Системы защиты центра обработки данных (ЦОД)

Как обеспечить безопасность ЦОД?

При выборе дата-центра клиенты обращают внимание на множество различных параметров. Одним из самых значимых из них является надёжность и безопасность ЦОД. Размещая свое оборудование в дата-центре, компании доверяют внешнему партнеру критически важную корпоративную инфраструктуру, а также хранящиеся на ней данные. Утеря этих данных может нанести их бизнесу непоправимый ущерб, поэтому основная задача любого провайдера услуг ЦОД – обеспечить физическую и виртуальную безопасность своего дата-центра. Безупречная защита помогает свести к минимуму ущерб от любых внешних и внутренних воздействий, сформировать доверие со стороны клиентов и поддерживать репутацию ЦОД на самом высоком уровне.

Источники угроз

bezopasnost cod1

Для того чтобы обеспечить безопасность центра обработки данных, необходимо знать, что может представлять для него угрозу. Список факторов риска включает:

  • Форс-мажорные обстоятельства (природные катаклизмы, террористические акты и т. д.);
  • Техногенные чрезвычайные ситуации и их последствия;
  • Проникновение злоумышленников с целью кражи информации или вывода оборудования из строя;
  • Нарушения регламентов внутри предприятия (непреднамеренные или злонамеренные действия сотрудников);
  • Сервисные сбои/аварии и т. д.

Все эти факторы угрожают информационной и физической безопасности ЦОД в той или иной степени и могут повлечь за собой последствия разного масштаба – от простоя в работе до полной потери данных без возможности их восстановления. При составлении плана по обеспечению безопасности центра обработки данных важно учитывать степень вероятности и критичности чрезвычайной ситуации: от этого будет зависеть конкурентные действия и бюджет, необходимые для того, чтобы ее предотвратить.

Из чего состоит система безопасности ЦОД: виртуальный и физический уровни защиты

В большинстве организаций самой серьезной угрозой для данных являются виртуальные злоумышленники, которые обнаруживают уязвимости в программном обеспечении или сетевой инфраструктуре и проникают во внутренние системы с целью похищения информации или повреждения. Кибератаки – это уровень данных, за защиту которых отвечает владелец сервера и ПО. Основная ответственность оператора дата-центра перед клиентами — целостность и безопасность размещаемого в нем оборудования. Для предотвращения внешнего воздействия, а также несанкционированного доступа третьих лиц, применяется целый комплекс мер физической защиты ЦОД.

Физическая безопасность и контроль доступа в дата-центр

Основная задача системы безопасности ЦОД − предотвратить проникновение на территорию дата-центра посторонних людей, а также обеспечить катастрофоустойчивость объекта, защитить его от затопления, землетрясения, а также любых других природных и техногенных катаклизмов.

Первым шагом для борьбы с угрозами нарушения физической безопасности является выбор места для строительства ЦОД. Обычно дата-центры строятся «на отшибе», в местах, удаленных от городских объектов, а также аэропортов, военных баз, топливохранилищ и других критически важных объектов (КВО). Самые передовые дата-центры применяют технологию «здание в здании», когда машзалы размещаются под «саркофагом» внешнего корпуса. Это уменьшает вероятность проникновения злоумышленников и негативного внешнего воздействия, но не исключает ее на 100%.

bezopasnost cod2
kpp3

Наиболее надежный способ обеспечить физическую безопасность ЦОД — построить многоуровневую защиту с несколькими периметрами безопасности. Базовый контур защиты — это круглосуточная охрана и охраняемый периметр. За внешней территорией и всеми посетителями дата-центра ведется тщательное наблюдение. Любой из них должен иметь ограниченный доступ к оборудованию и сопровождаться сотрудником ЦОД. Данные о приходах и уходах посетителей фиксируются в специальном журнале.

В центрах обработки данных нет стеклянных окон, но любая дверь (даже металлическая) представляет потенциальную «лазейку» и должна быть надежно защищена. Для контроля зоны прохода в дата-центре используются тамбур-шлюзы с переговорными устройствами, установлены датчики движения, ведется круглосуточное видеонаблюдение.

Интеллектуальные системы контроля следят за тем, чтобы в охраняемую зону не попал случайный человек. Такие системы строятся обычно с использованием биометрических технологий. «Ключом» для авторизации и управления доступом выступает бесконтактная система распознавания Face ID.

Чем выше уровень надежности дата-центра, тем мощнее биометрическая защита. Продвинутые система контроля и управления доступом (СКУД) используют персонифицированных ID карты и биометрическую идентификацию по отпечаткам пальцев или сетке кровеносных сосудов внешней стороны ладони.

Дополнительная защита инженерных компонентов

Помимо выбора местоположения и «железного купола», существует множество других способов обеспечить физическую безопасность здания и инженерных компонентов ЦОД. Усиление защиты может включать:

  • Железобетонные стены и конструкции, способные защитить объект от внешних воздействий;
  • Гидравлические выдвижные препятствия для автомобилей и противоподкопные сооружения;
  • Рамки металлодетекторов и химические датчики, проверяющие наличие у посетителей отравляющих веществ;
  • Серверные шкафы и клетки, которые крепятся к фундаменту и несущим конструкциям;
  • Индивидуальные ограждения и замки, устанавливаемые по запросу клиентов;
dop defense

Пожарная безопасность ЦОД

hi fog

Серьёзную угрозу системе безопасности и бесперебойной работе ЦОД представляют неправильный температурный режим и нестабильная подача электроэнергии. Сбои в электроснабжении могут повлечь за собой поломку оборудования и дорогостоящие для бизнеса простои в работе.

