Основы безопасности ИТ-инфраструктуры и немного о Zero-Trust

Одна из ключевых характеристик любой корпоративной ИТ-инфраструктуры – её безопасность. Если система не будет надежно защищена, никто не будет интересоваться вашими конкурентными преимуществами, насколько бы выдающимися они не были. В этой статье повторяем основы физической и информационной безопасности в IT и говорим о плюсах и минусах модного нынче Zero-Trust.

Биометрический сканер - тоже элемент защиты ИТ-инфраструктуры<br />Фото из дата-центра Ixcellerate MOS2
Биометрический сканер - тоже элемент защиты ИТ-инфраструктуры
Фото из дата-центра Ixcellerate MOS2

Безопасность информационной инфраструктуры компании есть сложнейшая и комплексная задача. Сейчас, когда информационные технологии прочно вошли в нашу жизнь и используются повсюду, аспектам безопасности необходимо уделять самое пристальное внимание в течение всего периода функционирования ваших мощностей.

В последнее время столкновения со случаями невысокой “боевой готовности” в сфере ИБ случаются всё чаще, причем наблюдаются такие инциденты и на базовых уровнях (угрозы несанкционированного физического доступа к серверному оборудованию), так и на более высоких (отсутствие в сетях компаний таких вещей как RBAC, отсутствие шифрования дисков и т.д.) . Это связано как с банальной (и пугающей) халатностью персонала, так и с изменившимися правилами игры в современных информационных системах, адаптироваться к которым многие компании просто не успевают.

Раньше специалисты по информационной безопасности видели свою задачу в создании максимально надежного барьера между Интернетом и корпоративной сетью. Они были склонны считать находящуюся под их опекой инфраструктуру безопасной по умолчанию, а большой Интернет – как источник угрозы, и такой подход был оправдан. Сегодня же концепция периметра более недостаточна, поскольку даже самые сложные системы могут быть подвергнуты взлому, а в ряде случаев злоумышленники атакуют ресурсы изнутри компании, в обход защиты.

Концепции систем безопасности изменились в новых условиях, а успели за ними не все. Но об этом чуть позже.

Начать обзор инструментов безопасности следует с краеугольного камня - физической защиты.

  • Помните об основах

Физическая защита ИТ-инфраструктуры

В погоне за виртуальными уязвимостями и обсуждениями очередных политик безопасники иногда забывают об угрозах банальных краж и вмешательствах в работу оборудования на уровне “железа”. Порой это приводит к забавным ситуациям. Вот реальный эпизод из жизни – в то время как сотрудники центрального офиса были по уши зарегулированы требованиями своей СБ, в филиале компании доступ в серверную комнату с улицы осуществлялся только с помощью четырехзначного пароля на входной двери, причем за десять лет, как мне известно, эта комбинация не менялась ни разу.

Чтобы обеспечить физическую безопасность ИТ-инфраструктуры должным образом, следует:

  • Разместить оборудование в защищенном от неавторизованного доступа помещении (доступ только по биометрии или пропускам, видеонаблюдение, закрытые серверные стойки с выдачей ключей только под роспись и т.д.).
Ограждение – пример дополнительных мер физической защиты серверов, фото: ixcellerate.ru
Ограждение – пример дополнительных мер физической защиты серверов, фото: ixcellerate.ru
  • Обеспечить резервирование в подаче электроэнергии (дополнительные линии питания, ИБП, генераторы), резервирование по сети и по холоду (резервные кондиционеры, чиллеры и т.д) .
  • Обеспечить систему предупреждения о пожаре и систему пожаротушения
  • Обеспечить резервирование СКС.
  • Вообще, при организации резервирования кабелей важно помнить о правиле двух ковшей экскаватора:
Статистика причин повреждений и простоев в работе ВОЛС. Источник: nag.ru
Статистика причин повреждений и простоев в работе ВОЛС. Источник: nag.ru
  • Осуществлять мониторинг состояния объекта и оборудования, включая постоянное наблюдение за доступом персонала к оборудованию, вести журналы событий и доступа, периодически проводить проверки.

