Почему представление о безопасности в ЦОДах должно измениться
Системы защиты, устроенные по принципу тех, что служили
для безопасности обитателей средневековых замков с рвом вокруг стен, не
смогут справляться с возложенными на них задачами в современных динамичных
центрах обработки данных. Тревор Диринг, руководитель Департамента
маркетинга направления «Центры обработки данных» компании Juniper Networks в
регионе EMEA, полагает, что организации должны думать о защите своих центров
обработки данных, больше похожей на применяемых в отелях, нацеленных на то,
чтобы обеспечить безопасность каждой комнаты по отдельности. Если этого не
произойдет, предупреждает он, мы не получим всех преимуществ виртуализации.
Когда-то система безопасности в центрах обработки данных была простой,
похожей на охрану средневекового замка. Замок, в котором жили его обитатели,
окружался рвом с водой,а попасть внутрь можно было только по подъемному
мосту. И в ЦОД ранее применялись схожие централизованные инструменты
контроля доступа. Такая конструкция исправно работала, потому что
приложения, вычислительные ресурсы и сети, были тесно связаны между собой и
физически разделены. Но теперь такой способ охраны безнадежно устарел.
Виртуализация центров обработки данных, распределенные приложения и передача
трафика хранения по сети IP привели к кардинальным изменениям в обеспечении
безопасности ЦОД, а разрушительные действия киберпреступников стали более
изощрёнными. Так что же следует делать в сложившихся условиях?
1. Рост виртуализации
Распространение виртуализации умножит все возможные риски безопасности, если
организации не будут осторожны. Причина этого проста. С ростом виртуализации
исчезает прозрачность и усложняется контроль трафика между виртуальными
машинами, потому что традиционные инструменты не смогут их различать.
Чтобы противостоять этому, многие организации устанавливают виртуальные
межсетевые экраны для проверки сетевых пакетов и вводят регламенты. Но
правильное решение не такое простое, как кажется на первый взгляд. Не всегда
применение виртуальных межсетевых экранов означает лишь пользу. Некоторые
решения влекут за собой значительное снижение производительности, что сведет
на нет многие преимущества виртуализации.
Кроме того, политика безопасности может препятствовать организации в полной
мере воспользоваться преимуществами виртуализации. Например, определенная
выгода может быть достигнута благодаря технологии динамической миграции.
Однако существует реальная опасность при перемещении виртуальной машины на
другой физический сервер, если у вас нет инструментов, которые бы передавали
одновременно базу правил и связанные с ней таблицы соединений.
2. Распределенные приложения
Лего-подобные приложения, построенные на повторном использовании элементов,
все чаще используются в современных центрах обработки данных. Они
значительно ускоряют процессы, но при введении ограничений доступа этот
эффект снижается в связи с распределенной иерархией в одной пользовательской
сессии и большого количества TCP-соединений на одно взаимодействие с
клиентом.
Для обеспечения только разрешенного доступа, предоставлямого к каждому
элементу приложения, организации должны переосмыслить свою стратегию
безопасности. Определение прав доступа на основе IP-адресов не подходит в
виртуализированной среде, поскольку они становятся по своей природе
динамичными. Все это входит в противоречие с требованиями безопасности,
которые предъявляют организации. Компании должны ввести в действие такие
решения сетевой безопасности, которые могут соблюдать согласованные политики
в области идентификации и ролевого администрирования для этих чрезвычайно
распределенных сред.
3. Рост хранения данных по IP
Технологии хранения данных также меняются. Новые высококласнные системы
хранения данных через Ethernet обеспечивают гораздо более динамичную среду
для виртуализированных центров обработки данных, но с ними связано и больше
рисков. Критические данные, которые недоступны или, что еще хуже,
повреждены, могут создать на предприятии форс-мажорную ситуацию, так что
решения по обеспечению безопасности должны защищать от отказа в обслуживании
и других вредоносных атак.
А как насчет данных в процессе передачи? Производители могут поставлять
инструменты для обеспечения безопасности хранимых критических и
некритических данных, но они не спасут данные, передаваемые по сети. Системы
безопасности должны не только защищать целостность данных,
конфиденциальность и доступность сетевого трафика, содержащего видео и
цифровую информацию. Они также должны иметь возможность проверки, контроля и
управления различных объемов трафика в кратчайшие сроки, поскольку
производительность не должна ухудшаться.
4. Больше внешних угроз
Мобильные трудовые ресурсы с новыми инструментами для совместной работы
обеспечивают большую производительность труда и улучшение качества
обслуживания клиентов во многих организациях. Беда в том, что сочетание
«облачных» вычислений, выполняемых в браузере, мобильных платформ для
обработки данных и социальных сетей также приводит к развитию нового
поколения угроз – высокоорганизованных ботнетов, которые открывают обратный
канал конфиденциальным данным.
Киберпреступники атакуют на нескольких фронтах, и традиционные меры
безопасности просто не могут их сдерживать. Организации должны быть в
состоянии осуществить последовательный набор технологий безопасности во всем
центре обработки данных, устраняя потенциальные уязвимости, возникающие
из-за лоскутного одеяла из технологий.
Для нынешних создателей ЦОД есть тяжелая работенка. С одной стороны, их
видят героями, которые используя виртуализацию и другие технологические
достижения, выжимают ресурсы, сокращая расходы на них и повышая
эффективность их использования. С другой стороны, соображения безопасности
ограничивают их действия. Как они могут разрешить подобную дилемму?
Вместо того, чтобы строить замки, они должны научиться воздвигать гостиницы
или мотели. Конечно, общая охрана этих «зданий» должна быть также
обеспечена, но внутри администраторы должны иметь возможность обеспечивать
безопасность в каждой комнате самостоятельно и легко определять, управлять и
контролировать, кому предоставить доступ. В Juniper мы создаем такие
аппаратные и программные средства, которые обеспечивают вирутальную
сепарацию, а также многоуровневые системы безопасности, которые позволят
сделать это эффективно.
http://www.bezpeka.com/ru/news/2012/03/29/datacenter-security-should-be-changed.html