Безопасность в Internet- Intranet




Дата-центры и хостинг в Сети. Опасности и безопасность. - часть 3


Политика безопасности различна для разных организаций и систем. Как по разному выстраивается обеспечение безопасности жилого дома, магазина и атомной станции, точно так же по разному строится информационная безопасность хостинг-провайдера, корпоративной информационной системы и дата-центра.

Дата-центры, или Центры Обработки Данных, ЦОД - новое явление, вызванное развитием сети (а также развитием бизнеса в сети). Крупные компании, выходящие в Интернет, предъявляют свои требования, в первую очередь, касающиеся уровня оказания услуг и обеспечения безопасности. При этом большинство существующих хостинговых компаний ориентировано на другой сегмент рынка и имеет свою специфику. В большинстве своем они не готовы к решению подобных задач. Если вернуться к нашей метафоре, то жилые дома не предназначены для размещения промышленных площадок и банков, а тем более, атомных станций.

Хостинговые компании появились раньше дата-центров и в иной экономической ситуации (как в России, так и на Западе). У большинства таких компаний основная задача - предоставление недорогих и достаточно профессиональных услуг по размещению и поддержке веб-сайтов и несложных почтовых систем. Среди клиентов оказываются и частные лица, и небольшие компании, и бюджетные организации, и шоу-бизнес, и многие другие. Крупный корпоративный бизнес и организации, связанные с властью и управлением, как правило, не работает с хостинговыми компаниями именно в силу низкой защищенности и негарантированности уровня оказания услуг.

Задача снижения себестоимости во многом определяет структуру информационной системы "классического хостера". Как правило, используются "не-брендовые" серверы под управлением Linux или Free-BSD, веб-серверы Apache, базы данных MySQL и Postgress, и скрипты на Perl и PHP. Все это имеет плюс в виде бесплатности и минус в отсутствии нормальной технической поддержки от вендоров (впрочем, веб-серверы Apache действительно весьма надежны и удобны).

Надо отметить, что во многих случаях "классические" хостинг-провайдеры не имеют собственного активного сетевого оборудования и собственных каналов связи, используя инфраструктуру провайдера. С одной стороны, это позволяет значительно снизить цену на услуги, с другой - лишает возможностей контроля и значительно ограничивает возможный уровень обеспечения безопасности.

В целом, общий уровень защиты у среднего хостера адекватен цене размещаемой информации и возможным угрозам. Политика безопасности, как правило, не разрабатывается, а все изменения в системе проводятся одним или несколькими администраторами. Отсутствие поддержки со стороны вендоров, небольшие штаты - все это, с одной стороны, заставляет системных администраторов быть всегда в хорошей форме, но с другой стороны серьезно снижает возможности и уровень защиты.

Впрочем, как мы уже говорили, для разных категорий объектов подходят свои методы защиты, и не имеет смысла на каждый жилой дом ставить зенитку и систему противоракетной обороны. И в задачи охранника жилого дома входит борьба с хулиганами и ворами, но никак не отражение атаки коммандос и не отлов профессиональных разведчиков.

Дата-центры стали появляться сравнительно недавно, и их, по большому счету, нельзя считать развитием хостинговых компаний. Это совсем другая структура, ориентированная на предоставление сложных комплексных услуг, которые могут требоваться заказчику (как правило, корпоративному). При этом одной из особенностей дата-центров является их высокая защищенность - и в смысле защиты территории, и в смысле технических средств и организационных мер безопасности.

В обеспечении информационной безопасности в дата-центрах есть своя специфика. В первую очередь - это необходимость обеспечения "прозрачного" доступа клиентам, работающим через Интернет (в том числе, и через терминальные сервисы), при соблюдении очень жестких требований к защите информации. Еще одной особенностью является использование разнообразных платформ и приложений, что не позволяет сконцентрироваться на безопасности какой-либо одной платформы или одной линии продуктов. Следует учитывать и то, что доступ к определенной категории клиентской информации не должен иметь никто, включая администраторов системы.

Надо учитывать и то, что для большинства коммерческих продуктов режим ASP появился сравнительно недавно. Соответственно, такие продукты не имеют длительной истории эксплуатации в режиме разделенного удаленного доступа и, соответственно, не могут похвастаться тщательным тестированием на уязвимости. Поэтому перед запуском ASP-продукта необходима длительная процедура тестирования и конфигурирования. Для определения настроек брандмауэров требуется анализ трафика, определение диапазона открытых портов, статистических характеристик трафика в различных режимах.

Рассмотрим некоторые конкретные элементы защиты, их возможные реализации и целесообразность применения в различных ситуациях.

"Нулевой" рубеж обороны - это сокрытие структуры сети, так называемая имитационная защита. Специальное программное обеспечение эмулирует сетевые сегменты, сервера и уязвимости. Постоянный контроль за атаками на несуществующую сеть позволяет выявить источники угроз. С другой стороны имитационная защита вводит в заблуждение потенциальных агрессоров и затрудняет определение истинной структуры системы и планирование атак.

