Информационная безопасность ЦОД
Принято считать, что технологии информационной безопасности следуют за изменениями в поведении злоумышленников. Сегодня к этой тенденции добавляется еще одна, не менее мощная – противостояние новым рискам ИБ, которые появляются в результате структурных преобразований современных ЦОДов.
Статья входит в обзор "Технологии для ЦОД"
Содержание |
Объективный рост угроз ИБ, который наблюдается во всем мире, приводит, по мнению Uptime Institute, авторитетной организации в сфере ЦОД к ужесточению корпоративных политик закупок оборудования и услуг сторонних провайдеров, подбора персонала. Это находит отражение в трансформации правила доступа к корпоративным ИТ-ресурсам к схеме «нулевого доверия», в которой пресекается малейшее отклонение от жестко прописанных схем доступа. Василий Степаненко, директор центра киберзащиты DataLine, отмечает в этой связи:
Поскольку сегодня многие уязвимости в ИТ-системах быстро становятся достоянием СМИ, закрывать их приходится намного быстрее. Часто это требует действий еще до выхода официальных исправлений, например, нужно использовать компенсационные меры, чтобы не допустить эксплуатации найденных проблем. Все это приводит к тому, что обеспечение информационной безопасности превращается в непрерывный процесс. |
Если раньше было достаточно один раз настроить межсетевой экран, теперь сегодня повседневная работа превратилась в непрерывное повторение цикла: поиск уязвимостей – устранение/компенсационные меры - проверка эффективности принятых мер.
Такой цикл обусловливает необходимость для подразделения ИБ непрерывного обзора в 360 градусов для наблюдения за всеми возможными векторами атак: от устройств пользователей до камер видеонаблюдения, или, по образному выражению Василия Степаненко, в режиме 360/365. Различные аспекты современных ЦОДов оказывают влияние на возможности такого обзора.
Перераспределение зон ответственности
Раньше ЦОДы в большинстве своем рассматривались непосредственно как место, где можно на время приобрести недостающие вычислительные ресурсы (модель IaaS), а сегодня все большую популярность набирает аренда готовых сервисов (модель SaaS). При этом, замечает Дмитрий Стеценко, руководитель группы системных архитекторов «Лаборатории Касперского», наблюдается встречное движение: заказчики все чаще готовы делегировать, а исполнители - брать на себя новые обязанности:
Если раньше провайдер отвечал только за оборудование, каналы и помещение, то сегодня, в силу растущей рыночной конкуренции, продвинутые игроки на рынке готовы в том числе закрывать вопросы безопасности данных и ПО, их обрабатывающего. |
Юрий Новиков, руководитель направления развития облачных технологий Softline, согласен с этим тезисом:
Есть некий устойчивый тренд по передаче все большего количества функций от внутренних систем безопасности к системам безопасности ЦОД, на уровень сервис-провайдеров. Если 3-5 лет назад безопасностью внутри компании занимался специалист по ИБ, контролируя практически все процессы, за исключением физического доступа к серверам в ЦОД, то сейчас на сторону сервис-провайдеров облачных сервисов передается все больше функций по ИБ: очистка, шифрование трафика, защита от DDoS- атак и фрода и др.. |
При этом зона ответственности за ИБ внутри ЦОДа зависит от модели предоставляемых услуг. Так, в случае с SaaS или PaaS облачный провайдер имеет возможность предложить дополнительные опции по обеспечению безопасности пользовательских данных напрямую. Что же касается IaaS, то тут выбор решения защиты целиком находится на стороне клиента.
С точки зрения ИБ, ключевыми элементами современного центра обработки данных являются:
- Инфраструктура ЦОД с платформами виртуализации (VMware vSphere, Microsoft Hyper-V, Citrix XenServer или KVM).
- Инфраструктура хранения данных, организуемая чаще всего как комбинация файловых серверов и систем хранения данных, подключаемых напрямую в сеть.
- Сетевая инфраструктура, обеспечивающая потоки данных и взаимодействие между компонентами инфраструктуры ЦОД, в том числе и виртуализированные сети.
При этом стоит разделять информационную безопасность самого ЦОДа и информационную безопасность сервис-провайдеров, работающих на базе ЦОД.
Риски и инструменты защиты в том и другом случае будут отличаться. В ЦОД главные активы — оборудование, у сервис-провайдеров — информация,- подчеркивает Василий Степаненко.- Цифровизация систем управления электроснабжением, охлаждением, физической защитой (видеонаблюдение, СКУД) и т.д. приводит к необходимости рассмотрения новых векторов. |
Так, каждая видеокамера становится возможной точкой подключения к закрытой сети.
