10 способов защитить оборудование в вашем дата-центре
Обеспечение безопасности дата-центра может оказаться не самой простой задачей по ряду причин. Для начала, вы не можете в полной мере защитить то, что вы воочию не видите, а практически у всего есть возможность удаленного доступа и наличие IP-адреса для выхода в сеть. Зачастую безопасность переходит на второй план, вследствие чего сотни встроенного и низкоуровневого ПО остается уязвимым. Еще одна проблема связана с коммуникацией: она может как создать уязвимость системы, так и контролировать ее. Вопрос на повестке дня: как защитить Интернет вещей. Возможно отсутствие человеческого фактора в коммуникации между системами может быть более эффективным, но, как показывает практика, менее безопасным.
Шаг 1: Идентифицируйте и быстро устраняйте сбои системы Сбои системы создают уязвимость, поэтому важно предотвращать или быстро устранять системные ошибки. Системы управления могут мониторить сервера, а сервисные процессоры такие как iLo или DRAC, а также связанное с ними оборудование сообщат, когда падение уже будет неизбежно.
Шаг 2: Установите систему безопасности на весь ЦОД Планируя покупку любого оборудования, убедитесь в том, что вы учли фактор безопасности. Все в вашем дата-центре должно иметь «вшитые» меры защиты.
Шаг 3: Знайте о каждом входе и выходе Если у вас нет возможности контролировать все источники входа, то сгруппируйте их. Таким образом вы ограничите к ним доступ и снизите вероятность нарушения работы системы.
Шаг 4: У переключателей KVM должна быть своя система безопасности В предыдущей редакции защитного регламента Национального информационного страхового агентства США (NIAP, National Information Assurance Partnership) незащищенные переключатели KVM (от английских сокращений «keyboard», «video» и «mouse») могли быть усилены дополнительно устанавливаемым ПО и таким образом пройти оценку. На данный момент такое решение уже не приемлемо, поэтому меры безопасности должны быть изначально интегрированы в переключатели.
Шаг 5: Подумайте о коннективити между вашими устройствами Эти соединения могут и создавать уязвимость для системы, и контролировать ее. Важно установить на сервера оборудование с более защищенным ПО, чем предлагаемое по устаревшей спецификации IPMI (Intelligent Platform Management Interface).
Шаг 6: Поймите, что именно установлено в вашем ЦОДе Отслеживайте свои активы вручную или, что предпочтительно, с помощью системой управления инфраструктурой дата-центра (Data Center Infrastructure Management, DCIM). Это будет намного более надежным и предоставит более актуальные данные, нежели таблица xls.
Шаг 7: Найдите и закройте открытые порты Неизвестные открытые точки входа могут поставить под угрозу работу вашего дата-центра. Вы можете найти их самостоятельно, но намного более эффективно будет внедрить специальное мониторинговое ПО. Закройте ненужные порты.
Шаг 8: Необходимо централизованное управление точками доступа В свое время у вендорам были доступны идентификаторы для выхода в сеть, чем пользовались хакеры, в свою очередь, получая доступ не только к сети, но и к платежным системам. Чтобы этого не повторилось, лучшим решением сейчас является внедрение в ваши протоколы безопасности учетных записей с высокой степенью детализации.
Шаг 9: Разделите корпоративную сеть и защищенную сеть Изоляция сети может сыграть роль красной тряпки и привлечь излишнее внимание потенциальных взломщиков: ведь доступ полностью заблокирован. Изолируйте вашу сеть и ограничьте угрозы без ущерба для необходимого доступа или эксплуатации. Используйте сети с управлением по выделенному кабелю с постоянным доступом и без каких-либо лазеек.
Шаг 10: Оценивайте риски при смене оборудования Исследуйте рынок и вендоров прежде, чем покупать оборудование. Вендоры обычно требует доступ для установки и эксплуатации своей продукции. Задавайте конкретные вопросы касательно их протоколов безопасности. Следуют ли они международным стандартам и рекомендациям, чтобы заверить, что этот доступ в итоге не скажется на защищенности системы, да еще и без вашего ведома?
|