Первый рубеж защиты - детектор вторжений, IDS. Производя анализ входящего трафика, эта система отслеживает появление сигнатур известных типов атак. В ряде случаев устанавливается система адаптивной защиты, в которой при обнаружении определенных сигнатур осуществляется изменение списков доступа на сетевом экране (firewall). Таким образом, осуществляется оперативное блокирование источника атаки. При этом целесообразно ограничивать число проверяемых сигнатур (что характерно, например для Cisco IDS - NetRanger). Это позволяет увеличить быстродействие и снизить вероятность ложных тревог (что критично для адаптивной системы). Снижение числа обнаруживаемых атак компенсируется применением дополнительных систем обнаружения вторжений в локальных контурах защиты (чаще всего используется свободно распространяемый детектор SNORT).

Стоит отметить, что с использованием IDS связан ряд проблем. В первую очередь, это ложные срабатывания. Подобная ситуация наблюдалась во время "эпидемии" Code Red и NIMDA. Эта проблема решается, но возможность таких событий всегда надо иметь в виду.

В компаниях, занимающихся "классическим" виртуальным веб-хостингом, аппаратные IDS практически не используются, в первую очередь в силу дороговизны. Программные "легкие" детекторы тоже используются довольно редко, так как они требуют значительных системных ресурсов. Анализ трафика (разбор пакетов) производится при необходимости "в ручную", с использованием утилит типа tcpdump. Основная масса атак отслеживается при анализе журнальных файлов.

В дата-центрах использование и аппаратных, и программных IDS является неизбежным.

Второй уровень защиты - это разделение зон безопасности, закрытых сетевыми экранами, и разделение трафика за счет использования виртуальных сетей VLAN. Трехуровневую структуру ("внешняя зона", "демилитаризованная зона" и "внутренняя зона") можно считать стандартным решением. Межсетевые экраны - это хорошо описанная классика. Виртуальные сети (VLAN) в классическом хостинге используются значительно реже - в основном в силу иной структуры сети и упоре на виртуальный хостинг. Задача изоляции клиентского трафика в UNIX-системах виртуального хостинга решается программными средствами.

Настройка межсетевых экранов при сложной структуры сети является нетривиальной задачей. В целом, используется принцип "запрещено все, что не разрешено".

Из других методов защиты, использование которых неизбежно, следует выделить антивирусную защиту. Идеальным решением является централизованный антивирусный мониторинг, причем выбор программного обеспечения здесь достаточно широк и зависит от вкуса и финансовых возможностей. Что касается антивирусного контроля почты с автоматическим удалением зараженных сообщений, то это вещь несколько сомнительная. Многие предпочитают получать почту в неизменном виде. Не всегда приятно, когда антивирусная система молча "съедает" сообщения, содержащие, скажем, сигнатуры вирусов или сообщения пользователя о возможности вирусной атаки с прикрепленным подозрительным файлом. С другой стороны, слабый "гигиенический" уровень большинства пользователей и постоянные вирусные атаки делает вирусный контроль пользовательских почтовых ящиков желательным. По крайней мере у пользователя должен быть выбор, и для разных категорий пользователей должны применяться различные типы реагирования.

Анализ журнальных файлов является неотъемлемой частью системы безопасности независимо от класса и уровня компании, и на нем нет смысла останавливаться.

Контроль доступа и идентификация пользователей - тоже неотъемлемая часть системы безопасности, постоянно обсуждаемая и описываемая. Однако стоит остановиться на контроле доступа администраторов и операторов, имеющих административные полномочия в системе. Постоянной проблемой является генерация и смена паролей суперпользователей. Из соображений безопасности их следует менять действительно часто. Что либо не происходит, либо пароли root оказываются записанными на всех доступных поверхностях. Неплохим выходом является использование современных средств идентификации и контроля доступа. Собственно, реально используется несколько основных методов, в частности, на основе бесконтактных элементов памяти ("таблеток") Dallas Semiconductor, на основе смарт-карт (Schlumberger и аналогичных), а также системы биометрического контроля.

Последние (для случая центра управления сетью дата-центра) кажутся предпочтительней, так как палец или глаз потерять сложнее, чем брелок с элементом памяти. И есть гарантия, что в систему входит именно уполномоченный пользователь, а не некто, нашедший ключ.

Из систем биометрического контроля наиболее распространены сканеры отпечатка пальца (Compaq Fingerprint, Identix, "мыши" и "хомяки"-"Hamster"). Эти системы, как правило, недороги, многие по цене не превышают 100 долларов. Сканеры радужной оболочки глаза пока дороги и недостаточно надежны.

Разумеется, нет смысла перечислять все технические методы обеспечения безопасности.

Но следует иметь в виду, что только технических средств, какими бы мощными они не были, недостаточно для поддержания даже минимального уровня безопасности.

Некорректные действия администратора могут нанести ущерб больший, чем все вирусные атаки. Ошибка пользователя, самостоятельно администрирующего свои приложения, может свести "на нет" все усилия по безопасности. Логин "demo" и пароль "test" встречались и встречаются до удивления часто. Также, как и пароли "sdfgh" и "54321").

Что еще характерно для центров обработки данных - это наличие разработанной политики безопасности, жесткая регламентация и разработанная система документации.




Содержание  Назад  Вперед