Что такое информационная безопасность ЦОД?
Информационная безопасность центра обработки данных (ЦОД) — физическая и цифровая защита информации, в отношении которой ЦОД производит операции. Такая информация ценна (например, в силу относимости к корпоративной или иной тайне), имеет большой объем (которым может оперировать только ЦОД).
ЦОД обеспечивает непрерывную (с нормативными периодами простоя) обработку информации с использованием специальной инфраструктуры. Дата-центрам приходится работать с разными типами угроз безопасности — что требует применения различных мер защиты.
Типы угроз безопасности дата-центров
Примеры критичных угроз:
- повреждение, вывод из строя оборудования (в силу внутренних, внешних факторов, форс-мажоров);
- запуск вирусов и иных вредоносных программ;
- запрещенный доступ к файлам, запуск приложений, прочтение трафика;
- кража логинов, паролей пользователей, личных сведений.
Перечни угроз безопасности для ЦОД постоянно расширяются, появляются новые. В числе актуальных — те, что обусловлены растущей автоматизацией алгоритмов получения доступа к объектам, базируемых на искусственном интеллекте и нейросетях.
Рассмотрим, как защищать дата-центр, на примере конкретных мер физического и цифрового противодействия выявляемым угрозам безопасности.
Меры физической защиты центров обработки данных
Меры, о которых идет речь, применяются в отношении конкретного объекта защиты:
- непосредственно защищаемых данных (информации);
- оборудования, вычислительных мощностей дата-центра.
Пресечение физического доступа лиц, не имеющих полномочий, к защищаемым объектам достигается за счет:
- возведения зданий и помещений ЦОД в структуре, снижающей вероятность внешнего проникновения (наблюдения, прослушки);
- введения пропускного режима в ЦОД, круглосуточной охраны;
- введения корпоративных регламентов пользования оборудованием;
- мониторинга действий работников центра;
- проведения проверок (аудита) безопасности.
Обеспечение стабильной работы оборудования включает:
- поддержание температурного режима;
- постоянство доступа к электроэнергии (магистральные, резервные источники);
- реализацию мер противопожарной защиты.
Отметим, что многие условия для стабильной работы ЦОД задаются уже на этапе его создания. Например - в части использования строительных материалов с требуемыми свойствами, планировки помещений с учетом нормативов пожарной безопасности.
Цифровые меры защиты
Перечни конкретных мер привязываются к этапу цифровой обработки объектов. Основные:
- Ввод.
Информация обычно поступает в центр обработки данных через сеть (интернет, VPN). Как защищать ее:
- применять межсетевой экран (для блокировки трафика из сомнительных источников);
- использовать инструменты обнаружения источников вредоносного кода в принимаемых файлах.
- Вычислительные операции.
На этом этапе данные обмениваются между серверами дата-центра. Мера защиты: технология VLAN (для изоляции обмена данными между выбранными серверами).
- Размещение (организация хранения).
Мера защиты: резервное копирование. Защищенный ЦОД не допустит рисков утраты информации.
- Использование в установленных целях (с требуемой регулярностью).
Меры защиты: контроль доступа сотрудников ЦОД к файлам, проверка целостности (актуальности) информации.
На практике перечни цифровых методов могут быть исключительно широкими — выше приведены лишь типичные примеры. Вновь правомерно говорить о необходимости периодической разработки инновационных методов — чтобы защищать дата-центр от новых типов угроз безопасности.
Что предписывает закон?
Деятельность, связанная с обработкой данных, в большинстве современных государств строго регулируется законодательно. Есть нормативные акты, прямо регулирующие в том числе работу ЦОД.
В Беларуси есть норматив СТБ 2227-2018, устанавливающий общие технические требования к центрам обработки данных, составу инженерных систем объектов ЦОД. Стандарт обязателен для всех хозяйствующих субъектов при возведении (реконструкции) ЦОД, а также для потребителей услуг, оказываемых дата-центрами.
Для справки: норматив СТБ базируется в том числе на положениях стандарта ANSI/TIA 942A. Он содержит, в частности, критерии отнесения дата-центра к уровням надежности инфраструктуры TIER I, II, III и IV. По состоянию на 2023 год в Беларуси есть только ЦОД не выше уровня TIER III. Однако, такие дата-центры обеспечивают практически бесперебойную обработку данных. Это происходит за счет применения технических и организационных средств, позволяющих заменять оборудование без остановки критических компонентов.
Каждый дата-центр вправе вводить локальные стандарты, не противоречащие законодательным нормативам. Благодаря этому можно эффективнее защищать данные, повышать скорость их безопасной обработки.
