Безопасность ЦОД - Data center security
Безопасность ЦОД представляет собой набор политик, мер предосторожности и практик, принятых для предотвращения несанкционированного доступа и манипулирования дата-центра Ресурсы.[1] В центре обработки данных размещаются корпоративные приложения и данные, поэтому обеспечение надлежащей системы безопасности имеет решающее значение. Отказ в обслуживании (DoS), кража конфиденциальной информации, изменение данных и потери данных Вот некоторые из распространенных проблем безопасности, с которыми сталкиваются центры обработки данных.[2]
Обзор
Согласно Стоимость исследования утечки данных,[3] в котором участвовали 49 американских компаний из 14 различных секторов промышленности, они отметили, что:
- 39% компаний заявляют, что халатность была основной причиной утечки данных
- Вредоносные или криминальные атаки составляют 37 процентов от общего числа нарушений.
- Средняя цена взлома составляет 5,5 миллиона долларов.
Потребность в безопасном центре обработки данных
Физическая безопасность необходима для защиты стоимости оборудования.[4]
Защита данных
Цена нарушения безопасности может иметь серьезные последствия как для компании, управляющей центром обработки данных, так и для клиентов, данные которых копируются. Взлом в 2012 году Global Payments, поставщика процессинга для Visa, когда было украдено 1,5 миллиона номеров кредитных карт, подчеркивает риски хранения ценных и конфиденциальных данных и управления ими.[5] В результате партнерство Global Payments с Visa было прекращено;[6] было подсчитано, что они потеряли более 100 миллионов долларов.
Инсайдерские атаки
Защита от используемых уязвимостей программного обеспечения часто строится на предположении, что «инсайдерам» можно доверять.[7] Исследования показывают, что внутренние атаки, как правило, более разрушительны из-за разнообразия и количества информации, доступной внутри организаций.
Уязвимости и распространенные атаки
Количество данных, хранящихся в центрах обработки данных, увеличилось, отчасти из-за концентрации, создаваемой облачными вычислениями.[3]
Угрозы
Некоторые из наиболее распространенных угроз для центров обработки данных:
- DoS (отказ в обслуживании)
- Кража или изменение данных
- Несанкционированное использование вычислительных ресурсов
- Кража личных данных
Уязвимости
К распространенным уязвимостям относятся:
- Выполнение: Дизайн программного обеспечения и недостатки протокола, ошибки кодирования и неполное тестирование.
- Конфигурация: Использование значений по умолчанию, неправильно настроенные элементы
Эксплуатация устаревшего программного обеспечения
Многие «червячные» атаки на центры обработки данных используют известные уязвимости:
Использование программного обеспечения по умолчанию
Многие системы поставляются с учетными записями и паролями по умолчанию, которые используются для несанкционированного доступа и кражи информации.
Общие атаки
Общие атаки включают:
- Сканирование или зондирование: Одним из примеров атаки на основе зондирования или сканирования является сканирование портов - посредством чего «запросы к диапазону адресов портов сервера на хосте» используются, чтобы найти «активный порт» и затем причинить вред через «известную уязвимость этой службы».[11][12] Эта разведывательная деятельность часто предшествует атаке; его цель - получить доступ путем обнаружения информации о системе или сети.
- DoS (отказ в обслуживании): Атака типа «отказ в обслуживании» происходит, когда законные пользователи не могут получить доступ к информационным системам, устройствам или другим сетевым ресурсам из-за действий злоумышленника киберугроз.[13] Этот тип атаки генерирует большой объем данных для преднамеренного использования ограниченных ресурсов, таких как пропускная способность, циклы ЦП и блоки памяти.
- Распределенный отказ в обслуживании (DDoS): Этот вид атаки является частным случаем DoS, когда большое количество систем скомпрометировано и используется в качестве источника или трафика при синхронизированной атаке. В такой атаке хакер использует не один IP-адрес, а тысячи из них.[14]
- Не авторизованный доступ: Когда кто-то, кроме владельца учетной записи, использует привилегии, связанные со взломанной учетной записью, для доступа к ограниченным ресурсам с использованием действующей учетной записи или бэкдора.[15]
- Подслушивание: Этимологически, Подслушивание означает тайно слушать разговор.[16] В области сетевых технологий это несанкционированный перехват информации (имена пользователей, пароли), которая распространяется по сети. Вход в систему пользователей - это наиболее распространенные сигналы.
