"Проблема безопасности ЦОД"

Введение

Любой компании, которая в своей деятельности использует ЦОД, необходимо иметь несколько средств физической и сетевой безопасности, которые гарантируют защиту информации, хранящейся в ЦОД, от потери, злонамеренных манипуляций и кражи. Практически все современные компании в своей деятельности используют те или иные технологии. Большинство организаций перешли от бумажного делопроизводства к цифровому, и теперь основная часть данных хранится на компьютерах, а не в канцелярских шкафах. Каждой компании необходимо решение, помогающее обеспечить безопасность и защиту информации в ЦОД.Актуальность темы данной работы обусловлена тем, что неэффективная система безопасности ЦОД может привести к утечке данных: конфиденциальная информация компании или, что еще хуже, информация о заказчиках, может стать общедоступной или оказаться в руках злоумышленников. Подобная утечка данных может дорого обойтись компании как в финансовом отношении, так и с точки зрения ее деловой репутации. Для некоторых организаций последствия утечки данных могут быть необратимыми.Целью данной работы является изучение проблем безопасности ЦОД.Для достижения поставленной цели были выявлены следующие задачи:Изучение понятия и функций ЦОД;Определение видов и этапов создания ЦОД; Рассмотрение существующих проблем безопасности ЦОД;Изучение способов повышения безопасности ЦОД.Объектом исследования данной работы является ЦОД. Предметом исследования является безопасность ЦОД. 1 Понятие и функции ЦОД. Виды ЦОД1.1 Понятие и функции ЦОДЦОД (центр обработки данных) — это специализированное здание или помещение, в котором компания размещает серверное и сетевое оборудование с последующим подключением клиентов к сети Интернет.Функции ЦОД — обеспечить стабильную и безотказную работу размещённого в нём оборудования. Кроме этого, любой дата-центр предоставляет защищённые каналы связи, по которым происходит обмен данными [1, с. 95].Чаще всего ЦОД обслуживают корпоративных клиентов — сдают в аренду хостинг-провайдерам стойки с серверами, а те, в свою очередь, сдают их в аренду своим клиентам в виде виртуального хостинга или VPS. Однако дата-центры могут обслуживать и частных клиентов — например, предоставлять в аренду физический сервер целиком (Dedicated-сервер) или стойко-место под сервер клиента (Colocation). Для клиентов ЦОД — это финансово выгодно. Им не нужно покупать отдельное помещение, дорогостоящее оборудование и нанимать персонал. Достаточно просто арендовать помещение или серверное оборудование в уже существующем центре обработки данных.Помещение ЦОД чаще всего размещают рядом с магистральной точкой обмена трафиком, так как доступ к вычислительному оборудованию дата-центра чаще всего осуществляется через интернет. И оснащают его современными эффективными инженерными системами — это залог стабильного функционирования [1, с. 102].В ЦОДе используются разные схемы резервирования инженерных систем, уровень которых подтверждается сертификатом, а качество и объем предоставляемых услуг могут быть очень разными.Качество и надёжность — два основных критерия при выборе дата-центра. Качественный ЦОД должен соответствовать следующим требованиям:Размещённое оборудование должно быть надёжно защищено от воздействия окружающей среды (наводнений, ураганов, сейсмической активности и т. д.). Здание должно соответствовать определённому набору требований по несущей способности стен и перекрытий, материалу конструкций, размерам и особенностям помещений и т. п.Бесперебойное снабжение электроэнергией — главное функциональное требование для ЦОД. В аварийных ситуациях или при сбоях в подачи электроэнергии используются автономные источники резервного питания: аккумуляторные батареи и дизель-генераторы.Качественная система вентилирования воздуха и отвода тепла. Кроме охлаждения должен поддерживаться нужный уровень влажности и чистоты воздуха. Наличие пыли на серверах в ЦОД недопустимо.Развитая и многоуровневая система охраны: огороженная территория, контрольно-пропускная система с досмотром, видеонаблюдение, управление доступом и т. д.Профессиональные сотрудники, обслуживающие инфраструктуру ЦОД и клиентское оборудование [1, с. 178].