«Журнал сетевых решений/LAN», № 10, 2013
Сергей Мищук, технический директор DataLine, и Вячеслав Вовкогон, специалист по информационной безопасности DataLine, поделились с "Журналом сетевых решений/LAN" своими соображениями об обеспечении физической безопасности в дата-цетре.
ЦОД за семью замками
Наиболее сбалансированный способ обеспечить физическую защиту ЦОД — реализовать многоуровневую защиту с несколькими периметрами безопасности. Как и при эшелонированной обороне, прорыв одного уровня не будет означать прорыва системы безопасности. При этом внутренние периметры не менее важны, чем внешние.
Безопасность данных — одна из главных забот любого владельца ЦОД, ведь по сути он представляет не что иное, как один большой банк данных. На обеспечение защищенного доступа к данным и их надежное хранение тратятся десятки тысяч долларов: межсетевые экраны, шлюзы VPN, системы обнаружения вторжений призваны сделать сеть непроницаемой для проникновения извне, а кластеры, резервирование, установка ИБП и дизель-генераторов вместе с другими мерами повышения надежности и готовности — нивелировать последствия от любых технических сбоев. Кажется, ничего не забыли? Как насчет пары крепких ребят с ломиками? «В России научились строить ЦОД c защищенными сетями и высоконадежным оборудованием, — говорит Александр Нилов, менеджер Rittal по продукции для ИТ-инфраструктуры, — но недооценивают физические риски».
Основная задача физической безопасности ЦОД (но отнюдь не единственная) — предотвратить проникновение в здание людей, которые не должны там находиться, а если им все же удастся это сделать, как можно быстрее их идентифицировать. Другая, не менее важная — защитить оборудование от воздействия внешних техногенных и природных факторов. За решение этих задач приходится браться задолго до организации самой площадки. Собственно, определенные требования приходится учитывать уже при выборе места. Так, в соответствии с критериями выбора места под ЦОД, изложенными в TIA 942 Data Center Site Selection Criteria, отведенное под него здание нельзя располагать на равнине, где случаются наводнения, в сейсмоопасных районах, на холме с вероятными оползнями, вниз по течению от плотины, ближе 0,4 км к аэропорту, химическому заводу, свалке, побережью, реке, дамбе. В радиусе 0,8 км от ЦОД не должно находиться военной базы, а в 1,6 км — атомной станции, складов с боеприпасами или оборонных предприятий (видимо, они опаснее военных баз). Да, и никаких иностранных дипмиссий поблизости, которые по опасности поставлены в один ряд с криминогенными районами: неизвестно еще, от кого угроза больше — от дипломатов под прикрытием или от потенциальных преступников.
И это только часть факторов, которые приходится учитывать уже при выборе площадки! Справедливости ради стоит сказать, что далеко не все они необходимы, если ЦОД не претендует на высокий уровень классификации по системе Tier (см. Таблицу 1). Вместе с тем некоторые из этих мер (например, удаленность не менее 800 м от автомагистралей для ЦОД Tier IV) весьма проблематично выполнить в условиях Москвы (впрочем, пока ни один российский ЦОД не претендует на соответствие этому уровню). В общем случае, как указывает Сергей Тутукин, начальник отдела системных программных разработок компании «Техносерв», меры защиты ЦОД, в том числе и физической, должны формироваться на начальной стадии проектирования ЦОД, исходя из параметров системы — уровня конфиденциальности (коммерческой ценности) обрабатываемой информации, модели угроз и оценки рисков (оценки последствий в случае реализации угроз).
ПЕРИМЕТРЫ БЕЗОПАСНОСТИ
Безопасность часто уподобляют луковице. С одной стороны, от нее многим хочется плакать, а с другой — она такая же многослойная. Это же сравнение применимо и к физической защите центра обработки данных, предполагающей организацию нескольких периметров безопасности, однако, как будет показано дальше (см. раздел «НИЧТО НЕ ЗАБЫТО?»), принимаемые меры нередко оказываются недостаточными. В таком случае, как говорится, плакали ваши денежки. Согласно исследованию «Цена утери данных» (2012 Cost of Data Breach), средний размер ущерба для американских компаний из разных секторов экономики составляет 5,5 млн долларов. При этом главной причиной таких потерь являются не злонамеренные атаки (37%), а пренебрежение элементарными правилами безопасности со стороны сотрудников (39%).
