В статье мы глубоко погрузимся в мир безопасности дата-центров, изучая ее значение, сложные уровни и лучшие практики надежной защиты. Подробное руководство охватывает все: от основополагающих аспектов физической и кибербезопасности до нюансов защиты серверов и сетей.
В современную цифровую эпоху безопасность центров обработки данных играет ключевую роль в обеспечении конфиденциальности, целостности и доступности конфиденциальной информации. Благодаря комплексному сочетанию методов обеспечения безопасности дата-центры не только защищают от уязвимостей и кибератак, но также стратегически обнаруживают и сдерживают угрозы, обеспечивая своевременное оповещение как сотрудников внутренней безопасности, так и внешних правоохранительных органов.
Безопасность центра обработки данных — это набор практик, политик и технологий, используемых для защиты объектов, ИТ-оборудования и содержащейся в них информации от несанкционированного доступа и утечки данных. Защита включает в себя:
Обеспечение надежной безопасности дата-центра имеет решающее значение для защиты конфиденциальных данных и поддержания эксплуатационной целостности критически важной ИТ-инфраструктуры.
Безопасность ЦОД важна по множеству причин, включая операционные, финансовые, юридические и репутационные проблемы.
Вот некоторые из причин, почему безопасность центров обработки данных так важна:
Учитывая значимость и последствия указанных факторов, безопасность центра обработки данных имеет важное значение. Хотя на системы физической безопасности приходится около 5% затрат объекта, интеграция мер кибербезопасности может значительно увеличить эти расходы.
Чтобы создать безопасный дата-центр, реализуется сочетание физических, кибер-, сетевых и серверных мер безопасности. Такие меры предосторожности помогают защитить серверы, устройства хранения, сетевое оборудование, а также инфраструктуру электропитания и охлаждения, расположенную в центре обработки данных.
1. Физическая безопасность в центрах обработки данных
Физическая безопасность важна для защиты центров обработки данных от несанкционированного доступа, обеспечения наличия у авторизованных лиц соответствующих уровней допуска и снижения потенциальных угроз, которые могут привести к катастрофическому ущербу.
Физическая защита включает в себя обеспечение безопасности периметра объекта, входов и выходов, а также помещений и ограждений, в которых размещено критически важное оборудование. К таким помещениям относятся компьютерный зал, системный зал источника бесперебойного питания (ИБП), зал с коммуникациями, корпуса генераторов и оптоволоконные хранилища.
Хотя каждый центр обработки данных может иметь свою собственную систему безопасности, основными контрмерами являются следующие:
Барьеры
Защитные ворота, ограждение по периметру, железобетонные стены, столбики, защитное остекление дверей и минимальное количество окон помогают защитить дата-центр от несанкционированного доступа и внешних угроз. Достаточное освещение также важно для отпугивания и идентификации посторонних лиц. Ограждение по периметру контролирует физический доступ к дата-центру.
Контроль доступа
Чем больше количество точек доступа, тем выше потенциальный риск. Для контроля доступа можно использовать биометрические сканеры, считыватели карт, клавиатуры для ввода кода безопасности, двери со специализированными запорными механизмами, турникеты, охранные устройства на входе и выходе, ведение журналов посетителей, мантрапы.
Мантрапы – физические пространства, которые контролируют проход между двумя областями, позволяя проходить одновременно только одному человеку. Также называемые вестибюлями безопасности, они состоят из двух дверей с небольшим пространством между ними. Посетитель аутентифицируется у первой двери, прежде чем ему будет разрешено войти в промежуточное пространство. Дальнейшая проверка происходит до того, как посетитель сможет пройти через вторую дверь. Люк-ловушка требует, чтобы первая дверь была закрыта, прежде чем вторая сможет открыться, что предотвращает возможность движения назад или контрейлерными перевозками.
Наблюдение
Камеры видеонаблюдения с возможностью поворота, наклона и масштабирования, детекторы движения, датчики вибрации и системы сигнализации. Такие системы контролируют как внешний, так и внутренний вид объекта.
