Безопасность дата-центров: «облака» сгущаются

Технологии вычислительных центров развиваются в геометрической прогрессии, создавая новые возможности для хранения и обработки данных. Компании активно внедряют новейшее оборудование и осваивают облачные сервисы, инновации сочетаются с классическими централизованными решениями, а устаревающее оборудование собирается в целые железные «зоопарки». Такая тенденция остро ставит вопрос уровня безопасности дата-центров и инфраструктуры компаний. Про технологическую культуру, роль государства в предотвращении информационных угроз и ответственность за безопасность пойдет речь в статье.

Отраслевая специфика

Свои особенности в управлении ресурсами и безопасностью инженерной инфраструктуры дата-центров существуют в каждой отрасли. К примеру, в финансовом секторе с определенными трудностями сталкиваются системообразующие банки, к которым предъявляются повышенные требования в плане информационной безопасности. Поскольку безопасность в том числе зависит и от отказоустойчивости, по этому параметру также предъявляются серьезные требования к местам развертывания ИТ-инфраструктуры. Логично, что для ЦОДов финансовых организаций и небольшого промышленного предприятия они будут разными — во втором случае от предприятия чаще всего не зависят важные для государства и населения функции.

Еще несколько лет назад считалось, что информационная безопасность — это дело заказчика, она зависит от технологической культуры, зрелости и требований его бизнеса. Сегодня ситуация изменилась, и государство все сильнее вмешивается в процесс, а регулирование, естественно, зависит от отраслей.

Новые дата-центры VS технологический «зоопарк Юрского периода»

Накопление разнородного оборудования, то есть «железа» автоматизации, сетевого оборудования, серверов и т.д. — того, что часто называют «зоопарком», — своеобразный тренд или последствие технологического развития. Сегодня новый смысл приобретает учет и управление такими ресурсами. Если раньше так называемые зомби-серверы просто занимали место и потребляли электроэнергию, сейчас они становятся реальной угрозой информационной безопасности. Важно четко понимать как минимум, кто владелец этого оборудования, кто им управляет, какую ценность это представляет и какие процессы зависят от этого.

До сих пор ИТ-специалисты концентрировались на безопасности корпоративного периметра (сетевое оборудование, серверы), а элементы инженерной инфраструктуры (контроллеры, ИБП и т.д.) оставались в стороне. Предположим, эти устройства могут быть выделены в отдельную сеть или находиться в одной сети с прочим оборудованием. Часть оборудования (скажем, чиллеры и управляющие ими контроллеры) вынесена физически, например, на крышу здания. Эти узлы выходят за пределы периметра, но «безопасники» не наблюдают за ними, а эксплуатирующие эти установки специалисты не занимаются вопросами безопасности. Для них важнее простота доступа, надежность и понятность схем. При этом сеть часто не сегментирована, не меняются пароли и не используются средства защиты. Это может быть опасно.

Злоумышленник практически всегда идет по пути наименьшего сопротивления, поэтому, если перед ним стоит цель нарушить работу сервисов, то одним из возможных векторов атаки может стать атака на инженерную инфраструктуру. По опыту, практически никто из владельцев дата-центров не уделяет достаточного внимания защите этих систем.

Сейчас ситуация меняется, и владельцам дата-центров приходится задумываться о безопасности инженерных систем для противостояния угрозам. Меры самые обычные: нужно заняться безопасностью периметра сети управления инфраструктурой, предпринять определенные организационные меры, проверять сеть на наличие посторонних узлов, контролировать наличие необходимых средств защиты в плане аутентификации и авторизации, вести мониторинг сетевой активности и т.д. Нужно продумывать архитектуру сети таким образом, чтобы ИТ-инфраструктура могла запрашивать данные о состоянии физической, но чтобы не происходило несанкционированного доступа. Проблема, кстати, не только в злоумышленниках — на работу дата-центров сильно влияет человеческий фактор, и с этим надо бороться.

Информационная безопасность перестала быть задачей заказчика. Сегодня ситуация изменилась, и государство все сильнее вмешивается в процесс


Существует большая часть инфраструктур, построенных относительно недавно. Другое дело, что подход к управлению ими родом из Юрского периода. Крупные западные организации управляют вычислительными центрами с очень старой инфраструктурой, но там она более грамотно модернизируется. Больше средств тратится на системы мониторинга, обслуживание, аудит и т.д. Наблюдается и другая картина — когда построенный по грамотному проекту вычислительный центр уже через пару лет представляет собой нечто менее упорядоченное и продуктивное, чем планировалось. Культура эксплуатации в России очень медленно развивается, и специалистов для долгосрочной эксплуатации не хватает. Более того, у нас не хватает менеджеров, которые знают, как построить работу дата-центра в долгосрочной перспективе. Разрозненное старое оборудование не проблема при грамотном обслуживании и наличии системы оценки рисков. Не всегда «зоопарк Юрского периода» становится угрозой, угроза — в неправильной организации процесса эксплуатации.