Наиболее сбалансированный способ обеспечить физическую безопасность ЦОД — реализовать многоуровневую защиту (с несколькими периметрами безопасности). Как и при эшелонированной обороне, прорыв одного уровня не будет означать прорыва системы безопасности. При этом внутренние периметры безопасности не менее важны, чем внешние: они позволяют уменьшить риск реализации внутренних угроз вследствие как непреднамеренных, так и злонамеренных действий сотрудников. Согласно опросу Cyber-ark, из 600 финансовых работников, отвечавших на вопросы в Нью-Йорке и Лондоне, 25% респондентов признали, что они не преминут воспользоваться служебной информацией в собственных целях, несмотря на любые последствия, при этом большинство осознает незаконность своих действий. Так что опасения работодателей — а 69% из них видят наибольшую угрозу безопасности в действиях собственного персонала — выглядят вполне обоснованными.
Если необходимость организации контроля доступа осознают все владельцы центров обработки данных, то разграничением доступа внутри ЦОД многие пренебрегают. Как указывает Александр Нилов, очень часто можно встретить следующую ситуацию: ЦОД имеет охраняемый периметр, доступ на объект строго ограничен, но вот проход в машинный зал открыт для всего обслуживающего персонала, и любой сотрудник, сам не зная того, может создать опасную ситуацию, которая приведет к остановке ЦОД. И ведь это не пустые предостережения. Валентин Фосс, директор по маркетингу и продажам компании «Утилекс», рассказал в качестве примера поучительную историю. На одном из объектов внештатный электрик, приглашенный в ЦОД для проведения каких-то незначительных работ, был оставлен без присмотра. Из чистого любопытства он нажал на кнопку аварийного пожаротушения (она красная и очень большая). В результате была повреждена часть оборудования, не говоря уж о внеплановой остановке работы всего ЦОД.
Таким образом, если обслуживающий персонал (а в случае коммерческого ЦОД и сами клиенты) будет иметь свободный доступ в машинный зал, то вероятность нанесения вреда данным очень высока, даже несмотря на наличие многоуровневой системы безопасности. Как указывает Андрей Касьяненко, заместитель генерального директора компании Caravan, избежать этого поможет только продуманная политика ограничения доступа. При этом система доступа должна служить инструментом для реализации этой политики. В противном случае вся многоуровневая система безопасности теряет смысл. Между тем, как указывает Валентин Фосс, при разработке комплексов физической защиты ЦОД зачастую не уделяется должного внимания сквозному процессу подготовки персонала и управления им, для чего нужны должностные инструкции, разграничение прав доступа и многое другое. Пренебрежение любой из составляющих может привести к неожиданным и крайне негативным последствиям.
Сколько периметров безопасности необходимо, и каких именно? Ответ, естественно, зависит от требований, предъявляемых к площадке, с учетом оценки вероятности реализации угроз, приемлемого варианта обработки рисков и принятой политики бе-
зопасности. Как указывает Станислав Заржецкий, генеральный директор Exclusive Solutions («Эксол»), определить, сколько уровней контроля доступа должно быть, можно только при условии рассмотрения совокупности факторов, таких как место расположения и степень важности ЦОД, риски по факторам вандализма (преднамеренного и случайного) и несанкционированного доступа. Идеальной он считает систему с четырьмя уровнями контроля доступа — на внешнем периметре, при входе в здание, в машинный зал и на уровне стойки. На практике чаще всего встречается двухуровневая система (здание/зал). Достаточным же, по его мнению, является частичное ограничение доступа по трем уровням (здание/зал/стойка). Вячеслав Вовкогон, специалист по информационной безопасности DataLine, выделяет несколько иные три уровня: периметр (входы, въезды, прилегающая территория); буферные зоны с пропускным пунктом при входе в здание, охраняемый въезд в разгрузочную зону; залы и инженерные помещения (как пример). Для некоторых коммерческих ЦОД может потребоваться еще один: ограждение стоек.