Для выполнения всех этих требований целесообразно разместить оборудование в хорошем ЦОДе. При соблюдении всего комплекса мероприятий можно считать, что инфраструктура физически защищена.

Защита учетных данных пользователей

Если верить отчету Verizon об исследовании утечек данных за 2015 год, то в 95% случаев утечек также наличествовал факт утечки учетных данных. Очевидно, что данные авторизации и проверки подлинности пользователей (логины, пароли, токены доступа) должны быть надежно защищены в первую очередь. Защитить учетные данные можно с помощью:

  • Использования служб управления идентификацией наподобие Active Directory.
  • Мультифакторной аутентификации (MFA). При авторизации, помимо пароля, пользователь должен выполнить дополнительное действие для успешного входа: ввести код из СМС, ответить на телефонный звонок, подтвердить личность с помощью биометрии.
Google Authenticator - популярное приложение для двухфакторной аутентификации
Google Authenticator - популярное приложение для двухфакторной аутентификации
  • Внедрения доступа на основе ролей (RBAC), причем роли должны назначаться, исходя из принципов минимальных привилегий. Таким образом, даже если один из пользователей будет скомпрометирован, злоумышленник не получит полного доступа к инфраструктуре.
  • Внедрения политик паролей, регламентирующих минимальную длину пароля и максимального количества попыток входа в систему.
  • Включения уведомлений о входе в систему.
  • Запрета на совместное использование учетных записей персоналом. Сложно выяснить сразу, какой именно сотрудник использует аккаунт в данный конкретный момент и какие действия он производит.

Однажды из-за совместного использования одной учетной записи тремя (!) сотрудниками более двух дней не получалось понять, кем и с какой целью были произведены изменения в базу учета компьютерного оборудования. Проверка показывала, что было списано несколько единиц, но выявить конкретного работника и получить от него объяснение удалось далеко не сразу – это потенциальный инцидент утери оборудования.

  • Использования более сложных паролей.

Безопасность сетей

Контролировать доступ к сетевым ресурсам так же важно, как и учетные данные пользователей. Это ключевой элемент информационной безопасности одинаково важен и в on-premises инфраструктуре, и в облаке. Основные действия защиты сетей можно разделить на три уровня: уровень управления сетевыми устройствами, контроля трафика в адрес сетевых устройств и уровень транзитных данных .

Действия на уровне управления сетевыми устройствами

  • Применение политики паролей, включая такие функции, как максимальное количество входов в систему, количество попыток и минимальная длина пароля.
  • Применение RBAC с минимально необходимыми привилегиями.
  • Установка точного времени на всех устройствах, используя NTP.
  • Использование зашифрованной версии протокола SNMP
  • Контроль за сеансами управления сетевыми устройствами. Сеансы должны устанавливаться только с доверенных IP-адресов.
  • Хранения системного журнала в зашифрованном виде, не открытым текстом.

Действия на уровне контроля трафика в адрес сетевых устройств

На этом уровне рассматриваются действия для защиты сетевых устройств от нежелательного трафика, направленного в адрес сетевого устройства непосредственно. Несмотря на то, что пересылка пакетов (трафик) относится к следующему уровню, уровню данных, если пакет поступает в адрес непосредственно сетевого устройства (служебный трафик), это уже не транзитный пакет, который просто перенаправляется путем поиска информации в кэше маршрутов. Вместо этого сетевое устройство (роутер, L3-свитч) тратит определенное количество времени на инспекцию пакета. Если таких пакетов послано много, то у роутера может просто не хватить ресурсов для нормальной работы.

Чтобы избежать перегрузки устройства нетранзитным трафиком, можно использовать:

  • Control Plane Policing. Политика превентивной защиты от сетевых атак, CoPP фильтрует и ограничивает трафик, поступающий на маршрутизатор.

Действия на уровне транзитных данных

На этом уровне рассматриваются действия касательно данных, проходящих через сетевое устройство, а не в его адрес. Для обеспечения безопасности на этом уровне используйте следующие действия:

  • Блокируйте нежелательный трафик пакетов. С помощью ACL (списков доступа) можно запретить весь трафик, который не разрешен явно – это наиболее безопасный вариант.
  • Ограничьте полосу пропускания для определенных протоколов, которые могут быть использованы в DoS-атаках, например, ICMP.

