داده ها کالایی هستند که برای مدیریت صحیح آنها به یک استراتژی امنیتی فعال در دیتاسنتر نیاز دارند. یک نقض واحد در سیستم باعث بروز حادثه در یک شرکت می شود و اثراتی طولانی مدت خواهد داشت.
نفوذ به دیتاسنتر مورد اعتماد اغلب بیشتر اتفاق می افتد. عموم مردم متوجه موفقیت اخبار مربوط به حملات APT(Advanced Persistent Threat) یا تهدید مداوم پیشرفته می شوند.
برای جلوگیری از این روند، ارائه دهندگان خدمات باید از یک مدل اعتماد صفر(Zero Trust) استفاده کنند. از ساختار فیزیکی گرفته تا قفسه های شبکه، هر جزء باید با در نظر گرفتن این موضوع طراحی شود.
معماری اعتماد صفر
مدل اعتماد صفر هر تراکنش، حرکت یا تکرار داده ها را مشکوک تلقی می کند. این یکی از جدیدترین روش های تشخیص تست نفوذ است.
سیستم، رفتار شبکه را ردیابی میکند و از یک مرکز فرمان در زمان واقعی جریان می یابد. این برنامه، هر کسی که داده ها را از سیستم استخراج کند بررسی می کند و به پرسنل هشدار داده یا اعتبارات را منقضی می کند. زیرا یک ناهنجاری تشخیص داده شده است.
مطلب مرتبط : امنیت شبکه Zero Trust چیست و چه اصولی دارد؟
لایه های امنیتی و افزونگی دیتا سنترها
حفظ امنیت داده های شما نیاز به کنترل های امنیتی دارد و سیستم، لایه به لایه ساختار یک دیتاسنتر، از خود ساختمان فیزیکی تا سیستم های نرم افزاری و پرسنل درگیر در کارهای روزانه را بررسی می کند.
می توانید لایه ها را به صورت فیزیکی یا دیجیتالی جدا کنید.
استانداردهای امنیت فیزیکی دیتاسنتر
ارزیابی اینکه آیا دیتاسنتر ایمن است با مکان شروع می شود.
طراحی دیتاسنتر مورد اعتماد موارد زیر را در نظر خواهد گرفت:
فعالیت زمین شناسی منطقه
صنایع پر خطر در منطقه
هرگونه خطر سیل
سایر خطرات ناشی از وضعیت های اضطراری
با داشتن موانع اضافی در طراحی فیزیکی می توانید از بروز برخی خطرات بالا جلوگیری کنید. به دلیل اثرات مضر، این رویدادها بر عملکرد دیتاسنتر تاثیر می گذارد. بنابراین، بهتر است به طور کلی از آنها اجتناب شود.
ساختمان ها، ساختارها و سیستم های پشتیبانی دیتاسنتر
طراحی ساختارهایی که دیتاسنتر را تشکیل میدهند باید خطرات کنترل دسترسی را کاهش دهد. حصار در اطراف محیط، ضخامت و مصالح دیوارهای ساختمان و تعداد ورودی های آن، بر امنیت دیتاسنتر تاثیر می گذارد.
برخی از عوامل کلیدی عبارتند از:
ساختمان ها برای خدمات مخابراتی و برق به بیش از یک تامین کننده نیاز دارند.
سیستم های پشتیبان اضافی مانند UPS و ژنراتورها زیرساخت های حیاتی هستند.
استفاده از مانتراپ یا تله، که شامل داشتن یک قفل بین دو ورودی جداگانه است که احراز هویت برای دسترسی به هر دو ضروری می باشد.
رشد و توسعه در آینده را در همان محدوده در نظر بگیرید.
سیستم های پشتیبانی جداگانه از فضای سفید به پرسنل مجاز اجازه می دهد تا وظایف خود را انجام دهند. همچنین، از ورود بدون نظارت تکنسین های تعمیر و نگهداری جلوگیری می کند.