В случае же высоких требований к безопасности уровней может быть гораздо больше. Так, Фред Дикермэн, вице-президент, начальник эксплуатации ЦОД DataSpace1, выделяет по меньшей мере пять зон: внешний периметр, внутренний периметр, вход в здание (свободный доступ в приемную, но закрытый доступ во внутреннее лобби), места размещения критического инфраструктурного оборудования, комнаты службы безопасности (пункт охраны, студия мониторинга). Помимо этого, коммерческим ЦОД могут понадобиться еще три зоны — для машинных залов, пространств внутри залов и отдельных стоек. Таким образом, всего придется создать 8 зон!
Все эти деления достаточно условны и в общем случае могут быть сведены к четырем типовым (см. Рисунок 1) путем объединения в группы дополнительных зон безопасности. К тому же физическая безопасность ЦОД — это не только и не столько определенное количество периметров защиты, сколько продуманная стратегия защиты данных в соответствии с конкретной моделью угроз, на что резонно указывает Андрей Касьяненко.
НИЧТО НЕ ЗАБЫТО?
На каждом уровне могут быть реализованы самые разные средства безопасности. Так, например, задача внешнего периметра состоит в предупреждении, обнаружении и пресечении проникновения на территорию объекта. Для этого может использоваться множество разнообразных мер: от самых элементарных — например, отсутствие вывески о назначении объекта и непритязательный (не привлекающий внимания) внешний вид, до весьма изощренных — таких как гидравлические выдвижные препятствия для автомобилей и противоподкопные сооружения.
А самой распространенной мерой является, конечно, видеонаблюдение — чем больше камер установлено, тем лучше, причем просматриваться должны не только территория, входы и выходы, но и внутренние помещения, вплоть до отдельных стоек, то есть такой контроль реализуется на всех четырех основных уровнях. Тем не менее, как указывает Сергей Мищук, технический директор DataLine, в корпоративных ЦОД нередко используется несовершенная система видеонаблюдения, в том числе из соображений экономии: малое количество видеокамер, недостаточная частота кадров или глубина хранения видео.
Во многих российских коммерческих ЦОД, как считает Фред Дикермэн, повышенное внимание уделяется защите внутреннего периметра (доступу в здание) в ущерб охране внешнего. Зачастую это вызвано объективными причинами — к сожалению, в Москве выбор площадок ограничен, не всегда возможно организовать ЦОД в отдельно стоящем здании, поэтому и реализовать полноценные меры для охраны внешнего периметра в условиях плотной городской застройки не всегда возможно.
Не менее важны разграничение и контроль доступа внутри здания. В коммерческих ЦОД при доступе в наиболее критичные помещения любой человек должен пройти по крайней мере три проверки: на внешнем входе (для прохода в приемную), на внутреннем (доступ из приемной во внутреннюю часть центра), на входе в вычислительные залы (здесь должны быть установлены шлюзовые кабины безопасности или их аналоги) и при доступе к конкретному машинному залу, где находятся стойки с оборудованием клиента.
На деле же внутренней безопасностью, по мнению Фреда Дикермэна, нередко пренебрегают — во всяком случае, уделяют ей недостаточно внимания. Получив доступ внутрь ЦОД, сотрудники и посетители могут перемещаться по помещениям без надзора. Как указывает Сергей Мищук, на практике редко осуществляется строгое разделение зон доступа для владельцев ИТ-оборудования и представителей сервисных организаций, обслуживающих инженерные системы. Зачастую это опять же вызвано объективными причинами, поскольку под ЦОД приспосабливается существующее здание. В результате доступ в зал приходится предоставлять, например, представителям сервисных служб, обслуживающих кондиционеры, расположенные в машинных залах.
