criptarea este activa in timpul transferului de date, iar acest tip de criptare functioneaza independent de orice alta criptare, ceea ce il face o solutie autonoma.

Segmentarea retelei

Segmentarea traficului de retea este o buna practica la nivel de software. Aceasta inseamna clasificarea intregului trafic in diferite segmente pe baza identitatii punctului final. Fiecare segment este izolat de toate celelalte, actionand astfel ca o subretea independenta.

Segmentarea retelei simplifica aplicarea politicilor. In plus, contine eventuale amenintari intr-o singura subretea, impiedicand-o sa atace alte dispozitive si retele.

Firewall-uri virtuale

Desi centrul de date va avea un firewall fizic ca parte a sistemului sau de securitate, este posibil sa aiba si un firewall virtual pentru clientii sai. Firewall-urile virtuale urmaresc activitatea retelei in afara retelei fizice a centrului de date. Acest lucru ajuta la gasirea precoce a injectiilor de pachete fara a utiliza resurse esentiale pentru firewall.

Firewall-urile virtuale pot face parte dintr-un hipervizor sau pot trai pe propriile masini virtualizate intr-un mod bridged.

Solutii traditionale de protectie a amenintarilor

Cunoscuta solutie de protectie impotriva amenintarilor includ:

  • Retele private virtualizate si comunicatii criptate
  • Filtrare de continut, pachete, retele, spam si virus
  • Analizoare si izolatoare de trafic sau de flux net

Combinatia acestor tehnologii va va ajuta sa va asigurati ca datele sunt in siguranta, ramanand accesibile pentru proprietari.

Standarde de securitate pentru centre de date

Exista o tendinta in asigurarea sigurantei serviciilor de date si a standardizarii securitatii pentru centrele de date. In sprijinul acestui fapt, Uptime Institute a publicat Sistemul de clasificare a nivelurilor pentru centrele de date.

Sistemul de clasificare stabileste standarde pentru controalele centrului de date care asigura disponibilitatea. Deoarece securitatea poate afecta timpul de functionare al sistemului, acesta face parte din standardul lor de clasificare de nivel.

Exista patru 4 niveluri definite de sistem. Fiecare nivel mapeaza nevoile unei afaceri care depinde de ce tip de date sunt stocate si gestionate.

Nivelurile 1 si 2

Vazute ca servicii tactice, nivelurile 1 si 2 vor avea doar cateva dintre caracteristicile de securitate enumerate in acest articol. Ofera costuri reduse si sunt utilizate de companii care nu doresc acces in timp real la datele lor si care nu vor suferi financiar din cauza unei defectiuni temporare a sistemului.

Acestea sunt utilizate in principal pentru stocarea datelor in afara locatiei.

Nivelurile 3 si 4

Aceste niveluri au niveluri mai mari de securitate. Au disponibilizari incorporate care asigura timpul de functionare si accesul. Furnizarea de servicii critice pentru companiile care cunosc costul pagubelor unei reputatii pe care o creeaza o intrerupere a serviciului.

Aceste facilitati de procesare a datelor in timp real ofera cele mai inalte standarde de securitate.

Luati in serios securitatea centrelor de date

Tot mai multe companii isi muta sarcinile si serviciile critice catre serverele gazduite si infrastructura de cloud computing. Centrele de date sunt tinte principale pentru hackeri.

Masurarea furnizorilor de servicii impotriva celor mai bune practici prezentate in acest articol este esentiala.

Nu asteptati sa apara urmatoarea incalcare importanta inainte de a lua masuri pentru a va proteja datele.

Colocare Data centere Stategii de securitate

    Leave a Reply

    Your email address will not be published. Required fields are marked *