مطالب مرتبط :
امنیت شبکه چیست و چگونه کار می کند؟
سیستم مدیریت امنیت اطلاعات چیست و چه مزایایی دارد؟
کنترل دسترسی فیزیکی
کنترل حرکت بازدیدکنندگان و پرسنل در اطراف دیتاسنتر بسیار مهم است. اگر اسکنر های بیومتریک در همه درها دارید، نظارت کنید که چه کسی و چه زمانی به چه چیزی دسترسی داشته است. این امر به بررسی هرگونه نقض احتمالی در آینده کمک می کند.
در صورت بروز حادثه، مسیرهای تخلیه فقط باید به مردم اجازه خروج از ساختمان را بدهد. نباید هیچ دستگیرهای در فضای باز وجود داشته باشد تا از ورود مجدد جلوگیری شود. باز کردن هر درب ایمنی باید زنگ خطر را به صدا درآورد.
ایمنی سازی تمام نقاط پایانی
هر دستگاهی اعم از سرور، تبلت، تلفن هوشمند یا لپ تاپ متصل به شبکه دیتاسنتر نقطه پایانی محسوب می شود.
دیتاسنترها به مشتریانی که استانداردهای امنیتی آنها مشکوک باشد، فضای کوچکی می دهند. اگر مشتری سرور را به درستی محافظت نکند، ممکن است کل دیتاسنتر در معرض خطر قرار بگیرد. مهاجمان سعی می کنند از وسایل ناامن متصل به اینترنت استفاده کنند.
به عنوان مثال، اکثر مشتریان خواهان دسترسی از راه دور به واحد توزیع برق(PDU) هستند. بنابراین می توانند سرورهای خود را از راه دور مجدداً راه اندازی کنند. امنیت در چنین مواردی نگران کننده است. آگاهی و ایمن سازی کلیه دستگاه های متصل به اینترنت بر عهده ارائه دهندگان امکانات است.
حفظ گزارشات ویدیویی و ورود
همه گزارش ها، از جمله فیلم های نظارت تصویری و سوابق مربوط به ورود، باید حداقل سه ماه در پرونده نگهداری شود. برخی از تخلفات زمانی مشخص می شود که دیگر دیر شده است. اما سوابق به شناسایی سیستم های آسیب پذیر و نقاط ورود کمک می کند.
مراحل امنیتی استاندارد
داشتن یک روش های دقیق و مستند از اهمیت بالایی برخوردار است. چیزی ساده به عنوان یک فایل معمولی نیز باید به خوبی و با جزئیات مناسب برنامه ریزی شود. هیچ چیز را برای تفسیر باز نگذارید.
ارزیابی های امنیتی را به صورت منظم اجرا کنید
ارزیابی ها ممکن است از بررسی های امنیتی روزانه و بررسی های فیزیکی PCI و SOC متغیر باشد.
ارزیابی فیزیکی برای تایید مطابقت شرایط واقعی با داده های گزارش شده ضروری است.
لایه های امنیتی دیجیتالی در دیتاسنتر
همچنین تمام کنترل های فیزیکی، نرم افزارها و شبکه ها بقیه مدل های امنیتی و دسترسی را برای یک دیتاسنتر مورد اعتماد تشکیل می دهند.
لایه هایی از حفاظت دیجیتال وجود دارد که هدف آنها جلوگیری از دسترسی تهدیدات امنیتی است.
سیستم های تشخیص و پیشگیری از نفوذ
این سیستم تهدیدات مدام پیشرفته(APT) را بررسی می کند. تمرکز بر یافتن افرادی است که موفق به دسترسی به دیتاسنتر شدهاند. APT ها معمولاً تحت حمایت حملات قرار می گیرند و هکرها برای داده ها یی که جمع آوری کردهاند هدف خاصی را مدنظر دارند.
تشخیص این نوع حملات مستلزم نظارت لحظهای بر فعالیت شبکه و سیستم برای هرگونه رویداد غیر معمول است.
رویدادهای غیر معمول می تواند شامل موارد زیر باشد:
افزایش کاربران با دسترسی بالا به سیستم در مواقع عجیب
افزایش درخواست های سرویس که منجر به توزیع انکار سرویس(DDoS) شود.