Для борьбы с этими рисками применяются современные системы охлаждения, вентиляции и электропитания, а также системы мониторинга ЦОД, которые позволяют получать информацию о нежелательных событиях и нештатных ситуациях (нарушение температурного режима, возгорание, протечка, задымление). Специальные датчики и контроллеры осуществляют круглосуточный мониторинг и мгновенно реагируют на форс-мажорные ситуации.

Защита помещения в обязательном порядке предполагает активацию системы пожаротушения в случае фиксации задымления. Для предотвращения сбоев электроэнергии используются системы резервирования, которые базируются на альтернативных независимых источниках электроснабжения и запасе автономного хода.

Во избежание технических аварий в машзалах необходимо также организовать правильное и безопасное выполнение любых работ, провести оценку угроз, которые могут возникнуть при выполнении технических операций по ремонту и модернизации устройств, при вносе и выносе тяжелого или габаритного оборудования.

Иногда серьезную аварию могут предотвратить самые элементарные меры: в нужном месте поставить оградительную решетку или подложить под стремянку диэлектрические резиновые коврики.

Обеспечение виртуальной безопасности

DDoS-атаки представляют серьёзную угрозу для безопасности любой организации. Их последствия могут быть различными – от простоев в работе до хищения данных и денежных средств со счетов без возможности их восстановления. Для защиты от виртуальных злоумышленников центры обработки данных используют разные стратегии. Комплекс мер по защите можно условно разделить на два направления: создание административных регламентов и внедрение технических средств защиты.

В первую очередь – это строгие правила разграничения доступа к оборудованию. Сотрудники ЦОД не имеют доступа к данным клиентов, они выполняют инструкции по удаленной техподдержке оборудования по согласованию и под полным контролем действий со стороны заказчика. При этом любой из заказчиков имеет доступ только к собственной учетной записи.

bezopasnost cod3

Обязательным атрибутом ЦОД является система управления информационной безопасностью и событиями безопасности (SIEM), основная задача которой − управление рисками и мониторинг обнаружения угроз для выявления подозрительной активности. Система мониторит все информационные потоки и отводит подозрительный и потенциально опасный трафик.

Сетевая активность сегментирована по зонам: информационные потоки и трафик клиентов не пересекаются между собой. Сетевые конфигурации должны позволять клиентам свободно запускать программы в собственной виртуальной среде, но при этом защищать других клиентов и сам дата-центр от уязвимостей в чужом ПО. Перед развертыванием любого приложения в инфраструктуре ЦОД оно проходит тщательную проверку кода на наличие уязвимостей.

Законодательные требования

При выстраивании стратегии безопасности ЦОД важно принимать во внимание требования законодательства РФ.

В большинстве случаев к ЦОД применяются требования федерального закона «О безопасности критической информационной инфраструктуры РФ» от 26.07.2017 (N187-ФЗ). Особенно пристальное внимание уделяется дата-центрам, которые связаны с государственными информационными системами.

При организации защиты дата центров также следует опираться на отраслевые стандарты, внедрять определенный законом порядок мер защиты и действующие нормативные документы.

Cтандарты и сертификаты

Признанной гарантией качества для дата-центров является сертификация на соответствие требованиям стандартов. Поставщики услуг ЦОД обязаны гарантировать своим клиентам соблюдение всех декларируемых преимуществ, включая протоколы безопасности, процедуры и ресурсы резервирования, степень доступности и т. д.

Каждый центр обработки данных внедряет руководящие принципы безопасности, чтобы повысить качество услуг ЦОД и предоставить его потенциальным клиентам гарантии уровня сервиса. Доверяя свою инфраструктуру дата-центру, компания должна быть уверена в том, что ее оборудование будет работать без сбоев, а расположенная на нем информация будет доступна в любое время.

Одним из ключевых показателей надежности и безопасности дата-центра является наличие у него сертификата соответствия требованиям международного стандарта безопасности платежных данных PCI DSS (Payment Card Industry DataSecurity Standard). Этот сертификат содержит технические и организационные требования, необходимые для безопасной обработки данных о держателях платежных карт. Он гарантирует, что клиенты ЦОД могут обрабатывать эти данные в соответствии с международных стандартом без угрозы их утечки и нарушения законодательных норм.

sert pci dss 3 2 1 2022 ru

Сегодня практически во всех ЦОД внедрены системы физической, информационной и «бумажной» безопасности, установлено необходимое оборудование, разработаны регламенты и документы в соответствии с требованиями регуляторов. Но эти виды безопасности будут бесполезны без грамотного персонала. Безопасность – это не только бумаги, программы и железо. Это круглосуточная работа, включающая постоянный анализ угроз, это люди, которые правильно обучены и знают, как действовать в тех или иных ситуациях.

+7-495-8000-911
Back To Top
На нашем сайте используются файлы cookies, которые делают его более удобным для каждого пользователя, но у Вас есть возможность управлять доступом к своим cookie-файлам с помощью настроек Вашего браузера. Также мы используем системы веб-аналитики Google Analytics и Яндекс.Метрика, которые могут собирать данные посетителей сайта. Посещая страницы сайта, вы соглашаетесь с нашим Пользовательским соглашением и нашей Политикой в отношении обработки персональных данных.