В России центры обработки данных — перспективная и развивающаяся отрасль. Спросу способствуют растущие объёмы хранения информации. По качеству технического оснащения российские ЦОД находятся на европейском уровне. При этом более низкая стоимость электроэнергии и высокий потенциал регионального развития делают использование ЦОД привлекательными для крупных российских компаний.1.2 Виды и этапы создания ЦОДПервыми пользователями центров обработки данных были зарубежные компании. В нашей стране они появились в начале XXI века, и пионерами по их внедрению стали «Сбербанк России» и крупные нефтяные компании. Типы ЦОД:- корпоративные (основные и резервные). Используются обычными и интернет-компаниями для хранения собственной актуальной информации, а также обеспечения функционирования виртуальных сервисов;- коммерческие (хостинговые). Ориентированные на хранение и обработку данных сторонних пользователей (клиентов) в целях повышения эффективности повседневной экономической деятельности;- использующие технологию Web 2.0 [2, с. 56].Принципы работы ЦОД:Виртуализация. Решение, позволяющее уменьшить количество используемого оборудования, что приводит к экономии времени, средств и площадей, необходимых для создания центра обработки данных.Кластеризация. Установка программах связей между несколькими серверами с целью их объединения для координации работы и перераспределения нагрузок. Масштабирование. Предусмотренные возможности увеличение мощности ЦОД за счет добавления новых модулей или постепенного увеличения производительности имеющегося оборудования [2, с. 312]. Как правило, в настоящее время ЦОД состоят из следующих компонентов:‒ информационная инфраструктура, т. е. серверное оборудование. Выполняет функции хранения и обработки информации;‒ телекоммуникационная инфраструктура. Выполняет функции связи оборудования, входящего в состав ЦОД между собой, а также осуществляет передачу данных внутри ЦОД;‒ инженерная инфраструктура. Выполняет функции обеспечения исправного функционирования ЦОД [2, с. 344].Информационная инфраструктура состоит из следующих компонентов:Хранилища данных могут представлять собой как набор файлов, хранящихся в некоторой распределенной файловой системе, так и полноценные базы данных. К хранилищам данных предъявляются требования целостности, безопасности и разграничения доступа, обеспечивающая надежность использования сервиса хранилища. Наиболее распространенной метрикой ресурса хранилищ данных является объем памяти, доступной пользователю. В качестве дополнительных критериев оценки хранилища данных могут служить пропускная способность интерфейса хранилища и максимальная задержка ответа.Вычислительные узлы представлены различными серверами, на которых может быть запущено некоторое число виртуальных машин. Как правило, ресурс отдельного вычислительного узла описывается его производительностью.Телекоммуникационная сетевая инфраструктура представляет собой совокупность физических каналов и коммутирующего оборудования. Ресурсы сети описываются пропускной способностью каналов и коммутаторов. Для разграничения доступа и обеспечения требуемой пропускной способности элементов виртуальных запросов используется механизм виртуальных каналов.К инженерной инфраструктуре относятся помещения ЦОД, где непосредственно размещается серверное оборудование, как правило, в виде серверных стоек. Для обеспечения бесперебойной работы центра обработки данных используется система бесперебойного электроснабжения, система кондиционирования воздуха, система раннего обнаружения пожара и газового пожаротушения. Важнейшим параметром функционирования ЦОД является безопасность. В современных ЦОД используются системы видеонаблюдения, охранной сигнализации и физического разграничения доступа [3, с. 45].Современные ЦОД стали создаваться в начале 1990-х годов, как серверные комнаты внутри собственных помещений, и довольно часто они создавались именно в залах, выводимых из эксплуатации больших ЭВМ, которые закончили свой срок службы. Затем стали появляться здания и помещения, специально создаваемые для размещения серверов и систем хранения [3, с. 56]. Часто такие помещения предназначались не для одного подразделения, а нескольких, использующих эти площади совместно, по принципу «колокации» – (colocation, англ. – «совместное расположение»). В конце концов, это привело к строительству специализированных зданий, спроектированных именно под ЦОД специального назначения, с полным оснащением их всеми соответствующими системами. В связи с появившемся многообразием ЦОД разработан вариант их классификации (таблица 1.1).