Potrzeba przechowywania i przekazywania informacji istniała od zarania dziejów. Na początku wystarczały przekazy słowne, zapisy na papirusie i w księgach. Dziś informacja prócz dawnych form zapisywana i przekazywana jest elektronicznie, w różnej często rozbudowanej i przetworzonej formie. Najczęściej wykorzystywanym sposobem jest zapis informacji w formie informatycznej. Konieczność gromadzenia coraz to większej ilości danych doprowadziła do rozwoju nośników pamięci od taśm magnetycznych poprzez dyskietki po dyski twarde o takiej pojemności że dzisiaj nie zmieścił by się ułamek naszych danych, aż po bardzo pojemne nośniki danych. Ilość i ważność tych danych coraz częściej nie pozwala nam na samodzielne zarządzanie tymi informacjami bez narażenia na ich utratę lub przedostanie się w niepowołane ręce. Dlatego też coraz częściej korzysta się z usług Data Center, które są wyspecjalizowanymi instytucjami oferującymi nam przetwarzanie i przechowywanie danych zgodnie z rygorystycznymi normami.
Źródło: Hackin9 nr 02/2009, http://hakin9.org/pl/magazine/805-atak-na-vpn
Autor: MARCIN KLESSA

• Bezpieczeństwo w Centrach Danych

Bezpieczeństwo Data Center to bardzo szeroki wachlarz zabezpieczeń, czynników, parametrów, norm itd. Utrzymanie prawidłowego funkcjonowania to odporność na zagrożenia płynące z nieprawidłowej polityki bezpieczeństwa, niewłaściwego bezpieczeństwa fizycznego na atakach hakerów skończywszy.

W poniższym artykule skupię się na zabezpieczeniach organizacyjnym i technicznym oraz logicznym zabezpieczeniem danych.

Najczęstsze zagrożenia DC i metody ochrony

Powierzenie informacji przez firmy i instytucje wymaga od Data Center przedsięwzięcia różnych form zabezpieczeń do ich pełnej ochrony przed utratą, kradzieżą lub naruszeniem integralności. Politykę bezpieczeństwa realizuje się w dwóch sferach organizacyjnej i technicznej, których współistnienie i integracja dają pełną gwarancję.

• Bezpieczeństwo organizacyjne.

Na tym poziomie zarządzania bezpieczeństwem obowiązuje kilka dokumentów prawnych.

Pierwszym jest Raport Techniczny – ISO/IEC TR 13335, który składa się z 5 części, z czego część I i II stały się Polskimi Normami.

-ISO/IEC TR PN-I-13335-1: 1999 „Wytyczne do zarządzania bezpieczeństwem systemów informatycznych – Pojęcia i modele bezpieczeństwa systemów informatycznych”

W tej normie zdefiniowano i opisano pojęcia związane z zarządzaniem bezpieczeństwem, ograniczenia, które mogą wystąpić przy planowaniu oraz zaprezentowano modele, którymi można się posłużyć przy planowaniu zarządzania bezpieczeństwem.

-ISO/IEC TR 13335-2:2003 „Zarządzanie i planowanie bezpieczeństwa systemów informatycznych”.

Norma ta zawiera wytyczne i działania oraz cele i wymagania jakie należy podjąć przy planowaniu i zarządzaniu bezpieczeństwem. Przedstawiono również rolę i działania personelu odpowiedzialnego za bezpieczeństwo.

Pozostałe części to:

- ISO/IEC TR 13335 – 3: Techniki zarządzania bezpieczeństwem systemów ,

- ISO/IEC TR 13335 – 4: Wybór zabezpieczeń ,

- ISO/IEC TR WD 13335 – 5: Zabezpieczenie dla połączeń z sieciami zewnętrznymi ,

Najważniejszym dokumentem prawnym w tej dziedzinie jest PN ISO/IEC 17799:2007 „Praktyczne zasady zarządzania bezpieczeństwem informacji”. zapisano w niej praktyczne zasady, które powinny być wytycznymi do organizowania polityki bezpieczeństwa firmy z uwzględnieniem jej specyfikacji. W normie tej uwzględniono 11 obszarów:

• polityka bezpieczeństwa;
• organizacja bezpieczeństwa informacji;

• zarządzanie aktywami;

• bezpieczeństwo zasobów ludzkich;

• bezpieczeństwo fizyczne i środowiskowe;

• zarządzanie systemami i sieciami;

• kontrola dostępu;

• pozyskiwanie, rozwój i utrzymanie systemów informatycznych;

• zarządzanie incydentami związanymi z bezpieczeństwa informacji;

• zarządzanie ciągłością działania;

• zgodność (z przepisami prawnymi).

