Дата-центры: 
есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов, которые связаны с ЦОДами, эксперты объясняют развитием облачных технологий и возможностями искусственного интеллекта. По их прогнозам, спрос на центры обработки данных будет только расти в ближайшие годы. И это внушает оптимизм.
Но, как всегда, у медали есть две стороны. Насколько безопасно размещение данных в ЦОД сегодня? Особенно, если речь идет, например, о критической информационной инфраструктуре (КИИ)?

Вопросы экспертам:
1. Как предотвратить утечки данных в дата-центрах?
2. Какие меры необходимо для этого внедрить?
3. Как усилить безопасность ПО?
4. Каких специалистов нанимать для работы в дата-центрах? 

Алексей Морозков,
руководитель группы Центра управления кибербезопасностью ICL Services

«Дата-центры достаточно серьезно относятся к вопросам обеспечения кибербезопасности и защиты данных, и уже на этапе проектирования дата-центров выстраивают эшелонированные системы защиты»

1. Безусловно, как и в любых других ИТ-средах, инфраструктурах и организациях угрозы утечки данных в ЦОД всегда существуют. И в целом факторы риска плюс-минус аналогичные: это все аспекты физического несанкционированного доступа к помещениям и оборудованию дата-центров, таргетированные хакерские кибератаки, это и человеческий фактор, связанный с действиями персонала, как случайными, так и преднамеренными, это и аспекты, связанные с ошибками конфигурации оборудования, серверов и систем защиты, а также отсутствие эффективных процессов мониторинга угроз и управления уязвимостями ПО, как в техническом, так и в организационном плане, что, в свою очередь конечно, же повышает риски утечки данных.

Тут важно ответить, что все-таки дата-центры, помимо своей ключевой задачи – обеспечивать надежную, отказоустойчивую среду для бесперебойной работы серверного, сетевого и другого оборудования, достаточно серьезно относятся к вопросам обеспечения кибербезопасности и защиты данных, и уже на этапе проектирования дата-центров выстраивают эшелонированные системы защиты.

2-3. Мы рекомендуем использовать комплексный подход к обеспечению защиты:

• серьезно ограничить физический доступ к дата-центру, используя современные технологии в области биометрической аутентификации, видеонаблюдения и систем контроля доступа,
• обеспечить сетевую безопасность на всех уровнях (IPS, IDS, VPNы),
• использовать сегментацию сетей, более того, в обязательном порядке осуществлять постоянный мониторинг и анализ сетевого траффика, с точки зрения защиты данных использовать шифрование,
• серьезно подойти к вопросам резервного копирования данных в отдельные изолированные сегменты сети,
• использовать мультифакторную аутентификацию, системы контроля привилегированных пользователей и регулярный аудит прав доступа в системы, в том числе используя DCAP-системы.
• будет хорошим подходом соблюдение баланса между «Zero Trust» принципом и эффективностью ИТ-процессов дата-центра, по максимуму закрыть все возможные векторы атак, соответствующими СЗИ (желательно с целой экосистемой продуктов ИБ).

Ну, и конечно же наличие команды/сервиса SOC, который будет вести круглосуточный мониторинг угроз и оперативно реагировать на возникающие инциденты ИБ.

С точки зрения дополнительных мер, которые мы бы обязательно рекомендовали, это проведение так называемых тестов на проникновение -независимыми поставщиками таких услуг. Фактически необходимо использовать «имитацию» кибератак / социальной инженерии, чтобы выявить уязвимые места в периметре защиты дата-центра, а также проводить внутренние/внешние аудиты технических и организационных мер, на соответствие современным стандартам и практикам в области ИБ

4. Исходя из ответов выше, мы бы рекомендовали нанимать инженеров по ИБ, которые будут работать с администрированием средств защиты, причем эти специалисты должны быть с хорошим опытом в сетевой безопасности. Для SOC – это, конечно же, аналитики по ИБ, которые будут мониторить всю инфраструктуру дата-центра и молниеносно реагировать на потенциальные инциденты ИБ.