Конечно, также не рекомендуется забывать про разбивание большой сети на несколько логических подсетей (VLAN), не использовать стандартные порты, применять сети ДМЗ для дополнительного уровня безопасности между Интернетом и вашими ресурсами. Если некоторые сотрудники компании работают удаленно, то особенно важно обеспечивать подключение к корпоративным ресурсам через VPN.

Безопасность данных

Система защиты данных должна минимизировать риски как несанкционированного хищения и раскрытия данных, так и их порчи или утери, как случайных, так и преднамеренных. Чтобы защитить файлы, можно использовать следующие инструменты:

  • Шифрование дисков. Даже если файлы с диска удастся похитить, без ключа получить доступ к данным не получится. Целесообразно внедрять политику шифрования дисков на компьютерах сотрудников, для Linux можно использовать dm-crypt, для Windows – BitLocker.
  • Управление ключами. После того, как вы выполнили шифрование, рекомендуется использовать специализированные решения по хранению ключей, чтобы они не были скомпрометированы.
  • Резервные копии. Регулярно выполняйте резервное копирование, сохраняя бэкапы в разные компоненты вашей инфраструктуры, изолированные друг от друга (сохранения следует делать в независимых друг от друга хранилищах, серверных стойках, возможно, даже в разных дата-центрах). Даже если одна из копий будет недоступна, доступ к остальным сохранится.
  • Используйте SSL-сертификаты. SSL-сертификаты защищают данные, передаваемые между пользователями и системами.

Защита конечных точек

Всё возрастающее количество конечных устройств: ноутбуков, смартфонов и IoT-устройств, подключенных к ИТ-инфраструктуре, повышают вероятность несанкционированного доступа к данным именно через них, используя вредоносные файлы, различные ошибки пользователей и фишинг.

  • Используйте антивирусы на устройствах. Хороший антивирус особенно необходим на устройствах, работающих удаленно, не в локальной сети офиса. Вовремя обновляйте базы данных сигнатур.
  • В обязательном порядке устанавливайте пароль на ваши устройства.
  • Применяйте уже упомянутое выше шифрование дисков.
  • Обучайте сотрудников базовым правилам безопасного поведения в сети: не переходить по подозрительным ссылкам, не использовать один пароль в нескольких местах, не подключаться к непроверенным Wi-Fi точкам, не реагировать на спам.
  • Концепция безопасности Zero-Trust, и почему про нее важно знать

В первом разделе освещались практики, относящиеся к концепции периметра. Эта концепция строится на мысли, что есть большой Интернет, из него идут угрозы и как следствие, он не считается доверенным, и есть локальная сеть компании, которая безопасна. Локальная сеть состоит из ресурсов, физически находящихся в офисе, с ними работают строго определенные сотрудники, которые знают друг друга лично, приходят в офис на работу каждый день, проживают примерно в одном месте и так далее. Словом, сотрудникам можно доверять из-за их постоянной физической доступности. Элементы ИТ-инфраструктуры компании (в том числе элементы безопасности: файерволы и прочее) также доступны физически. Уровень доверия в таком случае действительно позволяет считать локальную сеть безопасной и пользоваться концепцией периметра.

Как было упомянуто во введении, сейчас ситуация изменилась. В последние годы всё бóльшее распространения получает удаленная работа, облачные сервисы и IoT, и что получается в итоге? Cотрудники больше не приходят в офис и в некоторых случаях работают даже с территории другой страны - их физической доступности больше нет. Облачные ресурсы также не могут контролироваться на том уровне, как on-premises оборудование. Датчики и сенсоры системы IoT могут быть разнесены в пределах широкой географии, и их контроль в силу этого опять же недостаточен. Доверенная зона всё больше “размывается”, и проникнуть в нее становится проще.

Все более модной в последнее время становится концепция “нулевого доверия” или Zero-Trust. Она рассматривает элементы инфраструктуры без разделения на внешние и внутренние. Вместо этого Zero-Trust предполагает запрашивание аутентификации каждого пользователя при каждом действии в системе.