Таблица 1.1 - Классификация ЦОДПризнакиВиды ЦОДПо целям использованияКорпоративныйСмешанныйХостинговыйПо размеруМалые Средние Микро КрупныеПо назначениюОсновной РезервныйПо типу построенияКонтейнерныеСтационарные: треш-дата центры, не капитальные здания, капитальные здания (вновь возводимые и модернизированные)Мобильные: перемещаемые с установленным оборудованием Используемые «на ходу» Быстровозводимые конструкцииПо типу размещения на местностиНадземный Подземный ПлавучийПо отказоустойчивостиБез резервирования С резервированием Отказоустойчивый С возможностью параллельного проведения профилактических работПо целям использования ЦОД может быть хостинговым, корпоративным и смешанным.Хостинговый ЦОД сдается в аренду. Владелец ЦОД выделяет организациям стойко-места или кластеры, которые заполняются оборудованием арендатора.Корпоративный ЦОД изначально создается для решения задач автоматизации процессов управления самого заказчика и владельца ЦОД.Смешанный ЦОД частично ориентирован на обеспечение процессов управления владельца и частично на решение задач арендатора.По назначению ЦОД различают на основной и резервный.Основной ЦОД является ядром информационной и телекоммуникационной системы. Он принимает на себя всю нагрузку в штатном режиме.Резервный ЦОД обеспечивает обычный режим предоставления услуг в случае выхода из строя, профилактики или горячей замены оборудования, установленного в основном дата-центре [3, с. 93].По типу размещения на местности ЦОД может быть наземным, подземным и плавучим.Наземный ЦОД – это ЦОД вся инфраструктура которого расположена непосредственно на поверхности земли.Подземный ЦОД – это ЦОД, инфраструктура которого расположена не на поверхности земли, а под землей. Располагаться он может в шахтах, хранилищах на различной глубине.В плавучем ЦОД инфраструктура расположена на воде. Достоинством такого ЦОД является то, что в процессе охлаждения воду, используемую для питания кондиционеров, берут непосредственно из водоема, на котором расположен ЦОД [3, с. 143].По размеру ЦОД различают микро, малый, средний и крупный.Микро ЦОД являются полностью автономными объектами, и содержат все компоненты, обычные для своих «старших братьев». Это вычислительное оборудование, телекоммуникационный модуль, хранилище данных, системы бесперебойного питания, системы охлаждения, система пожаротушения. Сейчас, в основном, такие объекты создаются для обеспечения нормальной работы периферии сети, но планируется, что такие ЦОД помогут справиться с потоком информации генерируемых устройствами и приложениями Интернета вещей.Многие организации обращаются к локализованным микро ЦОД, которые могут быть установлены в пределах контролируемых зон – на производственных площадках, в торговой точке, коммерческих комплексах и т. д. Что является хорошим решением для сервисов Интернета вещей, например, систем управления технологическими процессами, требующих более высокого уровня безопасности.В микро ЦОД используется до пяти серверов. В малом ЦОД используется от пяти до двадцати пяти серверов. В свою очередь средний ЦОД вмещает в себя от двадцати пяти до ста серверов. И самый вместительный ЦОД это большой он насчитывает более ста стоек серверов [3, с. 144].По типу построения ЦОД может быть стационарный, контейнерный и мобильный.Стационарный ЦОД представляет собой здание или его часть с размещённым внутри комплексом информационной, телекоммуникационной и инженерной инфраструктуры. Основной функцией стационарного ЦОД является размещение оборудования, необходимого для хранения и обработки информации. Стационарный ЦОД может размещаться как во вновь построенном здании, так и в здании, которое ранее использовалось для других целей [3, с. 185] .Контейнерный ЦОД изготавливается на базе стандартных контейнеров.