Ну, и конечно же менеджер по информационной безопасности, так сказать главный методолог, процессник и «дирижёр» выстраиваемой системы управления информационной безопасности дата-центра, который будет оценивать эффективность всех процессов ИБ, используемых мер и средств защиты, а также на регулярной основе проводить управление рисками ИБ и аудиты.

Антон Баланов,
топ-менеджер и профессор – почётный доктор наук. Советник по экономике и социологии РАЕН

«Помимо мер по защите физической и логической инфраструктуры дата-центров, крайне важно уделять внимание безопасности программного обеспечения. Ведь уязвимости в ПО могут стать «ахиллесовой пятой» всей системы»

В современном мире, где практически вся информация хранится в цифровом виде, вопрос безопасности данных становится все более актуальным. Дата-центры, являющиеся основой инфраструктуры многих организаций, действительно подвержены рискам утечки информации. И это вполне оправданные опасения.

Представьте себе огромные серверные залы, забитые мощными машинами, которые хранят сотни терабайт конфиденциальных данных – от персональной информации клиентов до коммерческих тайн компаний. Ведь в дата-центрах сосредоточен интеллектуальный и финансовый капитал целых отраслей. Неудивительно, что злоумышленники всех мастей, от хакеров-одиночек до организованных преступных групп, мечтают добраться до этих «сокровищниц».

Угрозы могут исходить как извне, так и изнутри. Внешние атаки чаще направлены на взлом систем защиты, внедрение вредоносного ПО или кражу учетных данных. А инсайдеры, наоборот, могут использовать свои полномочия и доступ к информации в корыстных целях. Причем последний вариант зачастую оказывается наиболее опасным, ведь атаки изнутри гораздо сложнее обнаружить и предотвратить.

Примеры утечек данных из дата-центров, к сожалению, нередки. Вспомним громкий скандал с компанией Equifax в 2017 году, когда хакеры похитили персональные данные почти 150 миллионов человек. Или кибератаку на американскую розничную сеть Target в 2013-м, в результате которой были украдены данные 40 миллионов держателей кредитных карт.

К сожалению, проблема утечек данных актуальна и для российских реалий.

Поэтому очевидно, что обеспечение безопасности дата-центров – задача первостепенной важности. И здесь на первый план выходят специалисты в области информационной безопасности.

Их основные задачи:

• Проведение аудита и оценки рисков информационной безопасности.
• Разработка и внедрение политик, регламентов и технических мер защиты.
• Мониторинг и выявление потенциальных угроз.
• Оперативное расследование и реагирование на инциденты.
• Обучение персонала правилам информационной гигиены.

Причем речь идет не об узких специалистах, а о целом спектре профессионалов разного профиля:

• Системные аналитики, которые изучают архитектуру IT-систем и выявляют уязвимости.
• Специалисты по защите от вредоносных программ, отслеживающие новые виды угроз.
• Эксперты по криптографии, обеспечивающие надежное шифрование данных.
• Специалисты по управлению доступом, настраивающие права пользователей;
• Специалисты по обеспечению непрерывности бизнеса, разрабатывающие планы действий в чрезвычайных ситуациях.

Все они должны работать сообща, чтобы создать многоуровневую систему защиты, способную противостоять самым мощным атакам.

Чтобы обезопасить дата-центры от утечек, необходимо внедрять целый комплекс мер. Вот некоторые из них:

1. Физическая безопасность. Ограничение доступа в серверные помещения, установка систем видеонаблюдения, организация охраны – проникновение злоумышленников должно быть физически невозможным.
2. Строгая идентификация и аутентификация пользователей, мониторинг действий помогает отследить и пресечь несанкционированный доступ к данным.
3. Шифрование. Применение современных криптографических алгоритмов для защиты информации «в покое» (на серверах) и «в движении» (при передаче по сетям) минимизирует ущерб от кражи данных.
4. Резервное копирование на отдельные носители, хранение резервных копий в защищенных местах и возможность быстрого восстановления информации позволяют снизить последствия успешных атак.
5. Развертывание систем мониторинга, сбора и анализа событий информационной безопасности дает возможность своевременно обнаруживать подозрительную активность и реагировать на инциденты.
6. Регулярное сканирование систем на предмет известных уязвимостей, установка обновлений и исправлений, тестирование на проникновение помогают закрывать бреши в защите.
7. Обучение сотрудников правилам информационной безопасности, в том числе распознаванию фишинговых атак и социальной инженерии, значительно снижает риски инсайдерских утечек.

Разумеется, этот перечень не является исчерпывающим. Защита дата-центров от утечек данных – это постоянный процесс, требующий применения передовых технологий, отлаженных бизнес-процессов и высокой квалификации персонала.

Помимо мер по защите физической и логической инфраструктуры дата-центров, крайне важно уделять внимание безопасности программного обеспечения. Ведь уязвимости в ПО могут стать «ахиллесовой пятой» всей системы.

Повысить безопасность ПО можно следующими способами:

1. Внедрение процессов безопасной разработки.
2. Применение статического и динамического анализа кода.
3. Регулярное обновление и патчинг.
4. Верификация и аудит безопасности.
5. Использование безопасных библиотек и фреймворков.

Только комплексный подход с участием высококвалифицированных экспертов позволит создать надёжную систему защиты дата-центров и минимизировать риски утечек данных.

Дмитрий Овчинников,
руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис»

«Ключевым моментом в защите данных является правильно настроенный доступ, минимизация поверхности атаки, а также регулярный аудит принятых мер»

В любом месте, где хранятся данные, есть риск их утечки. Дата-центр – это просто защищенное место, где компания арендует серверные мощности (IaaS), готовую виртуальную машину (PaaS) или приложение как сервис (SaaS). Это три модели использования облачных технологий: IaaS, PaaS и SaaS.

Несмотря на то, что дата-центры всегда хорошо защищены, для защиты своих данных необходимо предпринять ряд мер.

SaaS – так как приложение предоставляется как услуга, то у владельца данных есть только один способ защиты своих данных – правильно настроить доступ к приложению, с разграничением прав пользователей и администраторов.

PaaS – к разграничению доступа к самим данным, еще добавляется разграничение удаленного подключения. Тут необходимо использовать сертификаты для администраторов и определить IP-адреса, с которых можно будет производить удаленное подключение. Также необходимо минимизировать и определить сетевое взаимодействие между разными машинами, расположенными в облаке. Защита ОС – находится во власти облачного провайдера.

IaaS – тут уже работы намного больше. Кроме вышеперечисленных мер, еще необходимо озаботиться защитой самой ОС. Установить EDR или антивирус, установить только минимальный набор ПО и пакетов, регулярно обновлять ОС, а главное – правильно ее настроить, то есть произвести hardering.

Со всеми этими базовыми методами защиты должен справиться специалист по информационной безопасности. Ключевым моментом в защите данных является правильно настроенный доступ, минимизация поверхности атаки, а также регулярный аудит принятых мер.

Но обычно мощности в облаке арендуются для публикации своих собственных приложений и вот тут необходимо приглашать специалистов по AppSec, то есть специалистов по безопасной разработке, которые знают, что такое ИБ, и одновременно умеют писать ПО.

Таких специалистов мало, стоят они дорого, поэтому для тестирования своего ПО можно применять статистические (SAST) и динамические анализаторы кода (DAST). Они есть как бесплатные, так и платные. Естественно, у платных версий больше функционала и стабильнее работа. SAST и DAST можно легко интегрировать в пайплайны CI/CD и практически полностью автоматизировать путь сборки, тестирования и доставки ПО из репозитория до его публикации.

