.

Πρακτικές ασφάλειας ενός Κέντρου Δεδομένων (Data Center)




Άρθρο Από τον Θεοδόση Θεοδοσίου, Εμπορικό Διευθυντή CL8

Η διατήρηση ενός ασφαλισμένου Κέντρου Δεδομένων (Data Center) εξαρτάται από τρεις παράγοντες: τον άνθρωπο, τις διαδικασίες και την τεχνολογία.

Το έγκλημα στον κυβερνοχώρο είναι μια από τις μεγαλύτερες απειλές για τις επιχειρήσεις και κυβερνήσεις. Δεν είναι πλέον το χόμπι ενός ειδικού πληροφορικής, είναι οργανωμένο έγκλημα! Μπορεί να διακόψει την λειτουργία της επιχείρησης σας, μπορεί να την οδηγήσει σε οικονομικές απώλειες και να θέσει σε κίνδυνο τη φήμη της εταιρείας σας. Μπορεί να χάσετε τους πελάτες σας και να έχετε σοβαρές νομικές συνέπειες. Ο σύγχρονος τρόπος ζωής, το mobility και το Cloud έχουν σημαντικό αντίκτυπο στην ασφάλεια του Κέντρου Δεδομένων. Η διατήρηση ενός ασφαλισμένου Κέντρου Δεδομένων εξαρτάται από τρεις παράγοντες: τον άνθρωπο, τις διαδικασίες και την τεχνολογία. Είναι επίσης σημαντική τόσο η φυσική ασφάλεια ενός Κέντρου Δεδομένων, όσο και τα μέτρα και η πολιτική που ακολουθεί για την αποθήκευση και την ασφάλεια των δεδομένων.

Φυσική Ασφάλεια (Physical security)

Η γεωγραφική θέση του Κέντρου Δεδομένων είναι πολύ σημαντική. Προφανώς δεν πρέπει να βρίσκεται σε χώρα υψηλού κινδύνου. Η χώρα πρέπει να έχει σταθερή και αξιόπιστη οικονομία, και οι νόμοι που καθορίζουν τον χειρισμό των δεδομένων να είναι αυστηροί και να ακολουθούνται όπως για παράδειγμα στην Ευρωπαϊκή Ένωση. Επίσης, η φυσική τοποθεσία του Κέντρου Δεδομένων πρέπει να είναι μακριά από βιομηχανίες υψηλού κινδύνου, πλημμύρες, σεισμογενείς περιοχές και άλλους παρόμοιους κινδύνους. Οι εγκαταστάσεις του Κέντρου Δεδομένων θα πρέπει να μειώνουν τους κινδύνους πρόσβασης, δηλαδή η περιμετρική περίφραξη, το πάχος και το υλικό των τοίχων του κτιρίου, καθώς και ο αριθμός των εισόδων που έχει να διασφαλίζουν την ασφάλεια. Μερικοί βασικοί παράγοντες είναι:
  • Server cabinets εξοπλισμένα με κλειδαριά.
  • Να υπάρχουν περισσότεροι από έναν προμηθευτές τόσο για υπηρεσίες τηλεπικοινωνιών όσο και για ηλεκτρική ενέργεια.
  • Πολλαπλά UPS και γεννήτριες γιατί είναι ζωτικής σημασίας υποδομές.
  • Μantraps, ύπαρξη ενός κλειστού θαλάμου μεταξύ δύο ξεχωριστών θυρών που απαιτείται απόδειξη ταυτότητας.
  • Δυνατότητα μελλοντικής επέκτασης εντός του ίδιου του Κέντρου Δεδομένων.
  • Ξεχωριστοί χώροι προστασίας (support) από τον χώρο που βρίσκονται οι servers (white space), οι οποίοι να επιτρέπουν στα εξουσιοδοτημένα μέλη του προσωπικού να εκτελούν τα καθήκοντα συντήρησης ή επισκευής χωρίς να αποκτούν πρόσβαση στα server rooms.
  • Έλεγχος της κίνησης των επισκεπτών και του προσωπικού γύρω από το Κέντρο Δεδομένων με βιομετρικούς σαρωτές στις πόρτες.
  • Αρχεία καταγραφής βίντεο στην είσοδο και αλλού.

Πρότυπα ασφαλείας Κέντρων Δεδομένων

Η επιλογή ενός κέντρου με πρότυπα ασφαλείας είναι απαραίτητη. Το Uptime Institute των ΗΠΑ έχει βαθμίδες ταξινόμησης ασφάλειας για τα Κέντρα Δεδομένων και το Tier Classification Standard είναι το αποδεκτό πρότυπο παγκοσμίως. Το Tier Classification Standard έχει τα υψηλότερα επίπεδα ασφάλειας. Παρέχουν καλύτερη διαθεσιμότητα και διασφαλίζουν την λειτουργία των στρατηγικών εφαρμογών και διαφυλάσσουν τη φήμη της εταιρίας από τυχόν διακοπές στην λειτουργία.