Операции в ЦОД также должны соответствовать нормативам, общим для всех отраслей:
- Закону о защите персональных данных от 07.05.2021 № 99-З;
- Закону о коммерческой тайне от 05.01.2013 № 16-3;
- Закону об информации и защите информации от 10.11.2008 № 455-3.
Нарушения действующих нормативов приводят к штрафным санкциям и иным правовым последствиям, негативно влияющим на деятельность центра обработки данных. Поэтому, практической составляющей защиты информации будет в том числе организация правовой экспертизы работы ЦОД. Участие здесь будут принимать не только сотрудники IT-подразделений, отвечающих за безопасность, но также специалисты юридического профиля (при необходимом обращении к внешней экспертизе).
Защита информации в центре обработки данных производится в привязке к определенным уровням.
Уровни защиты данных
Уровни, о которых идет речь, могут определяться по разным критериям. Общих правил здесь нет. Распространен подход, по которому выделяются уровни:
- Обеспечения контакта ЦОД с внешними информационными системами.
Как действует защита: применяется отмеченный выше межсетевой экран, реализуются методы ограничения доступа различных лиц к ресурсам ЦОД.
- Сегмента обработки.
После ввода в ЦОД данные попадают в тот или иной сегмент для обработки (например, преобразования в нужный файловый формат). Здесь важно не допустить проникновения вредоносного кода — который может воздействовать на защищаемые данные (открыть к ним доступ, произвести нежелательные операции). Поэтому, ведущая роль в создании безопасных условий будет принадлежать программам антивирусной защиты и дополняющим их решениям.
- Уровень сервера (виртуальной машины).
Здесь речь идет о применении конкретного вычислительного устройства, которое должно быть:
- исправно;
- защищено от незаконного доступа;
- приспособлено к безопасному обмену данными со сторонним оборудованием.
Таким образом, на рассматриваемом уровне безопасность обеспечивается программным и аппаратным способами, которые в одинаковой степени важны.
Указанные уровни всегда связаны друг с другом. Они образуют систему безопасности центра обработки данных. В ее основе могут лежать алгоритмы выявления критических угроз для безопасности и реагирования на них.
Как не пропустить критическую угрозу безопасности?
Есть много подходов к построению эффективной информационной защиты центров обработки данных. Можно выделить трехфакторный подход, который включает:
- Выделение связок «ценный ресурс — угрозы безопасности» в необходимом перечне.
Например, если ресурс — сведения, представляющие собой корпоративную тайну, то в отношении него можно определить угрозы безопасности в виде:
- незаконного доступа, копирования, передачи во внешнюю информационную систему;
- изменения файлов (в том числе за счет встраивания вредоносного кода);
- уничтожения данных в нарушение сроков их обязательного хранения.
- Выделение связок «угроза безопасности — способ защиты» по каждому типу рисков.
Получается, что защита информации в виде корпоративной тайны учитывает три фактора:
- характеристики самого защищаемого объекта;
- угрозы безопасности этого объекта;
- методы противодействия угрозам.
Схему поддержания информационной безопасности, которая основана на трехфакторной методике, можно масштабировать на уровни любых типов защищаемых объектов в дата-центре. В локальных регламентах и инструкциях прописываются алгоритмы выявления угроз безопасности, а также определения наиболее эффективных мер противодействия им.
Как повысить безопасность центра обработки данных?
Улучшить защищенность центра обработки данных можно за счет:
- Грамотного использования программного обеспечения, входящего в инфраструктуру ЦОД.
Такое ПО, как правило, включает инструменты (политики) для защиты информации при реализации внутреннего функционала. Их применение повысит эффективность реализации мер информационной защиты. Снизит нагрузку на инфраструктуру за счет отключения дублирующих внешних компонентов аналогичного назначения.
- Дублирования (расширения) схем защиты данных.
Например — размещения информации при резервном копировании не только на штатных серверах, но и на внешних облачных ресурсах. При этом, альтернативная инфраструктура должна иметь характеристики, в полной степени удовлетворяющие правилам безопасности, которых придерживается центр обработки данных. Эти правила могут исходить из законодательных предписаний или действия локальных регламентов.
- Оптимизации требований к системе хранения данных.
Так, исходя из требований к ЦОД по скорости вычислений могут задействоваться системы:
- NAS (хранилища, подключаемые к сети);
- SAN (сети для размещения данных).
Первые менее затратны во внедрении и обслуживании, вторые приспособлены к обработке исключительно больших объемов информации. Современные центры обработки данных часто сочетают системы друг с другом, оптимизируя баланс между издержками, уровнем безопасности и скоростью работы инфраструктуры.