Максим Захаренко,
СЕО облачного сервиса Облакотека

«Риск в какой-то степени есть всегда – это надо помнить. Но этот риск можно существенно снизить»

Мы, как облачный провайдер со своими собственными дата-центрами, имеем большой опыт в этой обеспечения безопасности в ЦОДах. Рассказываю подробности в комментарии.

Да, риск утечки данных из дата-центров действительно есть. Причинами могут быть хакерские атаки снаружи или внутренние факторы – ошибки сотрудников или технические сбои, другие обстоятельства, непреодолимые и не зависящие от вас. Риск в какой-то степени есть всегда – это надо помнить. Но этот риск можно существенно снизить.

Поскольку факторов риска очень много, то и внедрять лучше сразу целый комплекс мер по защите. Как пример – разделять сети и изолировать разные среды. Ограничить доступ к критическим системам технологическими решениями типа VLAN, файрволлов и систем предотвращения вторжений (IPS).

Многофакторная аутентификация тоже снизит вероятность того, что кто-то получит доступ к учётным записям.

Шифрование данных, например, по современным протоколам AES-256 для хранения и TLS 1.3 для передачи, тоже защитит информацию – даже если кто-то вдруг получит доступ к физическим носителям.

Отдельная история – с системами обнаружения и реагирования на инциденты безопасности (SIEM, SOC). Важная мера по предотвращению утечек: мониторинг в реальном времени позволяет следить за событиями и быстро реагировать на подозрительные активности в моменте.

Соблюдение фактически «технической гигиены» также играет роль: регулярное управление уязвимостями и обновление программного обеспечения предотвратит образование “дыр” в безопасности. В эту же категорию отнесем регулярные бэкапы и планы восстановления – если что-то всё-таки произошло, это позволит не потерять данные полностью.

Безопасность программного обеспечения тоже играет большую роль. Интеграция практик безопасности в процесс разработки (DevSecOps) находит и исправляет уязвимости на ранних этапах. Использование инструментов для статического и динамического анализа кода (SAST и DAST) автоматизирует поиск слабых мест. Регулярные пентесты (тесты на проникновение) позволяют найти слабые места до того, как их обнаружат хакеры.

Всё это невозможно без квалифицированных специалистов. Рекомендуется нанимать инженеров по кибербезопасности, которые будут разрабатывать и внедрять комплексные меры защиты. DevSecOps-инженеры объединяют безопасность с процессами разработки и эксплуатации. Аналитики по информационной безопасности следят за угрозами, анализируют риски и управляют инцидентами. Пентестеры проверяют системы на уязвимости, чтобы затем их устранить.

Сергей Саблин,
менеджер по развитию бизнеса компании Axoft

«Особое внимание я бы уделил разработке плана реагирования на инциденты. Разработка плана действий на случай киберинцидента и его тестирование увеличат скорость реагирования на утечки данных»

1. Основные риски связаны с кибератаками, несанкционированным доступом, внутренними угрозами и недостаточной защищенностью систем. Утечка данных может произойти по разным причинам. От таргетированной атаки злоумышленников до инсайдерских действий сотрудников внутри организации.

Чтобы минимизировать риски компании должны соблюдать законодательство о защите персональных данных, следить за изменениями в нормативной базе, внедрять современные технологии для защиты информации и проводить регулярные ИТ-аудиты.

Я рекомендую выстроить систему безопасности на различных уровнях. На уровне физической безопасности необходимо ограничить доступ к дата-центрам, использовать интеллектуальное видеонаблюдение, внедрить систему биометрии.

Информационная безопасность подразумевает внедрение многофакторной аутентификации, шифрование данных как в состоянии покоя, так и в передаче.

Регулярные тренинги по кибербезопасности для сотрудников, чтобы они научились распознавать фишинг и другие угрозы, минимизируют риск внутренних киберугроз. Угроза может появиться с любой стороны, не пренебрегайте инструментами защиты и соблюдайте требования регуляторов.

2. Особое внимание я бы уделил разработке плана реагирования на инциденты. Разработка плана действий на случай киберинцидента и его тестирование увеличат скорость реагирования на утечки данных.

