Как правильно обеспечить защиту внутри ЦОД

Как правильно обеспечить защиту внутри ЦОД

Сергей Карпов, глава представительства Hitachi Data Systems, Россия и страны СНГ

СЕТИ хранения стали одним из главных активов предприятий, поддерживающих критичные для бизнеса ресурсы и сервисы. Они сегодня играют исключительно важную роль в любой компании - не только содержат данные, без которых невозможен бизнес компании, но и обеспечивают емкость хранения для критически важных приложений и сервисов. К сожалению, следствием этого является превращение сети хранения в потенциальную цель для атак злоумышленников, которые могут находиться как внутри предприятия, так и за его пределами, а также создание угрозы непреднамеренного нарушения ее работы в результате процессов внутри компании.

Итак, необходима тщательно продуманная и примененная на практике стратегия безопасности в масштабах предприятия. Но какие факторы следует учитывать компаниям?

Абсолютная безопасность данных под вопросом?

Многие руководители компаний и их технический персонал считают, что поскольку сеть хранения существует сама по себе и не является сетью на основе Internet Protocol (IP), то для нее не нужны специальные меры безопасности. В результате таких распространенных заблуждений сеть хранения становится слабым звеном системы безопасности. Усиление безопасности и постоянный мониторинг систем хранения необходимы для предотвращения неавторизованного доступа и манипуляций с важными данными.

Технические специалисты должны знать сеть хранения

Часто сети хранения рассматриваются как простые системы, обеспечивающие только сервисы хранения, в результате чего их неправильно конфигурируют, и доступ к ним может случайно получить неавторизованной пользователь. Для предотвращения таких ситуаций отвечающий за сети хранения специалист должен знать, как обезопасить все компоненты среды хранения. Отсутствие квалифицированных специалистов приводит к тому, что правильно настроенное оборудование не защищено должным образом из-за одного открытого для внешнего мира элемента.

В крупных компаниях, где за безопасность отвечают один или два эксперта в этой области, проблема возникает из-за того, что другие технические специалисты не имеют доступа к среде хранения для выполнения своих обязанностей. Например, в правильно сконфигурированной системе безопасности сети хранения возникает брешь, когда, предположим, из нее на время заимствует кабель один из сотрудников ИТ-отдела, который считает, что в ней этот кабель нужен только для тестирования, в результате чего случайно отключается часть системы безопасности и вся система становится незащищенной. Внедрение общей для всей компании маркировки кабелей и другого важного оборудования поможет техническим специалистам правильно идентифицировать аппаратуру и понять, не приведет ли ее удаление к нарушению безопасности.

Защита управляющей сети

Свою атаку злоумышленники могут начать с управляющей сети, поскольку она позволяет им контролировать всю инфраструктуру сети хранения. Часто управление осуществляется с помощью простого коммутатора, выполняющего функции моста между сетью хранения и локальной IP-сетью компании (LAN), у которого неправильно сконфигурирована защита на порте IP. Уровень безопасности управляющей сети должен быть не ниже, чем у других точек входа сети. В ней следует использовать процедуры контролируемого доступа и аутентификации для максимального снижения риска неавторизованного доступа. Это предотвращает случайную или преднамеренную атаку, рассчитанную на типичные слабые места защиты. В идеале следует использовать межсетевой экран для защиты управляющей сети либо полностью изолировать ее.

Правильная изоляция безопасных доменов

Сегодня стандартной практикой являются изоляция и установка межсетевых экранов для разделения корпоративной сети на соответствующие безопасные домены для того, чтобы доступ к данным мог получить только авторизованный пользователь. К сожалению, часто системы хранения подключаются к нескольким сетям предприятия по незащищенным каналам, поэтому одна атака на систему хранения может привести к взлому защиты всей сети.

Для решения данной проблемы следует инсталлировать различные серверы и приложения с разными наборами данных и обеспечить защиту томов хранения уровня back end от неавторизованных приложений и серверов. В противном случае новый сервер при подключении к сети попытается захватить все имеющиеся в ней диски, что приведет к перезаписыванию и потере данных.

Шифрование перемещаемых данных

Шифрование данных, хранящихся на дисках, - это полезный инструмент. Многие предприятия опасаются, что в случае потери ключа шифрования они не смогут прочитать свои данные. Как показал опрос, 43% компаний в EMEA вообще не применяют криптозащиту².

Однако риск потери ключей шифрования компенсируется выгодами от этой технологии в том случае, когда данные записываются на мобильном устройстве или на магнитную ленту. Потенциальный ущерб от незаконного использования данных уменьшается, если потерянный при транспортировке их носитель невозможно прочесть без ключа шифрования, поэтому шифрование данных необходимо включить в стратегию безопасности любого предприятия.

Координация безопасности хранения с общей стратегией безопасности компании

Эффективная стратегия безопасности должна охватывать не только технологии, но и персонал и процессы. Четкие и регулярно применяемые правила и процедуры заставят сотрудников осознать, что они отвечают за безопасность данных. Только 53% компаний в EMEA применяют корпоративные правила по защите данных, хранящихся на мобильных устройствах³, и это несмотря на периодические сообщения о потерях ноутбуков, дисков и флэш-памяти с важными данными. Компаниям следует применять стратегии безопасности для защиты конфиденциальности данных, записанных как на системах хранения, так и на мобильных устройствах. Сохранение и уничтожение данных представляет серьезную проблему из-за того, что в Европе действует множество законов о защите конфиденциальности.

Обмен опытом и знаниями

Часто администратор систем хранения и специалисты безопасности работают в разных отделах, поэтому администратор плохо знает best-practice по безопасности, а специалисты по безопасности, в свою очередь, имеют поверхностное представление о технологиях хранения и неспособны найти незащищенные места сети хранения. Обмен опытом и знаниями необходим для того, чтобы хранение не стало слабым местом системы безопасности.

Безопасность на уровне электроники и логики очень эффективна для предотвращения преднамеренных или случайных атак на сеть хранения. Часто безопасность хранения не предусматривает физической защиты оборудования, и ряд компаний уже дорого заплатили за это упущение. Успешное отражение атак невозможно без регулярного анализа практик безопасности хранения как части общей стратегии безопасности. Предприятиям следует проводить учет доступа к ЦОД и осуществлять анализ защищенности помещений.

Следование этим советам поможет защитить самые важные активы предприятия, а именно: данные, без которых невозможно успешное выполнение критически важных операций.