Для оптимального покрытия оборудование наблюдения должно быть стратегически размещено в следующих местах:
Видеонаблюдение должно обеспечивать мониторинг в режиме реального времени и иметь возможность долгосрочного хранения архивных материалов. Крайне важно, чтобы камеры могли четко идентифицировать лиц, получающих доступ к ЦОД, и отслеживать удаление или перемещение активов. Кроме того, рекомендуется вести журнал срабатываний сигнализации.
Компьютерная комната
Оборудуйте все потенциальные точки входа в компьютерные залы и залы обработки данных, в том числе под потолком и под полом, охранной сигнализацией и системами наблюдения. Внедрите систему контроля и управления доступом (СКУД) для мониторинга и регулирования входа и выхода в эти зоны, а также ведите подробные журналы входа/выхода. В компьютерных залах и залах обработки данных очень важно ограничивать трафик через специальные помещения.
Телекоммуникационные кабели
В защищенных ЦОД ограничьте физический доступ к телекоммуникационной кабельной инфраструктуре исключительно инженерами и персоналом поставщика услуг. Убедитесь, что телекоммуникационные кабели не проложены через зоны, открытые для публики или других арендаторов здания. Если это необходимо, кабели следует прокладывать в закрытых и защищенных кабельных лотках.
Ландшафтный дизайн
Использование элементов ландшафтного дизайна, таких как бермы, растительные экраны, деревья, изогнутые дороги и защитные рвы, может затруднить визуальный доступ к центру обработки данных. Это не только скрывает точное местоположение объекта от потенциальных угроз, но также помогает создать рекомендуемую буферную зону шириной не менее 30,5 метров вокруг здания.
Кроме того, важно поддерживать свободное пространство от 3 до 6 метров на территории ЦОД, как от ограждения по периметру, так и от самого здания. На свободном участке не должно быть деревьев, растений и кустарников, которые могут служить укрытиями или облегчать несанкционированный доступ на объект.
Вывески
Убедитесь, что все зоны с ограниченным доступом, например закрытые или охраняемые зоны, отмечены четкими указателями. Такая мера помогает регулировать движение пешеходов и транспортных средств и предотвращает их случайное проникновение в центр обработки данных.
2. Кибербезопасность в центрах обработки данных
Защита от киберугроз и несанкционированного цифрового доступа имеет решающее значение для ЦОД, использующих технологию виртуализации. Виртуализация позволяет нескольким виртуальным виртуальным машинам работать на одном физическом сервере, абстрагируя такие ресурсы, как вычисления, хранилище и сеть. Это позволяет ИТ-администраторам удаленно управлять операциями дата-центра.
Использование ПО для управления ЦОД обеспечивает гибкость, но также повышает уязвимость к кибератакам и краже информации. Чтобы защититься от таких рисков кибербезопасности, дата-центры принимают следующие меры для предотвращения несанкционированного удаленного доступа и защиты данных:
3. Сетевая безопасность в центрах обработки данных
Сетевая безопасность в центрах обработки данных имеет решающее значение из-за постоянного потока данных через многочисленные взаимосвязанные устройства и системы. Сетевая безопасность не только защищает данные при передаче, но также защищает от DDoS-атак, несанкционированных вторжений и прослушивания сети.
ЦОДы используют полный набор протоколов, инструментов и настроек для обеспечения надежной и отказоустойчивой сетевой инфраструктуры:
4. Безопасность серверов в центрах обработки данных
Серверы требуют постоянной защиты внутри центра обработки данных. Такая система безопасности начинается в компьютерной или серверной комнате и включает в себя дополнительные физические барьеры, контроль доступа и мониторинг.
