Безопасность ЦОД

 

Безопасность ЦОД включает в себя методики и профилактические меры для защиты ЦОД от угроз, атак и несанкционированного доступа. Безопасность ЦОД охватывает такие аспекты, как физическая безопасность (разработка архитектуры среды, которая ограничит физическое проникновение угроз) и безопасность сети (установка брандмауэров и антивредоносного ПО инженерами по безопасности для защиты от утечки данных). В последнее время важным аспектом обеспечения безопасности ЦОД стала также защита от социоинженерных атак. К мерам такой защиты относятся поддержка пользователей и их обучение передовым методикам обеспечения безопасности. В частности, это подразумевает проведение информационных кампаний, чтобы предотвратить неосознанное разглашение авторизованными сотрудниками информации, которую посторонние лица могут использовать для обхода имеющихся средств безопасности.

data-center-security

По данным исследования Ponemon Institute, проведенного в 2015 г., средний ущерб от утечки данных составил 3,79 млн долларов

Подробнее 

Каким организациям необходимо обеспечивать безопасность ЦОД?

Любой компании, которая в своей деятельности использует ЦОД, необходимо иметь несколько средств физической и сетевой безопасности, которые гарантируют защиту информации, хранящейся в ЦОД, от потери, злонамеренных манипуляций и кражи. Практически все современные компании в своей деятельности используют те или иные технологии. Большинство организаций перешли от бумажного делопроизводства к цифровому, и теперь основная часть данных хранится на компьютерах, а не в канцелярских шкафах. Каждой компании необходимо решение, помогающее обеспечить безопасность и защиту информации в ЦОД.

 

Почему важно обеспечить безопасность ЦОД?

В ЦОД размещаются данные, приложения и услуги, используемые организациями в повседневной работе. По этой причине необходимо принять надлежащие меры безопасности для защиты ЦОД. Неэффективная система безопасности ЦОД может привести к утечке данных: конфиденциальная информация компании или, что еще хуже, информация о заказчиках, может стать общедоступной или оказаться в руках злоумышленников. Подобная утечка данных может дорого обойтись компании как в финансовом отношении, так и с точки зрения ее деловой репутации. Для некоторых организаций последствия утечки данных могут быть необратимыми.

 

При современных темпах технологического прогресса угрозы безопасности также быстро развиваются. Используется все больше технологий виртуализации ЦОД, в связи с чем растет потребность в обеспечении безопасности ЦОД на уровне инфраструктуры. Интеграция средств безопасности с ПО обеспечивает более гибкий подход к безопасности, а также повышает адаптивность при устранении угроз безопасности.

 

Как обеспечить безопасность ЦОД

ЦОД — это централизованный кластер вычислительного и сетевого оборудования, в котором хранится и обрабатывается важная информация организации. Для эффективной защиты ЦОД компаниям следует использовать как физические, так и виртуальные средства безопасности. Еще один важный аспект защиты ЦОД — безопасность сети, так как именно через сеть вредоносные программы и прочие угрозы попадают в ЦОД.

 

Меры обеспечения безопасности ЦОД

Наиболее эффективные решения по обеспечению безопасности ЦОД включают в себя как физические, так и виртуальные средства безопасности. Как правило, в ЦОД размещается чувствительное и громоздкое оборудование. По этой причине существуют особые рекомендации в отношении физической безопасности. В частности, необходимо предотвратить попадание влаги в электронное оборудование, поэтому традиционные системы пожаротушения в ЦОД не используются. Подключение ЦОД к внешним сетям осуществляется через доступ пользователей, в связи с чем ИТ-администраторам необходимо обеспечить в каждой точке доступа к ЦОД наличие соответствующих политик безопасности сети и пользователей. Виртуальные меры безопасности включают в себя средства идентификации авторизованных пользователей, такие как многоуровневая аутентификация и ПО, блокирующее неавторизованных пользователей (например, брандмауэр).

 

Физическая безопасность

Меры обеспечения физической безопасности для ЦОД зависят от его размера. Как правило, в ЦОД размещается много ИТ-оборудования (серверы, коммутаторы и маршрутизаторы), а также источники питания, средства охлаждения и телекоммуникационное оборудование. Такое оборудование может размещаться в шкафу, который можно без труда защитить с помощью физического замка, либо на складе, для которого следует принять дополнительные меры обеспечения физической безопасности, такие как доступ по пропускам, видеонаблюдение, сигнализация или назначение сотрудников службы безопасности.

 

Еще один аспект физической безопасности — защита от пожара. Поскольку в ЦОД размещается чувствительное электронное оборудование, оптимальный выбор для защиты от пожара — химические системы пожаротушения, а не спринклерные оросители.

 

Виртуальная безопасность

Во многих современных ЦОД используется технология виртуализации, которая помогает абстрагировать серверы, сеть и хранилища. Абстрагирование дает ИТ-администраторам возможность управлять службами ЦОД удаленно, используя ПО для выполнения процессов в ЦОД и мгновенно инициализируя рабочие нагрузки на нескольких серверах по мере необходимости. В некоторых ЦОД технология виртуализации является компонентом инфраструктуры и используется для доступа к общедоступному облаку. Использование ПО или облачных решений для структурирования и администрирования ЦОД повышает его гибкость, но при этом делает его более уязвимым для кибератак.

