24/01/2021

Data Centers και ασφάλεια

Γράφτηκε από: Αποστολόπουλος Παναγιώτης
Σήμερα τα προσωπικά δεδομένα των χρηστών θεωρούνται πιο πολύτιμα ακόμα και από τις ίδιες τις ηλεκτρονικές συσκευές. Είναι τόσο πολύτιμα για τους ανθρώπους, τις επιχειρήσεις και τις χώρες που πλέον θεωρούνται κινητήριος μοχλός της ψηφιακής οικονομίας.

Σήμερα τα προσωπικά δεδομένα των χρηστών θεωρούνται πιο πολύτιμα ακόμα και από τις ίδιες τις ηλεκτρονικές συσκευές. Είναι τόσο πολύτιμα για τους ανθρώπους, τις επιχειρήσεις και τις χώρες που πλέον θεωρούνται κινητήριος μοχλός της ψηφιακής οικονομίας.

Για τους κυβερνοεγκληματίες, τα δεδομένα είναι ένα ανταλλάξιμο και εμπορεύσιμο αγαθό, καθώς μπορούν να κλέψουν πολύτιμα στοιχεία και να τα χρησιμοποιήσουν σε παράνομες δραστηριότητες. Για παράδειγμα, μπορούν να εκμεταλλευτούν online οικονομικά δεδομένα ή να εμποδίσουν την πρόσβαση σε κρίσιμες πληροφορίες και να απαιτήσουν λύτρα από το χρήστη, τις επιχειρήσεις, ακόμα και μεγάλους διεθνείς οργανισμούς.

Τα κέντρα δεδομένων-Data Centers, επομένως, απαιτούν ισχυρή προστασία. Η φυσική ασφάλεια ενός Data Center είναι ζωτικής σημασίας, καθώς οποιαδήποτε παραβίαση θα μπορούσε να οδηγήσει σε τεράστιες απώλειες. Τα πρότυπα ασφάλειας ενός κέντρου δεδομένων και η συμμόρφωση με αυτά, είναι πιο κρίσιμα τώρα από ποτέ. Πως όμως θα προστατεύσουμε αποτελεσματικά ένα χώρο που κρατά και διαχειρίζεται τόσα πολλά δεδομένα; Αυτό το άρθρο διερευνά απειλές, προκλήσεις και βέλτιστες πρακτικές για την προστασία των σύγχρονων Data Centers.

Τι είναι τα Data Centers;

Στην απλούστερη μορφή του, ένα Data Center (κέντρο δεδομένων) είναι μια φυσική εγκατάσταση που χρησιμοποιούν οι οργανισμοί για να φυλάξουν τις κρίσιμες εφαρμογές και τα δεδομένα τους. Σκοπός του είναι να αποθηκεύει, να επεξεργάζεται και να διαμοιράζει μεγάλες ποσότητες δεδομένων σε πελάτες, όπως για παράδειγμα μια ιστοσελίδα του διαδικτύου. Ο σχεδιασμός ενός κέντρου δεδομένων βασίζεται σε ένα δίκτυο πόρων υπολογιστών και αποθήκευσης που επιτρέπουν την παράδοση κοινών εφαρμογών και δεδομένων. Τα βασικά στοιχεία ενός σχεδιασμού κέντρου δεδομένων περιλαμβάνουν routers, switches, firewalls, συστήματα αποθήκευσης, servers και ελεγκτές παράδοσης εφαρμογών. Επειδή τα στοιχεία αυτά αποθηκεύουν και διαχειρίζονται κρίσιμα για την επιχείρηση δεδομένα και εφαρμογές, η ασφάλεια του κέντρου δεδομένων είναι ένας ζωτικής σημασίας παράγοντας για τη σχεδίασή του. Επιπλέον, παρέχουν υποδομή δικτύου, υποδομή αποθήκευσης και υπολογιστικούς πόρους.