Ключевые меры безопасности сервера:
Физическая безопасность ЦОД обычно реализуется на нескольких уровнях или в нескольких зонах. Чем ближе человек подходит к центру объекта или кампуса, тем строже становятся меры безопасности. Самый высокий уровень безопасности обеспечивается на физическом сервере, расположенном в стойке внутри компьютерного зала, а также в серверных, гарантируя, что только авторизованный персонал может получить доступ к этим конфиденциальным зонам.
Приняв многоуровневый подход к безопасности, организации могут обнаруживать и сдерживать потенциальные угрозы на каждом уровне, тем самым сводя к минимуму риск взломов. Существует 6 уровней физической безопасности дата-центра, предназначенных для предотвращения несанкционированного доступа:
1. Периметр объекта
Ограничение входа на территорию преимущественно через охраняемые главные входные ворота и ограждение по периметру. Пропускаются только ожидаемые гости из списка безопасного доступа. Сюда также входят ограждения со встроенными датчиками движения, круглосуточное видеонаблюдение, а также автомобильные барьеры.
2. Доступ к зданию
По прибытии в здание для входа в здание используется ловушка, после чего следует строгий процесс входа в систему под наблюдением обученных охранников. Второй уровень безопасности ведет в защищенный вестибюль, где посетители аутентифицируются с помощью устройств считывания карт и биометрического контроля доступа. Круглосуточный мониторинг обеспечивает строгий контроль посетителей, отображая и отслеживая перемещение на больших мониторах. Кроме того, проверка пропусков обязательна на всех пунктах въезда, и поддерживается стандартизированный протокол входа.
3. Операционные помещения
Операционные помещения в ЦОД, включая помещение, где расположено необходимое сетевое оборудование, а также центр управления безопасностью (Security Operations Center, SOC) играют решающую роль в безопасности. SOC служит центральным узлом операций по обеспечению безопасности, постоянно отслеживая каждую дверь, камеру, устройство считывания пропусков и сканирование радужной оболочки глаза на предмет любых аномалий.
Поскольку сотрудники службы безопасности часто имеют правительственное разрешение, стандарты безопасности в таких помещениях высоки, что гарантирует, что вся деятельность дата-центров остается под пристальным вниманием.
4. Компьютерные залы и залы данных
Доступ в эти помещения осуществляется строго по мере необходимости. Вход часто предполагает прохождение через еще одну ловушку, гарантирующую, что только один человек одновременно входит в помещение, после чего следует двухфакторная аутентификация с помощью бейджа и сканирования радужной оболочки глаза. Комплексный охват безопасности обеспечивается разнонаправленными камерами, фиксирующими все действия.
5. Стойки и шкафы
Сюда входит контролируемый доступ непосредственно к месту расположения ИТ-оборудования, служа точкой доступа к серверам и сетевым кабелям. Чтобы обеспечить высочайший уровень безопасности, встроенные системы камер внутри стоек отслеживают любые непредвиденные действия, например открытую дверь шкафа.
6. Безопасное удаление данных с носителя
Зона направлена на обеспечение стирания или физического уничтожения данных на вышедших из эксплуатации жестких дисках. Только специалисты со специальным доступом могут извлекать и обрабатывать эти диски, используя такие методы, как дробление, сверление, размагничивание или измельчение. После уничтожения отходы отправляются в центры переработки, а диски, предназначенные для повторного использования, подвергаются тщательной или жесткой очистке данных для обеспечения полного удаления данных.
Уровни безопасности центра обработки данных
Уровни проектирования инфраструктуры играют важную роль в безопасности дата-центров и могут быть разделены на следующие категории:
Стандарты безопасности центров обработки данных
Выбор правильных стандартов безопасности имеет решающее значение. Выбор часто определяется региональными и отраслевыми правилами. Ключевые международные стандарты включают:
Стандарты безопасности дата-центров остаются главным приоритетом для всех организаций. Независимо от профиля компании и того, какие данные организация хранит, соблюдение этих стандартов имеет решающее значение для поддержания безопасности и целостности их операций.
Спойлер: она начинается с подписки на наш канал