W niniejszym artykule skupię się przede wszystkim na bezpieczeństwie fizycznym i środowiskowym, gdyż ten aspekt jest bardzo istotny z poziomu ochrony danych w Data Center.

Trzecia z kolei, co nie oznacza, że mniej ważna jest PN-ISO/IEC 27001:2007„Systemy zarządzania bezpieczeństwem informacji – Specyfikacja i wytyczne stosowania”.

Norma ta jest przygotowana głównie dla kierownictwa i personelu i jest niezwykle ważna ponieważ opisuje procesowe podejście do Systemu Zarządzania Bezpieczeństwem Informacji (SZBI lub z ang. ISMS). W dokumencie tym model PDCA (ang. Plan–Do–Check-Act) to podejście do procesu poprzez założenia opierające się na cyklu Deaminga – Planuj – Wykonuj – Sprawdzaj – Działaj.

- Planuj – ustanowienie ISMS – ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.

- Wykonuj – wdrożenie i eksploatacja ISMS – wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.

- Sprawdzaj – monitorowanie i przegląd ISMS – pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu.

- Działaj – utrzymanie i doskonalenie ISMS – podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.

Rys1. Model PDCA stosowany w procesach SZBI.

Bezpieczeństwo Informacji

Bezpieczeństwo informacji (BI) rozumiane jest jako zespół działań zmierzających do zdefiniowania, osiągnięcia i utrzymywania: poufności, integralności, dostępności, rozliczalności, autentyczności, i niezawodności.

Podstawowymi atrybutami są wspomniane wyżej PID czyli poufność, integralność oraz dostępność. Są one niezbędne aby uzyskać pełne bezpieczeństwo informacji generowanych, przetwarzanych i przechowywanych przez przedsiębiorstwo a zgodne z wymogami prawnymi lub biznesowymi.

Centra Danych w odróżnieniu od innych firm i instytucji które również muszą realizować SZBI mają utrudnione zadanie ze względu na różnorodność powierzonych im danych. Jest to tym trudniejsze iż w Polsce obecnie istnieje blisko 200 aktów prawnych które dotyczą ochrony informacji i konieczność ich stosowania zależna jest od specyfiki instytucji.

Niemniej najistotniejszymi i obligatoryjnymi są:

• Ustawa o ochronie danych osobowych
• Ustawa o ochronie informacji niejawnych

• Ustawa o dostępie do informacji publicznej.
• Ustawa o prawie autorskim i prawach pokrewnych.

Korzyści wynikające z wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji PN - ISO/IEC 27001:2007

• spełnienie wymagań ustawowych wspomnianych powyżej,
• uniknięcie kar związanych z naruszenie bezpieczeństwa informacji,
• zwiększenie świadomości i odpowiedzialności pracowników za BI,
• bardziej świadome podejmowanie ryzyka oraz decyzji,
• zarządzanie ciągłością działania,
• zapewnienie klientów, że ich dane są właściwie chronione,
• wzrost wiarygodności firmy i oferowanych usług,
• wprowadzenia audytów oraz ciągłe monitorowanie i ulepszanie SZBI,
• zwiększenie efektywności zarządzania BI.

Bezpieczeństwo techniczne

Opisany powyżej poziom skupia się na organizacji bezpieczeństwa informacji poprzez szacowanie ryzyka utraty danych w kontekście zagrożeń oraz na wdrażaniu działań mających owe zagrożenia obniżyć.