Τα σύγχρονα κέντρα δεδομένων είναι πολύ διαφορετικά σε σχέση με το πρόσφατο παρελθόν. Οι εσωτερικά εγκατεστημένοι παραδοσιακοί servers έχουν αντικατασταθεί από εικονικά δίκτυα που υποστηρίζουν εφαρμογές και φόρτους εργασίας σε περιβάλλοντα πολλαπλών δυνατοτήτων. Σήμερα, τα δεδομένα υπάρχουν και συνδέονται σε πολλαπλά Data Centers, σε δημόσια και ιδιωτικά Cloud.

Απειλές και Πρότυπα ασφαλείας

Τα κέντρα δεδομένων φιλοξενούν συνήθως ένα σημαντικό αριθμό συσκευών φυσικής ασφάλειας σε μία σχετικά μικρή περιοχή, κάτι που μπορεί να αποτελέσει πρόκληση στους εκάστοτε διαχειριστές. Ολοένα και περισσότερες εταιρείες στρέφονται στην απομακρυσμένη εργασία και στην αποθήκευση κρίσιμων δεδομένων μέσω του cloud-και κατά συνέπεια, προς αυτά τα κέντρα δεδομένων. Οι επιχειρήσεις χρησιμοποιούν όλο και περισσότερο το cloud ως μέρος της εταιρικής τους υποδομής. Αυτό καθιστά τα δεδομένα που βασίζονται στο cloud έναν ελκυστικό στόχο για τους επιτιθέμενους. Δυστυχώς, τα τελευταία χρόνια υπήρξαν πολλές περιπτώσεις, όπου η αποτυχία ορθής ρύθμισης της αποθήκευσης στο cloud έθεσε τα δεδομένα σε κίνδυνο. Μεγάλο μέρος της δραστηριότητας των εγκληματιών στον κυβερνοχώρο εξακολούθησε να επικεντρώνεται στην κλοπή τραπεζικών διαπιστευτηρίων, την εκβιαστική εξασφάλιση χρημάτων μέσω ransomware, και την εξόρυξη κρυπτονομισμάτων με τη χρήση της επεξεργαστικής ισχύος των θυμάτων τους, καθώς και τη διενέργεια άμεσων επιθέσεων κατά τραπεζικών υποδομών, συστημάτων PoS και άλλων εταιρικών πόρων.

Ένα Data Center οφείλει να λαμβάνει όλα τα απαιτούμενα μέτρα για την ασφάλεια των δεδομένων που χειρίζεται, συμπεριλαμβανομένων και των προσωπικών δεδομένων των πελατών, με βάση τις βέλτιστες διεθνείς πρακτικές, επενδύοντας συστηματικά στις υποδομές της, στην οργάνωσή της και στην ευαισθητοποίηση του προσωπικού της. Η μη συμμόρφωση με τα εν λόγω πρότυπα μπορεί να οδηγήσει σε τεράστια πρόστιμα. Μερικά από τα βασικά πρότυπα συμμόρφωσης ενός κέντρου δεδομένων είναι:

ISO/IEC 27001: Είναι το διεθνές πρότυπο για την ασφάλεια πληροφοριών που έχει αυστηρές απαιτήσεις σε όλους τους τομείς που επηρεάζουν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών και των δεδομένων, από τη φυσική ασφάλεια των εγκαταστάσεων, τη διαχείριση του ανθρωπίνου δυναμικού, τις διαδικασίες λειτουργίας και οργάνωσης, τις σχέσεις με συνεργάτες, πελάτες και τρίτα μέρη, τη συμμόρφωση με νομικές και κανονιστικές απαιτήσεις, μέχρι την ασφάλεια των υποδομών πληροφορικής και επικοινωνιών, τη συνεχή εκπαίδευση και ευαισθητοποίηση του προσωπικού, το χειρισμό περιστατικών ασφαλείας και το σχεδιασμό επιχειρησιακής συνέχειας.

