Rambler's Top100
 
Статьи
Дмитрий Казаков  23 июля 2018

Безопасность как иммунная система ЦОДа

Не стоит надеяться, что внешний периметр защитит дата-центр от атак злоумышленников. Информационную безопасность надо строить исходя из понимания, что враг уже внутри.

Дмитрий Козаков

Обеспечение безопасности ЦОДа – задача комплексная. Нужна интегрированная архитектура безопасности как для традиционных, так и программно определяемых ЦОДов с прозрачной авторизацией, назначением ролей и отслеживанием ролевого доступа на всем пути трафика от порта пользователя до ресурсов, в том числе и с автоматической сегментацией внутри конкретного уровня приложений.

Первый этап построения современной архитектуры системы информационной безопасности ЦОДа – развертывание системы макросегментации на уровне межсетевого экрана с функциями выявления и нейтрализации вредоносного кода, контроля  приложений,  возможностью импорта технологии проактивной защиты Threat Intelligence, использованием встроенного функционала IPS, предназначенного для предотвращения вторжений c автоматической подстройкой сигнатурного набора под параметры защищаемого окружения.

Если канал интернет идет напрямую в ЦОД, то для него также используются репутационные фильтры по IP-адресам и доменам, инспектирование DNS-трафика и URL-фильтрация.

Если пять лет назад ограничивались макросегментацией ЦОДов, выделением сегментов под различные функциональные направления и ветки бизнеса, то сейчас ввиду усложнения предпринимаемых атак все чаще используют микросегментацию, причем не обычную статическую, а автоматизированную, с использованием открытых API для программирования централизованной программно задаваемой сегментации.

Микросегментацию реализуют на базе виртуальных межсетевых экранов или путем маркирования метками трафика групп (ролей пользователей или сервисов), определенных политиками доступа. Использование списков контроля доступа на основании меток, не зависящих от виртуальных топологий и  IP-адресов, позволяет значительно упростить работу администраторов. Для жесткого разделения между сегментами и приложениями могут использоваться и атрибуты виртуальных машин.

ЦОД – живой организм, в котором все время что-то меняется. Создаются новые сети, поднимаются и удаляются виртуальные сервера, меняется их конфигурация. Вручную обеспечить безопасность такой динамичной среды невозможно либо крайне трудоемко, поэтому все процессы микросегментации и применения политик доступа должны быть максимально автоматизированы.

Следующий уровень защиты – выявление аномалий внутри сегментов и между ними. Анализируются шаблоны поведения трафика, которые могут свидетельствовать о наличии вредоносной составляющей, такие как сканирование сети, попытки DDoS-атак, скачивание данных, например путем нарезки файлов базы данных и вывода их децентрализованно в течение длинных промежутков времени периодически появляющимися сессиями.

Внутри ЦОДа проходят гигантские объемы трафика, так что для выявления аномалий нужно использовать продвинутые алгоритмы поиска, причем без пакетного анализа. Например, на базе предоставляющего возможность анализа сетевого трафика на уровне сеансов открытого протокола Netflow. Невзламываемых систем нет. Нельзя работать только на предотвращение угроз. В ЦОДе должна быть система, интегрирующая компоненты обнаружения и блокировки противоправных действий, включающая средства и методы быстрого расследования инцидента, анализа масштаба угроз и выявления вектора атаки.

Последний рубеж – защита оконечных устройств (endpoint) локальной сети: серверов и виртуальных машин. Один из наиболее эффективных подходов предусматривает установку на такие устройства специальных агентов. Причем они кардинально отличаются от классических антивирусных решений. Последние обрабатывают огромное количество сигнатур, причем даже не все (имеющиеся в базах миллионы сигнатур обработать невозможно – перестанет работать устройство), а только самых релевантные. Современные агенты анализирует операции ввода-вывода, удаления, копирования, перемещения, активности обращения к памяти и сетевые активности, а затем передают данные в облако, где и проводятся требующие больших вычислительных мощностей расчеты. Там производится анализ с помощью алгоритмов Big Data, строятся деревья машинной логики. Например, в центры компетенции Cisco Talos данные собираются с глобальной сети сенсоров – анализ проводится в ЦОДах в США, Европе и африкано-азиатском регионе, что дает возможность обучать модели более эффективно.

Дмитрий Казаков, системный инженер-консультант в области кибербезопасности, Cisco

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!