Для любой ИТ-компании дата-центр — это фундамент операционной деятельности, и от стабильной работы всех систем его ИТ-инфраструктуры в конечном счете зависит бизнес.
К услугам центров обработки данных (ЦОД) обращаются ИТ-компании разного калибра — от стартапов до лидеров рынка. Бурное развитие технологий и активная цифровизация общества требуют постоянного наращивания производственных мощностей, поэтому даже гиганты индустрии используют внешние дата-центры. Высокий спрос на услуги ЦОДов создает ажиотаж и конкуренцию среди клиентов, но как показывает практика, не все поставщики предоставляют сервис, соответствующий ожиданиям пользователей, особенно, в вопросах безопасности.
Основные проблемы безопасности и риски, с которыми сталкиваются клиенты ЦОДов:
· Удаленность дата-центров и, соответственно, невозможность физического присутствия для контроля работы провайдера.
· Недостаточный уровень технической защищенности информационных систем ЦОДа и разграничения доступов между клиентами ЦОДа (как физических, так и логических).
· Человеческий фактор как угроза стабильной работы сервисов компании.
· «Защита на бумаге» и отсутствие гарантий — на самом деле все так, как прописано в договоре.
· Запреты службы безопасности на раскрытие информации о безопасности в случае инспектирования. Парадоксальная, но жизненная ситуация, когда хостинг пытается скрыть свои проблемы, апеллируя к конфиденциальности.
· Регуляторные обязательства. К сожалению, не все дата-центры отличаются пунктуальностью в вопросах сертификации и часто упускают из виду, что их надо регулярно обновлять.
Как понять, какой ЦОД лучше с точки зрения ИБ? На что обратить внимание?
Опираясь на опыт различных аудитов ЦОДов, для комплексной оценки безопасности дата-центров мы разработали специальный фреймворк, который определяет основные риск-факторы и оценивает их по наборам практик. Этот подход может быть полезен как тем, кто выбирает нового провайдера и проводит собственные аудиты, так и владельцам ЦОДов или тем, кто планирует построить собственный.
Было выделено три основных направления — физическая безопасность, человеческий фактор и цифровые системы управления.
Физическая безопасность (Physical Factor) — это оценка системы защиты ЦОДа от внешних угроз и злоумышленников. Тут важно опираться на ключевые моменты: как организовано видеонаблюдение (CCTV), система контроля управления доступом (СКУД), контроль сторонних компаний, а также как реализованы требования ИБ для серверных помещений.
Например, в вопросах видеонаблюдения стоит разобраться в том, где установлены камеры, куда осуществляется с них вывод трансляции и кто к ним получает доступ. Необходимо уточнить, есть ли дежурная смена для отслеживания событий на мониторах, обеспечена ли синхронизация по времени, а также какой фактический срок хранения записей с камер видеонаблюдения и соответствует ли он заявленным требованиям (включая сертификации).
Когда проводится оценка СКУД, важно в первую очередь определить базовые вещи — где установлены точки контроля, какие технологии применяются и как настроен доступ к оборудованию. Например: откуда и кем управляется СКУД, как размещены разные клиенты ЦОДа, а также какой порядок предоставления журналов СКУД и записей видеонаблюдения для клиента. Стоит заострить внимание на том, как осуществляется доступ к машинным залам, складским помещениям и оборудованию клиентов; привлекаются ли сторонние организации, например, для обслуживания инженерных систем ЦОДа (кондиционеры, СБП и т. п.), уборки помещений, и какой контроль за их действиями предусмотрен в ЦОДе. Обращайте внимание на то, проводится ли учёт оборудования самим ЦОДом и как осуществляется перемещение оборудования клиента в случае необходимости. И конечно, соблюдены ли все требования по поддержанию необходимых условий для бесперебойной работы серверов и физической изоляции между оборудованием клиентов.
Если разбирать человеческий фактор (Human Factor), то тут оценивается система защиты ЦОДа от внутренних угроз, где основные риски связаны с персоналом — неумышленная или спланированная утечка данных.