ISO 20000: Η εφαρμογή του ISO 20000 και η πιστοποίηση από την LR επιτρέπει στον οργανισμό σας να αποδείξει ότι οι υπηρεσίες πληροφορικής που παρέχει εναρμονίζονται με τις βέλτιστες πρακτικές του κλάδου. Το πρότυπο βασίζεται στις εργασίες του Office of Government Commerce (OGC) και του IT Infrastructure Library (ITIL). Παρέχει στους πελάτες σας τη σιγουριά ότι οι υπηρεσίες πληροφορικής που παρέχετε ακολουθούν ένα διεθνώς αποδεκτό πλαίσιο. Η πιστοποίηση ISO 20000 μπορεί να βοηθήσει στη βελτίωση της φήμης του οργανισμού σας και να σας κάνει να ξεχωρίσετε από τους ανταγωνιστές σας. Ενισχύοντας την αξιοπιστία και την εμπιστοσύνη στην ικανότητά σας να διαχειρίζεστε αποτελεσματικά τις υπηρεσίες πληροφορικής που προσφέρετε, αυξάνετε τις πιθανότητες για νέες επιχειρηματικές ευκαιρίες.

HIPAA: Οι πάροχοι υπηρεσιών υγείας στις ΗΠΑ χρειάστηκε να λάβουν αυστηρά μέτρα για να προστατεύσουν τα ευαίσθητα προσωπικά δεδομένα που επεξεργάζονται με στόχο να ικανοποιήσουν τις απαιτήσεις συμμόρφωσης με τoν Health Insurance Portability and Accountability Act ή αλλιώς HIPAA. O HIPAA αποτελεί έναν αμερικανικό νόμο που αποσκοπεί στην διαμόρφωση προτύπων ιδιωτικότητας αναφορικά με την προστασία των ιατρικών αρχείων και άλλων πληροφοριών των ασθενών, τα οποία παρέχονται στους γιατρούς, τα νοσοκομεία και άλλους παρόχους υπηρεσιών υγείας.

PCI DSS: Το διεθνές πρότυπο ασφαλείας Payment Card Industry Data Security Standard (PCI DSS) έχει δημιουργηθεί από τους Διεθνείς Οργανισμούς Πληρωμών (Visa, MasterCard κ.ά.). Ορίζει συγκεκριμένες προδιαγραφές ασφαλείας με τις οποίες πρέπει να συμμορφώνονται οι εμπορικές επιχειρήσεις που δέχονται, επεξεργάζονται, αποθηκεύουν ή μεταδίδουν δεδομένα καρτών πληρωμής. Οι προδιαγραφές του PCI DSS αφορούν:

  • Τις διαδικασίες πληρωμής.
  • Τα συστήματα πληροφορικής και λογισμικού.
  • Οτιδήποτε άλλο αξιοποιείται στην επεξεργασία, αποθήκευση ή μετάδοση δεδομένων.

Επιχειρήσεις και φυσική ασφάλεια

Το Α και το Ω μίας επιχείρησης είναι η φυσική ασφάλεια στο χώρο που βρίσκονται οι server της εταιρίας. Για την ακρίβεια πριν ακόμα ενεργοποιήσουμε τον server, θα πρέπει να βεβαιωθούμε πως στον χώρο που είναι τοποθετημένος υπάρχουν καλές κλειδαριές. Ωστόσο ακόμα και η καλύτερη κλειδαριά στον κόσμο δεν είναι αρκετή, καθώς θα πρέπει να χρησιμοποιηθούν και «πολιτικές», οι οποίες θα καθορίζουν ποιος έχει το κλειδί-κωδικό πρόσβασης για να εισέλθει. Ένα server room είναι η καρδιά του δικτύου και κάποιος με φυσική πρόσβαση στο δωμάτιο του διακομιστή, μπορεί διαχειριστεί τους διακόπτες, τους δρομολογητές, τα καλώδια και άλλες συσκευές, κάνοντας τεράστια ζημιά.