Na tym poziomie skupię się na technicznym aspekcie bezpieczeństwa centrów danych oraz gromadzonych tam informacji. Przechowywanie dużych ilości cennych informacji wymusza na DC stosowania wielu metod zabezpieczania, które prócz logicznego zabezpieczenia ochronią je również na poziomie fizycznym.

Omówione zostaną pomieszczenia IT oraz infrastruktura techniczna serwerowni odpowiedzialna za bezpieczeństwo, poprawną i nieprzerwana pracę.

Zasady i parametry stosowanych zabezpieczeń oparte są na wielu normach oraz międzynarodowych certyfikatach takich jak.:

• EN 1047-2 – Pomieszczenia i urządzenia do przechowywania wartości. Klasyfikacja i metody badań odporności ogniowej. Część 2: Pomieszczenia oraz pojemniki do przechowywania nośników informacji.
• PN ISO/IEC 17799:2007 „Praktyczne zasady zarządzania bezpieczeństwem informacji”
• Certyfikat ECB-S European Certification Board Security Systems – Europejski Komitet Certyfikacji Systemów Zabezpieczających.

Bezpieczeństwo fizyczne i środowiskowe

Obszary bezpieczne

Celem wyodrębniania obszarów bezpiecznych jest zapobieganie nieuprawnionemu dostępowi i ingerencji w pomieszczenia instytucji i jej informację.

Należy lokalizować urządzenia do przechowywania i przetwarzania krytycznych danych w obszarach bezpiecznych. Ten aspekt jest kwintesencją Data Center, które są specjalnie przystosowanymi budynkami znajdującymi się, ba nawet będącymi obszarem bezpiecznym wraz z całym systemem ochrony i zabezpieczeń. Stosuje się w tym wypadku bariery fizyczne, środki kontroli fizycznego dostępu, monitoring oraz inne formy kontroli.

Najczęściej wykorzystywanymi są system alarmowy oraz telewizja przemysłowa CCTV (ang. closed-circuit television). Systemy CCTV oparte są na własnej infrastrukturze w skład wchodzą min. rejestratory, kamery, obrotnice, monitory lub wykorzystują gotowe sieci cyfrowe. Najczęściej wykorzystuje się do tego protokół TCP/IP sieci LAN lub internet. Kamery pracują w dwóch technologiach CMOS i CCD, które stosuje się w zależności od specyfiki monitorowanych obiektów.

Rys. 2. Kamera przemysłowa

W przypadku środków kontroli fizycznego dostępu stosuje się różne środki identyfikacji w zależności od stopnia zabezpieczeń. Używa się do tego kodów alfanumerycznych (pamięć), klucze takie jak karty z kodem kreskowym, karty chipowe, magnetyczne oraz zabezpieczenia wykorzystujące cechy biometryczne takie jak linie papilarne, tęczówkę oka oraz głos.

Zabezpieczenie sprzętu

Celem jest zapobieganie utracie, uszkodzeniu, lub naruszeniu bezpieczeństwa aktywów oraz przerwaniu działalności. Zaleca się fizyczną ochronę sprzętu przed zagrożeniami jego bezpieczeństwa i niebezpiecznymi czynnikami środowiskowymi.

• kradzież,
• pożar,
• materiały wybuchowe,
• dym,
• woda,
• kurz,
• drgania,
• oddziaływania chemiczne,
• interferencje pochodzące ze źródeł zasilania,
• promieniowanie elektromagnetyczne.

Realizuje się to min. poprzez odpowiednie rozmieszczenie sprzętu w pomieszczeniach bezpieczeństwa (IT Rooms) z odpowiednim zasilaniem, klimatyzacją, bezpiecznym okablowaniem i systemami gaszenia. Zastosowanie tej technologi zgodne jest z PN 1047-2 co daje gwarancje ochrony przed utratą infrastruktury technicznej, sprzętu, oprogramowania oraz danych. Norma ta określa odporność ogniową dla pomieszczeń czułych na temperaturę i wilgotności systemów informatycznych. Mówi ona o tym iż wzrost temperatury wewnątrz pomieszczenia z infrastrukturą IT dopuszczalny jest do 50 ^oC, a wilgotności do 85 %.