- Вирусы и черви: Это вредоносный код, который при выполнении дает нежелательные результаты. Черви - самовоспроизводящееся вредоносное ПО,[17] тогда как вирусы, которые также могут размножаться, нуждаются в каком-либо человеческом воздействии, чтобы нанести ущерб.[18]
- Атаки на интернет-инфраструктуру: Этот вид атаки нацелен на критически важные компоненты инфраструктуры Интернета, а не на отдельные системы или сети.
- Использование доверия: Эти атаки используют доверительные отношения, которые компьютерные системы должны поддерживать.
- Перехват сеанса также известный как угон cookie: Состоит из кражи законного сеанса, установленного между целью и доверенным хостом. Злоумышленник перехватывает сеанс и заставляет цель поверить, что она обменивается данными с доверенным узлом.[19]
- Атаки переполнения буфера: Когда программа выделяет буферное пространство памяти сверх того, что она зарезервировала, это приводит к повреждению памяти, влияющему на данные, хранящиеся в областях памяти, которые были переполнены.[20]
- Атаки уровня 2: Этот тип атаки использует уязвимости протоколов уровня канала данных и их реализации на коммутационных платформах уровня 2.
- SQL-инъекция: Также известен как внедрение кода, здесь ввод в форму ввода данных из-за неполной проверки данных позволяет вводить вредоносный ввод, который вызывает выполнение вредоносных инструкций.[21]
Инфраструктура сетевой безопасности
Инфраструктура сетевой безопасности включает инструменты безопасности, используемые в центрах обработки данных для обеспечения соблюдения политик безопасности. Инструменты включают технологии фильтрации пакетов, такие как списки контроля доступа, межсетевые экраны и системы обнаружения вторжений (IDS), как на основе сети, так и на базе хоста.
ACL (список контроля доступа)
ACL представляют собой механизмы фильтрации, явно определенные на основе информации заголовка пакета, чтобы разрешить или запретить трафик на определенных интерфейсах. Списки контроля доступа используются в нескольких местах в центре обработки данных, например в Internet Edge и в ферме серверов интрасети. Ниже описаны стандартные и расширенные списки доступа:
Стандартные ACL: самый простой тип ACL, фильтрующий трафик исключительно на основе IP-адресов источника. Стандартные списки управления доступом обычно развертываются для управления доступом к сетевым устройствам для управления сетью или удаленного доступа. Например, можно настроить стандартный ACL в маршрутизаторе, чтобы указать, каким системам разрешено подключаться к нему через Telnet. Стандартные ACL не рекомендуются для фильтрации трафика из-за их недостаточной детализации. Стандартные ACLS настроены с числом от 1 до 99 в маршрутизаторах Cisco.
Расширенные списки ACL. Решения о фильтрации расширенных списков ACL основаны на IP-адресах источника и назначения, протоколах уровня 4, портах уровня 4, типе и коде сообщения ICMP, типе службы и приоритете. В маршрутизаторах Cisco можно определять расширенные списки ACL по имени или по номеру в диапазоне от 100 до 199.[2]
Межсетевые экраны
Брандмауэр - это сложное фильтрующее устройство, которое разделяет сегменты LAN, придавая каждому сегменту разный уровень безопасности и устанавливая периметр безопасности, который контролирует поток трафика между сегментами. Брандмауэры чаще всего развертываются на границе Интернета, где они действуют как граница для внутренних сетей. Ожидается, что они будут иметь следующие характеристики:
Производительность: основная цель брандмауэра - разделить защищенные и незащищенные области сети. Затем брандмауэры размещаются на основном пути трафика, потенциально подверженном большим объемам данных. Следовательно, производительность становится естественным фактором проектирования, гарантирующим соответствие межсетевого экрана особым требованиям.
Поддержка приложений: Еще одним важным аспектом является способность межсетевого экрана контролировать и защищать определенное приложение или протокол, например Telnet, FTP и HTTP. Ожидается, что брандмауэр будет понимать обмен пакетами на уровне приложения, чтобы определять, соответствуют ли пакеты поведению приложения, и, если нет, то запрещает ли трафик.
Существуют различные типы межсетевых экранов в зависимости от их возможностей обработки пакетов и осведомленности об информации на уровне приложений:
- Межсетевые экраны с фильтрацией пакетов
- Брандмауэры прокси
- Межсетевые экраны с отслеживанием состояния
- Гибридные межсетевые экраны[2]
IDS
IDS - это системы реального времени, которые могут обнаруживать злоумышленников и подозрительные действия и сообщать о них системе мониторинга. Они настроены так, чтобы блокировать или смягчать текущие вторжения и, в конечном итоге, защищать системы от будущих атак. У них есть два основных компонента:
- Датчики: устройства и программные агенты, которые анализируют трафик в сети или использование ресурсов в конечных системах для выявления вторжений и подозрительных действий.