Το κλείδωμα της πόρτας είναι ένα καλό πρώτο βήμα, ωστόσο κάποιος που έχει εξουσιοδοτημένη πρόσβαση μπορεί να δημιουργήσει προβλήματα. Επίσης, είναι επιτακτική ανάγκη να γνωρίζουμε ποιος εισέρχεται και ποιος εξέρχεται από τον προστατευόμενο χώρο και για να επιτευχθεί αυτό, δεν αρκεί απλά ένα ημερολόγιο, καθώς υπάρχουν πολλά μειονεκτήματα. Η καλύτερη λύση είναι ένα σύστημα ελέγχου πρόσβασης/ταυτότητας μέσω καρτών προσέγγισης ή βιομετρικών χαρακτηριστικών (δακτυλικό αποτύπωμα, σάρωση προσώπου, κ.ά.) το οποίο θα επιτρέπει την πρόσβαση μόνο σε εξουσιοδοτημένα άτομα και θα καταγράφει την ακριβή ώρα και ημερομηνία που έχουν εισέλθει στον προστατευόμενο χώρο. Επιπρόσθετα, η τοποθέτηση μίας κάμερας σε συνδυασμό με τα συστήματα ελέγχου πρόσβασης μόνο οφέλη μπορούν να δώσουν στους αρμόδιους ασφαλείας, καθώς οι νέες τεχνολογικές προσθήκες και καινοτομίες που φέρνουν, δυσχεραίνουν την πρόσβαση σε ένα προστατευόμενο δωμάτιο, ακόμα και σε ένα ολόκληρο κτήριο. Ειδικότερα, μία κάμερα μπορεί να ξεκινήσει την εγγραφή όταν ανιχνεύσει ένα άτομο και να αποστείλει φωτογραφικό υλικό, βίντεο, ακόμα και ειδοποιήσεις στο smartphone ή μέσω ηλεκτρονικού ταχυδρομείου. Ακόμα η κάμερα μπορεί να πραγματοποιήσει και λειτουργία καταμέτρησης ατόμων, καθώς και αναγνώρισης προσώπου, για να ειδοποιηθούν οι αρμόδιοι ασφαλείας σε περίπτωση που ένα ανεπιθύμητο άτομο προσπαθήσει να παραβιάσει ένα χώρο/δωμάτιο. Ιδιαίτερη μνεία θα πρέπει να γίνει και στα συστήματα συναγερμού και πυρασφάλειας. Τα εν λόγω συστήματα είναι υπεύθυνα για την προστασία κατά της πυρκαγιάς και της εισβολής και μπορούν επίσης να συνδυαστούν με συστήματα παρακολούθησης και συστήματα access control, για την αυτόματη καταγραφή της δραστηριότητας ενός ατόμου. Επίσης τα συστήματα συναγερμού περιλαμβάνουν και αμφίδρομη επικοινωνία, η οποία επιτρέπει την ανταλλαγή πληροφοριών μεταξύ του πίνακα και του σταθμού παρακολούθησης.

Η βέλτιστη πρακτική για την διασφάλιση των δεδομένων στα Data Centers, είναι ο συνδυασμός φυσικών μέτρων και μέτρων προστασίας στον κυβερνοχώρο. Η συμμόρφωση με τα πρότυπα ασφαλείας, η τεχνογνωσία και η σε βάθος γνώση των πραγματικών απειλών, είναι εξίσου απαραίτητα στοιχεία για την διασφάλιση αυτών των πληροφοριών.

Κατηγορία Τεύχος 111, IT Security

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Libra Press © Copyright 2020 | All Rights Reserved
Dual Design
Κάντε εγγραφή στο ενημερωτικό δελτίο μας για να λαμβάνετε τα νέα μας, τις αποκλειστικές ειδήσεις και τις καταπληκτικές προσφορές από το χώρο των συστημάτων ασφαλείας.