Создайте многоуровневую защиту с использованием различных классов ИБ-решений, таких как: MFA, PAM, DLP, DCAP и решений сетевой безопасности, таких как: NGFW, NDR, Anti DDoS, WAF. Используйте микросегментацию сети.

Используйте системы обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга сетевого трафика и выявления подозрительной активности.

3. Я расскажу про четыре самых действенных, на мой взгляд, способа усилить безопасность ПО.

Первый способ. Регулярно обновляйте компоненты ПО для устранения уязвимостей. Используйте только лицензионное ПО, проводите его инвентаризацию на регулярной основе.

Второй способ. Регулярно проводите обучение по безопасному программированию для разработчиков, чтобы повысить их осведомленность о лучших практиках безопасности.

Третий способ. Проводите регулярные пентесты для оценки устойчивости ПО к реальным атакам и выявляйте слабые места.

Четвертый способ. Используйте контейнеризацию и виртуализацию для изоляции различных компонентов системы, чтобы уменьшить риск распространения угроз.

4. Чтобы создать эффективную систему защиты данных в дата-центрах вам потребуется пять специалистов.

Специалист по кибербезопасности: отвечает за разработку и внедрение стратегий защиты информации, мониторинг угроз и реагирование на инциденты.

Администратор сети: обеспечивает безопасность сетевой инфраструктуры, настраивает систему защиты и отслеживает трафик.

Специалист по управлению доступом: отвечает за контроль прав доступа к данным и системам, обеспечивает использование многофакторной аутентификации.

Инженер по защите данных: занимается шифрованием данных и реализацией резервного копирования, а также восстановлением данных в случае утечек.

Аудитор безопасности: проводит регулярные проверки и аудиты безопасности, чтобы выявлять уязвимости и рекомендовать меры по их устранению.

Андрей Поцелуев,
архитектор решений по информационной безопасности компании Тринити

«Не используйте «пиратское» ПО, различные генераторы ключей и тому подобное»

1. Предотвращение утечек требует применения комплексного подхода к проблеме, анализа исходных данных, подбора решения и его грамотного внедрения. При отсутствии достаточного количества собственных специалистов целесообразно обратиться к интегратору.

2. Необходимо предпринять следующие меры.

• Обеспечить разделение данных, разграничение доступа.
• Категорировать данные в соответствии с их критичностью.
• При хранении данных в дата-центрах возможно использовать шифрование. Для критичных данных возможно использование систем предотвращения утечек – DLP.

3. Повысить безопасность используемого ПО возможно следующими способами.

• Устанавливать ПО только проверенных производителей, из доверенных источников.
• Не использовать «пиратское» ПО, различные генераторы ключей и тому подобное.
• При необходимости внедрения ПО с открытым исходным кодом в критически важных сегментах необходимо привлечь компанию-подрядчика для анализа кода на наличие уязвимостей с использованием специализированного ПО и соответствующих специалистов.

4. Для компаний малого и среднего бизнеса целесообразно нанимать широкопрофильных специалистов по информационной безопасности, возложив на них задачи мониторинга и реагирования на инциденты. При этом, вопросы аудита, проектирования и внедрения целесообразно отдать профильным организациям, имеющим достаточный опыт и штат сотрудников для проведения таких работ.

Никита Выходцев,
архитектор, основатель архитектурной мастерской «Арканика»

«Для обеспечения высокого уровня надежности и отказоустойчивости необходимо дублирование всех критически важных инженерных систем»

При создании ЦОДов необходимо учитывать множество факторов, включая выбор площадки, проектирование инженерных систем, соблюдение нормативов и обеспечение безопасности. Каждый из этих аспектов критически важен для создания эффективного ИТ-актива компании. Необходимо грамотно планировать взаимодействие всех функциональных блоков, включая административные помещения, инженерные узлы, склады и парковки, чтобы обеспечить гармоничное сочетание инженерных решений, технологий и планировки.

