Безопасность дата-центра

Согласно исследованию Cost of a Data Breach Survey^[3], в котором приняли участие 49 американских компаний из 14 отраслей:

• 39 % компаний считают, что основная причина утечек данных — халатность.
• На долю злонамеренных или преступных атак приходится 37 % всех инцидентов.
• Средний ущерб от одного случая составляет 5,5 млн долларов США.

В настоящее время многие крупные организации используют облачные хранилища для своих и клиентских данных, однако риски хранения информации в облаке значительны. Кибератаки способны нанести существенный ущерб: уже в 2020 году 64 % компаний по всему миру столкнулись с подобными угрозами^[4]. К примеру, атаки, связанные с хищением персональных данных (кража личности), способны повлиять на кредитную историю жертвы и оказать долгосрочные последствия.

Физическая безопасность необходима для защиты стоимости оборудования, размещённого в дата-центре^[5].

Стоимость инцидента безопасности может иметь серьёзные последствия как для компании-оператора дата-центра, так и для клиентов, чьи данные были скомпрометированы. Пример — взлом Global Payments, поставщика услуг для Visa, в 2012 году, когда были похищены 1,5 миллиона номеров кредитных карт. Впоследствии Global Payments лишилась партнёрства с Visa^[6][7], а убытки оценивались в сумму свыше 100 млн долларов.

Защита от эксплуатируемых уязвимостей программ часто строится на предположении, что «своим» сотрудникам можно доверять^[8]. При этом исследования показывают, что внутренние угрозы зачастую более разрушительны из-за широкого спектра и объёма информации, доступной внутри организации.

Объём данных, хранящихся в дата-центрах, неуклонно растёт, во многом из-за консолидации, которую обеспечивает облачное вычисление^[3].

К наиболее распространённым угрозам для дата-центров относятся:

• DoS (отказ в обслуживании)
• Кража или изменение данных
• Несанкционированное использование вычислительных ресурсов
• Кража идентификационных данных пользователей (identity theft)

Типовые уязвимости:

• Реализация: ошибки проектирования ПО и протоколов, программные баги, недостаточность тестирования
• Конфигурация: использование стандартных настроек по умолчанию, некорректная конфигурация компонентов

Многие атаки типа «червь» на дата-центры используют хорошо известные уязвимости:

• Code Red^[9]
• Nimda^[10]
• SQL Slammer^[11]

Многие системы поставляются с учётными записями и паролями по умолчанию, что используется для несанкционированного доступа и кражи информации.

Наиболее распространённые виды атак:

• Сканирование и зондирование: например, порт-сканирование, когда к диапазону портов на сервере отправляются запросы для обнаружения открытых портов и использования известных уязвимостей этой службы^[12][13]. Такое зондирование часто предшествует целевой атаке и позволяет злоумышленнику узнать параметры системы или сети.
• DoS (отказ в обслуживании): атака типа Denial-of-Service происходит, когда легитимные пользователи теряют доступ к сервисам или ресурсам из-за действий злоумышленников^[14]. Такой тип атак стремится исчерпать ресурсы системы (полосу пропускания, процессорное время, память).
• DDoS (распределённый отказ в обслуживании): разновидность DoS, при которой большая группа заражённых систем используется для одновременной атаки, и злоумышленник использует тысячи IP-адресов^[15].