Часть производителей предлагает решения с разделением ИТ и инженерной инфраструктуры, где одни контейнеры содержат только инженерное оборудование, а другие только ИТ оборудование и внутренние блоки системы кондиционирования. Другие производители предлагают контейнеры, содержащие все компоненты «традиционного» центра обработки данных, где расположено как инженерное, так и ИТ оборудование. Такие контейнеры могут выступать в качестве автономных микро ЦОД, которые могут быть развернуты в любом месте на основе дизайна – от складского помещения до пересеченной местности. Неоспоримыми преимуществами класса решений на основе контейнеров являются быстрота развертывания и эффективность использования энергии, однако существует целый ряд ограничений в применении таких модулей, в основном он связан с лимитами, накладываемыми на ИТ оборудование, а также сложностями эксплуатации системы в климатических условиях ряда регионов России [3, с. 197].Мобильный ЦОД – это специализированный комплекс аппаратных (блок контейнеров), смонтированных на базе транспортных средств, размещённых внутри аппаратных комплексов информационной, телекоммуникационной и инженерной инфраструктуры, с возможностью подключения к каналам связи, и предназначенный для хранения и обработки информации. Мобильный ЦОД выполняется в виде, приспособленном для транспортировки автомобильным, железнодорожным и морским транспортом и имеющем в своем составе автономный отказоустойчивый комплекс систем инженерного обеспечения [3, с. 201].По отказоустойчивости ЦОД разделяют на следующие категории: без резервирования, с резервированием, отказоустойчивый, с возможностью проведения профилактических работ. Для оценки надежности и эффективности ЦОД разработана система сертификации Tier от организации Uptime Institute, которая учитывает уровень резервирования каждой из систем ЦОД, которая включает 4 уровня сертификации. Аналогичная классификация выпущена Ассоциацией изготовителей оборудования для передачи данных в TIA-942 – первом стандарте на телекоммуникационную инфраструктуру центров обработки данных. Актуальная версия стандарта – TIA/EIA-942-B.Без резервирования (Tier 1 (N)) – отказы оборудования или проведение ремонтных работ приводят к остановке работы всего ЦОД. В ЦОД отсутствуют фальшполы, резервные источники электроснабжения и источники бесперебойного питания. Инженерная инфраструктура не зарезервирована. При таком подходе уровень доступности ЦОД составляет 99,671%, что соответствует около 30 часам простоя в год. Такой подход к построению ЦОД уже давно устарел и не применяется.С резервированием (Tier 2 (схема резервирования – N + 1)) – имеется минимальный уровень резервирования, в ЦОД обязательно имеются фальшполы и резервные источники электроснабжения и охлаждения, однако проведение ремонтных работ также вызывает остановку работы ЦОД. Время простоя в год – 22 часа, что соответствует уровню доступности ЦОД 99,75 %.Отказоустойчивый (Tier 3 (схема резервирования – 2∙N или 2∙N + 1)) – имеется возможность проведения ремонтных работ (включая замену компонентов системы, добавление и удаление вышедшего из стоя оборудования) без остановки работы ЦОД, инженерные системы однократно зарезервированы, имеется несколько каналов распределение электропитания и охлаждения, однако постоянно активен только один из них. Уровень доступности ЦОД составляет 99,98 %.С возможностью проведения профилактических работ (Tier 4 (схема резервирования – 2∙(N + 1))) – имеется возможность проведения любых работ без остановки работы ЦОД, инженерные системы двукратно зарезервированы, то есть, продублированы как основная, так и дополнительная системы. Уровень доступности ЦОД составляет 99,99 %, что соответствует 52,56 минутному времени простоя в год.В случае, когда стабильность работы фирмы зависит от качества и скорости обработки данных (банковский сектор, телекоммуникации), нередко создается дополнительный резервный центр обработки данных на случай форс-мажорных обстоятельств [3, с. 223].Существует три основных разновидности запасных центров обработки данных:«Горячий». На арендованных площадях находится резервное оборудование, которое готово к максимально быстрому вводу в эксплуатацию в случае выхода из строя основного ЦОД. Главное преимущество – это быстрый запуск и полноценное восстановление работоспособности компании. Недостаток – высокая стоимость.«Холодный». Устройства находятся в законсервированном виде. В случае необходимости происходит включение и конфигурирование аппаратуры для конкретных потребностей. Преимущество такого варианта заключается в низкой стоимости аренды, а недостаток – в слишком медленном развертывании и длительном восстановлении работоспособности.