Когда наша архитектурная мастерская «Арканика» проектировала дата-центр для технопарка «Алкон Север», мы столкнулись с множеством задач. Например, необходимо было создать целостный архитектурный образ, оптимально расположить функциональные блоки – от серверных до парковки. Также все решения нужно было адаптировать под жесткие требования стандарта Tier 4, гарантирующего высочайшую надежность дата-центра.

Для обеспечения высокого уровня надежности и отказоустойчивости необходимо дублирование всех критически важных инженерных систем. Это включает бесперебойное электроснабжение, многоуровневые системы безопасности, резервирование ИТ-систем и вспомогательного оборудования, такого как приточная вентиляция с резервом «одна рабочая плюс одна запасная».

Также необходимо предусмотреть автономные дизельные генераторы для экстренного отключения электричества и предпринять усиленные меры пожарной безопасности, чтобы минимизировать риски.

Гибкий дизайн ЦОДа важен для адаптации к изменяющимся технологическим и бизнес-требованиям. Это позволяет легко интегрировать новые технологии и расширять возможности ЦОДа по мере роста потребностей. Такой подход позволяет не только решать задачи текущих проектов, но и готовиться к будущим изменениям.

В России проектирование ЦОДов сталкивается с необходимостью соответствия местным строительным нормам и международным стандартам. Это требует разработки оптимальных планировочных решений, которые одновременно соответствуют и российским нормативам, и строгим международным требованиям к отказоустойчивости, зонированию и безопасности.

Важным аспектом также является архитектурная ценность объекта, особенно в таких мегаполисах, как Москва и Санкт-Петербург. Продуманный архитектурный проект, вписанный в городской ландшафт, с нестандартной геометрией фасадов, способствует более быстрому согласованию с городскими властями. Это позволяет сократить сроки реализации проекта и сэкономить средства на стадии разработки и строительства, повышая рентабельность.

Денис Чигин,
руководитель отдела технологической экспертизы Softline

«В штате должны быть специалисты с опытом работы в области аналитики данных в DLP-системах, так как они играют ключевую роль в выявлении потенциальных утечек информации и эффективном реагировании на инциденты»

1. Один из базовых способов предотвращения утечек данных – это ограничение доступа сотрудников дата-центров к клиентским данным. Персонал должен иметь доступ только к той информации, которая необходима для выполнения их служебных обязанностей. Также важно чётко разделять данные разных клиентов на всех уровнях. Эти меры создают необходимые барьеры и минимизируют риск несанкционированного доступа.

Провайдеры должны уделять особое внимание защите виртуализированной среды, в которой размещаются приложения и сервисы клиентов дата-центра. Регулярное сканирование уязвимостей активов, находящихся в зоне ответственности провайдера, является ключевым аспектом модели распределённой ответственности.

Важно, чтобы эта модель была чётко документирована, поскольку клиенты должны понимать, какие меры принимает провайдер для защиты инфраструктуры. Это позволит им эффективно планировать свои собственные меры безопасности.

С точки зрения клиента, подходы к защите данных не претерпевают существенных изменений: остаются актуальными такие принципы, как чёткое разделение прав доступа, наличие DLP-системы, постоянный мониторинг событий информационной безопасности и использование многофакторной аутентификации (MFA) для доступа к корпоративным ресурсам.

4. В штате должны быть специалисты с опытом работы в области аналитики данных в DLP-системах, так как они играют ключевую роль в выявлении потенциальных утечек информации и эффективном реагировании на инциденты.

Однако стоит отметить, что многие команды могут успешно справляться с этими задачами и без прямого опыта работы с DLP-системами. Это возможно благодаря применению универсальных методов и инструментов, а также постоянному обучению в области информационной безопасности, что позволяет им адаптироваться к меняющимся условиям и вызовам.

Ключевые слова: дата-центры, ЦОД, утечка данных, информационная безопасность, ИТ-кадры.

Комментарии могут оставлять только зарегистрированные пользователи