Pomieszczenia bezpieczne na najwyższym poziomie budowane są z uwzględnieniem następujących norm:

Ochrona przeciwpożarowa:

- Zgodne z norma PN1047-2- certyfikowany przez ECBS ;

Woda:

- Woda stojąca – przy 40 cm słupie wody przenikalność podczas 72 godzin wynosi 2o kropli,

- Wodoszczelność (woda gaśnica) zgodna z IP 56,

- Wilgotność do 85% zgodnie z PN 1047-2,

Gazy korozyjne:

Dymoszczelność zgodne DIN 18095,

Pył:

- Pyłoszczelność zgodna z IP 56,

Kontrola dostępu:

Zgodne z normą EN 1627 WK4,

Eksplozja:

200 kg TNT w odległości 40 metrów.

Podłoga techniczna

Dzięki zastosowaniu podłogi technicznej istnieje możliwość dogodnego prowadzenia instalacji technicznej i ochronnej, doprowadzania ogrzewania lub klimatyzacji do określonych stref pomieszczenia. Prosty i szybki montaż pozwala na szybką modyfikację systemu okablowania czy instalacji klimatyzacyjnych, umożliwia to także korzystanie zaraz po montażu. Wysokość montażu podłogi uzależnione jest od wykorzystanych w DC instalacji np. typu klimatyzacji.

Podłogi techniczne wykonywane są w zależności od potrzeb jako metalowe, drewniane, szklane lub z tworzyw PCV.

Klimatyzacja

Klimatyzacja jest często niedocenianym, aczkolwiek bardzo istotnym systemem w pracy każdej serwerowni jak i Data Center. Infrastruktura IT wymaga określonej temperatury pracy i wilgotności, które odpowiednio wynoszą 20 ^oC i 45% wilgotności. Niedotrzymanie tych parametrów klimatycznych może prowadzić do nieprawidłowej pracy, być przyczyną awarii oraz zmniejszać żywotność sprzętu. Parametry takie można uzyskać tylko poprzez zastosowanie kilatyzacji precyzyjnej, której zadaniem jest zachowanie odpowiednich parametrów pracy przez 8760 godzin w roku. Poprawne utrzymania temperatury wymaga od systemu od 100 do 160 CFM (1 CFM = 1,699021 m³/h ) co daje 170 – 272 m3/h nawiewanego powietrza na każdy kW rozpraszanego ciepła. Warunki te decydują o wyborze technologii chłodzenia pomieszczeń i konkretnych szaf lub urządzeń, które różnią się budową systemu i wydajnością odprowadzanego ciepła. Stosuje się systemy nawiewu dolnego i górnego (rys 3.) oraz specjalistyczne rozwiązania takie jak np. oferowane przez Rittal tzw. Liquid Cooling Packages (LCP), które są bezpośrednio„zadokowane“ jako szafy klimatyzacyjne na ścianie bocznej szafy serwerowej. Przy zamkniętych ścianach szaf daje się odprowadzić do 40 kW ciepła traconego.

Rys 3. Klimatyzacja – system rozdziału powietrza

Zasilanie

Nieprzerwana praca Centrum Danych to podstawa jego istnienia. Jednym z ważniejszych aspektów w tym zakresie jest stałe zasilanie DC w energie elektryczną. W tym zakresie centra danych posiadają odrębne i niezależne od dostawcy źródła zasilania takie jak agregaty prądotwórcze i zaawansowane systemu UPS (uninterrupted power supply). Zasilacze dobiera się w zależności od przeznaczenia i mocy odbiorników powiększonej zazwyczaj o ok 10% do 30%. Do najczęściej spotykanych UPS’ów zalicza się monolityczne (autonomiczne) lub modułowe (rys 4), które różnią się od siebie wydajnością i możliwością rozbudowy. Konstrukcje modułowe są redundatne i są dedykowane do obiektów o dużej potrzebie niezawodności, pozwalają również na szybką rozbudowę mocy zasilaczy poprzez dodanie kolejnych modułów. UPS’y monolityczne natomiast cechują się większą wydajnością i mniejszymi rozmiarami.