- Управление IDS: система с одним или несколькими устройствами, используемая для настройки и администрирования датчиков, а также для дополнительного сбора всей информации о тревогах, генерируемой датчиками. Датчики эквивалентны инструментам наблюдения, а управление IDS - это центр управления, отслеживающий информацию, создаваемую инструментами наблюдения.[2]
Уровень безопасности 2
Коммутаторы Cisco уровня 2 предоставляют инструменты для предотвращения распространенных атак уровня 2 (сканирование или зондирование, DoS, DDoS и т. Д.). Ниже приведены некоторые функции безопасности, охватываемые Уровень 2 безопасности:
- Безопасность порта
- Проверка ARP
- Частные сети VLAN
- Частные сети VLAN и межсетевые экраны
Меры безопасности ЦОД
Процесс защиты центра обработки данных требует как комплексного подхода к анализу системы, так и постоянного процесса, повышающего уровни безопасности по мере развития центра обработки данных. Центр обработки данных постоянно развивается по мере появления новых приложений или услуг. Атаки становятся все более изощренными и частыми. Эти тенденции требуют постоянной оценки готовности системы безопасности.
Ключевым компонентом оценки готовности к безопасности являются политики, которые регулируют применение безопасности в сети, включая центр обработки данных. Приложение включает в себя как лучшие практики проектирования, так и детали реализации.[2] В результате безопасность часто рассматривается как ключевой компонент основного требования к инфраструктуре. Поскольку ключевая ответственность центров обработки данных заключается в обеспечении доступности услуг, системы управления центрами обработки данных часто учитывают, как их безопасность влияет на потоки трафика, сбои и масштабируемость. В связи с тем, что меры безопасности могут различаться в зависимости от конструкции центра обработки данных, использования уникальных функций, требований соответствия или бизнес-целей компании, не существует набора конкретных мер, охватывающих все возможные сценарии.[22]
В целом существует два типа безопасности центра обработки данных: физическая безопасность и виртуальная безопасность.[23]
Физическая охрана
Физическая безопасность центра обработки данных - это набор протоколов, встроенных в оборудование центра обработки данных, чтобы предотвратить любое физическое повреждение машин, хранящих данные. Эти протоколы должны быть в состоянии справиться со всем, от стихийных бедствий до корпоративного шпионажа и террористических атак.[24]
Для предотвращения физических атак центры обработки данных используют такие методы, как:
- Сеть безопасности видеонаблюдения: места и точки доступа с сохранением видео 90 дней.[25]
- 24×7
- охранники на территории,
- Центр сетевых операций (NOC) Сервисная и техническая команда
- Ворота турникета Anti-tailgating / Anti-pass-back. После аутентификации позволяет пройти только одному человеку.
- Единая точка входа в объект совместного размещения.
- Минимизация трафика благодаря выделенным информационным залам, пакетам и стойкам.
- Дальнейшее ограничение доступа к частным клеткам
- Трехфакторная аутентификация
- SSAE 16 совместимые объекты.
- Проверка происхождения и конструкции используемого оборудования
- Снижение инсайдерского риска за счет мониторинга деятельности и обеспечения безопасности их учетных данных[26]
- Контроль температуры и влажности
- Противопожарная защита с помощью зонального спринклера с сухими трубами
- Безопасные от стихийных бедствий места[27]
Виртуальная безопасность
Виртуальная безопасность - это меры безопасности, принимаемые центрами обработки данных для предотвращения удаленного несанкционированного доступа, который может повлиять на целостность, доступность или конфиденциальность данных, хранящихся на серверах.[28]
Виртуальная или сетевая безопасность - сложная задача, поскольку существует множество способов атаковать ее. Хуже всего то, что он развивается годы за годом. Например, злоумышленник может решить использовать вредоносное ПО (или аналогичные эксплойты), чтобы обойти различные брандмауэры для доступа к данным. Старые системы также могут поставить под угрозу безопасность, поскольку они не содержат современных методов защиты данных.[23]
Виртуальные атаки можно предотвратить с помощью таких методов, как
- Шифрование тяжелых данных во время передачи или нет: 256-битное шифрование SSL для веб-приложений. 1024-битные открытые ключи RSA для передачи данных. 256-битное шифрование AES для файлов и баз данных.