ظاهر شدن مجموعه داده های بزرگ یا حرکت در کردن در اطراف سیستم
استخراج مجموعه داده های بزرگ از سیستم
افزایش تلاش های فیشینگ برای پرسنل مهم
برای مقابله با این نوع حملات، سیستم های تشخیص و پیشگیری از نفوذ(IDPS) از خطوط اولیه حالت های عادی سیستم استفاده می کنند. هرگونه فعالیت غیرطبیعی پاسخ می دهد. IDP اکنون از شبکه های عصبی مصنوعی یا فناوری یادگیری ماشینی برای یافتن این فعالیت ها استفاده می کند.
بهترین شیوه های امنیتی برای سیستم های مدیریت ساختمان
سیستم های مدیریت ساختمان(BMS) در راستای سایر فناوری های دیتاسنتر رشد کردهاند. آنها اکنون می توانند همه جنبه های سیستم ساختمان را مدیریت کنند. این شامل دسترسی، تهویه، سیستم های اعلام حریق و دمای محیط است.
یک BMS مدرن مجهز به بسیاری از دستگاه های متصل است. آنها داده ها را ارسال می کنند یا دستورالعمل هایی را از یک سیستم کنترل غیرمتمرکز دریافت می کنند. خود دستگاه ها و همچنین شبکه هایی که از آنها استفاده می کنند ممکن است خطرناک باشند. زیرا هر چیزی که دارای آدرس IP باشد قابل هک شدن است.
سیستم های مدیریت ساختمان ایمن
متخصصان امنیتی می دانند که ساده ترین راه برای حذف دیتاسنتر از نقشه، حمله به سیستم های مدیریت ساختمان است.
ممکن است تولید کننده هنگام طراحی این دستگاه ها امنیت را در نظر نگرفته باشد. بنابراین بروز رسانی ضروری است. اگر سیستم تهویه مناسب نباشد، می تواند صدها سرور را در صورت حمله سایبری از بین ببرد.
تقسیم بندی سیستم
تقسیم بندی سیستم های مدیریت ساختمان از شبکه اصلی دیگر امری اختیاری نیست. علاوه بر این، حتی با چنین اقدامات احتیاطی، مهاجمان می توانند راهی برای نقض شبکه داده اصلی پیدا کنند.
در زمان نفوذ به اطلاعات Target، سیستم مدیریت ساختمان در یک شبکه مجزا قرار داشت. با این حال، این مسئله فقط باعث کند شدن سرعت مهاجمان شد. زیرا در نهایت آنها از یک شبکه به شبکه دیگر پرش کردند.
این ما را به نقطه بحرانی دیگری می رساند، نظارت بر حرکت جانبی.
حرکت جانبی
حرکت جانبی، مجموعهای از تکنیک هایی است که مهاجمان برای جابجایی در دستگاه ها و شبکه ها و کسب دسترسی بالاتر استفاده می کنند. هنگامی که مهاجمان به سیستم نفوذ می کنند، همه دستگاه ها و برنامه ها را بررسی می کنند تا اجزای آسیب پذیر را شناسایی کنند.
اگر تهدید زود تشخیص داده نشود، ممکن است مهاجمان دسترسی بالایی بدست آورند و در نهایت فاجعه به وجود آورند. نظارت بر حرکت جانبی، زمان فعال شدن تهدیدهای امنیتی دیتاسنتر در داخل سیستم را محدود می کند.
حتی با وجود این کنترل های اضافی، هنوز هم ممکن است نقاط دسترسی ناشناختهای در BMS وجود داشته باشد.
ایمنی در سطح شبکه
افزایش استفاده از زیرساخت هی مجازی سطح جدیدی از چالش های امنیتی را ایجاد کرده است. بدین منظور، دیتاسنترها از رویکردی در سطح شبکه برای ایمنی استفاده می کنند.