Пример DDoS-атаки

• Несанкционированный доступ: если кто-либо, кроме владельца учётной записи, получает права на доступ к защищённым ресурсам, используя взломанные учётные данные или бэкдор^[16].
• Перехват данных (Eavesdropping): несанкционированное перехватывание информации, передающейся по сети (логины, пароли). Наиболее частая цель — перехват учётных данных^[17].
• Вирусы и черви: вредоносные программы, приводящие к нежелательному результату при запуске. Черви способны самовоспроизводиться, в то время как вирусы для распространения требуют действий пользователя^[18].
• Атаки на инфраструктуру Интернета: нацелены не на отдельные системы, а на критически важные элементы интернета.
• Эксплуатация доверия: атаки, использующие доверительные отношения между системами.
• Перехват сессии (session hijacking, cookie hijacking): перехват легитимной сессии между целевой системой и доверенным хостом; злоумышленник заставляет цель думать, что она продолжает общение с доверенным хостом.
• Атаки переполнения буфера: программа выходит за границы выделенной памяти, что приводит к порче данных или повреждению памяти^[19].
• Атаки на втором уровне (Layer 2): используют уязвимости в протоколах канального уровня и их реализации на сетевых коммутаторах.
• SQL-инъекции: это разновидность инъекции кода, при которой из-за недостаточной проверки входных данных возможна передача вредоносных SQL-запросов, приводящих к выполнению нежелательных инструкций^[20].

В инфраструктуру сетевой безопасности входят средства, реализующие политики защиты в дата-центре: технологии фильтрации пакетов, такие как ACL (списки контроля доступа), межсетевые экраны и системы обнаружения вторжений (IDS) и на уровне всей сети, и на отдельных хостах.

ACL (access control list, список контроля доступа) — механизм фильтрации пакетов, основанный на информации из заголовков пакетов и определяющий, разрешать или блокировать трафик на конкретных интерфейсах. ACL используются в различных частях дата-центра — от публичного периметра до серверной фермы. Существуют стандартные и расширенные списки доступа:

• Стандартные ACL: фильтруют трафик только по IP-адресу источника. Обычно применяются для контроля доступа к сетевым устройствам для удалённого администрирования. Например, можно настроить ACL на маршрутизаторе, чтобы разрешить доступ по Telnet лишь определённым системам. Недостаток стандартных ACL — малая детализация.
• Расширенные ACL: могут фильтровать не только по IP-адресам источника и назначения, но и по протоколам уровня 4, номерам портов, типам сообщений ICMP, служебным признакам. На маршрутизаторах Cisco расширенные ACL определяются по номерам 100—199 либо по имени^[2].

Межсетевой экран — это сложное устройство для фильтрации трафика, разделяющее сегменты ЛВС, каждому из которых приписывается разный уровень доверия, а также управляющее потоками между ними и формирующее периметр безопасности. Обычно firewall устанавливается на границе с интернетом и блокирует несанкционированный доступ во внутренние сети. Необходимые характеристики:

• Производительность: firewall размещают в основных магистралях, где предполагаются большие объёмы трафика — это накладывает требования к производительности.
• Поддержка приложений: firewall должен понимать протоколы прикладного уровня (Telnet, FTP, HTTP и др.) и различать допустимые и аномальные сеансы данных.

Типы межсетевых экранов по принципу фильтрации:

1. Фильтрующие по пакетам (packet-filtering)
2. Прокси (proxy)
3. С отслеживанием состояния (stateful)
4. Гибридные^[2]

IDS (Intrusion Detection System) — системы обнаружения вторжений, способные в реальном времени фиксировать попытки атаки или подозрительную активность и отправлять оповещения системе мониторинга. IDS могут быть настроены на блокировку и смягчение последствий атак, а также обеспечивать профилактику в будущем. В IDS выделяют два ключевых компонента:

• Сенсоры: аппаратные или программные агенты, анализирующие трафик или использование ресурсов на целевых устройствах с целью выявления атак.
• Центр управления: система (для одного или нескольких устройств), позволяющая администрировать сенсоры и собирать от них алерты. Сенсор — инструмент наблюдения, центр — пункт оперативного контроля^[2]

Коммутаторы Cisco второго уровня оснащаются инструментами, предотвращающими атаки типа сканирования, DoS, DDoS и пр. Основные функции Layer 2 Security:

• Контроль доступа к портам (Port Security)
• Проверка таблицы ARP (ARP Inspection)
• Приватные VLAN
• Интеграция приватных VLAN с межсетевыми экранами

Обеспечение безопасности дата-центра требует комплексного и системного подхода с регулярным пересмотром мер в зависимости от развития инфраструктуры и появления новых угроз. Дата-центр постоянно изменяется по мере внедрения новых приложений и сервисов; атаки тоже эволюционируют и становятся всё сложнее и чаще. Поэтому требуется постоянная оценка готовности к угрозам.