«Проблема «зоопарка» может относиться не только к наличию старого железа, возможно, работающего под управлением устаревших, «дырявых» операционных систем, но и к обновлениям корпоративной ИТ-инфраструктуры, что может в какой-то момент вынести старые ее элементы за пределы видимости сотрудников, занимающихся ИБ. Разрозненный мониторинг событий безопасности, политики, непонятно кем и когда созданных и не интегрированных в новую концепцию. Понятно, что все это может здорово увеличить вероятность инцидента и замедлить реакцию на него», комментирует Олег Горобец, ведущий эксперт по безопасности ЦОДов и виртуализации, «Лаборатория Касперского».

Согласно букве закона, или «О безопасности КИИ»

Существует несколько законодательных актов, которые регулируют информационную безопасность. Один из них — закон «О безопасности КИИ», он же федеральный закон №187, который регулирует безопасность объектов критической информационной инфраструктуры. Мы не говорим про защиту персональных данных или информацию, являющуюся гостайной. Законом определяются субъекты КИИ, как любые организации, которые владеют на законных основаниях такими объектами, как телекоммуникационные сети, автоматизированные системы управления и информационные системы в отраслях топливно-энергетического комплекса, в области атомной энергетики, в финансовом секторе, энергетике, транспорте и т.д. Сфера применения закона достаточно велика. Существует 127-е постановление правительства, в котором указаны критерии значимости для оценки этих объектов. Оцениваются потенциальные последствия инцидента безопасности, такие как гибель людей, нарушение предоставления определенных сервисов, ущерб экологии и т.д. В зависимости от величины потенциального ущерба присваивается либо не присваивается одна из трех категорий значимости. В зависимости от категории значимости реализуется соответствующий комплекс мер по защите данных объектов — требования к защите прописаны в приказах ФСТЭК (235-м, 239-м и 31-м). Коммерческие дата-центры напрямую не попадают под действие 187-ФЗ, но как только там располагается какой-то объект КИИ, ЦОД тоже должен будет предпринимать определенные меры по обеспечению безопасности. В нынешней редакции закона в явном виде это не прописано, но такие вопросы в отрасли уже вовсю обсуждают. Скорее всего в ближайшее время они будут решены либо в виде поправок к закону, либо отдельным актом или разъяснением от ФСТЭК.

«Вообще повышение безопасности не только самой инфраструктуры, но и клиентских систем — в интересах любого коммерческого ЦОДа вне зависимости от того, являются эти системы объектами КИИ или нет. Любая вычислительная инфраструктура вне зависимости от данных, которые в ней хранятся, представляет ценность для киберпреступников хотя бы как площадка для дальнейших операций, что побуждает их атаковать и захватывать даже, казалось бы, малоценные системы. Если же такое произошло, последствия легко могут затронуть не только клиента, но и сам ЦОД. Понятно, что не все клиенты готовы допустить присутствие систем безопасности хостера внутри своей инфраструктуры, но многих можно убедить, а для тех, кто превыше всего ценит приватность, существуют безагентские решения, использующие встроенные возможности платформы VMware», комментирует Олег Горобец, ведущий эксперт по безопасности ЦОДов и виртуализации, «Лаборатория Касперского».

Перспективы облачного проникновения

Облачные технологии дают нам возможность внедрить такие решения, которые прежде были недоступны. Бизнесы, которые захотят повысить конкурентоспособность, со временем будут переходить в коммерческие дата-центры. Это общемировой тренд, в России он несколько тормозится из-за геополитической ситуации, но со временем технологии возьмут свое. Подходы меняются кардинально: заказчики перекладывают значительную часть головной боли по обеспечению безопасности ИТ-инфраструктуры на крупных провайдеров. Разумеется, облачные провайдеры обеспечивают гораздо более высокий уровень безопасности: обновления ПО внедряются быстрее, антивирусные базы обновляются едва ли не в режиме реального времени, но если найдется какая-то серьезная уязвимость платформы, то и последствия коснутся большего числа клиентов. Однако ожидается, что в облака уйдут не все: крупные организации топливно-энергетического комплекса и финансового сектора, например, будут использовать свои корпоративные дата-центры.

