Многие компании сегодня переносят свою ИТ-инфраструктуру и бизнес-приложения в ЦОД. В данной статье мы рассмотрим подходы к построению системы защиты ЦОДа.
ЦОД представляет собой сложную систему, состоящую из множества элементов. Архитектура ЦОДа — это сочетание физических и виртуальных серверов, различных систем, сервисов и приложений, предназначенных для обслуживания пользователей (внутренних, внешних, мобильных, и др.). Поэтому при построении системы защиты ЦОДа необходимо учитывать особенности его архитектуры, а также специфические требования к обеспечению его надежности, доступности и производительности.
Для организации информационной безопасности (ИБ) ЦОДа необходимы несколько подсистем защиты, которые бы учитывали сетевую архитектуру, серверную (в особенности архитектуру виртуальных серверов), а также архитектуру сети хранения данных.
Можно выделить следующие элементы обеспечения ИБ ЦОДа:
- защита периметра ЦОДа;
- защита инфраструктуры ЦОДа (виртуальной и физической).
При этом используемые средства защиты ЦОДа должны соответствовать требованиям регуляторов. Поэтому при выборе СЗИ для ЦОДа необходимо обращать внимание на наличие у них действующих сертификатов ФСБ и ФСТЭК.
Защита периметра ЦОДа и безопасный удаленный доступ
Для построения системы защиты периметра ЦОДа, как правило, применяются традиционные подходы к обеспечению сетевой безопасности. Такая система строится по принципу эшелонирования и обычно предполагает использование пограничного межсетевого экрана (МЭ), средств построения VPN-туннелей, системы обнаружения и предотвращения вторжений (IPS).
Для разграничения доступа между виртуальными сегментами можно использовать специализированные виртуальные МЭ, работающие на уровне гипервизора, или выделенный физический МЭ, через который будет маршрутизироваться сетевой трафик защищаемых виртуальных сегментов. Еще одним вариантом является работа выделенной высокопроизводительной платформы, на которой разворачиваются виртуальные МЭ (виртуальные контексты). Использование виртуальных МЭ на базе одной аппаратной платформы позволяет, с одной стороны, легко масштабировать систему, с другой — не требует приобретения дополнительных аппаратных средств, так как при необходимости можно создать дополнительный виртуальный МЭ на базе существующей аппаратной платформы. Для организации VPN-туннелей в ЦОДе применяются криптошлюзы, которые не только обеспечивают шифрование трафика, но и могут являться дополнительным межсетевым экраном. Среди отечественных продуктов, сертифицированных в ФСТЭК и ФСБ России, для этих целей можно использовать АПКШ “Континент” компании “Код Безопасности”.
Защита виртуальной инфраструктуры ЦОДа
Зачастую все информационные сервисы и бизнес-приложения компании разворачиваются в ЦОДе на базе виртуальной инфраструктуры (ВИ). Соответственно, говоря о защите инфраструктуры ЦОДа, мы, должны подразумевать в первую очередь защиту виртуальной среды ЦОДа.
Система защиты виртуальной среды ЦОДа должна обеспечивать:
- защиту информации, обрабатываемой в виртуальной инфраструктуре;
- защиту элементов управления виртуальной инфраструктурой.
Вопросы защиты информации, обрабатываемой непосредственно на виртуальных серверах и рабочих станций, в принципе, очевидны. Как и в случае с физическими серверами, необходимо обеспечивать защиту информации от несанкционированного доступа (НСД), антивирусную защиту и шифрование информации.
Если говорить о защите управления ВИ, то многие компании не уделяют должного внимания данной проблеме. Однако появление такого элемента, как виртуальная среда, несет с собой новые угрозы, не всегда свойственные классическим автоматизированным системам. К таким угрозам относятся:
- угроза компрометации гипервизора (Microsoft Hyper-V, VMware vSphere Hypervisor) как нового по сравнению с физической средой элемента управления инфраструктурой;
- угроза утечки данных вследствие злонамеренных или непреднамеренных действий системного администратора, получающего доступ к данным и к инфраструктуре;
- консолидация нескольких серверов на одном аппаратном комплексе, что приводит к повышению риска компрометации консолидированного хранилища данных;
- угроза несанкционированного доступа администратора ВИ к настройкам и правам пользователей на серверах виртуализации;
- угроза нарушения целостности виртуальной машины;
- невозможность контролировать все события информационной безопасности и расследовать инциденты информационной безопасности в случае их возникновения.
Данные угрозы актуальны как для коммерческого ЦОДа, где арендуются ресурсы, так и для корпоративного.
Чтобы свести эти угрозы к минимуму, рекомендуется использовать встроенные в платформу виртуализации механизмы защиты гипервизора, а также специализированные средства защиты. Кроме того, если в виртуальном ЦОДе обрабатываются персональные данные, гостайна или другая информация ограниченного доступа, то для защиты виртуальной среды должны применяться только сертифицированные по требованиям безопасности информации средства защиты. Специализированных средств защиты для виртуальных инфраструктур, прошедших сертификацию в ФСТЭК России, на сегодняшний день не так много. Одним из таких средств является СЗИ от НСД vGate R2 для защиты виртуальных инфраструктур VMware.
СЗИ от НСД vGate обеспечивает комплекс мер по защите виртуальной инфраструктуры, а именно:
- разделение прав на управление виртуальной инфраструктурой и на управление безопасностью виртуальной инфраструктуры;
- усиленную аутентификацию администраторов виртуальной инфраструктуры и администраторов информационной безопасности;
- полномочное управление доступом к конфиденциальным ресурсам;
- контроль целостности конфигурации виртуальной машины (ВМ) и файлов гостевых систем ВМ, доверенную загрузку;
- централизованное управление и аудит событий безопасности;
- регистрацию событий;
- подготовку отчетов о состоянии и событиях информационной безопасности.
Практика показывает, что многие компании недооценивают сложность задач защиты ЦОДа. Успешность проекта по защите ЦОДа напрямую зависит то того, насколько тщательно будут проработаны не только вопросы технической защиты, но и организационные вопросы по обеспечению ИБ в ЦОДе. Начинать проект по защите ЦОДа лучше всего с разработки модели угроз, которая позволит выявить актуальные для бизнеса угрозы, после этого можно переходить к проработке технических и организационных решений.
Автор статьи — менеджер проектов компании “Код Безопасности”
СПЕЦПРОЕКТ КОМПАНИИ “КОД БЕЗОПАСНОСТИ”