Rys 4. Modułowy zasilacz UPS firmy Lampertz

Agregaty prądotwórcze często stosowane są jako dodatkowe źródło energii zwłaszcza tam, gdzie istnieją częste przerwy w dostawie prądu lub istnieje prawdopodobieństwo takiego zagrożenia. Agregaty dostarczane są w kilku wersjach w zależności od zastosowania i usytuowania w obrębie Data Center. Standardowe parametry agregatu pozwalają na 8 do 12 godzin nieprzerwanej pracy. Wraz z agregatem można zastosować szereg udogodnień takich jak zdalny nadzór, automatyczny start, układy wentylacji oraz dodatkowe zbiorniki paliwa umożliwiające dłuższą jednorazowa pracę agregatu.

Agregaty bardzo często sprzęga się w hybrydy z UPS’ami aby zwiększyć bezpieczeństwo i funkcjonalność układów zasilania.

Aby zwiększyć bezpieczeństwo Data Center zaleca się stosowanie w pobliżu wejść dodatkowych wyłączników zasilania umożliwiających odcięcie zasilania w przypadku awarii.

Rys 5. Agregat prądotwórczy.

Systemy gaszenia

Specyfika Data Center uniemożliwia stosowania tradycyjnych metod wykrywania i gaszenia pożaru. Należało więc przede wszystkim zrezygnować z systemów gaszenia wodą, proszkami i pianą na rzecz obojętnych dla sprzętu gazów gaśniczych. Najczęściej stosowane gazy to azot, HFC-227ea, NOVEC 1230. Systemy suchego gaszenia opierają się na szybkim zmniejszeniu ilości tlenu w atmosferze pomieszczenia do 12%.

Aby gaszenie było skuteczne muszą istnieć systemy szybkiego wykrywania i ostrzegania i uruchamiania, które realizowane są poprzez bardzo czułe czujniki dymu wyposażone w zasysacze dymu. Przykładowy system prezentuje rys. 6.

Rys. 6

Rys 6. Systemy suchego gaszenia. 1-automatyczny czujnik, 2-ręczny włącznik systemu, 3- centrala sterująca, 4- alarm akustyczny, 5-alarm optyczny, 6-pojemniki z gazem gaśniczym, 7-dysze gaśnicze.

Zalety stosowania powyższego systemu:

• szybka reakcja systemu na zagrożenie,
• gaszenie nie uszkadza sprzętu nie objętego pożarem,
• możliwość szybkiego wznowienia działalności po pożarze,
• bezpieczeństwo sprzętu i obsługi.

Wczesne wykrywanie pozostałych zagrożeń

Odpowiednio wczesne wykrycie zagrożeń jest niezbędne do uchronienia DC przed awarią, a co za tym idzie przestojem w działaniu. Poprzez precyzyjne systemy ostrzegania i reagowania możemy ustrzec się opisanego już wyżej pożaru, zalania wodą, przegrzania się elementów. Zamontowane czujniki komunikują się za pomocą specjalistycznych central z centrum nadzoru lub bezpośrednio z jednostkami prewencyjnymi. Systemy takie są bardzo elastyczne i ze względu na swoją modułową budowę pozwalają na szybką rozbudowę poprzez dodawani nowych czujników oraz definiowanie kolejnych odbiorców komunikatów.

Bezpieczne okablowanie.

Norma PN ISO/IEC 17799:2007 mówi w tym temacie następująco:

Zaleca się aby okablowanie zasilające i telekomunikacyjne przeznaczone do transmisji danych lub przesyłania usług informacyjnych było chronione przed podsłuchem lub uszkodzeniem.

W związku z tym zaleceniem stosuje się ochronę linii w specjalnych systemach ochronnych takich jak rynienki ochronne, opancerzone kanały rurowe oraz pokrywanie okablowania środkami ogniotrwałymi. Często oddzielnie od kabli zasilających prowadzi się przewody komunikacyjne w celu zmniejszenia zagrożenia interferencji. Aby zmniejszyć zagrożenie pojawienia się nieszczelności przy wprowadzaniu okablowania do wnętrza pomieszczeń bezpieczeństwa stosuje się specjalne przejścia kablowe

Rys.7. Przejścia kablowe Roxtec.