Кто ищет, тот всегда найдет уязвимость, а патчей от вендоров таких систем часто просто нет,- комментирует эксперт. |
С точки зрения модели угроз, это относительно новый элемент инфраструктуры ЦОД, который сегодня также включается в защищаемый ландшафт, - информационные системы, которые управляют электроснабжением, охлаждением, физической защитой (видеонаблюдение, СКУД) и т.д.
Цифровизация таких систем приводит к появлению новых векторов атак,- говорит Василий Степаненко.- Так, каждая видеокамера становится возможной точкой подключения к закрытой сети. Кто ищет, тот всегда найдет уязвимость, а патчей от вендоров таких систем часто просто нет. |
ИБ начинается еще до входа в здание (физические средства и методы защиты: СКУД, видеонаблюдение, регламенты доступа) и простирается вплоть до защиты на уровне операционных систем и прикладного программного обеспечения,- резюмирует Дмитрий Чиндяскин, руководитель технической дирекции «АйТеко». |
Отдельного внимания требуют периферийные узлы ЦОД – они участвуют в единых цепочках предоставления ИТ-услуг или бизнес-транзакций, и в этом смысле влияют на работоспособность всей системы ЦОДа. Однако к инфраструктуре Edge-узла предъявляются более слабые требования, по сравнению с центральной площадкой ЦОД. Зачастую это может быть серверная комната старого формата, но к ней должна применяться общесистемные требования, с точки зрения физической безопасности помещения и размещенного в нем оборудования.
Безопасность программно-определяемого ЦОДа
Современные архитектуры виртуализированных ИТ-систем – под прицелом злоумышленников,- говорит Дмитрий Стеценко. |
Действительно, для программно-определяемого ЦОДа существуют целый ряд узкоспециализированных проблем безопасности, таких как:
- эксплуатация уязвимости в гипервизоре позволит злоумышленнику получить полный контроль сразу над существенной частью инфраструктуры ЦОД;
- надолго выключенная виртуальная машина не будет своевременно обновляться и со временем превратиться в слабое звено системы информационной безопасности;
- повреждение или заражение «золотого образа» может привести к возникновению сотен опасных виртуальных машин;
- трафик, не выходящий за пределы виртуальной инфраструктуры, остается незаметным для классических сетевых средств защиты;
- неконтролируемый рост утилизации аппаратных ресурсов может приводить к отказу в обслуживании и нарушению SLA.
Дмитрий Стеценко замечает:
Использование в ЦОДах виртуализации, с одной стороны, является проблемой для стандартных защитных решений, а с другой стороны, открывает новые возможности для оптимизации их производительности. Например, некоторые среды виртуализации позволяют защищать виртуальные машины (ВМ) вообще без использования сторонних агентов, предоставляя все необходимые API вендорам безопасности,- добавляет Дмитрий Стеценко. |
Специально для защиты программно-определяемых ЦОД, построенных на технологиях VMware, «Лаборатория Касперского» разработала такое решение безопасности на базе платформы vSphere с технологией NSX, которое обеспечивают проверку файлов и сетевого трафика без снижения производительности ключевых систем ЦОД, а каждая виртуальная машина оказывается под защитой сразу после включения.
Помимо этого, в «Лаборатории Касперского» реализовали и запатентовали еще одну технологию, суть которой заключается в использовании, во-первых, на уровне ВМ легких агентов, выполняющих минимально ресурсоемкие защитные функции, и, во-вторых, выделенного сервера безопасности. Этот сервер получает от легких агентов всю необходимую информацию и выполняет самые «тяжелые» задачи, такие, например, как полнодисковое сканирование.
Такой подход оберегает инфраструктуру не только от излишней утилизации CPU, RAM, HDD, но и от сетевых штормов при единовременном обновлении баз защитного решения на уровне каждой защищаемой виртуальной машины. Помимо прироста производительности такой подход решает вопрос с «окном уязвимости», когда ВМ запускаются из «золотого образа» и оказываются беззащитной перед новыми угрозами.
Некоторые среды виртуализации позволяют защищать ВМ вообще без использования сторонних агентов, предоставляя все необходимые API вендорам безопасности,- добавляет Дмитрий Стеценко. |
В «Лаборатории Касперского» отмечают, что установка «тяжелого» решения для защиты ВМ может создавать высокую нагрузку, что существенно повышает использование ресурсов на гипервизорах, и может свести на нет все преимущества программно-определяемого ЦОД. Иными словами, решение для обеспечения безопасности должно соответствовать тому уровню гибкости и масштабируемости, которые обеспечивает программно-определяемый подход к архитектуре и ресурсам ЦОД. Значит, и политика безопасности в Data-центре должна стать столь же гибкой и динамичной, как современная ИТ-инфраструктура, уметь адаптироваться к ее изменениям, но при этом не оказывать негативного влияния на производительность ИТ-систем.
