Как украинские провайдеры обеспечивают безопасность и надежность хостинга

1253373

Рассмотрим некоторые элементы защиты дата-центров, их вероятные реализации и целесообразность использования в разных ситуациях.

1253373 800x533 Как украинские провайдеры обеспечивают безопасность и надежность хостинга

Украинские провайдеры и обеспечение безопасности

Нулевой рубеж обороны

Нулевой рубеж обороны — сокрытие общей структуры сети, то есть имитационная защита. Особое ПО эмулирует разные сетевые сегменты, уязвимости и сервера. Постоянный контроль за всякими атаками на несуществующую сеть дает возможность обнаружить источники угроз. С иной стороны имитационная защита всегда вводит в заблуждение агрессоров, а также затрудняет определение структуры системы, планирование атак.

Первый рубеж защиты

Первый рубеж защиты — это детектор вторжений, IDS. Выполняя анализ входящего трафика, такая система отслеживает появление всех сигнатур известных разновидностей атак. В ряде случаев инсталлируется механизм адаптивной защиты, в котором при обнаружении конкретных сигнатур выполняется изменение перечней доступа на сетевом экране.

Таким образом, делается быстрое блокирование самого источника атаки. Причем целесообразно ограничивать количество проверяемых сигнатур. Это позволяет повысить быстродействие и уменьшить возможность ложных тревог.

Снижение количества найденных атак компенсируется использованием дополнительных механизмов обнаружения вторжений именно в локальных контурах защиты.

Следует заметить, что с применением IDS связано много проблем. Прежде всего, это ложные срабатывания. Такая ситуация наблюдалась в момент «эпидемии» NIMDA и Code Red . Эта проблема решается, однако возможность подобных событий всегда нужно иметь в виду.

Украинские провайдеры хостинга, которые занимаются «классическим» виртуальным хостингом, аппаратные IDS фактически не применяют, прежде всего из-за дороговизны. Легкие программные детекторы также применяются достаточно редко, поскольку они требуют больших системных ресурсов.

Анализ трафика выполняется при потребности «в ручную», с применением приложений вроде tcpdump. Главная масса атак отслеживается при качественном анализе журнальных файлов.

В современных дата-центрах использование как аппаратных, так и программных IDS является сегодня неизбежным.

a70253925432735ab6852f7154ec1fe1 800x625 Как украинские провайдеры обеспечивают безопасность и надежность хостинга

Второй уровень защиты

Второй уровень защиты — обязательное разделение зон безопасности, которые закрыты специальными сетевыми экранами, а также разделение всего трафика за счет применения особых виртуальных сетей VLAN. Трехуровневую структуру можно считать типичным решением. Межсетевые экраны — это уже хорошо описанный стандарт. Виртуальные сети в классическом хостинге применяются существенно реже — как правило в силу другой структуры сети и упоре именно на виртуальный хостинг.

Изоляция клиентского трафика в системах UNIX виртуального хостинга решается специальными программными средствами.

Настраивание межсетевых экранов при сложной структуре сети считается нетривиальной задачей. В общем, применяется принцип «запрещено все то, что не разрешено».

Из прочих способов защиты, применение которых неизбежно, необходимо выделить антивирусную защиту. Оптимальным решением считается антивирусный централизованный мониторинг, при этом выбор ПО здесь довольно широк и зависит от финансовых возможностей и вкуса.

Касательно антивирусного контроля почты с автоудалением зараженных сообщений, это вещь сомнительная. Многие предпочитают почту получать в неизменном виде. Не всегда приятно, если антивирусная система просто молча «съедает» сообщения, которые содержат, допустим, сигнатуры вирусов либо сообщения пользователя о возможности атаки с подозрительным прикрепленным файлом.

С иной стороны, слабый «гигиенический» уровень подавляющего большинства пользователей и регулярные атаки вирусов вирусный контроль пользовательских ящиков почты делает желательным.

По крайней мере у пользователя всегда должен быть выбор, и для различных категорий пользователей должны использоваться разные виды реагирования.

Анализ журнальных файлов — неотъемлемая часть системы безопасности в независимости от уровня и класса компании, и на нем нет никакого смысла останавливаться.

google data 03 Как украинские провайдеры обеспечивают безопасность и надежность хостинга

Контроль доступа

Контроль доступа, идентификация пользователей — также обязательная часть системы безопасности, часто описываемая и обсуждаемая. Но следует остановиться на контроле доступа операторов, администраторов, которые имеют в системе административные полномочия.

Постоянной проблемой считается смена и генерация паролей суперпользователей. Их, из соображений безопасности, нужно менять очень часто. Что или не происходит, или root пароли оказываются записанными практически на всех доступных поверхностях. Хороший выход — применение современных инструментов идентификации, контроля доступа.

Собственно, реально применяется несколько ключевых методов, в том числе, на базе бесконтактных элементов памяти Dallas Semiconductor, на базе смарт-карт, а также системы полноценного биометрического контроля.