Однако если контролю доступа в целом уделяется достаточно внимания, то другими мерами физической безопасности пренебрегают. Как подчеркивает Андрей Касьяненко, физическая безопасность — это комплекс мер, который направлен не только на предупреждение несанкционированного доступа, но и на защиту от затопления или землетрясения. Известно много случаев, когда потеря информации происходила именно вследствие природных явлений. Недостаточное внимание обеспечению катастрофоустойчивости (противостояние угрозам со стороны окружающей среды) Сергей Тутукин объясняет тем, что такие проекты весьма дороги в реализации.
ОГОНЬ, ВОДА И СТЕНЫ
В центрах обработки данных (ЦОД) необходимо защитить не только сами данные, но и системы ИТ в целом от внешних воздействий, таких как огонь или вода. Само понятие обеспечения физической безопасности ЦОД подразумевает защиту ИТ-ресурсов не только от несанкционированного доступа в помещения, вандализма и других подобных действий, но и от огня, воды, от жидкости для тушения пожара, коррозийных газов, электромагнитного излучения, взрывов, падающих обломков, пыли. «Если оценить риски от физического воздействия, взяв все факторы за 100%, — говорит Станислав Заржецкий, — то 80% приходится на огонь и воду. Именно они наносят непоправимый ущерб оборудованию».
Правильная организация и использование системы мониторинга ЦОД позволяют получить информацию о происходящих нежелательных событиях (возгорание, протечка, задымление). Для этого ЦОД оснащаются системами контроля физических параметров среды, выход которых за предельно допустимые значения может негативно сказаться на стабильности работы оборудования и связанных с ним бизнес-процессов. «Контроль температуры и влажности, обнаружение протечек и задымления помогают предупредить сбои в работе инженерного оборудования вследствие протечки, отказа систем охлаждения, избыточного увлажнения и многого другого», — рассказывает Павел Пономарев, системный инженер подразделения IT Business компании Schneider Electric.
Контроль и мониторинг помогут своевременно оповестить обслуживающий персонал о возникновении нештатной ситуации, но сами эти меры не позволят предотвратить воздействие воды и огня на ИТ-системы. «Угроза для данных может исходить не только от злоумышленников, но и, к примеру, от воды, стекающей с потолка, — указывает Андрей Касьяненко. — Именно поэтому к числу важных систем ЦОД, помимо системы управления доступом в помещения, следует относить и систему защиты от протечек, систему пожаротушения и прочие средства защиты».
Ситуация усугубляется тем, что только 20% пожаров происходят внутри серверных помещений, тогда как 80% — на прилегающих к объекту территориях. Поэтому при выборе подходящего места для ИТ-оборудования Александр Нилов, советует обращать внимание на то, чтобы соседние с защищаемыми помещениями комнаты отличались максимально низким уровнем угрозы возникновения пожара. Кроме того, во избежание протечек и затоплений этажом выше не должны располагаться кухни и санузлы.
Поучителен печальный пример аэропорта Франкфурта-на-Майне. Из-за нарушения системы водоснабжения в течение 4 ч внутрь здания лилась вода — всего набралось около 3000 л. Информационный центр аэропорта пострадал настолько, что его пришлось создавать практически заново. Убытки составили 1,5 млн евро.
Кроме того, потенциальную опасность для оборудования в ЦОД несут расположенные по соседству предприятия, где производственные процессы сопровождаются высокими пусковыми токами, поскольку последние могут служить источником сильных электромагнитных импульсов.
РУКОВОДЯЩИЙ И НАПРАВЛЯЮЩИЙ
Чем же руководствоваться при реализации мер физической защиты ЦОД? В любом коммерческом и корпоративном ЦОД, не говоря уже о государственных объектах, хранятся персональные данные. Поэтому необходимые меры по их физической защите вытекают в числе прочего из требования ФЗ № 151. «Конкретный набор таких мер зависит от уровня конфиденциальности, установленного для обрабатываемых данных, — отмечает Сергей Тутукин. — Исходя из этого выбирается класс защищенности ЦОД (как АС) по нормам ФЗ и ФСТЭК и обеспечивается необходимая защита, в том числе и физическая».
