Data Center Security: Η ασφάλεια των δεδομένων μας εκτός των τειχών

Η έννοια των Data Centers αφορά στη δημιουργία ενός κεντρικού σημείου διαχείρισης και επεξεργασίας των εταιρικών πληροφοριών. Τα πληροφοριακά συστήματα και οι εφαρμογές διατρέχουν τον κύκλο λειτουργίας τους σε συγκεκριμένο και κατάλληλα εξοπλισμένο κεντρικό σημείο, μέσω του οποίου εξυπηρετούνται οι χρήστες των εκάστοτε εφαρμογών.

Οι σημερινές διαθέσιμες τεχνολογίες τόσο σε επίπεδο επικοινωνιών & δικτύων όσο και σε επίπεδο υπολογιστικών συστημάτων και λογισμικού, υποβοηθούμενες από την τεχνολογία αποθήκευσης δεδομένων (storage), ελαχιστοποιούν την ανάγκη για συνύπαρξη συστημάτων και χρηστών στο ίδιο (ή πολύ κοντινό) χώρο και δίνουν τη δυνατότητα στις εταιρείες για οικονομίες κλίμακας, μέσω της λειτουργίας δικών τους Data Centers ή μέσω της χρήσης Data Centers με τη μορφή υπηρεσίας (Data Center as a service, cloud services).

Συνήθως η πρώτη σκέψη ή το πρώτο θετικό στοιχείο που μας έρχεται στο μυαλό αναφορικά με τα Data Centers, είναι οι διαθέσιμες υποδομές που θα πρέπει να είναι υψηλού επιπέδου και τεχνολογίας, αλλά και το επίπεδο φυσικής ασφάλειας που παρέχεται. Εκτός από τα προηγούμενα, εξίσου μεγάλης σημασίας είναι και οι δικλείδες ασφαλείας πληροφοριών που εφαρμόζονται στα Data Centers, καθώς και οι διεργασίες ελέγχου εφαρμογής & αποτελεσματικότητας των δικλείδων ασφαλείας.
Στις επόμενες παραγράφους εξετάζουμε τις απαιτήσεις ασφάλειας πληροφοριών που αφορούν στη λειτουργία των Data Centers – είτε αυτά εξυπηρετούν εταιρικές ανάγκες είτε αφορούν στις υποδομές παροχής υπηρεσιών τύπου as a service.

Απαιτήσεις ασφάλειας πληροφοριών για Data Centers
Η παρακάτω λίστα απαιτήσεων σκιαγραφεί τις ελάχιστες αλλά απαραίτητες δικλείδες ασφαλείας που διέπουν το σχεδιασμό και τη λειτουργία ενός Data Center. Ο τρόπος υλοποίησης της κάθε δικλείδας ασφαλείας και o βαθμός αυτοματοποίησής της, εξαρτώνται από το κάθε Data Center και τις απαιτήσεις ασφάλειας των πληροφοριών που φιλοξενεί. Στο παρόν τεύχος θα έχουμε την ευκαιρία να διαβάσουμε διαφορετικές προσεγγίσεις και προτάσεις.

Απαιτήσεις διαθεσιμότητας προσφερόμενων υπηρεσιών
Ένα από τα κύρια χαρακτηριστικά της λειτουργία των Data Centers είναι η αυξημένη διαθεσιμότητα την οποία αναμένεται να προσφέρουν. Οι εν λόγω απαιτήσεις αφορούν στη διαθεσιμότητα των δεδομένων του κάθε Οργανισμού (uptime, χρόνος επιτρεπόμενης διακοπής, χρόνος ανοχής κ.λπ.).
Οι συγκεκριμένες απαιτήσεις προσδιορίζονται από τα ακόλουθα:

Διαδικασίες και υποδομή που αφορούν στις απαιτήσεις για Disaster Recovery. Ποιες είναι οι απαιτήσεις για την επανάληψη της λειτουργίας μετά από έκτακτα περιστατικά;
- Προσδιορισμός της συχνότητας δημιουργίας αντιγράφων ασφαλείας, σε σχέση με τις εφαρμογές που χρησιμοποιούνται.\
- Προσδιορισμός του επιθυμητού χρόνου αποκατάστασης της ομαλής λειτουργίας.
- Απαιτήσεις που αφορούν στο χρόνο διατήρησης των δεδομένων πριν την οριστική διαγραφή τους.
Απαιτήσεις για χρήση διστοιχίας συστημάτων (reDunDancy).
- Προσδιορισμός απαιτήσεων ανάκτησης των υπηρεσιών σε περίπτωση διακοπής λειτουργίας τους.
Load Balancing.
Ποιες είναι οι απαιτήσεις που αφορούν στον όγκο των δεδομένων που διακινούνται;

Δικλείδες ασφαλείας με στόχο την προληπτική δράση
Η συγκεκριμένη κατηγορία δικλείδων ασφαλείας αφορά στη λήψη των κατάλληλων τεχνικών και διαχειριστικών μέτρων, με σκοπό τη διατήρηση του απαιτούμενου επίπεδο ασφάλειας πληροφοριών.
Απαιτήσεις προστασίας πληροφοριών

Προσδιορισμός και κάλυψη απαιτήσεων ελέγχου πρόσβασης.
- Απαιτήσεις φυσικής πρόσβασης.
- Απαιτήσεις λογικής πρόσβασης σε επίπεδο συστημάτων και εφαρμογών.
- Απαιτήσεις πιστοποίησης ταυτότητας & διαχείρισης πρόσβασης χρηστών.
- Απαιτήσεις διαχωρισμού αρμοδιοτήτων και διατήρησης ρόλων.
Απαιτήσεις καταγραφής μηνυμάτων ασφάλειας & συνεχής παρακολούθηση (Logging and Monitoring). Προσδιορισμός των αναγκών καταγραφής μηνυμάτων ασφάλειας και συνεχούς παρακολούθησης. Οι απαιτήσεις αυτές θα πρέπει να είναι εναρμονισμένες σε σχέση με τις απαιτήσεις προστασίας των δεδομένων μας. Συγκεκριμένα, χρειάζεται να προσδιοριστούν τα ακόλουθα:
Απαιτήσεις συνεχούς παρακολούθησης (σε επίπεδο συστημάτων αλλά και εφαρμογών).
Απαιτήσεις καταγραφής μηνυμάτων ασφάλειας.
Προσδιορισμός ρόλων και πού θα έχουν πρόσβαση στα παραπάνω.
Χρονικό διάστημα διατήρησης των εν λόγο δεδομένων.
Προσδιορισμός απαιτήσεων εμπιστευτικότητας των πληροφοριών. Προσδιορισμός & υλοποίηση των απαραίτητων δικλείδων ασφαλείας που αφορούν στα δεδομένα τα οποία χαρακτηρίζονται ως εμπιστευτικά. Τα παρακάτω θεωρούνται ως τα ελάχιστα μέτρα προστασίας:
- Τεκμηρίωση διαδικασιών που προσδιορίζουν τον τρόπο διαχείρισης των εμπιστευτικών δεδομένων.
- Υλοποίηση δικλείδων ασφαλείας που αφορούν στη διακίνηση των εμπιστευτικών δεδομένων (κρυπτογράφηση).
- Δικλείδες ασφαλείας για τα αποθηκευμένα δεδομένα (κρυπτογράφηση, έλεγχος πρόσβασης).
- Διαχείριση και έλεγχος των μέσων αποθήκευσης.
- Έλεγχος & διαχείριση πρόσβασης στα δεδομένα.
- Συμβάσεις εμπιστευτικότητας.