Wszystkie wspomniane powyżej formy i narzędzia ochrony centrów danych łączą się w bezpieczne IT rooms. Konstruowane są one modułowo, co pozwala na szybką rozbudowę w dowolnym kierunku lub przeniesienia w inne miejsce. Stosowanie w DC pomieszczenia bezpieczeństwa posiadają najczęściej certyfikat ECB-S wydawany przez niezależny Europejski Komitet Certyfikacji Systemów Zabezpieczających. Posiadanie takiego certyfikatu gwarantuje pełne bezpieczeństwo certyfikowanego obiektu i jest często podstawą wymagana przez towarzystwa ubezpieczeniowe.

Sejfy IT

Wiarygodność centrów danych to nie tylko nieprzerwana praca, stały dostęp do usług i przetwarzanych informacji, lecz także bezpieczeństwo powierzanych danych w trybie offline. Data Center w swojej ofercie maja także wykonywanie Backup’u, bezpieczny transport i przechowywanie danych na zewnętrznych nośnikach. Realizowane jest to najczęściej poprzez specjalistyczne sejfy przeznaczone dla branży IT. W zależności od potrzeb podczas doboru parametrów sejfu możemy dobierać rozmiar, odporności na włamanie oraz ochroną przeciwpożarową.

Sejfy najwyższej klasy spełniają wymagania zawarte w PN1047-2 i podobnie jak IT Rooms mogą być certyfikowane przez Europejski Komitet Certyfikacji Systemów Zabezpieczających. Odporność na włamania często opiera się o II klasę odporności zgodną z EN 1143-1.

Rys.8 . Sejf IT firmy Lampertz

Zabezpieczenia logiczne

Osiągnięcie wysokiego poziomu zabezpieczeń logicznych jest najtrudniejszym chyba spośród opisanych powyżej. Zadanie jest o tyle trudniejsze iż ataki/włamania mogą być z wewnątrz, z zewnątrz oraz pośrednie i w zależności od specyfiki należy podejmować różne działania ochronne.

Ataki z wewnątrz

Ataki wewnętrzne są niebezpieczne ponieważ są bardzo trudne do wykrycia ze względu na metody działania. Najczęściej włamania dokonują pracownicy firmy wykorzystując znane lub wykradzione loginy i hasła oraz korzystając z błędów systemów autoryzacji i zabezpieczeń.

W celu ochrony danych na tym poziomie powinno stosować się politykę „czystego biurka” i „czystego monitora” oraz bezpiecznych i poprawnie skonfigurowanych systemów autoryzacji użytkowników. Można również zastosować specjalnie skonfigurowany system wykrywania intruzów (IDS).

Ataki z zewnątrz

Celem ataków zewnętrznych są najczęściej serwery HTTP oraz komputery wewnątrz sieci. Wewnątrz sieci ataki przypuszczane są zarówno na serwery jak i hosty pracujące pod ich nadzorem. Najczęstszym efektem takich działań jest utrata danych w pierwszym przypadku oraz utrata danych i przestoje w pracy sieci w przypadku drugim.

Najczęstszym sposobem zabezpieczeń przed tego typu włamaniem jest stosowania firewall’i.

Ataki pośrednie

Ataki pośrednie realizowane są najczęściej kilku etapowo. Pierwszym z etapów jest wprowadzenie do sieci programów „otwierających” dostęp lub pozyskanie loginów i haseł np. poprzez packet sniffing. Kolejnym etapem jest skorzystanie z „otwartych” sieci lub wykorzystanie pozyskanych haseł oraz komputerów nie wymagających ich podania. Ze względu na specyfikę działania, ataki te są trudne do wykrycia i przeciwdziałania.

Ochrona Data Center przed włamaniem

Ochronę DC można zlecić operatorowi telekomunkacyjnemu, który oferuje model MSS (Managed Security Services) lub poprzez zastosowanie tych samych technologii na poziomie centrum danych. Model MSS zawiera ochonę metodami: firewall, AV, IDS/IPS, antyspam, filtrowanie zawartości www, VA i jest chyba najbardziej wydajnym sposobem zabezpieczania danych.