По состоянию на сентябрь 2013 года, меры защиты персональных данных для большинства операторов персональных данных определяются постановлением правительства № 1119 и приказом ФСТЭК № 21. Вячеслав Вовкогон выделяет в них следующие требования в отношении физической безопасности:
организация режима обеспечения безопасности помещений (ПП РФ № 1119 п.13 а);
контроль физического доступа и исключение несанкционированного доступа к инфраструктуре ИСПДн, в том числе к помещениям и сооружениям (Приложение Приказа ФСТЭК № 21 п. ЗТС.3);
контроль вноса и выноса оборудования, в том числе машинных носителей персональных данных (Приложение Приказа ФСТЭК № 21 п. ЗНИ.1, п. ЗНИ.2).
Иными словами, заключает он, корректное построение и документирование процессов видеонаблюдения, контроля доступа и выноса оборудования позволяют соблюсти все необходимые требования ФЗ № 152 по обеспечению физической безопасности.
«Комплекс мер по защите персональных данных условно можно разделить на два направления: создание организационно-распорядительных документов и внедрение технических средств защиты. Что касается последних, то из сложившейся практики обязательными следует признать круглосуточное присутствие в ЦОД и на его территории специально обученной вооруженной охраны, а также установку камер видеонаблюдения, расположенных по внешнему периметру ЦОД и внутри него (для контроля всех коридоров ЦОД, входных дверей и другой критической инфраструктуры)». — объясняет Денис Гвоздев, начальник юридического департамента DataSpace.
Станислав Заржецкий обращает внимание на следующий момент. Основное внимание в контексте данного закона уделяется несанкционированному доступу к информации. Но на организации, владеющие персональными данными граждан, накладывается ответственность и за сохранность этих данных. Они могут быть уничтожены как по вине человека, так и вследствие стихийных бедствий. Поэтому необходимо принимать меры защиты от факторов риска со стороны всех видов угроз. В качестве иллюстрации он приводит следующий пример. Каждое медицинское учреждение хранит персональные данные своих пациентов. В Европе ИТ-оборудование, на котором хранятся и обрабатываются такие данные, требуется помещать в специализированные сейфы — только такой способ позволит в максимально возможной степени защитить данные.
«Можно сказать, что в российской законодательной базе отсутствуют требования и нормы в области физической защиты информации. Мы по-прежнему пользуемся нормативными базами, разработанными для оборудования прошлого века, — выражает сожаление Станислав Заржецкий. — Исключением можно назвать, пожалуй, ГОСТ Р № 52919-2008 «Методы и средства физической защиты. Классификация и методы испытаний на огнестойкость. Часть 2. Комнаты и контейнеры данных». Но в нем описываются только требования к конструкциям ЦОД для защиты от огня. По остальным параметрам законодательство безмолвствует».
Впрочем, такая ситуация характерна не только для России. Необходимые меры физической защиты зачастую отдельно не выделяются, а прямо или косвенно следуют из других стандартов и нормативов, таких как TIA-942, Sarbanes-Oxley Act, SSAE 16/SAS 70. Как замечает Фред Дикермэн, в целом SAS 70, ISO 27000 и другие стандарты информационной безопасности более структурированы и целостны в своем подходе к безопасности, что в итоге позволяет добиться лучших результатов. Следуя международным стандартам, российским ЦОД будет легче обеспечить им соответствие, когда это потребуется, например, при выходе компании-владельца на международную биржу, да и иностранные заказчики наверняка предпочтут коммерческие ЦОД, соответствующие знакомым им стандартам. Это особенно справедливо в отношении банков и финансовых институтов, которые вынуждены следовать требованиям международных и американских стандартов на информационную безопасность.