Дмитрий Стеценко добавляет еще несколько актуальных вызовов для решений ИБ в области защиты ЦОДов:
• Поддержка требуемой производительности защитных решений без использования подхода SecurityShortcut, когда защитные решения для сохранения высоких скоростей проверяют не весь объем информации, проходящий через них, а лишь какую-то небольшую часть. Например, некоторые IPS, которые сканируют только первые 64 Кб сессии. • Необходимость адаптации решений по безопасности для защиты сред виртуализации, имеющих отличительные особенности на уровне архитектуры от классических «by metal» систем. Например, стандартный антивирус в среде VDI может принести больше вреда системе, чем пользы. • Возможность запускать сами защитные решения на виртуальных вычислительных ресурсах. Например, технологические трудности здесь возникают у производителей «песочниц», которым требуется реализовывать вложенную виртуализацию. |
Защита хранилищ данных ЦОДа
Корпоративные ЦОДы содержат в своих СХД огромные объемы данных, которые используются и обновляются коллективно.
Если всего лишь один пользователь окажется невнимательным или, хуже того, будет иметь злой умысел, то это хранилище может за секунду стать источником опасности для всей инфраструктуры,- предупреждает Дмитрий Стеценко. |
При этом защищать сети хранения данных (Storage Area Networks, SAN) достаточно просто, считает эксперт: они доступны только через серверы, и их можно защищать аналогично локальным файловым системам.
А вот для сетевых устройств хранения данных (Network Attached Storages, NAS) необходимы дополнительные решения, предназначенные для защиты критически важных данных и не снижающие производительность ИТ-систем.
В случае с NAS любой объект, отправляемый пользователем в хранилище или запрашиваемый из него, вначале должен проверяться защитным решением, установленным «в разрыв»,- советует Дмитрий Стеценко. |
И только в зависимости от выданного вердикта, хранилище разрешает или запрещает выполнение запрашиваемого действия.
При работе с интенсивными потоками данных можно разместить несколько экземпляров решения – нагрузка на них будет регулироваться самим хранилищем,- добавляет Дмитрий Стеценко. |
Безопасность контейнерной среды
Контейнеризация – один из значимых признаков современной ИТ-среды ЦОД. С одной стороны, ЦОДы предоставляют заказчикам готовую инфраструктуру для использования этой технологии, с другой, используют ее сами при предоставлении в аренду готовых сервисов. Таким образом, в рамках одной виртуальной машины могут работать разные сервисы, обрабатывающие данные разных заказчиков, отмечает Дмитрий Стеценко.
Значит, защитные решения должны поддерживать соответствующий уровень сегментации и изоляции,- говорит он.- Также, если провайдер предоставляет инфраструктуру для развертывания и управления с помощью Docker, то в нее уже должна быть интегрирована комплексная система защиты для, поиска уязвимостей и вредоносного ПО внутри контейнеров. |
Однако жизненный цикл контейнера крайне мал, и по этой причине традиционные меры ИБ к этим информационным сущностям практически не применимы – невозможно даже точно описать предмет защиты, структуру оркестрации, управляющую контейнерами, а также осуществлять независимый сбор событий с систем оркестрации. При этом автоматизация становится не пожеланием, а обязательным условием, без которой невозможно уследить за многими тысячами короткоживущих контейнеров.
Однако внутри контейнеров заключены те же приложения, которые, как и раньше, решают те или иные бизнес-задачи. Значит, по-прежнему актуальной остается задача анализа защищенности корпоративных приложений.
В последнее время с распространением контейнерной виртуализации потребовалось усиление защиты на уровне изоляции программного кода приложения от остального программного окружения,- отмечает Дмитрий Чиндяскин. |
Защита инженерной инфраструктуры ЦОД
Оборудование в ЦОДах становится цифровым, и теоретически спектр атак на ЦОД расширяется,- говорит Василий Степаненко.- Например, злоумышленник может взломать систему пожаротушения и таким образом вывести из строя оборудование многих заказчиков, но есть вопросы с монетизацией таких атак. |
Магистральное направление развития систем управления инженерной инфраструктурой ЦОДа – интеграция различных систем в единую систему управления с высокой степенью автоматизации и интеллектуализации процессов.
