18 февраля 2025 года,
Алматы, The Rixos Hotel Almaty       
 

Colocation И/ИЛИ безопасность

Новости

09.04.2019

Одно из наиболее частых возражений потенциальных клиентов услуг colocation касается безопасности. Кажется, что безопаснее держать серверы с данными в соседнем со своим кабинетом помещении, чем в крупном специализированном дата-центре на другом конце города.

Подальше положишь – поближе возьмешь.
Народная мудрость
 
Но действительно ли оборотной стороной бесперебойности и экономии средств при аренде стойки в ЦОДе является повышенная уязвимость данных? Чтобы определить это, рассмотрим возможные сценарии реализации различных угроз. Нас будут интересовать угрозы, связанные с физическим доступом к оборудованию, поскольку для чисто сетевых атак размещение, очевидно, не имеет особого значения.

Сценарий «Разгневанный сотрудник» 

Люди несовершенны. Порой они ведут себя излишне эмоционально и даже аффективно. Например, может случиться так, что того или иного ИТ-специалиста приходится увольнять, причем со скандалом. И если он не будет заблаговременно лишен доступа в серверную комнату предприятия, то оказавшись там, он получит все возможности отключить или вывести из строя ИТ-системы. Возможно, потом он будет сожалеть об акте саботажа, но ущерб уже будет нанесен.
 
Очевидно, что такой сценарий гораздо менее вероятен во внешнем дата-центре, куда еще нужно заказать пропуск и доехать. Да и право заказа пропуска во внешний дата-центр, как правило, есть только у одного-двух ответственных сотрудников организации-клиента.
 
Сценарий «Вынос данных на носителе»
 
Актуальным для злоумышленников способом похищения больших объемов данных остается физический вынос дисков или других носителей. Действительно, современные программные средства защиты информации способны поставить серьезный заслон в виртуальной среде, поэтому остается только вынуть физический диск или переписать данные на съемный.
 
Понятно, что проще выполнить задуманное в собственной серверной, куда «свой» сисадмин имеет неограниченный доступ. Да и своя кладовка укроет «лишний» диск среди запчастей и некондиционных деталей.
 
А вот в коммерческом дата-центре дело злоумышленнику осложнят необходимость получить пропуск, сопровождение сотрудниками ЦОДа до стойки и обратно, и то, что все детали его визита будут задокументированы, в том числе на видеозаписях. 
 
Здесь надо отметить, что серьезные коммерческие дата-центры выстраивают систему безопасности в соответствии со стандартом PCI DSS, принятым в индустрии платежных карт, а этот стандарт требует, чтобы качественные видеозаписи гарантированно хранились не менее 90 суток. 
 
Сценарий «Беспроводная утечка»
 
Одна из опасных атак – нелегальная установка беспроводной точки доступа внутри периметра информационной безопасности ИТ-системы. Через такой «черный ход» можно из укромного места не спеша искать уязвимости, собирать данные для расшифровки и внедрять «трояны». 
 
В «своей» серверной нелегальную точку проще установить и труднее обнаружить, если вокруг развернуты вполне легальные сети своего предприятия и соседей.
 
Практически все операторы коммерческих дата-центров не разрешают клиентам устанавливать беспроводное оборудование, тем более что на удаленной от офиса площадке оно не имеет смысла. А согласно упомянутому выше стандарту PCI DSS, вообще требуется регулярно проводить аудиты для выявления любых несанкционированных беспроводных устройств. Такая проверка облегчается тем, что легальных точек Wi-Fi в специализированном дата-центре минимум и уж расположены они точно не в стойках. Кстати, аналогичным образом в ЦОДе меньше возможностей и для проводных «врезок» -- все выходящие из стоек линии связи платные, они учитываются и отражаются в счетах. 
 
Сценарий «Рейдеры»
 
Конечно, если у группировки, планирующей захват, ресурсы и связи не ограничены, то она возьмет под контроль ИТ-системы и во внешнем дата-центре. Но в любом случае задача захватчиков будет намного сложнее: необходимо синхронно проводить операции и в офисе жертвы, и в дата-центре. А перед этим нужно будет узнать точное место размещения ИТ-систем и войти в сговор с местными правоохранителями. При грубой силовой попытке гарантирован большой скандал на известном публике объекте. Да и службы безопасности других клиентов могут быть вовлечены. В этом плане внешний дата-центр безопаснее своей комнаты точно так же, как банк безопаснее собственного сейфа.
 
Можно, конечно, и в своей серверной добавить замков, решеток и бронированных дверей. Но заметим, что установка дополнительного ограждения вокруг стоек клиента – стандартная услуга внешнего дата-центра. Некоторые клиенты устанавливают внутри этого контура и собственное видеонаблюдение с выводом на пульт своей охраны. 
 
Сценарий «Пожар или наводнение»
 
Если серверная комната расположена в офисном или производственном здании, то пожарная безопасность и защита от прочих ЧС будет не выше, чем у всего здания. Статистика повреждений ИТ-систем огнем показывает, что в подавляющем большинстве случаев причиной становится возгорание в соседних помещениях.
 
Крупные дата-центры расположены в специализированных или специально реконструированных зданиях. Здесь гораздо строже соблюдается противопожарный режим, поскольку «человеческий фактор» вместе с офисной частью отделен от серверных залов, а специально назначенные сотрудники следят и за порядком, и за состоянием противопожарных систем.
 
Места для дата-центров выбирают с учетом исторической карты затоплений, и стараются разместить их вне зоны «100-летнего наводнения». А на случай длительного отключения электричества, сопровождающего ЧС, в дата-центре имеется значительный запас дизельного топлива для ДГУ, тогда как даже в крупных офисных центрах автономные генераторы обеспечивают эвакуацию, но не продолжение нормальной работы.
 
* * *
 
Грамотное использование возможностей крупного специализированного дата-центра позволяет существенно поднять уровень физической защищенности от всех угроз. В любом случае этот уровень будет выше, чем внутри здания организации-заказчика, если только последняя не инвестировала значительные средства в создание внутри себя целой независимой и непрофильной структуры. Хорошим индикатором качества системы безопасности при выборе дата-центра будет действующий сертификат PCI DSS -- даже для клиента, не связанного с платежными картами.
 

Михаил Золотарев, начальник отдела управления проектами, Xelent
 

СПОНСОРЫ И ПАРТНЕРЫ 2025

Золотой спонсор
Серебряный спонсор
Партнёр выставки