«Необходимо осознавать разницу между облачными сценариями. В случае с SaaS или PaaS облачный провайдер имеет возможность предложить дополнительные опции по обеспечению безопасности пользовательских данных напрямую. Понятно, что крупнейшие облачные вендоры способны обеспечить гораздо более высокий уровень защиты, нежели провайдеры локального значения, — они имеют возможность привлечь лучших специалистов и лучшие технологии. Плюс всегда остается возможность использовать специализированные решения от ведущих вендоров кибербезопасности, доступные в «облачном магазине».

Что же касается IaaS, то тут решение о защите целиком находится на стороне клиента. Благо существуют решения, позволяющие обеспечить ничуть не меньший уровень защиты, чем при размещении серверов в частном дата-центре, и учитывающие все особенности виртуальных и облачных сред. Более того, некоторые решения позволяют обеспечивать непрерывную защиту на протяжении всего «облачного путешествия»: от физических серверов к виртуальным и затем к облачным рабочим нагрузкам. При этом все ресурсы будут управляться едиными политиками из одной консоли», — комментирует Олег Горобец, ведущий эксперт по безопасности ЦОДов и виртуализации, «Лаборатория Касперского».

Основными потребителями облачных сервисов в России в ближайшем будущем, вероятно, будут компании малого и среднего/среднекрупного бизнеса. Наши крупнейшие компании пока не доверяют облачным провайдерам, а если и используют облачные технологии, то стараются разместить их на своих корпоративных ЦОДах, в пределах своего информационного периметра. Здесь кроется серьезная угроза для облачного рынка РФ, так как доля малого и среднего бизнеса в экономике очень мала.

Использование облачных сервисов позволяет получить такие преимущества, как снижение затрат на разработку нового продукта/услуги, снижение времени разработки, повышение безопасности. Те компании, которые первыми научатся правильно использовать облачные технологии в своем бизнесе, безусловно, получат существенные конкурентные преимущества. В 2018 г. ожидается более чем 20% рост рынка облачных услуг. Во всем мире бизнес все больше и больше использует облачные технологии, что показывает эффективность данной модели.

Сочетать решения и не потерять в безопасности

Раньше все АСУ ТП были локальными, данные не выходили за информационный периметр предприятия или холдинга, информация в облака не передавалась. Потом начался облачный ажиотаж, но вскоре выяснилось, что далеко не все сервисы можно вынести наружу, и далеко не все заказчики хотят размещать свои данные в облаках — так появился модный термин Edge Computing. Принципиальной разницы с локальными решениями у Edge Computing нет, по сути это одно и то же. Определенная революция произошла и в информационной безопасности. Когда заказчик использует граничные вычисления, ему необходимо решать те же задачи, что и при использовании классического централизованного решения.

Совсем другое — внешние облачные решения. Ответственный провайдер облачных сервисов способен обеспечить очень высокий уровень информационной безопасности, недостижимый для малого и среднего бизнеса. И здесь наблюдается если не революция, то как минимум серьезный прогресс в эволюции информационных систем и систем безопасности.

Если компания принимает решение идти в облако, то очень многое зависит от опыта поставщика облачных решений. Его надежность — это 80% успеха. При этом периметр безопасности расширяется, но рисков субъективно меньше, чем при выносе вычислений или хранения данных на периферии. Сейчас ценность граничного узла вырастает, поскольку целевые сервисы (услуги, бизнес-процессы, транзакции) больше зависят от непрерывности ИТ-сервисов, но Edge-узел выделяется из централизованной инфраструктуры со своим периметром инженерной безопасности. Часто это серверная комната старого формата, а в ней уже находятся более критичные приложения, и там тоже сохраняются факторы физической безопасности: электропитание, охлаждение, доступ, сеть. Обязательно нужно учитывать это при решении по внедрению граничных вычислений, так как на выходе получается большое количество объектов, которые нужно элементарно охранять, а часто и обеспечивать как вычислительный центр. По мере роста узлов контролировать это становится все сложнее, и единого рецепта решения проблемы нет, все зависит от конкретных объектов.