Последние кажутся предпочтительней, поскольку глаз или палец потерять труднее, нежели брелок с элементом памяти. Есть гарантия, что в систему входит уполномоченный сотрудник, а не кто-то, кто нашел ключ.

Из сегодняшних систем биометрического контроля самыми распространенными считаются сканеры отпечатка пальца. Такие системы, в основном, недороги, многие по своей цене не превышают 100$. Сканеры радужки глаза еще дороги и не очень надежны.

Безусловно, нет никакого смысла перечислять все технические способы обеспечения безопасности.

Но нужно иметь в виду, что лишь технических средств, какими бы они мощными не были, мало для поддержания даже какого-то минимального уровня безопасности.
Неправильные действия администратора способны нанести ущерб больший, нежели все вирусные атаки. Обычная ошибка пользователя, администрирующего свои приложения самостоятельно, может свести «на нет» усилия по безопасности. Пароль «test» и логин «demo» встречались и встречаются часто. Также, как и пароли «54321» и «sdfgh».

Прочие нюансы

Что еще характерно для современных центров обработки данных — наличие специальной политики безопасности, разработанная система документации и жесткая регламентация.
Жесткая регламентация всех действий персонала, в частности системных администраторов, безусловно, имеет и свои недостатки, в том числе, существенно снижает оперативность при потребности проведения каких-то нестандартных действий.

С иной стороны, есть гарантия исполнения действий необходимых и предписанных. Причем увольнение работника с административными полномочиями никак не влияет на нормальное функционирование, не снижает общей степени безопасности.

Вдобавок, наличие системы безопасности минимизирует ущерб от вероятных действий персонала, который имеет в системе административные полномочия.

Еще один важный нюанс — корпоративная этика и политика. В дата-центрах работает много людей. И от них зависят довольно многие вопросы, которые касаются безопасности. И если технический персонал и системные администраторы преданы компании и точно не станут инсайдерами, которые работают на компанию-конкурента — это уже практически наполовину обеспеченная безопасность всей системы.

Важным нюансом считается реагирование на инциденты. Пользователи дата-центра должны быть защищены, и в случае реализации любых угроз должны приниматься нужные и адекватные меры.

ec 17072015 an2 Как украинские провайдеры обеспечивают безопасность и надежность хостинга

Какие угрозы появятся в будущем?

В первую очередь, писать «вирусоподобные» приложения становится все проще, с иной стороны, они становятся мобильными, могут работать на любой платформе. Очень многие новые «троянские кони» и «черви» не имеют какой-то явной разрушительной функции, они предназначены прежде всего для получения абсолютного контроля над пораженным узлом. Зачастую для организации распределенных массовых атак, а также создания «боевых сетей».

Распределенные массовые атаки становятся все более опасными и частыми. Так, DDoS собой представляют новую и очень серьезную угрозу. Подобная атака многоуровневая, и атаку выполняют «зомби» — троянские приложения, которые функционируют на пораженных ПК, и управляются мастер-программами, также функционирующими на «взломанных» компьютерах.

В итоге оказывается почти невозможно отследить источник угрозы, тот самый «центр управления» атакой. Вдобавок, защититься от атаки, которая идет одновременно с тысячи источников, невероятно затруднительно.

Также распределенными становятся вычисления. Кроме того, подобные вычисления могут выполняться и без ведома владельцев ПК. Прецеденты на сегодняшний день уже есть. И хотя в самых известных случаях цели была мирными (ресурсы компьютеров применялись для поиска внеземных цивилизаций), никто вообще не гарантирует, что скринсейверы на тысячах персональных машин на самом деле не будут заниматься в чьих-то интересах криптографическим анализом.

Еще одна довольно интересная тенденция — это попытки обхода криптозащиты при помощи косвенных способов. Реальный пример опубликован был недавно. И хотя такая попытка «взлома» (точнее обхода) известного защищенного SSH-протокола за счет полноценного анализа временных промежутков между посылками скорее выглядит курьезом, она может вполне оказаться «тенью грядущего зла».

Повышение мощности компьютеров, а также возможность организации распределенных параллельных вычислений вместе с новыми математическими методами способно привести к сильному падению защищенности данных.

И последний нюанс. Вероятность полноценных войн в киберпространстве на сегодняшний день становится все более вероятной. И, как показали совсем недавние события в США, противник может быть сильным и анонимным. Причем информационные системы больших компаний и дата-центры могут стать целью номер один.

В таком случае столкнутся придется с массированными хорошо подготовленными атаками, и противостоять им сможет лишь отлаженная и хорошо продуманная система защиты.

Сетевые дата-центры в настоящее время являются реальными первопроходцами в создании именно комплексных систем безопасности относительно своих многочисленных клиентов.


Поделитесь с друзьями



Оставить комментарий

apteka mujchine for man ukonkemerovo woditely driver.