Физические и цифровые стратегии защиты дата-центра от угроз

Физические меры защиты в дата-центрах

1. Эти меры направлены на защиту:

• Информации, требующей защиты.
• Оборудования и вычислительных ресурсов.

2. Ограничение доступа неавторизованных лиц достигается через:

• Проектирование и строительство зданий ДЦ с учетом защиты от внешнего воздействия.
• Установление контроля доступа и круглосуточную охрану.
• Разработку корпоративных политик использования ресурсов.
• Мониторинг действий персонала ДЦ.
• Проведение аудитов безопасности.

3. Обеспечение надежной работы оборудования достигается путем:

• Поддержания оптимального климата.
• Обеспечения бесперебойного питания.
• Применения мер противопожарной защиты.

Уже на этапе проектирования ДЦ учитываются многие аспекты, такие как выбор стройматериалов и планировка для соблюдения противопожарных норм.

Цифровые меры защиты

Цифровая защита связана с различными этапами обработки данных:

• Прием данных: защита включает фильтрацию трафика с помощью фаейрволов и выявление вредоносного кода.
• Обработка: данные передаются между серверами, при этом VPN и шифрование каналов помогают обеспечить безопасность передачи.
• Хранение: применяется резервное копирование для предотвращения потери данных.
• Использование: управление доступом и поддержание актуальности данных.

Списки цифровых мер защиты варьируются в зависимости от конкретных условий и постоянно дополняются для противодействия новым угрозам.

Электронные методы обеспечения безопасности

Перечень специфических мероприятий по защите организован в соответствии с различными фазами обработки цифровой информации в центрах обработки данных.

1. Инициализация: данные обычно направляются в центр обработки данных посредством сетевых соединений (интернет, VPN). Защитные механизмы на этом этапе включают применение межсетевых экранов для отсеивания подозрительного сетевого трафика и инструментов для выявления вредоносного ПО в поступающих файлах. Немаловажно также применение средств криптографической защиты данных на каналах.
2. Обработка данных: на этом этапе информация циркулирует между серверами внутри центра. Здесь безопасность обеспечивается за счет использования VPN для сегментации и защиты потоков данных между определенными узлами.
3. Хранение: защитные меры включают создание резервных копий данных для предотвращения их потери, при этом используются надежные хранилища данных.
4. Доступ: на заключительном этапе информация используется в соответствии с ее предназначением и необходимой частотой. Защита данных на данном этапе включает в себя организацию контроля доступа сотрудников к информационным ресурсам и проверку актуальности данных.

В реальности набор электронных методов защиты может значительно отличаться, представленные выше являются лишь базовыми примерами. Отдельно стоит отметить важность непрерывной разработки новых методов для обеспечения защиты центров обработки данных от эволюционирующих угроз безопасности.

Законодательные требования

Во многих странах действия, связанные с обработкой данных, находятся под строгим контролем законодательства. В разных государствах существуют правовые акты, регламентирующие деятельность центров обработки данных.

В Беларуси, например, применяется стандарт СТБ 2227-2018, который устанавливает базовые технические требования к инфраструктуре данных и инженерным системам центров обработки данных (ЦОД). Этот стандарт является обязательным для всех организаций, занимающихся созданием или модернизацией ЦОД, а также для компаний, использующих услуги этих центров. Для информации: СТБ основывается среди прочего на положениях стандарта ANSI/TIA 942A, который включает в себя критерии классификации ЦОД по уровню надежности TIER I, II, III, IV. По состоянию на 2023 год в Беларуси функционируют ЦОД не выше класса TIER III.

Тем не менее эти центры предоставляют услуги практически непрерывной обработки данных благодаря комплексу технических и организационных мер, позволяющих выполнять обслуживание оборудования без остановки критически важных операций. Каждый ЦОД имеет право устанавливать собственные стандарты в соответствии с законодательством, что позволяет улучшать защиту данных и повышать эффективность их безопасной обработки.

Деятельность центров обработки данных должна соответствовать установленным нормативам, применимым в различных отраслях:

• Законодательство о защите персональных данных (от 07.05.2021, № 99-З).
• Нормы, регулирующие вопросы коммерческой тайны (от 05.01.2013, № 16-З).
• Регулирование в сфере информации и её защиты (от 10.11.2008, № 455-З).

Игнорирование этих норм может привести к наложению штрафов и другим правовым санкциям, отрицательно влияющим на функционирование центра обработки данных. Поэтому важной составляющей обеспечения информационной безопасности является правовая проверка деятельности центра, в которой участвуют не только IT-специалисты, но и юристы, включая возможность привлечения внешних консультантов. Защита данных в центрах обработки многоуровневая.

Многослойная защита информации

Системы безопасности строятся с учётом разнообразия подходов и методик, которые не подчиняются единой схеме. Распространённая классификация включает в себя:

• Внешний уровень: взаимодействие центра с внешними системами, где защита достигается через межсетевые экраны и системы контроля доступа.
• Обработку данных: на этом этапе информация размещается в специализированных сегментах, где важно предотвратить вторжение вредоносных программ. Здесь ключевую роль играют антивирусные программы и другие защитные механизмы.
• Уровень сервера или виртуальной среды: здесь используются вычислительные устройства, которые должны быть защищены от несанкционированного доступа и обеспечивать безопасный обмен данными. Защита на этом уровне достигается благодаря программному и аппаратному обеспечению, обладающему равной значимостью.

Эти слои безопасности взаимодействуют, создавая комплексную систему, основанную на алгоритмах обнаружения и реагирования на угрозы.

Обнаружение критических угроз

Чтобы обеспечить надёжную защиту данных в центрах обработки, используются различные стратегии. Одной из них является трёхфакторная модель, которая включает:

1. Определение пар «ценный ресурс — угроза» для всех важных элементов. Например, если ресурсом является конфиденциальная информация, угрозы могут включать несанкционированный доступ, копирование, передачу, редактирование или удаление данных.
2. Сопоставление каждой угрозы с методом защиты. Таким образом, защита корпоративных секретов учитывает характеристики ресурса, потенциальные угрозы и способы предотвращения этих угроз.

Эта трёхфакторная модель может масштабироваться для разных уровней и типов ресурсов в центре обработки данных. Программы для обнаружения угроз и определения наиболее эффективных методов защиты обычно прописаны во внутренних политиках и инструкциях компании.

Улучшение защиты инфраструктуры обработки данных может быть достигнуто через несколько ключевых мер:

• Аккуратное управление и использование программных решений, встроенных в архитектуру дата-центров. Такие программы обычно предоставляют комплексные политики безопасности, которые укрепляют защиту данных в процессе выполнения повседневных задач. Применение специализированных программных продуктов увеличивает эффективность защитных механизмов и одновременно снижает нагрузку на систему, избегая необходимости во внешних аналогичных решениях.
• Развертывание резервных систем защиты данных, например, путем создания бекапов не только на первичных серверах, но и на внешних облачных платформах. Вспомогательные системы должны соответствовать тем же стандартам безопасности, что и основной дата-центр, и их требования могут опираться как на соответствующее законодательство, так и на внутренние политики компании.
• Проектирование систем хранения данных с учетом конкретных потребностей дата-центра. В зависимости от необходимой скорости обработки данных могут использоваться различные технологии, такие как сетевые хранилища данных (NAS) или системы хранения данных с высокой доступностью (SAN).

NAS обычно предлагают более низкие затраты на развертывание и обслуживание, в то время как SAN лучше подходят для работы с большими объемами данных. Современные дата-центры часто интегрируют оба вида систем, достигая оптимального сочетания стоимости, надежности и производительности инфраструктуры.