رمزگذاری در سطح شبکه از رمزنگاری در لایه انتقال داده شبکه استفاده می کند که مسئول اتصال و مسیر یابی بین نقاط پایانی است. رمزگذاری در حین انتقال داده فعال است و این نوع رمزگذاری، مستقل از هرگونه رمزگذاری دیگری عمل کرده که آن را به یک ره حل مستقل تبدیل می کند.
تقسیم بندی شبکه
یک رویکرد خوب این است که ترافیک شبکه را در سطح نر افزار تقسیم کنید. این بدان معناست که همه ترافیک را براساس هویت نقطه پایانی به بخش های مختلف طبقه بندی کنیم. هر بخش از بقیه جدا شده است. بنابراین به عنوان یک زیر شبکه مستقل عمل می کند.
تقسیم بندی شبکه اجرای سیاست را ساده می کند. علاوه بر این، شامل هرگونه تهدید احتمالی در یک زیر شبکه واحد است که از حمله به دستگاه ها و شبکه های دیگر جلوگیری می کند.
فایروال های مجازی
اگرچه دیتاسنتر دارای یک فایروال فیزیکی به عنوان بخشی از سیستم امنیتی خود است، اما ممکن است برای مشتریان خود یک فایروال مجازی نیز داشته باشد. فایروال های مجازی فعالیت های بالادستی را خارج از شبکه فیزیکی دیتاسنتر مشاهده می کنند. این امر به یافتن زود هنگام تزریق بسته بدون استفاده از منابع ضروری فایروال کمک می کند.
فایروال های مجازی، می توانند بخشی از سیستم نظارتی باشند یا بر روی ماشین های مجازی سازی شده خود در حالت Bridge کار کنند.
راه حل های سنتی حفاظت از تهدید
راه حل های معروف حفاظت از تهدید عبارتند از:
شبکه های خصوصی مجازی و ارتباطات رمزگذاری شده
محتوا، بسته، شبکه، اسپم و فیلتر ویروس
آنالیزها و جداسازهای ترافیک یا NetFlow
ترکیب این فناوری ها به اطمینان از امنیت داده ها کمک می کند و در عین حال برای صاحبان آنها نیز در دسترس است.
استانداردهای امنیتی دیتاسنتر
روند ایمن سازی خدمات داده و استانداردسازی امنیت دیتاسنتر روندی وجود دارد. در حمایت از این امر، موسسه Uptime سیستم طبقه بندی سطوح را برای دیتاسنتر ها منتشر کرد.
سیستم طبقه بندی استانداردهایی را برای کنترل دیتاسنتر تعیین میکند که در دسترس بودن را تضمین می کند. از آنجا که امنیت می تواند بر زمان کار سیستم تاثیر بگذارد، بخشی از استاندارد طبقه بندی، سطح آنها را تشکیل می دهد.
چهار طبقه وجود دارد که توسط سیستم تعریف شده است. هر سطح نیازهای تجاری را تعیین می کند که بستگی به نوع دادهای که ذخیره و مدیریت می شود، دارد.
سطوح 1 و 2
سطوح 1 و 2 که به عنوان خدمات تاکتیکی دیده می شوند، تنها برخی از ویژگی امنیتی ذکر شده در این مقاله را خواهند داشت. آنها کم هزینه هستند و توسط شرکت هایی استفاده می شوند که می خواهند به صورت لحظهای به داده های خود دسترسی داشته باشند و به دلیل خرابی موقت سیستم از نظر مالی دچار مشکل نمی شوند.
آنها عمدتاً برای ذخیره داده های خارج از محل استفاده می شوند.
سطوح 3 و 4
این سطوح از امنیت بالاتری برخوردار هستند. آنها دارای افزونگی داخلی هستند که زمان کارکرد و دسترسی را تضمین می کند
این امکانات پردازش داده در زمان واقعی، بالاترین استاندارد های امنیتی را ارائه می دهد.
امنیت دیتاسنتر را جدی بگیرید
بیشتر شرکت ها حجم کار و خدمات مهم خود را به سرورهای میزبانی شده و زیرساخت رایانش ابری منتقل می کنند. دیتاسنترها، اهداف مهاجمان و هکرها هستند.
مطالب مرتبط :