Соответственно, это место является точкой притяжения IoT-технологий для мониторинга и диспетчеризации с вытекающими рисками ИБ,- замечает Дмитрий Стеценко. |
Он рассказывает, что в реальной жизни и на PEN-тестах уже можно встретить сценарии, когда хорошо защищенные корпоративные системы были взломаны, например, через системы управления кондиционированием или другие АСУ подобного типа.
Эксперт выделяет несколько факторов благодаря которым, такие события становятся возможными:
- Инженерные системы разрабатываются без существенных требований к безопасности, и поэтому привлекают внимание исследователей, соответственно, даже публичных уязвимостей становится все больше.
- АСУ очень часто физически связаны с защищаемой сетью.
- Администраторы используют схожие пароли для авторизации в АСУ и защищаемом сегменте.
На этом фоне еще большее значение приобретают организационные меры ИБ.
В информационной безопасности необходим комплексный подход, который включает и технологии, и процессы. Ни одна технология не будет работать без регламента,- подчеркивает Василий Степаненко.- Даже технические международные стандарты, например, PCI DSS, уделяют много внимания организационным мерам, которые необходимо контролировать и проверять. |
Сеть становится более уязвимой
Значительная часть сетевых взаимодействий в инфраструктуре ЦОДа происходит посредством виртуализированных сетей.
Особенность происходящего такова, что при работе сетевой трафик и потоки данных могут не достигать физического оборудования, установленного для защиты периметра,- говорит Дмитрий Стеценко. |
А это значит, что стандартные коммутаторы, маршрутизаторы, межсетевые экраны и системы предупреждения вторжений уже не обеспечивают полного контроля над виртуализированным центром обработки данных.
Для обеспечения безопасности требуется глубокая интеграция защитного решения со средой виртуализации на уровне гипервизора,- полагает Дмитрий Стеценко. |
В этих условиях специальных усилий требует, во-первых, защита данных, передаваемых по каналам связи. Этой потребности отвечают, в частности, различные решения криптографической защиты каналов передачи данных.
Наблюдается высокий запрос на шифрование данных в каналах связи как от клиента к серверу, так и между серверами на высоких скоростях, находящимися в разных ЦОД (квантовое шифрование, шифрование по ГОСТ),- отмечает Дмитрий Чиндяскин. |
Во-вторых, особого внимания требует защита так и клиентских рабочих мест.
Сегодня сложно говорить о полностью автономных системах, нужно защищать рабочие места пользователей, так как через них злоумышленники могут перехватить управление,- подчеркивает Василий Степаненко и напоминает об известных проблемах с фишингом в электронной почте, вирусах и зловредах на флешках сотрудников и т.д. |
Индустрия ИБ предлагает для этих целей решения, обеспечивающие запуск только доверенных приложений на основе механизма контроля привилегий приложений.
Чтобы минимизировать риски и обеспечить доверенную среду обработки информации, необходимо обеспечить постоянный мониторинг состояния удаленных рабочих мест,- уверен Сергей Вихорев, советник генерального директора ООО «ИТ-Экспертиза». |
Он полагает, что администратор безопасности должен располагать инструментом, позволяющим в момент подключения рабочего места к информационной системе и в течение всего сеанса взаимодействия контролировать состав аппаратного и программного обеспечения удаленных рабочих мест, определять тип и состав зарегистрированных USB-устройств, проверять запущенные в операционной системе процессы и доступность сетевых сред, работу антивирусных средств, уметь регистрировать любые события, влияющие на безопасность рабочего места и, в частности, регистрировать любые изменения в аппаратной и программной среде, нарушения правил информационной безопасности.
Ну, а если при всем этом владелец не хочет делегировать безопасность, но хочет пользоваться преимуществами облаков, он должен иметь гибкие возможности управления своими данными. Для этого, говорит Дмитрий Стеценко, со стороны провайдеров крайне важно реализовать API, например, для интеграции с решениями брокера безопасного доступа в облако (Cloud Access Security Broker, CASB).
Таким образом, современные архитектуры и принципы построения ЦОД существенно меняют традиционные подходы к обеспечению информационной безопасности в корпоративных ЦОДах. В фокусе внимания индустрии оказывается две больших задачи:
- ИБ «из коробки», то есть с минимальными затратами на ее развертывание, с возможностью масштабирования по мере роста числа защищаемых ресурсов.
Соответственно, нужны автоматизация, централизованное управление и преднастроенные политики безопасности,- отмечает Дмитрий Стеценко. |
- Обеспечение на стороне провайдера услуг ЦОД разного уровня защищенности для различных сервисов. Это подразумевает максимальную гибкость решений при назначении политик безопасности.