статьи
Более 20% отказов дата-центров происходит в момент ошибок при обслуживании Количество оборудования дата-центров увеличивается, разветвленную инфраструктуру все сложнее контролировать. Не удивительно, что многие корпоративные и коммерческие ЦОДы задумываются о внедрении систем управления. О возможностях и экономической эффективности таких решений мы побеседовали с Андреем Ивашовым, руководителем по развитию бизнеса компании Schneider Electric. Периферийные вычисления: трансформация принципов построения ИТ в процессе цифровизации бизнеса Одним из ключевых трендов, оказывающих существенное влияние на развитие ИТ-рынка, стала цифровая трансформация бизнеса. Она сопровождается повсеместным проникновением информационных технологий в процессы компаний и влечет за собой рост требований к поддерживающей их ИТ-инфраструктуре. В этой статье мы расскажем о некоторых полезных технологиях и способах их реализации. Что там, за облаками? Облачные технологии не стали абсолютно универсальным инструментом для решения любых ИТ-задач. Это привело к развитию специализированных технологий, одна из которых периферийные вычисления. Как построить цифровую реальность Пока эксперты спорят и уточняют определение термина «цифровая экономика», работы в этом направлении на российском рынке набирают обороты. Рынок периферийных вычислений вырастет в пять раз к 2023 Мировой рынок периферийных вычислений вырастет к 2023 году до $4,6 млрд. Рост обеспечит широкое внедрение в повседневную жизнь интернета вещей, виртуальной и дополненной реальности, а также переход на новый стандарт связи 5G. Безопасность дата-центров: «облака» сгущаются Про технологическую культуру, роль государства в предотвращении информационных угроз и ответственность за безопасность пойдет речь в статье Архитектура EcoStruxure для предприятий АПК Решения Schneider Electric по обеспечению безопасности и управлению задействованы на крупнейшем перерабатывающем заводе в мире. Schneider Electric и перспективы развития коммерческих ЦОДов Увеличение спроса на централизованные площадки для размещения серверной инфраструктуры влечёт за собой и рост продаж всего сопутствующего оборудования: систем энергообеспечения, кондиционирования, контроля и управления.
Алексей Солдатов,
генеральный директор DataPro
мнение эксперта
У России есть шансы выйти на международный рынок коммерческих ЦОДов, однако для этого нужна помощь государства. Сегодня в этом секторе наблюдается острый дефицит предложения. Те, кто быстро построит здания мирового уровня, смогут занять на нем существенное место, считают Алексей Солдатов, генеральный директор DataPro, и Роман Шмаков, вице-президент подразделения SecurePower в России и СНГ компании Schneider Electric.
Александр Саванович,
вице-президент по сервису компании Schneider Electric в России и СНГ
мнение эксперта
Развитие сервисов становится одним из приоритетных направлений бизнеса всех технологических компаний. Какие услуги предоставляет своим заказчикам Schneider Electric и как будет развиваться сервисное подразделение компании в России?
Наталия Макарочкина,
старший вице-президент подразделения Secure Power в зоне International компании Schneider Electric
мнение эксперта
Перемещение вычислений к месту создания обрабатываемых данных является прямым следствием цифровизации бизнеса. Они должны быть как можно ближе заказчику. Особенно это касается автономных систем, действующих в режиме реального времени.
Роман Шмаков,
вице-президент подразделения Secure Power компании Schneider Electric в России и СНГ
мнение эксперта
Для развития Edge Computing потребуется относительно автономная, удаленно контролируемая архитектура, так как периферийные узлы находятся вне физического доступа со стороны службы заказчика. Здесь крайне важно иметь сквозную интегрированную систему мониторинга и управления, чтобы понимать состояние инфраструктуры, повышать ее операционную эффективность.
Тимур Алтышев,
директор департамента по работе с ключевыми сегментами подразделения Secure Power компании Schneider Electric
мнение эксперта
Глобальная цифровизация ведёт к тому, что практически все элементы инженерной инфраструктуры либо уже имеют встроенные датчики, либо могут быть ими оснащены, поэтому количество элементов, которые необходимо мониторить, либо управлять ими, становится слишком большим, чтобы работать с каждым в отдельности.
Дмитрий Желтков,
директор департамента по работе с заказчиками коммерческого сектора подразделения Secure Power компании Schneider Electric.
мнение эксперта
В условиях перехода многих компаний в коммерческие ЦОДы, вопросы бесперебойного электропитания ИТ-систем переносятся с площадки заказчика на сторону внешнего дата-центра. Однако, актуальным остается вопрос бесперебойной работы инженерных систем, не связанных с ИТ. ИБП для таких систем имеют свою специфику, и к их выбору следует подходить с особым вниманием.
Для вашего бизнеса
инфографика Открыть инфографику
кейсы