 

Некоторое сетевое ПО для ЦОД содержит встроенные средства безопасности или предназначено для работы с другими виртуальными средствами безопасности, такими как брандмауэры, а также системы предотвращения и обнаружения вторжений. ИТ-руководители могут использовать такое ПО для настройки политик идентификации пользователей. Эти политики определяют, какие пользователи имеют право доступа к ЦОД. Двухуровневая идентификация заключается в подтверждении личности пользователя путем запроса известной только ему информации (например, пароля) и использования имеющегося у пользователя устройства (например, сотового телефона). Это один из самых надежных способов, используя который ИТ-отделы могут гарантировать, что доступ к сети, связанной с ЦОД, будут получать только авторизованные пользователи.

 

ПО для обеспечения безопасности ЦОД не позволяет неавторизованным пользователям просматривать или похищать конфиденциальные данные. Кроме того, оно используется для предотвращения потери информации, находящейся в ЦОД, за счет резервного копирования.

 

Инфраструктура системы безопасности сети

Компании могут защитить ЦОД от вредоносного входящего сетевого трафика, установив между внешним трафиком и внутренней сетью надежный периметр безопасности или брандмауэр. ИТ-руководители могут повысить безопасность ЦОД путем дополнительного структурирования инфраструктуры сети, разбив ее на сегменты и изолировав каждый сегмент от других. Благодаря сегментации инфраструктуры сети нарушение безопасности в одном сегменте не всегда будет ставить под угрозу всю сеть.

 

Уязвимые места и распространенные атаки

Для получения доступа к ЦОД киберпреступники используют самые разные средства. Социоинженерные атаки нацелены на то, чтобы обманом заставить пользователей раскрыть пароли или найти другие способы доступа неавторизованных пользователей. Пользователи могут непреднамеренно скачать вредоносные программы (например, так называемые «программы-вымогатели»), которые блокируют вход пользователей в систему до тех пор, пока злоумышленникам не заплатят определенную сумму денег. Еще одна уязвимость, которую киберпреступники используют для получения доступа к ЦОД, — это ненадежные пароли пользователей, не уделяющих должного внимания безопасности. Чтобы гарантировать безопасность ЦОД, ИТ-руководителям необходимо информировать пользователей о различных типах атак и применять надежные методы обеспечения безопасности.

 

Пользователи — не единственная уязвимость в сети. Доступ киберпреступникам к ЦОД также могут открыть неправильно настроенные сети или программные средства безопасности. Киберпреступники могут вызвать сбой в работе ПО или серверов, не настроенных должным образом, перегрузив их запросами либо применив последовательность кода, которую такое ПО или сервер не сможет обработать. ЦОД также уязвимы для «спуфинговых» атак, при которых истинный источник или тип вредоносной программы остается скрытым. При IP-спуфинге сообщение выглядит так, будто оно пришло с доверенного узла, и проходит проверку как безопасное для передачи во внутреннюю сеть. Единственный способ защиты от IP-спуфинга — установка брандмауэров.

Продукты, решения и ресурсы VMware, связанные с безопасностью ЦОД

Защита сети с помощью микросегментации

VMware NSX Data Center помогает реализовать модель безопасности «нулевого доверия» для приложений в средах частных и общедоступных облаков.

Интеллектуальная защита цифровой рабочей области

VMware Workspace ONE сочетает встроенную систему безопасности на основе модели «нулевого доверия» с ведущими в отрасли современными средствами управления, что помогает ИТ-отделам обеспечить упреждающую защиту пользователей, приложений и конечных устройств в цифровой рабочей области.

AppDefense — ПО для обеспечения безопасности приложений

AppDefense реагирует на угрозы не постфактум, а заблаговременно, анализируя требуемое состояние и поведение приложений и отслеживая изменения, которые указывают на наличие угрозы. При обнаружении угрозы AppDefense реагирует автоматически.

Программно-определяемый ЦОД — основа успешной цифровой трансформации

Внедряйте инновации в любых облаках, используя программно-определяемую цифровую платформу VMware. Наш подход, основанный на ведущих в отрасли технологиях, объединяет лучшие в своем классе виртуализированные вычислительные ресурсы, хранилище, сети и комплексные средства управления облаком.

Автоматизация служб сети и безопасности

VMware NSX виртуализирует все службы сети и безопасности, что помогает ускорить развертывание за счет автоматизации и сокращения количества выполняемых вручную и сопряженных с ошибками задач.

Округ Кларк внедрил встроенную систему безопасности с помощью VMware NSX Data Center

Когда предусмотрительный заместитель ИТ-директора заговорил об использовании программно-определяемой сети, Аллен проявил должную тщательность при выборе оптимального варианта для округа Кларк.