- Регистрирует аудит активности всех пользователей.
- Защищенные имена пользователей и пароли: шифрование с помощью 256-битного SSL, требования к сложным паролям, настройка срока действия по расписанию, предотвращение повторного использования пароля.
- Доступ зависит от уровня допуска.
- Интеграция AD / LDAP.
- Управление по IP-адресам.
- Шифрование файлов cookie идентификатора сеанса для идентификации каждого уникального пользователя.
- Доступность двухфакторной аутентификации.
- Стороннее тестирование на проникновение проводится ежегодно[25]
- Защита от вредоносных программ с помощью брандмауэров и автоматического сканера[29]
Рекомендации
- ^ Крейг Вольф (13 декабря 1989 г.). «Отчет обнаруживает неисправность с компьютерами E.M.S.». Нью-Йорк Таймс.
слишком много E.M.S. сотрудники имеют доступ к ...
- ^ а б c d е Маурицио Портолани, Маурисио Аррегосес (2004). Основы центра обработки данных. Издательство, Cisco Press, 800 East 96th Street Indianapolis, IN 46240 USA, Глава 5
- ^ а б Четыре уровня физической безопасности центра обработки данных для комплексного и интегрированного подхода [1]
- ^ «Ограбление центра обработки данных приводит к новому пониманию безопасности».
- ^ Джессика Сильвер-Гринберг (2 апреля 2012 г.). «После утечки данных Visa удаляет поставщика услуг». Нью-Йорк Таймс.
- ^ Робин Сидел (2 апреля 2012 г.). «Обработчик карт: хакеры украли номера счетов». Журнал "Уолл Стрит (WSJ).
Visa сняла знак одобрения
- ^ Отчет CSI / ФБР за 2003 год «Исследование компьютерных преступлений и безопасности».
- ^ Дэвид Мур; Коллин Шеннон (2001). "Распространение красного червя (CRv2)". Получено 2006-10-03.
- ^ "Net-Worm: Описание W32 / Nimda". F-secure.com (F-Secure Labs).
- ^ Джон Лейден (6 февраля 2003 г.). "Slammer: Почему безопасность выигрывает от подтверждения концепции кода".
- ^ «Атаки Port Scan и методики их обнаружения».
- ^ Виталий Шматиков; Мин-Сю Ван. «Защита от атак типа« зонд-ответ »при совместном обнаружении вторжений» (PDF). Техасский университет в Остине.
- ^ «Понимание атак типа« отказ в обслуживании »». US-CERT. 6 февраля 2013 г.. Получено 26 мая, 2016.
- ^ Халифе, Солтаниан, Мохаммад Реза. Теоретические и экспериментальные методы защиты от DDoS-атак. Амири, Ирадж Садех, 1977-. Уолтем, Массачусетс. ISBN 0128053992. OCLC 930795667.
- ^ Сертификаты GIAC. Сертификационный документ Global Information Assurance.
- ^ "eavesdrop - определение подслушивания на английском языке по оксфордским словарям". Оксфордские словари - английские.
- ^ Барвайз, Майк. "Что такое интернет-червь?". BBC.
- ^ Столлингс, Уильям (2012). Компьютерная безопасность: принципы и практика. Бостон: Пирсон. п. 182. ISBN 978-0-13-277506-9.
- ^ «Предупреждение об угоне Wi-Fi веб-почты». Новости BBC. 3 августа 2007 г.
- ^ «Современные цели переполнения» (PDF).
- ^ Ли, К. (май 2019 г.). «Метод обнаружения SQL-инъекций на основе LSTM для интеллектуальной транспортной системы». IEEE Transactions по автомобильной технологии. 68 (5): 4182–4191.
- ^ Справочное руководство Cisco SAFE [2] глава 4
- ^ а б Rich Banta Типы безопасности ЦОД
- ^ Сара Д. Скалет 19 способов обеспечить физическую безопасность вашего центра обработки данных
- ^ а б Обзор безопасности и центра обработки данных
- ^ Обзор проекта безопасности инфраструктуры Google
- ^ Центр данных iliad ['http://www.iliad-datacenter.com/pdf/iliad-dc-security.pdf ' «Безопасность центра обработки данных»] глава 4
- ^ Защита облачной инфраструктуры Microsoft 2009.
- ^ Управление дата-центром