«Зеркальный». Наиболее востребованный и дорогостоящий вариант. Все необходимое оборудование находится в постоянной готовности и полностью синхронизировано с основным ЦОД. В случае неполадок переход на резервные мощности осуществляется незамедлительно, без потери уровня работоспособности и времени. Такой вариант могут себе позволить только крупные компании, которые вкладывают большие средства в системы безопасности [3, с. 231].По статистике российские центры обработки данных в большинстве случаев не соответствуют мировым стандартам по надежности и безотказности работы, поэтому наличие резервного центра обработки данных является не прихотью, а гарантией стабильности работы всей компании.Таким образом, подводя итог первого раздела, можно сделать вывод о том, что ЦОД — это не просто специализированное здание или помещение, в котором компания размещает серверное и сетевое оборудование, а сложно устроенная система, которая имеет свою классификацию. ЦОД различаются в зависимости от целей использования, размера, назначения, типа построения, типа размещения на местности и отказоустойчивости. Причем от выбора правильно подобранного вида ЦОД зависит его безопасность и надежность.2 Проблемы безопасности ЦОД. Способы повышения безопасности ЦОД2.1 Проблемы безопасности ЦОДДля получения доступа к ЦОД киберпреступники используют самые разные средства. Социоинженерные атаки нацелены на то, чтобы обманом заставить пользователей раскрыть пароли или найти другие способы доступа неавторизованных пользователей. Пользователи могут непреднамеренно скачать вредоносные программы (например, так называемые «программы-вымогатели»), которые блокируют вход пользователей в систему до тех пор, пока злоумышленникам не заплатят определенную сумму денег. Еще одна уязвимость, которую киберпреступники используют для получения доступа к ЦОД, — это ненадежные пароли пользователей, не уделяющих должного внимания безопасности. Чтобы гарантировать безопасность ЦОД, ИТ-руководителям необходимо информировать пользователей о различных типах атак и применять надежные методы обеспечения безопасности [4, с. 23].Пользователи — не единственная уязвимость в сети. Доступ киберпреступникам к ЦОД также могут открыть неправильно настроенные сети или программные средства безопасности. Киберпреступники могут вызвать сбой в работе ПО или серверов, не настроенных должным образом, перегрузив их запросами либо применив последовательность кода, которую такое ПО или сервер не сможет обработать. ЦОД также уязвимы для «спуфинговых» атак, при которых истинный источник или тип вредоносной программы остается скрытым. При IP-спуфинге сообщение выглядит так, будто оно пришло с доверенного узла, и проходит проверку как безопасное для передачи во внутреннюю сеть. Единственный способ защиты от IP-спуфинга — установка брандмауэров [4, с. 34].Безопасность дата-центра – многоуровневая характеристика. Ее можно разделить на ряд важных показателей:Физическая безопасность (защита от несанкционированного проникновения на территорию ЦОДа).Контроль и документирование доступа (регистрация и отслеживание активности сотрудников, подрядчиков, поставщиков, гостей в дата-центре).Хранение и переработка списанного оборудования (от того, насколько контролируются эти процессы, зависит степень риска, что «отработанные» диски серверов попадут «не в те руки» и станут причиной утечки данных).Расположение и характеристики здания ЦОД. Оно должно находиться вдали от зон потенциальных аварий, природных катаклизмов, техногенных катастроф. А также (желательно) вдали от крупных индустриальных и промышленных объектов, транспортных узлов, аэропортов и так далее.40538401797050Системы безопасности строительного объекта00Системы безопасности строительного объекта3568065179704900104394017970500014630391758950Факторы безопасности ЦОД00Факторы безопасности ЦОДСистемы безопасности строительного объекта. Речь идет о комплексах для обнаружения дыма и пламени, их подавления, обнаружения утечек из систем водяного охлаждения и так далее. А также о решениях по электробезопасности. Нелишним будет узнать, используются ли в дата-центре подсистемы диагностики и мониторинга систем безопасности и раннего обнаружения аварий [4, с. 51].