Одним из важных аспектов, который часто упускается — это вероятность внутреннего заражения оборудования специалистов ЦОДа через социальную инженерию, например, организованную фишинговую атаку на сотрудников с целью добраться до инженерных систем центра. Или появление инсайдеров, если не предусмотрен контроль за рабочими станциями системных инженеров ЦОДа на предмет использования съемных носителей или установки неподконтрольных каналов коммуникации, например, внешних мессенджеров. Поэтому стоит обратить внимание на то, выдаются ли работникам служебные рабочие станции, как они контролируются, какие механизмы защиты от фишинга и спама применяются, возможен ли доступ в серверные помещения с личными устройствами (телефоны, ноутбуки, съемные накопители). А еще — проводит ли ЦОД регулярное обучение своих сотрудников по обнаружению и реагированию на инциденты ИБ, например, в формате практических тренингов.
Также обратите внимание, как фактически реализуются процедуры гарантированного уничтожения дисковых накопителей специалистами ЦОДа, если вы пользуетесь такими услугами. В этом вопросе стоит перестраховаться, чтобы исключить любую возможность утечки информации.
Третий крупный блок связан с системно-цифровыми рисками (Insecure Digital System) — защитой ИТ-инфраструктуры и инженерных систем ЦОДа.
По данным Allianz Risk Barometer, в 2024 году именно киберинциденты возглавляют рейтинг основных бизнес-рисков. Поэтому важно разобраться с тем, как дата-центр подходит к решению вопросов ИБ — по защите АСУТП, обнаружению цифровых уязвимостей, контролю и регулярному обновлению ПО этих систем, защищены ли рабочие станции администраторов (SAWs), ведется ли в принципе сбор журналов событий и подключен ли SOC. К сожалению, в большинстве случаев все делают акцент на организации физической безопасности, но мало кто задумывается о том, как защищены системы управления и мониторинга оборудования дата-центра.
Вот несколько вопросов, которые помогут оценить систему цифровой защиты ЦОДа: как организовано удалённое администрирование системами, как выделяются сетевые адреса для клиентов, какое сетевое оборудование распределяется между разными клиентами. Далее стоит обратить внимание на то, как обеспечивается отказоустойчивость, применяется ли шейпинг трафика. Как обеспечивается логическая изоляция между клиентами, безопасно ли управляется оборудование, производится ли сканирование прикладного и системного ПО на уязвимости, какие механизмы защищённого хранения учётных записей для инженерных систем используются. В случае слабых методов аутентификации или уязвимостях в системах ЦОДа, этим могут воспользоваться злоумышленники — как для атаки на инфраструктуру ЦОДа (в том числе на инженерные системы, тикет-системы для взаимодействия с клиентами, СКУД, CCTV и т. п.), так и в качестве лазейки для проникновения в инфраструктуру клиента.
Общие рекомендации по оценке ЦОДа
Чтобы максимально ответственно подойти к выбору провайдера услуг и ничего не упустить, рекомендуем разработать чек-лист по всем трем основным направлениям угроз безопасности. Далее методом анализа каждого параметра определить, насколько каждый из предполагаемых дата-центров выполняет эти требования. Кроме того, здесь важно посмотреть на картину рисков и сопоставить ее с приоритетами и ключевыми задачам бизнеса. Возможно, с отсутствием соблюдения каких-то требований компания готова мириться в пользу других преимуществ провайдера услуг.
Еще одна рекомендация — это посмотреть на то, как в принципе в организации (ЦОД) выстроены процессы взаимодействия с клиентами, какие условия озвучены в SLA и проводилась ли (и когда) сертификация, в том числе по информационной безопасности. Эти факторы часто упускаются из виду в самом начале, но могут дорого стоить клиентам в процессе работы с хостингом.
Как начать контролировать ЦОД и не упустить важного?
Если вы уже пользуетесь услугами дата-центра, но вас не устраивает качество его безопасности, или вы впервые задумались об этом, стоит договориться с провайдером о проведении внутреннего аудита. Начать необходимо с разработки «паспорта объекта» — сбора информации о вместительности, количестве используемых стоек, серверов и сетевого оборудования, типе предоставляемых услуг, сведений о результатах проведения тестирований на проникновение, наличии сертификатов и лицензий ИБ, а также сроках их действия. Далее необходима инспекция объекта, и для этого воспользуйтесь чек-листом. Он же поможет в дальнейшем для работы с картой актуальных угроз и рисков компании. Описав все основные выявленные недостатки центра, совместно с владельцами ЦОДа нужно разработать план корректирующих мероприятий по их устранению. Переговоры по митигации могут вызвать конфликты сторон, но руководствуясь картой угроз и рисков компании, можно выработать устойчивую позицию в переговорах и добиться качественных изменений внутри провайдера.