Ключевым компонентом оценки выступают политики, регулирующие применение мер защиты в сетевой и вычислительной инфраструктуре, в том числе в дата-центре. Это включает как лучшие проектные практики, так и детали реализации.^[2] Безопасность рассматривается одним из основных требований к инфраструктуре. Так как одной из важных задач дата-центра выступает обеспечение доступности сервисов, системы управления учитывают влияние мер безопасности на трафик, отказоустойчивость и масштабируемость. Степень и конкретные меры зависят от архитектуры, уникальных особенностей, требований соответствия или бизнес-целей компании и не могут быть полностью универсальными.^[21].

В целом различают два основных типа безопасности для дата-центров: физическую и виртуальную^[22].

Физическая защита дата-центра — это совокупность протоколов, реализованных в зданиях и помещениях для предотвращения физического повреждения техники. Эти меры должны учитывать угрозы от стихийных бедствий до промышленного шпионажа и террористических атак^[23].

Меры по предотвращению физических атак включают:

• CCTV — камеры видеонаблюдения и контроль точек доступа, хранение видеоархива в течение 90 дней^[24].
• 24/7:
  • физическая охрана,
  • круглосуточная команда технической поддержки и центр управления сетью (NOC)
• Ворота с защитой от «проскальзывания» (anti-tailgating/anti-pass-back): обеспечивают вход только одному пользователю после аутентификации.
• Один центральный вход в колокационное помещение.
• Разделение и минимизация транспортных потоков через выделенные залы, секции и клетки.
• Дополнительное ограничение доступа в приватные клетки.
• Трёхфакторная аутентификация
• Соответствие требованиям SSAE 16.
• Проверка происхождения и проектирования используемого оборудования.
• Снижение риска инсайдерских угроз путём мониторинга действий и надёжного хранения учётных данных^[25].
• Непрерывный мониторинг температуры и влажности.
• Пожарная защита: сухие спринклеры по зонам.
• Размещение в районах с минимальным риском стихийных бедствий^[26].

Виртуальная безопасность — это комплекс мер, предотвращающих несанкционированный удалённый доступ, воздействующий на целостность, доступность или конфиденциальность данных на серверах^[27].

Виртуальная или сетевая безопасность — сложная и постоянно эволюционирующая область. Атаки могут опережать защиту за счёт эксплойтов, вредоносного ПО, устаревших систем, которые не поддерживают современные методы защиты данных^[22].

К приёмам противодействия виртуальным угрозам относятся:

• Глубокое шифрование данных при передаче и хранении: 256-битное SSL‑шифрование для веб-приложений, открытые ключи RSA 1024 бит, AES‑256 для файлов и баз;
• Аудит логов и активности пользователей;
• Защищённые логины и пароли: шифрование, усложнённые требования, срок действия, предотвращение повторного использования;
• Доступ по уровням разрешения;
• Интеграция с AD/LDAP;
• Ограничения по IP-адресам;
• Шифрование идентификаторов (session ID) для различения пользователей;
• Двухфакторная аутентификация;
• Ежегодное проведение независимого тестирования на проникновение^[24];
• Блокировка вредоносного кода через межсетевые экраны и автоматическое сканирование^[28].

Возможные стратегии повышения безопасности данных в организации:

1. Оценить риски: инвентаризовать все устройства и базы, где хранятся данные, и удостовериться в их соответствии требованиям.
2. Проверить существующую систему безопасности: вовремя обновлять её, очищать устаревшие данные, использовать специализированное ПО для очистки.
3. Сформировать команду по кибербезопасности: профессиональная внутренняя команда обеспечивает безопасность компании и экономит расходы. Важен также план восстановления после инцидентов.
4. Совершенствовать подходы к защите: допускать к системам только авторизованных лиц; применять программное обеспечение для шифрования, ПО для маскировки персональных данных и системы оценки рисков для контроля состояния защиты.