Системы безопасности строительного объектаСистемы безопасности строительного объектаФакторы безопасности ЦОДФакторы безопасности ЦОД1524071120Физическая безопасность00Физическая безопасность35680652044700025488902044701282065204470Физическая безопасностьФизическая безопасность350139095885Расположение и характеристики здания ЦОД00Расположение и характеристики здания ЦОД166306595885Хранение и переработка списанного оборудования00Хранение и переработка списанного оборудования13906595885Контроль и документирование доступа00Контроль и документирование доступаРасположение и характеристики здания ЦОДРасположение и характеристики здания ЦОДХранение и переработка списанного оборудованияХранение и переработка списанного оборудованияКонтроль и документирование доступаКонтроль и документирование доступаРисунок 2.1 – Факторы безопасности ЦОДК сожалению, в России (да и за рубежом) не все коммерческие дата-центры сертифицированы по классу надежности, не говоря уже о проведении независимого внешнего аудита, подтверждающего сертификацию. Иногда компания-владелец ЦОД ограничивается словами о том, что они провели «внутренний аудит», и основываются на самостоятельной оценке уровня надежности дата-центра.В первую очередь, это связано с тем, что процесс сертификации ЦОД стоит немалых денег. При этом сертификации подлежат даже чертежи будущего дата-центра, а после его постройки специалисты Uptime Institute (независимый аудитор соответствия ЦОД требованиям отказоустойчивости) проверяют результат, оценивают соответствие систем дата-центра заявленным значениям и размещают информацию о ЦОД и присвоенном ему Tier сертификате в каталоге UTI [4, с. 58].Очень часто такая проверка не производится: помимо организации процесса сертификации принимающей стороне (владельцу ЦОД) необходимо обеспечить приезд и проживание аудиторов, а также длительные и тщательные проверки, поэтому порой компании ограничиваются оценкой надежности на основе собственных представлений. При этом оценку иногда проводят для каждой подсистемы по отдельности, а в качестве итоговой выбирают наиболее высокое значение.Подозрительными могут быть и уровни надежности с «плюсами», вроде Tier 3+. Фактически это означает, что один из элементов системы выполнен надежнее остальных, что не увеличивает надежность всей системы в целом, но позволяет утверждать, что ЦОД соответствует более высоким требованиям надежности в сравнении со стандартом. Такие «плюсы» зачастую являются маркетинговым ходом [4, с. 62].2.2 Способы повышения безопасности ЦОДВажной частью политик безопасности является распределение ролей и ответственности персонала за их выполнение. Следует постоянно пересматривать политики с учетом изменений законодательства, новых угроз и появляющихся средств защиты. И, конечно, доводить требования к информационной безопасности до персонала и проводить его обучение.Некоторые эксперты скептически относятся к «бумажной» безопасности, считая главным умение взламывать системы. Практический опыт работы по обеспечению информационной безопасности в банках говорит об обратном. Специалисты по ИБ могут иметь отличную экспертизу в деле выявления и снижения рисков, но, если персонал ЦОДа не будет выполнять их указания, все будет напрасным [5, с. 22].Наличие отраслевых стандартов и требований регуляторов помогает безопасникам отстаивать свои позиции на переговорах с руководством, а утвержденные политики ИБ, положения и регламенты позволяют добиваться от персонала выполнения изложенных там требований, подводя базу под про­ведение зачастую непопулярных решений.При предоставлении ЦОДом услуг по модели colocation на первый план выходит обеспечение физической безопасности и контроля доступа к оборудованию клиента. Для этого используются выгородки (огороженные части зала), которые находятся под видеонаблюдением клиента и к которым доступ персонала ЦОДа крайне ограничен.В наше время физическая безопасность находится на довольно высоком уровне. Системы контроля и фотоуправления доступом (СКУД) стали интеллектуальными, внедряются биометрические методы, например, контроль входа в машзал по руке человека в ЦОДе IXcellerate или специальная кабинка, сканирующая человека при доступе в машзал ЦОДа Сбербанка в Сколково [5, с. 31].Более безопасными для персонала и оборудования стали системы пожаротушения, среди которых можно выделить установки пожаротушения тонкораспыленной водой. Наряду с обязательными системами противопожарной защиты в ЦОДах часто используется система раннего обнаружения пожара аспирационного типа.