Ściana ogniowa – Firewall

Firewall jest narzędziem sprzętowym lub programowym znajdującym się na styku dwóch sieci, sieci zewnętrznej (najczęściej internet) oraz sieci wewnętrznej, którą ma chronić.

W skład ściany ogniowej może wchodzić

• router filtrujący pakiety
• serwer proxy (application level gateway – brama na poziomie aplikacji)
• brama transmisyjna (circuit level gateway – brama na poziomie łącza)

Zadania firewalla:

• kontrolowanie sieciowych połączeń,
• filtrowanie pakietów
• udostępnianie i kontrola wybranych usług
• wykrywanie i udaremnianie włamań
• zabezpieczenie przesyłanych informacji,
• ukrywanie struktury sieci wewnętrznej,
• ochronę systemu przed niebezpiecznymi programami,
• tworzenie dziennika zdarzeń,
• zarządzanie obciążeniem serwerów.

Filtrowanie pakietów – router

Zadaniem routerów filtrujących jest przepuszczanie wybranych pakietów do i z sieci z wykorzystaniem określonych wcześniej reguł filtrowania. Realizuje się to między innymi poprzez sprawdzanie informacji nagłówka takich jak: adres IP docelowy i pochodzenia, używany protokół, porty docelowy i nadawcy.

Po przejściu pakietu przez router jest on dalej nadzorowany przez niego lub porzucany. W ten sposób można ograniczać usługi poprzez np. odfiltrowanie określonych portów. Umożliwia to w miarę szybką konfigurację filtrowania.

Strefa zdemilitaryzowana DMZ -demilitarized zone

Strefa zdemilitaryzowana jest wydzielonym przez firewall fragmentem sieci nie należącym ani do sieci wewnętrznej ani do zewnętrznej. W tej strefie umieszczane są serwery oferujące usługi na zewnątrz sieci np. serwery WWW, FTP lub na zewnątrz i do wewnątrz sieci takie jak serwer poczty, proxy, DNS.

Włamanie do serwerów w strefie DMZ nie jest jednoznaczne z włamaniem się do sieci wewnętrznej gdyż jest ona chroniona przez kolejny firewall. Rozwiązania te są wykorzystywane często w tzw, super firewall’ach zabezpieczających cenne sieci wewnętrzne.

IDS/IPS

IDS – Intrusion Detection System – system wykrywania włamań.

IPS – Intrusion Prevention System – system zapobiegania włamaniom.

IDS/IPS działa jako zintegrowany system najbardziej zaawansowanych i najskuteczniejszych metod ochrony przed włamaniem do systemów teleinformatycznych.

Celem IDS jest monitorowanie zagrożeń i zdarzeń w obrębie bezpieczeństwa systemu oraz powiadamianie o nich IPS. IPS natomiast na podstawie tych z głoszeń reaguje na incydent blokując lub minimalizując jego skutki. Celem IPS jest też aktywne działanie w tym obszarze.

Skuteczny IDS/IPS oparty jest na regułach zorientowanych na specyfikę działalności firmy. Najczęściej realizuje się to poprzez:

• wzorce zasad – działają podobnie jak programy antywirusowe korzystając z baz danych wzorców, w których zapisane są rodzaje i metody ataków. W przypadku gdy przechodzące pakiety pasują do wzorców oznacz to włamanie i są neutralizowane.Wadą tego systemu jest konieczność stałego uaktualniania bazy danych i skuteczność porównywania wzorca z bazy danych z częściowo zmodyfikowana metodą ataku.
• inteligentne – metoda bazująca na analizie anomalii występujących w ruchu sieciowym. System ten potrafi uczyć się ataków różnych od tych będących w bazie sygnatur.

Ta metoda zabezpieczeń oferowana jest w postaci hybrydowej monitorującej hosty jak i segmenty sieci oraz tylko dla konkretnych maszyn lub wydzielonych segmentów ochranianej sieci.

AV/AS

AV- anti-virus – działania antywirusowe.

AS – anti-spam – działania przeciw sapmowe.