Εγκατάσταση, καθημερινή λειτουργία & διαχείριση αλλαγών παραμετροποίησης

Παραμετροποίηση συστημάτων και εφαρμογών, λαμβάνοντας υπόψη βασικούς κανόνες ασφάλειας:
- Προσδιορισμός δικτυακών πρωτοκόλλων και υπηρεσιών που χρειάζεται να λειτουργούν και περιορισμός των υπολοίπων.
- Παραμετροποίηση συστημάτων βάσει προ-καθορισμένων κανόνων ασφαλούς παραμετροποίησης.
- Σχεδιασμός και δημιουργία υπο-δικτύων και τοποθέτηση συστημάτων με παρόμοιες απαιτήσεις ασφάλειας.
Αναβαθμίσεις, αλλαγές παραμετροποίησης, εργασίες συντήρησης.
- Προσδιορισμός των αναγκαίων χρονικών περιόδων που θα εκτελούνται οι παραπάνω εργασίες. Είναι αναγκαίο να προβλεφθούν και διαδικασίες για έκτακτες περιπτώσεις, ιδιαίτερα σε ό,τι αφορά στις διορθώσεις κρίσιμων αδυναμιών ασφάλειας.
- Πρόβλεψη για εναλλακτικούς χώρους που μπορεί να χρησιμοποιηθούν σε έκτακτες καταστάσεις.
- Διαδικασίες ανάκτησης και επιστροφής στο πρότερο σημείο (πριν την εφαρμογή των όποιων αλλαγών) για τις περιπτώσεις όπου οι προγραμματισμένες αλλαγές δεν έχουν το αναμενόμενο αποτέλεσμα.
Προγραμματισμός και τακτικοί έλεγχοι για αδυναμίες ασφάλειας.
- Έλεγχος για αδυναμίες ασφάλειας με χρήση αυτοματοποιημένων εργαλείων ή μέσω ελέγχου της παραμετροποίησης συστημάτων & εφαρμογών.
- Τακτικός έλεγχος της υφιστάμενης αρχιτεκτονικής και διασύνδεσης συστημάτων, για τυχόν αδυναμίες ασφάλειας.
- Έλεγχοι αδυναμιών ασφάλειας κατά την εγκατάσταση νέων συστημάτων / υπηρεσιών, αλλά και μετά από εκτεταμένες αλλαγές παραμετροποίησης.
Εγκατάσταση και λειτουργία τεχνολογίας που αποτρέπει τις μη εξουσιοδοτημένες προσπάθειες παρείσδυσης (Firewalls, Intrusion Prevention Systems etc), καθώς και μηχανισμών προστασίας από κακόβουλο λογισμικό.

Απαιτήσεις σε σχέση με το Προσωπικό
Το προσωπικό των Data Centers μπορεί να αποτελέσει την καλύτερη δικλείδα ασφαλείας, μπορεί όμως να αποδειχθεί και ο πιο χαλαρός κρίκος της διεργασίας που αφορά στην ασφάλεια πληροφοριών. Αρκεί να κατανοήσουμε ότι οι εκάστοτε διαχειριστές έχουν πρόσβαση στο σύνολο των δεδομένων ενός ή και περισσότερων Οργανισμών.

Τα ελάχιστα μέτρα που χρειάζεται να ληφθούν είναι τα ακόλουθα:

Έλεγχος πρόσφατου παρελθόντος για καταδικαστικές αποφάσεις.
Ενημέρωση και εκπαίδευση σε θέματα ασφάλειας πληροφοριών.
Τακτική ενημέρωση για τους κανόνες και τις δικλείδες ασφαλείας που χρειάζεται να υλοποιηθούν σε συστήματα και εφαρμογές.
Ενημέρωση και εκπαίδευση στην αναγνώριση περιστατικών ασφάλειας.

Δικλείδες ασφαλείας με στόχο την αποτελεσματική απόκριση και διαχείριση περιστατικών ασφάλειας