Для защиты дата-центров от внешних угроз – пожаров, взрывов, обрушения конструкций здания, затопления, коррозийных газов – стали использоваться комнаты и сейфы безопасности, в которых серверное оборудование защищено практически от всех внешних повреждающих факторов.«Умные» системы видеонаблюдения, датчики объемного слежения (акустические, инфракрасные, ультразвуковые, микроволновые), СКУД снизили риски, но не решили всех проблем. Эти средства не помогут, например, когда правильно допущенные в ЦОД люди с правильно пронесенным инструментом что-нибудь зацепят [5, с. 34].Традиционные угрозы функционированию дата-центра – сбои электропитания и отказы систем охлаждения. К таким угрозам уже привыкли и научились с ними бороться.Новой тенденцией стало повсеместное внедрение «умного» оборудования, объединенного в сеть: управляемые ИБП, интеллектуальные системы охлаждения и вентиляции, разнообразные контроллеры и датчики, подключенные к системам мониторинга. При построении модели угроз ЦОДа не стоит забывать о вероятности атаки на сеть инфраструктуры (а, возможно, и на связанную с ней ИТ-сеть ЦОДа). Усугубляет ситуацию то, что часть оборудования, например, чиллеры, может быть вынесена за пределы ЦОДа, например, на крышу арендуемого здания [5, с. 58].Если дата-центр предоставляет услуги не только по модели colocation, то придется заниматься защитой облаков. По данным Check Point, только в прошлом году 51% организаций по всему миру столкнулись с атаками на облачные структуры. DDoS-атаки останавливают бизнес, вирусы-шифровальщики требуют выкуп, целевые атаки на банковские системы приводят к хищению средств с корсчетов. Угрозы внешних вторжений беспокоят и специалистов по информационной безопасности дата-центров. Наиболее актуальны для ЦОДов распределенные атаки, нацеленные на прекращение предоставления услуг, а также угрозы взлома, кражи либо изменения данных, содержащихся в виртуальной инфраструктуре или системах хранения [5, с. 64].Для защиты внешнего периметра ЦОДа служат современные системы с функциями выявления и нейтрализации вредоносного кода, контроля приложений и возможностью импорта технологии проактивной защиты Threat Intelligence. Некоторые пользователи разворачивают системы с функционалом IPS (предотвращения вторжений) c автоматической подстройкой сигнатурного набора под параметры защищаемого окружения.Для защиты от DDoS-атак российские компании, как правило, используют внешние специализированные сервисы, которые уводят трафик на другие узлы и фильтруют его в облаке. Защита на стороне оператора выполняется гораздо эффективнее, чем на стороне клиента, а ЦОДы выступают в качестве посредников по продаже услуг [5, с. 72].В ЦОДах возможны и внутренние DDoS-атаки: злоумышленник проникает на слабо защищенные серверы одной компании, размещающей свое оборудование по модели colocation, и с них по внутренней сети проводит атаку «отказ в обслуживании» на других клиентов этого дата-центра.Нужно учитывать специфику защищаемого объекта – использование средств виртуализации, динамичность изменения ИТ-инфра­струк­тур, взаимосвязанность сервисов, когда успешная атака на одного клиента может угрожать безопасности соседей. Взломав front-end докер при работе в PaaS на базе Kubernetes, злоумышленник сразу может получить всю парольную информацию и даже доступ к системе оркестрации.Продукты, предоставляемые по сервисной модели, имеют высокую степень автоматизации. Чтобы не мешать бизнесу, не меньшую степень автоматизации и горизонтального масштабирования должны иметь наложенные средства защиты информации. Масштабирование должно обеспечиваться на всех уровнях ИБ, включая автоматизацию контроля доступа и ротацию ключей доступа. Особняком стоит задача масштабирования функциональных модулей, осуществляющих инспекцию сетевого трафика.Общий подход к защите – использование интегрированных, многоуровневых систем обеспечения ИБ, включающих макросегментацию на уровне межсетевого экрана (выделение сегментов под различные функциональные направления бизнеса), микросегментацию на базе виртуальных межсетевых экранов или маркирования метками трафика групп (ролей пользователей или сервисов), определенных политиками доступа [5, с. 87].