Безопасное хранение данных

Безопасное хранение данных

Алексей Задонский, ведущий менеджер проектов в государственных структурах, компания Oracle

Характеристики хранилищ данных

Темой нашего рассмотрения будут вопросы обеспечения безопасности в построении таких систем, поэтому мы опустим многие интересные аспекты, связанные с программными и аппаратными средствами работы с хранилищами данных.

Укажем лишь на основные черты, характеризующие такие системы:

• весь основной объем информации накапливается в структурированных реляционных базах данных;
• все компьютерные ресурсы обычно находятся в выделенных, хорошо охраняемых серверных комнатах (так называемые центры обработки данных);
• хранилища - это не просто мертвый склад информации, но и наличие большого числа тесно связанных с ним прикладных и обслуживающих систем. Например, ПО для архивирования информации, управления, системы обработки типа ETL (extraction, transformation, loading), прикладные системы, которые, собственно, и порождают исходные данные, и т.д.;
• средний размер хранилища составляет 1 Тбайт и выше, что диктует серьезное отношение к сетевой инфраструктуре и системам хранения и обработки информации.

Как и везде, в вопросах построения систем информационной безопасности необходим комплексный взвешенный многоуровневый подход, поскольку недоработка в одном вопросе способна свести на нет все усилия в остальных направлениях.

Рассмотрим пример построения системы защиты типичного хранилища данных на основных уровнях.

Телекоммуникационная инфраструктура

Ясно, что территория хранилища должна быть максимально закрыта от попыток проникновения снаружи, поэтому при необходимости удаленного доступа обязательно шифрование трафика. И даже внутренняя сеть управления (которую желательно выделить отдельно с помощью VLAN или даже на физическом уровне, то есть управлять серверами по отдельным сетевым интерфейсам) должна шифроваться (SSH, IPSec, SSL и т.д.). Обязательно шифрование данных, выходящих наружу с использованием контроля целостности (MD5, SHA1). Обычно из-за больших объемов обрабатываемой информации не используют шифрование на уровне ядра сети из-за проблем с производительностью.

Разные сетевые протоколы и сетевые взаимодействия требуют наличия средств защиты на своем уровне.

Обычный транспортный уровень требует наличия следующих средств от подмены адресата и средств защиты:

• организация VLAN, Port Security и т.д.;
• proxy-серверы на периметре, анализирующие прикладной уровень взаимодействия;
• системы предотвращения вторжений (IDS/IPS) и др.;
• антивирусная защита и т.д.

Уровень Fibre Channel также требует своей защиты, например Fibre Channel Authentication Protocol, Switch Link Authentication Protocol и т.д.

На уровне Storage Area Networking применяется Virtual SAN, маркировка LUN и др.

Операционные и прикладные системы

Если речь идет об операционных и прикладных системах, то необходимо реализовать основную задачу: "Критичные данные должны быть доступны только уполномоченным лицам, только тем способом, который разрешен политикой безопасности, и только с помощью средств, определенных политикой безопасности". В частности, это включает механизмы контроля запуска только авторизованных программ авторизованными пользователями.

Аутентификация и контроль доступа

Естественно, что при работе на всех уровнях необходима авторизация и многофакторная аутентификация. Причем желательно, чтобы эта аутентификация была поддержана не только на уровне операционных и прикладных систем, но и на уровне доступа к операциям баз данных как основных источников информации.

Необходимы прикладные средства и организационные меры по распределению прав администраторов (баз данных, прикладных и операционных систем) и специалистов по информационной безопасности.

Аудит событий

Принцип неотвратимости наказания в большинстве случаев является наиболее действенным методом обеспечения безопасности. Поэтому как минимум необходим многоуровневый аудит (независимый от администраторов) того, что происходит на всех уровнях. Здесь есть решения на разных уровнях. Для аудита того, что происходит в телекоммуникациях, прикладных и операционных системах можно использовать, например, решения ArcSight, NetForensics (чаще продающиеся под маркой корпорации Cisco Systems), CA Security Command Center. Но вдобавок к этому потребуется отдельный глубокий аудит того, что происходит на уровне баз данных, а это можно решить дополнительными средствами.

Защита баз данных

Важнейшим этапом обеспечения безопасности является защита от администраторов баз данных. Все мы знаем о наличии больших объемов конфиденциальной информации на черном рынке. Такую информацию очень трудно украсть через амбразуру прикладных систем (если, конечно, они грамотно написаны). Большинство взломов осуществляется путем непосредственного копирования информации из базы данных или использования незащищенных архивных копий.

Разграничение доступа к базам данных

Средствами СУБД должна обеспечиваться возможность реализации мандатного способа доступа, когда все пользователи делятся на уровни и группы в соответствии с уровнем доверия к ним, а также в соответствии с принадлежностью их к той или иной группе субъектов. Должна быть возможность в одной базе данных хранить информацию с разной степенью конфиденциальности и при этом ограничивать доступ к данным в соответствии с категориями допуска.

Необходимо реализовать лозунг: "Сделайте так, чтобы администратор баз данных не узнавал о финансовых результатах раньше генерального директора!" Для этого нужны развитые средства управления доступом к базам данных, поддерживающие строгую аутентификацию и позволяющие ограничивать права администраторов и приложений по разным параметрам.

Такое решение существует для баз данных Oracle. Здесь реализован механизм управления администратором базами данных без возможностей просмотра и работы с самим содержимым (см. рисунок). При этом можно управлять тем, кто и какие команды может выполнять. Например, при работе аналитика, делающего выборку из базы, появляются критические данные (социальный номер и др.), и такие события следует заносить в протокол безопасности. В качестве другого примера можно предложить запрет на изменение конфигурации системы удаленно. В этом случае изменения конфигурации производятся из локальной консоли, когда авторизованный пользователь находится под прицелом видеокамеры, а суровый охранник на входе записывает время и фамилию вошедшего.

Физическая безопасность

Конечно, нужна и физическая безопасность, включающая в себя как ограничение физического доступа (охрана, видеокамеры, аутентификация доступа в помещения), так и защиту носителей данных. Если для жестких дисков в серверах шифрование часто является неоправданным, то для отторгаемых носителей (например, архивы на магнитных лентах) криптозащита является обязательным средством.