Действительно, такие стандарты, как TIA 942 и PСI DSS, содержат более детальное описание различных норм, соглашается Вячеслав Вовкогон. Следование им ведет к повышению прозрачности процессов ЦОД, но затраты при этом возрастают. Это одна из причин того, что, хотя большинство российских ЦОД в той или иной форме проводят оценку рисков для выполнения условий Sarbanes-Oxley Section 404, немногие решаются на проведение внешних аудитов, подтверждающих адекватность принятых в конкретном ЦОД оценочных методик (например, как часть сертификации по стандарту ISO/IEC 27001). В целом же, заключает он, требования указанных документов в части физической безопасности вполне адекватны российской практике и нормативным актам.
ЗАЩИТА КОММЕРЧЕСКИХ И КОРПОРАТИВНЫХ ЦОД
До сих пор при обсуждении необходимых мер физической защиты мы в большинстве случаев явно не выделяли, к каким ЦОД они относятся. По словам Фреда Дикермэна, корпоративный ЦОД может рассматриваться как коммерческий ЦОД, обслуживающий единственного клиента. В таком случае меньше требований предъявляется к внутреннему зонированию. Что же касается собственно КЦОД, то им приходится предпринимать необходимые меры для предотвращения случайного или намеренного проникновения представителей одного заказчика в зону, где находится оборудование другого.
Предварительная проверка лиц, запрашивающих доступ в корпоративный ЦОД, оказывается менее обременительной, поскольку число таких людей, как правило, ограничивается сотрудниками компании-владельца или представителями вендоров/подрядчиков. В КЦОД такая проверка усложняется, ведь у каждого клиента свой штат сотрудников, свои поставщики и подрядчики — и им всем может понадобиться доступ к оборудованию.
Как правило, КЦОД рассчитаны на обслуживание самых разных организаций, и принимаемые в них меры безопасности носят более универсальный характер. В результате, отмечает Сергей Мищук, они, с одной стороны, могут не удовлетворять некоторым специфическим требованиям одних клиентов (например, по стойкости дверей к взлому), с другой — быть слишком жесткими для других, поскольку в итоге для них создаются определенные неудобства. Владельцу корпоративного ЦОД не надо ориентироваться на среднестатистические потребности, он волен реализовать те меры физической защиты, какие сочтет нужным. Поэтому и применяемые средства более специфичны: они определяются внутренними регламентами и требованиями регуляторов, так что уровень защищенности варьируется чрезвычайно широко.
Как уточняет Сергей Тутукин, в случае КЦОД подход к физической защите зависит от того, размещает ли заказчик свое оборудование или арендует мощности. В последнем случае, как правило, особых отличий от корпоративных ЦОД нет. А вот при размещении оборудования понадобится дополнительный периметр защиты на уровне стойки / группы стоек и, соответственно, применяются дополнительные средства защиты — от электромеханических (электромагнитных) замков на дверях стоек до выделения группы стоек с установкой решетчатого ограждения. В корпоративном же ЦОД ИТ-служба обслуживает все серверы и СХД, следовательно, «периметр» физической защиты проходит по периметру машинного зала.
ГДЕ ТОНКО
К сожалению, в России нет требований в отношении публичного раскрытия информации об инцидентах и соответствующих санкций за их умалчивание, как нет и судебной практики по компенсации за утечки информации — в 99% случаев организации стараются не афишировать подобные факты. Однако вряд ли ситуация с обеспечением безопасности у нас лучше, чем в других странах, поэтому зачастую, например при оценке ущерба, приходится ориентироваться на данные, полученные западными организациями. И хотя в среднем потери в результате различных инцидентов, видимо, меньше, для крупных российских компаний и государственных организаций цифры оказываются сопоставимы. Так, Станислав Заржецкий упоминает о случае выхода из строя практически всего ЦОД (оборудования и данных) в результате затопления водой, из-за чего федеральное предприятие понесло убытки, которые были оценены в 3,5 млн долларов. А локальный пожар в другом федеральном ЦОД привел к его остановке на трое суток и снижению до 20% эффективности работы государственного ведомства, которому этот ЦОД принадлежал. Конечно, от всех катастроф защититься невозможно, но ведь, как говорится, где тонко, там и рвется.
Дмитрий Ганьжа — главный редактор «Журнала сетевых решений/LAN».