Συνεχής και όσο το δυνατόν αυτοματοποιημένη παρακολούθηση των μηνυμάτων ασφάλειας.
- Προσδιορισμός των περιστατικών ή της αλληλουχίας περιστατικών που θα χαρακτηρίζονται ως περιστατικά ασφάλειας. Με βάση τον εν λόγω χαρακτηρισμό θα παράγονται και θα παρακολουθούνται τα μηνύματα ασφάλειας και θα εγείρονται οι αντίστοιχοι συναγερμοί (alerts).
- Τακτική παρακολούθηση και έλεγχος των καταγεγραμμένων μηνυμάτων ασφάλειας. Διαδικασίες για περαιτέρω διερεύνηση των ύποπτων περιστατικών.
- Παραμετροποίηση των συστημάτων που αφορά στα παραγόμενα αρχεία καταγραφής κινήσεων χρηστών και μηνυμάτων ασφάλειας.
- Τακτικός έλεγχος της παραπάνω παραμετροποίησης, καθώς και έλεγχος των περιπτώσεων αλλαγής της υφιστάμενης παραμετροποίησης.
Δομημένη απόκριση σε περιπτώσεις περιστατικών ασφάλειας.
- Διαχείριση των στοιχείων επικοινωνίας των όσων αποτελούν την ομάδα διαχείρισης περιστατικών ασφάλειας.
- Δημιουργία αναφορών που αφορούν στην ανάλυση και τρόπο διαχείρισης των περιστατικών ασφάλειας, με σκοπό την αποτελεσματική διαχείρισή τους.
- Δομημένος τρόπος αποκατάστασης των πιθανών δυσλειτουργιών που προξενήθηκαν.
- Τεκμηρίωση οδηγιών απόκρισης σε περιστατικά ασφάλειας καθώς και οδηγιών αποκατάστασης

Κανονιστική & Συμβατική συμμόρφωση
Η συγκεκριμένη ενότητα είναι αρκετά απαιτητική στις περιπτώσεις των Data Centers. Διαφορετικοί τύποι δεδομένων από διαφορετικούς πελάτες και ίσως από διαφορετικές χώρες.
Η συγκεκριμένη ενότητα πρέπει να καλύψει τις περιπτώσεις συμμόρφωσης με κανονιστικό πλαίσιο, συμβατικές απαιτήσεις πελατών (εσωτερικών ή εξωτερικών), την τήρηση των εσωτερικών κανόνων ασφάλειας καθώς και απαιτήσεις από πιθανές πιστοποιήσεις που αφορούν στην ασφάλεια πληροφοριών ή περιέχουν μεγάλο ποσοστό απαιτήσεων ασφάλειας πληροφοριών.

Συνοπτικά, τα κυριότερα σημεία αυτής της διεργασίας είναι τα ακόλουθα:

Προσδιορισμός των απαιτήσεων για τακτικό έλεγχο. Προσδιορισμός όλων των απαιτήσεων που αφορούν στη συμμόρφωση, με σκοπό τον αποτελεσματικότερο έλεγχο και την αποφυγή περιπτώσεων συνεχών ελέγχων για παραπλήσιες απαιτήσεις.
Σχεδιασμός ελέγχων σε ετήσια βάση.
Επικοινωνία πλάνων ελέγχων.
Παροχή των προσβάσεων και εργαλείων που απαιτούνται στους υπεύθυνους για τους ελέγχους, προκειμένου η όλη διαδικασία να είναι σύντομη και αποτελεσματική.
Σαφής προσδιορισμός και σχεδιασμός υλοποίησης των διορθωτικών ενεργειών.

Logging off …

Οι συγκεκριμένες απαιτήσεις ασφάλειας μπορεί να φαίνονται ως απόλυτα λογικές, αλλά στην πράξη τις προσπερνάμε. Στην περίπτωση που σχεδιάζουμε ή λειτουργούμε ή θέλουμε να αγοράσουμε υπηρεσίες, οι εν λόγω απαιτήσεις είναι οι ελάχιστες που χρειάζεται λάβουμε υπόψη μας. Ειδικά σε ό,τι αφορά στα Data Centers, κάθε μία από τις απαιτήσεις ασφάλειας χρειάζεται σωστό σχεδιασμό και επιλογή δικλείδων ασφαλείας, ικανών να καλύψουν μεγάλο αριθμό χρηστών και δεδομένων.
Αντίστοιχα, έχει μεγάλο ενδιαφέρον να δούμε πώς ανταποκρίνονται στις εν λόγω απαιτήσεις οι προμηθευτές υπηρεσιών και λύσεων. Έχουν συγκεκριμένη προσέγγιση για Data Centers; Ακόμα και οι περιπτώσεις κανονιστικής συμμόρφωσης αποκτούν επιπρόσθετη πολυπλοκότητα στην περίπτωση των Data Centers.