Следующий уровень – выявление аномалий внутри сегментов и между ними. Анализируется динамика трафика, которая может свидетельствовать о наличии вредоносных активностей, таких как сканирование сети, попытки DDoS-атак, скачивание данных, например, путем нарезки файлов базы данных и вывода их периодически появляющимися сессиями через длительные промежутки времени. Внутри ЦОДа проходят гигантские объемы трафика, так что для выявления аномалий нужно использовать продвинутые алгоритмы поиска, причем без пакетного анализа. Важно, чтобы распознавались не только признаки вредоносной и аномальной активности, но и работа вредоносного ПО даже в зашифрованном трафике без его расшифровки, как это предлагается в решениях Cisco (Stealthwatch) [5, с. 91].Последний рубеж – защита оконечных устройств локальной сети: серверов и виртуальных машин, например, с помощью агентов, устанавливаемых на оконечные устройства (виртуальные машины), которые анализируют операции ввода-вывода, удаления, копирования и сетевые активности, передают данные в облако, где и проводятся требующие больших вычислительных мощностей расчеты. Там производится анализ с помощью алгоритмов Big Data, строятся деревья машинной логики и выявляются аномалии. Алгоритмы самообучаются на базе огромного количества данных, поставляемых глобальной сетью сенсоров [5, с. 115].Таким образом, на основании второго раздела можно сделать вывод о том, что безопасность ЦОД зависит от множества факторов. Среди них особую роль играют надежность самого здания, в котором располагается ЦОД, защита от несанкционированного проникновения на территорию ЦОДа, контроль и документирование доступа, а также проведение сертификации ЦОД квалифицированными аудиторами. Для повышения безопасности ЦОД в настоящее время следует использовать «умные» системы видеонаблюдения, датчики объемного слежения, проводить обучение персонала правилам безопасности. Также необходимо внедрять управляемые ИБП, интеллектуальные системы охлаждения и вентиляции, разнообразные контроллеры и датчики, подключенные к системам мониторинга.

Заключение

Целью данной работы являлось изучение проблем безопасности ЦОД. В ходе исследования в первом разделе было установлено, что главной функцией ЦОД является стабильная и безотказная работа размещённого в нём оборудования. Также было выяснено, что существует три типа ЦОД: корпоративные, коммерческие и использующие технологию Web 2.0. Кросе того ЦОД различаются также по целям использования, размеру, назначению, типу построения, типу размещения на местности и отказоустойчивости.Также для ЦОД существует 4 уровня сертификации: без резервирования (Tier 1 (N)), с резервированием (Tier 2 (схема резервирования – N + 1)), отказоустойчивый (Tier 3 (схема резервирования – 2∙N или 2∙N + 1)), с возможностью проведения профилактических работ (Tier 4 (схема резервирования – 2∙(N + 1))).Во втором разделе данной работы были рассмотрены основные факторы безопасности ЦОД. Среди них выделены физическая безопасность (защита от несанкционированного проникновения на территорию ЦОДа), контроль и документирование доступа, хранение и переработка списанного оборудования, расположение и характеристики здания ЦОД. Для повышения безопасности ЦОД необходимо распределение ролей и ответственности персонала за их выполнение. Следует постоянно пересматривать политики с учетом изменений законодательства, новых угроз и появляющихся средств защиты. И, конечно, доводить требования к информационной безопасности до персонала и проводить его обучение.Кроме того, следует использовать «умные» системы видеонаблюдения, датчики объемного слежения, проводить обучение персонала правилам безопасности. Также необходимо внедрять управляемые ИБП, интеллектуальные системы охлаждения и вентиляции, разнообразные контроллеры и датчики, подключенные к системам мониторинга.

Список использованных источников:

В. А. Докучаев, А. А. Кальфа, В. В. Маклачкова «Архитектура центров обработки данных» - ДМК Пресс, 2020 г. – 240 с.А. Прохоров, С. Рахматуллин «Центры обработки данных. Анализ, тренды, мировой опыт» - «АльянсПринт», 2021 г. – 416 с. А. Б. Семенов «Структурированные кабельные системы для центров обработки данных» - ДМК Пресс, 2019 г. – 234 с.А. С. Масалков «Особенности киберпреступлений. Инструменты нападения и защита информации» - ДМК Пресс, 2019 г. – 226 с.А. А. Бирюков «Информационная безопасность. Защита и нападение» - ДМК Пресс, 2021 г. – 434 с.