Три принципа модели нулевого доверия:

  • Всегда проверяйте разрешение на доступ

Каждый запрос пользователя должен начинаться с авторизации и подтверждения его прав на него.

  • Применяйте наименее привилегированный доступ

Набор разрешений для каждого пользователя должен позволять ему выполнять только необходимые для его работы действия.

  • Всегда предполагайте нарушение доступа

Каждая операция в системе – угроза, пока достоверно не доказано обратное.

Источник: Microsoft “Zero Trust Essentials eBook”
Источник: Microsoft “Zero Trust Essentials eBook”

Плюсы Zero-Trust

Концепция нулевого доверия уменьшает риски несанкционированных проникновений в ИТ-инфраструктуру. Кроме того, поскольку местонахождение пользователей и ресурсов в этой модели не является основанием для утверждения таковых как “доверенные”, то с Zero-Trust возможен быстрый перевод сотрудников на удаленную работу и перенос ресурсов в облако без пересмотра политик безопасности.

Минусы “нулевого доверия”

Внедрение концепции внезапно может быть гораздо дороже, чем представлялось изначально, и длиться очень долго. Препонами на пути к успеху станет устаревшее оборудование и дефицит специалистов по имплементации и поддержке новых решений безопасности, поэтому подходить к задаче следует после оценки своих сил и тщательного взвешивания “за” и “против”.

Кроме того, Zero-Trust как главенствующий принцип безопасности существенно снижает скорость всех бизнес-процессов – потребуется тратить время на многочисленные проверки. Важно решить, что важнее в конкретной ситуации: скорость или безопасность? Возможно, золотой серединой станет частичное внедрение модели, например, в определенном отделе.

Также есть интересное мнение, что внедрение Zero-Trust несет в себе еще один недостаток чисто управленческого характера – такая модель подразумевает повсеместное участие отдела информационной безопасности в жизни компании на всех уровнях. Выражаясь фигурально, в руках отдела ИБ собирается слишком много кнопочек “permit-deny”, влияющих на всех остальных сотрудников. Получив такое количество власти, безопасники могут начать “тянуть одеяло на себя” в компании, что негативно скажется на бизнесе. Возможно, о таком смешно думать в компании на несколько десятков человек с небольшим ИБ-отделом, а вот в крупных конторах на несколько тысяч сотрудников, где ИБ может представлять вполне себе “государство в государстве”, этот сценарий вполне возможен.

III. Заключение

К сожалению, не существует “волшебной таблетки”, решения, гарантирующего стопроцентную защиту ИТ-инфраструктуры на всех уровнях. Необходимо индивидуально подходить к безопасности, используя как концепцию периметра для традиционных систем, так и более новые методики.

Zero-Trust это интересная концепция, но она может быть неприменима под вашу задачу или нереализуема в вашей системе. Не следует внедрять решения, просто следуя моде – мода пройдет, а последствия от недостаточно просчитанных действий останутся надолго.

Как бы там ни было, нельзя не решать проблемы безопасности вашей ИТ-инфраструктуры. Многие компании (преимущественно бюджетные) из-за невозможности обеспечить адекватную защиту в итоге физически изолируются от Интернета или частично снижают степень информатизации (зачастую и так невеликую), что редко хорошо сказывается на росте бизнеса. Другой малоприятный, но нередко встречающийся вариант – из-за проблем с безопасностью не внедряются многие перспективные решения. Например, компания может нуждаться в развитой системе датчиков для мониторинга на производстве, однако неуверенность в собственной защите не дает реализовывать такие проекты.

NETRACK - аренда и размещение серверного оборудования в дата-центрах Tier-3. Выполняем сложные инфраструктурные проекты. Предлагаем в аренду серверы INTEL XEON SILVER и GOLD с размещением в дата-центрах по оптимальным ценам. Более 10 лет мы помогаем расти бизнесу наших клиентов. Среди них - многие известные компании: Kaspersky, tutu.ru, Rutube, Amediateka, Dostavista, Profi.ru, Ostrovok.ru, GFN.RU

33
реклама
разместить
Начать дискуссию