Ψηφιακή ασφάλεια / Digital Security

Ασφάλεια δικτύου / Network Security – Θα πρέπει να υπάρχει ένας συνδυασμός επιπέδων ασφαλείας στο δίκτυο ενός Κέντρου Δεδομένων όπως load balancers, δίκτυα προστασίας (firewalls) και συσκευές πρόληψης εισβολών (intrusion prevention devices) τα οποία να μπορούν να προστατεύουν τα Κέντρα Δεδομένων από επιθέσεις όπως denial of service (DDoS). Παρόλο που το Κέντρο Δεδομένων θα έχει δίκτυα προστασίας (firewalls) ως μέρος του συστήματος ασφαλείας του, πρέπει να υπάρχουν και εικονικά δίκτυα τα οποία να προστατεύουν την δραστηριότητα του εικονικού δικτύου, μέρος ενός hypervisor για να προστατεύουν τα εικονικά μηχανήματα του κάθε πελάτη ξεχωριστά. Η κατηγοριοποίηση της κυκλοφορίας του δικτύου (network traffic segmention) σε επίπεδο λογισμικού είναι επίσης αναγκαία. Αυτό σημαίνει ότι κατηγοριοποιούμε την κυκλοφορία του δικτύου σε επίπεδο λογισμικού με βάση την ταυτότητα του τελικού σημείου (endpoint identity). Κάθε τμήμα είναι απομονωμένο από όλα τα άλλα, ενεργώντας ως ανεξάρτητο υποδίκτυο, εμποδίζοντας και περιορίζοντας την επέκταση πιθανών επιθέσεων οι οποίες μπορεί να μολύνουν άλλες συσκευές και δίκτυα.

Πρόσβαση και Ταυτότητα (Identity and Access Management) – Η πρόσβαση σε συστήματα πληροφορικής πρέπει να βασίζεται σε μοντέλο πρόσβασης need-to-know και least-privilege. Η πρόσβαση σε λογικό επίπεδο βασίζεται σε ρόλους, συνεπώς οι πολιτικές πρόσβασης βασίζονται στον τομέα ευθύνης και όχι σε άτομα. Τα άτομα που έχουν εξουσιοδότηση πρόσβασης σε οποιοδήποτε σύστημα πρέπει να χρησιμοποιούν την διαδικασία και τεχνολογία για να αποκτήσουν πρόσβαση, όπως έλεγχος ταυτότητας πολλαπλών παραγόντων, έξυπνες κάρτες και βιομετρικά στοιχεία.

Ανίχνευση, πρόληψη και μετριασμός / Detect, prevent, and mitigate – Η στρατηγική περιλαμβάνει επίσης τακτικές ανίχνευσης, πρόληψης και μετριασμού μιας παραβίασης της ασφάλειας πριν συμβεί. Αυτό συνεπάγει συνεχείς βελτιώσεις στα χαρακτηριστικά ασφαλείας επιπέδου υπηρεσιών:
  • Λήψη και αποκατάσταση θυρών (Port scanning and remediation)
  • Περιμετρική σάρωση ασφάλειας δικτύου (Perimeter vulnerability scanning)
  • Επέκταση ασφάλειας λειτουργικού συστήματος (Operating system security patching)
  • Ανίχνευση και πρόληψη DDoS επιθέσεων σε επίπεδο δικτύου
  • Έλεγχος ταυτότητας πολλαπλών παραγόντων για πρόσβαση σε υπηρεσίες (Multi-factor authentication for service access)

Όσον αφορά στον ανθρώπινο παράγοντα και τις διαδικασίες, η πρόληψη της παραβίασης συνεπάγει:
  • Έλεγχο όλων των προσβάσεων και των ενεργειών του χειριστή/διαχειριστή (Auditing all operator/administrator access and actions
  • Μηδενική άδεια για διαχειριστές στην υπηρεσία (Zero standing permission for administrators in the service)
  • “Just-In-Time (JIT) πρόσβαση και elevation” δηλαδή η πρόσβαση δίνεται μόνο όταν χρειάζεται και μόνο για όση ώρα χρειάζεται για επίλυση προβλημάτων (troubleshoot).

Ιδιωτικότητα

Είναι πολύ σημαντικό το Κέντρο Δεδομένων να έχει τη δυνατότητα συμμόρφωσης με όλους τους ισχύοντες νόμους περί ιδιωτικότητας. Αυτό σημαίνει ότι οι άνθρωποι, οι διαδικασίες και η τεχνολογία θα πρέπει να λειτουργούν με γνώμονα την προστασία της ιδιωτικής ζωής και να έχουν όλη την απαραίτητη τεχνολογία για να επιβάλλουν την προστασία τους.

Συμπέρασμα

Οι επιχειρήσεις και κυβερνήσεις σήμερα χρειάζονται τις υπηρεσίες Κέντρων Δεδομένων που να προσφέρουν ασφάλεια, ιδιωτικότητα, συμμόρφωση στη νομοθεσία, διαφάνεια και διαθεσιμότητα των υπηρεσιών. Όλα αυτά εξασφαλίζουν την ασφάλεια σε όλα τα επίπεδα, από την ανάπτυξη εφαρμογών στα Κέντρα Δεδομένων μέχρι την πρόσβαση των τελικών χρηστών. Σήμερα, όλο και λιγότεροι οργανισμοί έχουν τη δυνατότητα να διατηρούν υψηλό επίπεδο ασφάλειας στο χώρο εργασίας με λογικό κόστος. Αυτά είναι τα βασικά στοιχεία ασφάλειας ενός Κέντρου Δεδομένων. Υπάρχουν και άλλες σημαντικές τεχνολογίες που αυξάνουν την ασφάλεια όπως για παράδειγμα η Τεχνητή Νοημοσύνη (AI) που είναι θέμα άλλου άρθρου.

Ετικέτες ,
[blogger]

Author Name

Φόρμα επικοινωνίας

Όνομα

Ηλεκτρονικό ταχυδρομείο *

Μήνυμα *

Από το Blogger.