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
niliopoulos@intellisolutions.gr

Πώς η Microsoft IAM Λύση Διασφαλίζει Απλή και Ασφαλή Διαχείριση Πρόσβασης σε Eταιρικούς Πόρους;

Αναζητώντας τα όρια της προσωπικής ευθύνης της ανώτατης διοίκησης

Η PeS Cybersecurity και η Proofpoint μοιράζονται το όραμα τους για μια ανθρωποκεντρική προσέγγιση στην κυβερνοασφάλεια

Ο Security Leader σήμερα έχει και το ρόλο του coach για την ομάδα του!

The State of Cybersecurity 2024 by Pylones Hellas – Αποτελέσματα και Συμπεράσματα

« 1 αρκεί! » …it only takes one

Κυβερνοασφάλεια για Όλους!

Μικρομεσαίες επιχειρήσεις και κανονιστική συμμόρφωση: ένας αγώνας με σημαντικό έπαθλο

Ευαισθητοποίηση σε Θέματα Ψηφιακής Ασφάλειας: Προτάσεις και Λύσεις για Μικρομεσαίες Επιχειρήσεις

Κυβερνοασφάλεια για τις ΜΜΕ με την Ακαδημία Logstail

Ποια είναι η λύση κυβερνοασφάλειας για εταιρείες με περιορισμένους πόρους: Το MDR!

SMB security made real: Α Fortinet SASE & SOCaaS story

Μικρές και Μεσαίες Επιχειρήσεις: Ο Κύριος Στόχος των Κυβερνοεπιθέσεων Λόγω της Αντιλαμβανόμενης Ευπάθειάς τους

ESET: Ασφάλεια για Όλους – Προστατεύοντας τις μικρές και μεσαίες επιχειρήσεις

WatchGuard ThreatSync + NDR, μία ολοκληρωμένη λύση NDR που απευθύνεται τόσο σε μεγάλα όσο και σε μικρομεσαία δίκτυα

Οι μικρές και μεσαίες εταιρίες δεν απειλούνται από τις κυβερνοεπιθέσεις;

Θωρακίζοντας την επιχείρησή σας στην ψηφιακή εποχή

Εκπαίδευση Ευαισθητοποίησης αντιμετώπισης του phishing

Hybrid Multi-Cloud Υποδομή: Νέες προσεγγίσεις στην ασφάλεια

Η KELA και η Ολοκληρωμένη Προσέγγιση της NIS2

Είναι η Κοινωνική Μηχανική μια Νέα Μορφή Επιθέσεων Μηδενικής Ημέρας (Zero-Day);

Η σημασία του CISO στο Διοικητικό Συμβούλιο

Η Σημασία της Αναφοράς Περιστατικών Κυβερνοασφάλειας από τους Εργαζομένους

Μια οργανική προσέγγιση στο IT Security εμπνευσμένη από τις κοσμοθεωρίες ιθαγενών

Το μέλλον των αδειών λογισμικού: Τάσεις και προβλέψεις για την εξέλιξη των μοντέλων αδειοδότησης λογισμικού τα επόμενα χρόνια

Ο αριθμός των επιθέσεων μέσω email που εντοπίστηκαν στον κυβερνοχώρο αυξήθηκε κατά 239% το 1ο εξάμηνο του 2024

Η Στρατηγική Σημασία της Κυβερνοασφάλειας για τις Ένοπλες Δυνάμεις

Data Center Security: Η ασφάλεια των δεδομένων μας εκτός των τειχών

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Data Center Security: Η ασφάλεια των δεδομένων μας εκτός των τειχών

H εξέλιξη των Data Centers

Tokenization: Η εναλλακτική λύση για την προστασία δεδομένων