Šīs nedēļas lielajās debatēs mēs ar Deividu Černikofu iesaistījāmies virtuālajā sarunā, lai apspriestu datu centra drošības optimizēšanu, veicot kapitālremontu vai pakāpeniskas izmaiņas. Es pieņēmu kapitālo remontu, bet ne bez ierunām.
Lielās debates šonedēļ, "Datu centra drošības optimizēšana: kapitālais remonts vai pakāpeniskas izmaiņas?", starp Deividu Černikofu un mani aptvēra kādu interesantu teritoriju. Es ļoti cienu Deividu un viņa ilggadējo pieredzi šajā jomā. Viņš izvirzīja dažus milzīgus argumentus pakāpeniskām datu centra drošības izmaiņām. Saprotams, ka tā. Nelielas izmaiņas noteiktā laika periodā ir standarta metode datu centra pārveidošanai — par to nevar strīdēties. Šis punkts mani satrauca par debatēm — par to un faktu, ka Deivids par datu centriem zina enciklopēdijas vairāk nekā es. Taču, no mana viedokļa raugoties, daudziem datu centriem ir nepieciešama pilnīga tīkla drošības atjaunošana.
Lieliskas debates
Datu centra drošības optimizēšana: kapitālais remonts vai pakāpeniskas izmaiņas?
Lasiet tagadDatu centriem ir stabila fiziskā drošība. Ikviens, kurš kādreiz ir mēģinājis tajā iedziļināties, to zina. Aizslēgti vārti, piekļuve ar emblēmu, cilvēku slazdi, tīklenes skeneri un īkšķu nospiedumu skeneri veicina ļoti nopietnu fiziskās drošības scenāriju. Tomēr es norādīju, ka iekšējie draudi no tiem, kam ir piekļuve, vai no tiem, kuriem ir pagaidu piekļuve, ir pastāvīga problēma. Ir maz, ko varat darīt, lai novērstu iekšējus draudus no cilvēkiem, kuriem ir likumīga piekļuve. Jums jācer, ka viņi ir pietiekami godīgi, nobrieduši un garšīgi, lai darītu pareizi. Mēs zinām, ka tas ne vienmēr tā ir.
Citas datu centra fiziskās drošības vājās vietas ir tīrīšanas/sētnieku darbinieki un piegādes darbinieki. Datu centru vadītāji un darbinieki ir noilgojušies par negadījumiem un neveiksmēm, kas saistītas ar tīrīšanas darbiniekiem. Vispārīgi runājot, šie cilvēki ir tehniski neapmācīti un var būt neuzmanīgi attiecībā uz ražošanas iekārtām. Elektrības vadi mistiskā veidā tiek atvienoti, tīkla kabeļi tiek sasisti vai izvilkti no kontaktligzdas, un sistēmas tiek izslēgtas. Jā, šīs lietas ir notikušas manā uzraudzībā.
Piegādes personas ir jāpavada datu centra kompleksā un pastāvīgi jāuzrauga viņu uzturēšanās laikā. Nevienam personālam, kas nav nodarbināts, nekad nedrīkst ļaut klīst vai braukt pa objektu bez pavadības un uzraudzības.
Taču lielāka datu centru problēma ir tīkla drošība.
Kā jau minēju debatēs, viena nomnieka datu centri var īstenot jumta drošības politikas, kas ietver ielāpēšanu, BIOS atjauninājumus, drošības pasākumus un mantoto sistēmu pareizu ekspluatācijas pārtraukšanu. Vairāku nomnieku datu centriem nav tādas pašas iespējas.
Piemēram, vai datu centros ir ieviesta politika, kas nosaka, ka mantotās operētājsistēmas, kas vairs netiek atbalstītas, netiks atļautas telpās? Visticamāk ne. Padomājiet par Windows 2000 Server, Windows 2003 Server, veciem Linux izplatījumiem un visiem vecajiem neatbalstītajiem UNIX variantiem. Tie ir neaizsargāti pret drošības apdraudējumiem, un to ievainojamība rada ievainojamību citiem klientiem.
Debatēs es norādīju, ka lielākā daļa datu centru ir neaizsargāti pret DDoS (Distributed Denial of Service) uzbrukumiem. Tas nav apgalvojums, ko es izdomāju; tas ir zināma lieta. Pārskatā jūs redzēsit, ka 71 procents aptaujāto respondentu norādīja, ka viņi ir piedzīvojuši DDoS uzbrukumus pašreizējā gadā. Ir preventīvi pasākumi, ko var veikt, taču daudzos gadījumos tas ir jāpārskata, jo 36 procenti notikušo uzbrukumu pārsniedza visa datu centra tīkla kapacitāti.
Īpaša iezīme
21. gadsimta datu centrs
Vairāk nekā jebkad agrāk pasaulē darbojas datu centri, taču daudziem no tiem ir nepieciešama 21. gadsimta atsāknēšana. Mūsdienu datu centriem ir jābūt efektīvākiem, liekiem un elastīgākiem nekā jebkad agrāk. Mēs pārbaudām, kad un kā vislabāk vadīt savu datu centru, salīdzinot ar to, kad izmantot ārpakalpojumus mākonī vai pakalpojumu sniedzējam un kad izvēlēties hibrīda pieeju.
Lasiet tagadZiņojums arī apstiprina manu apgalvojumu, ka BYOD ir milzīgs jaunu draudu un uzbrukumu avots. BYOD nav nekas slikts, taču tāpat kā viss, kas var apdraudēt uzņēmējdarbības nepārtrauktību, tas ir jākontrolē un jāuzrauga.
Ziņojumu sastādījis Lapenes tīkli ir acu atvērējs. Un, ja tajā sniegtā statistika jūs nebiedē, jūs nestrādājat datu centrā vai tā tuvumā, kā arī jums tajā nav nekādas intereses. Es domāju, ka vēl viena iespēja ir, ka esat uzbrucējs un esat apmierināts, ka datu centri ir atklāti un neaizsargāti.
Es visus savus argumentus nebalstīju uz šo vienu ziņojumu, taču tas ir konkrēts piemērs un labi izveidots ziņojums, kas skaidri ilustrē košās problēmas, ar kurām saskaras datu centri.
Mans secinājums, ka datu centra ievainojamību pret DDoS, BYOD un citiem uzbrukumiem var mazināt tikai noplēst un nomainīt drošības kapitālais remonts šķiet mazliet ekstrēms un, iespējams, nereāls, līdz paskatās datus. Man šķiet, ka ir vērts atkārtot, ka jā, drošība ir dārga, un jā, tās kapitālais remonts arī ir ļoti dārgi, bet uzņēmējdarbības traucējumi, datu zudumi, datu kompromitēšana un zīmola bojājumi ir vairāk dārgi.