Na tym poziomie zabezpieczeń AV/AS realizowane są najczęściej sprzętowo tak jak np. UTM.

Funkcje AV dostępne w urządzeniu UTM:

• Zasady skanowania antywirusowego AV.

• Blokowanie plików określonego typu.

• Blokowanie niebezpiecznych aplikacji (m.in. Spyware, Adware).

• Ochrona antyspamowa AS.

• Filtracja zawartości WWW (m.in. blokowanie ActiveX i JAVA)).

• Przegląd logów nt. kontroli AV.

W opisanych powyżej niektórych metodach zabezpieczeń logicznych infrastruktury teleinformatycznej oraz danych, które są przetwarzane i przechowywane w jej obrębie zawarto podstawowe i efektywne metody ochrony. Pamiętać jednak należy, że stosowanie najnowszych technologii zabezpieczeń będzie nieefektywne przy niewłaściwej konfiguracji i zarządzaniu.

Dlatego też często centra danych korzystają z wspomnianych już uslug MSS ofrowanych przez operatorów teleinformatycznych.

Korzyści płynące z tego zastosowania są następujące:

• profesionalny system zabezpieczeń przy relatywnie niskiej cenie abonamentowej,
• częściowe przeniesienie odpowiedzialności za funkcjonowanie sytemu na firmy trzecie,
• obniżenie kosztów wdrożenia systemu bezpieczeństwa oraz wykorzystanie uwolnionych środków na inne cele firmy,
• brak konieczności analizy, wdrażania i uaktualniania systemów bezpieczeństwa.

Audyt jako strażnik bezpieczeństwa.

Bezpieczeństwo informacji (BI) jak już wspomniałem jest istotnym aspektem funkcjonowania każdego przedsiębiorstwa, a centrów danych w szczególności. Aby osiągnąć najwyższy i stały poziom BI należy mieć opracowaną politykę systemu zarządzania bezpieczeństwem informacji i ją sukcesywnie wdrażać i utrzymywać. Na opracowanie skutecznego SZBI pozwoli nam audyt zarówno zewnętrzny jak i wewnętrzny. Celem audytu jest zbadanie obecnego stanu BI, wskazanie konkretnych problemów oraz wyznaczyć kierunek rozwoju SZBI. Audyt zawiera wykaz nieprawidłowości i niezgodności, propozycje wprowadzania nowych metod zmian w procesach oraz gotowe scenariusze rozwoju polityki bezpieczeństwa.

Zaletami audytu jest poznanie słabych i mocnych stron systemu, możliwość polepszenia polityki bezpieczeństwa z wykorzystaniem proponowanych technologi i scenariuszy.

Przeprowadzanie audytów przez certyfikowanych audytorów oraz reagowanie na wyniki audytu daje gwarancje prawidłowego kierunku rozwoju SZBI. Zwiększa to bezpieczeństwo powierzonych informacji i co za tym idzie zwiększenie wiarygodności Datra Center.

Podsumowanie

Ogrom informacji jakie nasz otaczają i które są nam niezbędne do życia jest porażający. Nie zmienia to faktu iż życie bez nich w dzisiejszym świecie było by niemożliwe. Gromadzenie informacji nie zawsze potrzebnych istniała od zawsze i istnieć zapewne będzie, lecz gdzieś te dane należy przechowywać. Oczywiście pośród tych wszystkich posiadanych informacji są takie które są odpowiedzialne za poprawne funkcjonowanie obywateli, firmy a nawet państwa. Takie dane należy przechowywać w bezpiecznym miejscu. Lecz utrudnione jest to chociażby z tego względu iż często na tych danych muszą być dokonywane operacje, przetwarzanie i ich publikacja. W tym przypadku przychodzą z pomocą Data Center, które w tym zakresie oferują wiele różnych usług. Aby dane były bezpieczne to i centra danych powinny być enklawa bezpieczeństwa. Faktycznie tak jest, że profesionalne DC są prawie najbezpieczniejszymi miejscami na ziemi.

Możemy tylko sobie życzyć aby poprzez odpowiednią politykę BI tak pozostało.