1. оцінюємо ризики
2. Почнемо з периметра

Ніч. Телефонний дзвінок. Черговий адміністратор Цода, здригнувшись, знімає трубку і заспаним голосом вимовляє назву хостингової компанії. Дзвонить один з клієнтів, що встановив свої «залізяки» на colocation близько тижня тому.

- У нас проблеми з обладнанням. Схоже, апаратний збій.

- Вам підключити KVM?

- Буде простіше подивитися вживу. Можу я зараз під'їхати?

- Так, звичайно, так буде навіть простіше ...

Адміністратору буде менш клопітно пустити клієнта розбиратися самому, ніж возитися з консоллю. До речі, ставив новий клієнт сервери теж вночі, пославшись на величезну зайнятість. Насправді, коли юніти монтувалися в стійки, проходила перша, підготовча частина операції - збір даних. Скільки людей є в дата-центрі після півночі, як захищений зовнішній периметр (виявилося, що карткової СКУД), як фізично розділені зони різних клієнтів (виявилося, що ніяк), де знаходяться «сліпі зони» відеоспостереження - вся ця інформація була ретельно зібрана і обдумана авантюристами.

Справжньою метою візиту був сервер БД популярного стартапа, пов'язаного з готельним бізнесом, - такого собі доопрацьованого booking.com від вітчизняних майстрів. За два роки сервісом скористалися приблизно 18 000 чоловік. Не так вже й багато, але і не мало: творці впивалися самозамилуванням, але розширювати інфраструктуру ще не було потреби.

Всі клієнти вводили номери своїх банківських карт з CVC-кодами, і ця інформація (суто для зручності користувачів) зберігалася в базі даних. Багато важливого вибовкав сам технічний директор стартапу. Це було на черговому форумі «професіоналів Рунета» в Рубльовському лісі. Знадобилося трохи лестощів, - і він уже, потягуючи віскі в буфеті пансіонату «Лісові далі», самовдоволено розповідав про апаратну частину проекту. Наприклад, що жорсткі диски на сервері БД сконфігуровані в дзеркальний масив RAID 1 з підтримкою «гарячої заміни». Про те, що дата-центр хостера знаходиться в підвалі офісної будівлі, «і вони, звичайно, роздовбали, але точно не відключать сервер за затримку оплати. І до цих хлопців я можу приїхати в будь-який час доби, не замовляючи заздалегідь пропуск ».

Ось наш герой і приїхав вночі. Доклав картку до зчитувача, пройшов через турнікет і застав на місці двох чоловік - заспаного адміністратора і сидить за монітором відеоспостереження нудьгує охоронця. Проїхав слідом за адміном в прохолодне від кондиціонера приміщення з серверними стійками, попросив приєднати до свого юниту монітор і ввів в bash кілька команд. А потім йому знадобився Шуруповерти, за яким він теж звернувся до співробітника Цода. Як тільки адміністратор вийшов, пролунав звук розбитого скла і виття сигналізації - в вікно першого поверху влетіла пляшка з-під пива. Знову ця шпана! Те дзеркала з машини знімуть, то вікно розіб'ють. Охоронець скривився, зробив особа посуровее і пішов розбиратися.

Масив RAID 1 з підтримкою «гарячої заміни» хороший тим, що, якщо витягнути один диск, то на ньому будуть цільні, читаються дані. Користувачі при цьому нічого не помітять. Дійсно, підміну диска в сервері виявили тільки через два тижні, коли неназвані злочинці вже пили коктейлі в Латинській Америці в оточенні дівчат в бікіні. Але навіть після цього популярний стартап заперечував свою причетність до крадіжки кількох мільйонів доларів з тисяч банківських карт. До речі, період перезапису архіву в системі відеоспостереження Цода на той час вже минув. А договір злочинця з хостером був укладений, як з'ясувалося, за вкраденому паспорту.

оцінюємо ризики

Історія вигадана, але цілком могла б відбутися в реальності. Співробітник редакції Security News одного разу бачив, як на colocation ставлять сервери з одним проектом вартістю в пару мільйонів доларів - так ось, серверна ферма знаходилася перед зовнішнім периметром офісної будівлі, де хостер орендував приміщення. І нічого не коштувало залишитися в дата-центрі одному. Але така недбалість, звичайно, - все ж виняток.

Забезпечення безпеки дата-центру - це завжди великий і складний проект. Якщо ви виступаєте інтегратором, то це ваша робота - розібратися в хитросплетіннях специфіки об'єкта. Які системи і підходи потрібні? Як ви (найголовніше) можете допомогти клієнту в досягненні його цілей?

Глибоке розуміння потреб клієнта і формулювання дійсно цінних, економічно вигідних для замовника пропозицій допоможе вам здобути лояльність клієнта на весь час життя рішення. А потім спростить новий продаж.

Шлях до успіху хоча б одного проекту складається з безлічі кроків. Спочатку виконайте (зрозуміло, разом із замовником) оцінку ризиків. За першим начерком експлуатаційних вимог зазвичай проводять аналіз і вибір рішень. Складіть список того, що може підійти для впровадження. Ключовий термін сучасної захисту периметрів - ярусний підхід. Проект з безпеки дата-центру може включати в себе СКУД, відеоспостереження, охоронну сигналізацію, системи протипожежного захисту і контролю безпеки життєдіяльності. Але на цьому він не закінчується. Якщо ви працюєте в благополучній європейській країні, то вам слід зайнятися екологією (наприклад, оптимізувати енергоспоживання і допомогти отримати сертифікат екологічного відповідності) - в Євросоюзі це дасть клієнту податкові відрахування. Політика безпеки, розробка норм і процедур для дата-центру і для всього підприємства, навчання персоналу роботі з системою - все це теж турбота інтегратора. І тільки тепер можна говорити про обслуговування системи.

Один з внутрішніх ярусів фізичного захисту

Почнемо з периметра

Визначення потреб дата-центру в системах технічного захисту вимагає попередньої роботи і великий передбачливості. І почати варто з докладного обговорення ризиків з замовником. Оцінка ризиків повинна застосовуватися як до самого дата-центру, так і до всього будинку (якщо в будинку знаходиться щось ще). Якщо результати правильно сформулювати, то вони стануть чудовою шпаргалкою для проектувальника рішень з фізичної та логічної захисту. Мета захисту периметра - стримувати, виявляти і перешкоджати проникненню.

Пора визначитися з місцями для компонентів. Де будуть камери? Які двері слід захистити Скудо? Скільки потрібно чинників авторизації, щоб відкрити двері? Вибір технології буде вторинним до середовища та архітектури.

...

Повну версію статті «Перетворюємо дата-центр в фортецю. Системи фізичного захисту центрів обробки даних » , Читайте в електронному журналі Security Focus.