Разработка защищенной архитектуры сегмента подключения центра обработки данных

ВВЕДЕНИЕ

Центры обработки данных (ЦОД) привлекают внимание многих злоумышленников. ЦОДы, не имеющие надлежащей защиты, является объектом атак со стороны взломщиков и проникновения Интернет-червей, которые могут внести хаос в работу центра и причинить значительный материальный ущерб. Из-за быстрого внедрения центров обработки данных вопросам обеспечения их безопасности уделялось недостаточное внимание. В соответствии с основными задачами управления предприятием, среди которых можно выделить обеспечение безопасности работы, оптимизацию бизнес-процессов и расширение сферы деятельности, многие ИТ- организации стремятся консолидировать ресурсы ЦОД: сервисы, хранилища данных, сети и приложения. При этом, сетевые администраторы должны учитывать влияние вносимых изменений в системе безопасности.
Цифровые технологии проникают в нашу жизнь все больше с каждым днем. Всеобъемлющий Интернет создает новые возможности для предприятий в глобальном масштабе.
…

Глава 1. ЦОД и его архитектура

Трудно представить современное предприятие без использования информационных технологий. Любая современная компания работает в напряженном ритме, при этом продуктивность работы сотрудников компании во многом зависит от эффективности и удобства программного обеспечения, доступности сервисов предприятия, а также от возможности свободного обмена информацией между сотрудниками и клиентами компании.
Роль информационных технологий претерпевает существенные изменения даже в том случае, когда сам ключевой бизнес коммерческой компании или основная деятельность государственной организации принципиально остаются неизменными. Это обусловлено новыми возможностями ИТ в части доступности, распространенности, увеличения вычислительной мощности и производительности, интерактивности и т.д.
Надежная IT-инфраструктура сейчас играет одну из наиболее важных ролей в успешной деятельности большинства компаний.
…

1.1 Основная классификация ЦОД

Итак, все ЦОДы можно разделить на корпоративные и коммерческие. Корпоративные ЦОДы развертываются конкретной организацией и используются для решения ее собственных задач, например для размещения
узлов ИТ или системы резервного хранения данных. Как правило, их создание требует крупных затрат и сопряжено с необходимостью обслуживать все ресурсы самостоятельно.
Коммерческие ЦОДы предназначены для обслуживания как телекоммуникационных компаний, развивающих услуги хостинга, так и организаций и предприятий, желающих воспользоваться услугами аутсорсинга. На базе таких дата-центров организовано предоставление услуг по размещению информационных ресурсов российских и зарубежных компаний, корпораций и ведомств.
…

1.2.1 Надежность

Основным требованием, предъявляемым к Центрам Обработки Данных (ЦОД) является отказоустойчивость. Именно отказоустойчивость ЦОД и определяет уровень надежности. При этом подразумевается отключение дата-центра как на время планово-предупредительных работ и профилактики оборудования, так и внеплановых аварийных ситуаций.
На сегодняшний день существует четыре уровня надежности ЦОД, названные Tier 1, Tier 2, Tier 3 и Tier 4. Они введены организацией Uptime Institute (Институт Бесперебойных Процессов, США). Uptime Institute основан в 1993 году с целью повышения надежности и доступности ЦОД. Институт разработал множество нововведений, которые к настоящему моменту стали стандартными решениями, применяемыми при построении ЦОД. В частности, классификация Tier вошла в повсеместно использующийся американский стандарт TIA/EIA-942.
Рассмотрим каждый из них.

1.2.1.1 Tier I. Базовый уровень.
…

1.3 Архитектура ЦОДа

Концепция ЦОД для предприятий представляет единую архитектуру, обеспечивающую решение первоочередных задач дата-центров: выполнение консолидации ресурсов, обеспечение непрерывности работы и обеспечения безопасности деятельности предприятия. При этом предусмотрено использование новых технологий сервис-ориентированной сетевой архитектуры и предоставления вычислительных ресурсов как сервиса: использование блейд-серверов, обеспечение виртуализации, активное использование веб-сервисов и механизмов распределенных вычислений. Такая архитектура ЦОД предоставляет сетевым администраторам всеобъемлющие стратегии обеспечения безопасности на всех уровнях и решения, позволяющие предотвращать сетевые атаки на ЦОД или ограничивать их распространение.
…

2.1 Компрометация

Нет никаких сомнений в том, что ЦОДы нуждаются в усиленной защите. Но многие организации полагаются исключительно на такой способ защиты, как листы контроля доступа. Это, безусловно, является эффективным решением, но не во всех случаях. В нынешнее время появляется все более изощренные атаки. Злоумышленник может без особого труда получить доступ к нужной ему информации, похитив учетные данные легитимного пользователя (рисунок 2). Например, злоумышленник
отправляет ссылку на зараженный веб-сайт и пользователь переходит по ней, после чего на его компьютере устанавливается вредоносная программа.

Рисунок 2. Компрометация пользователя

Как только на компьютере пользователя устанавливает вредоносное ПО, злоумышленник получает идентификационные данные пользователя, а вместе с ними и доступ к ЦОД. Таким способом преступники обходят листы контроля доступом (рисунок 3).

Рисунок 3.
…

2.2 Цепная атака

В выше сказанном я кратко привела описание работы руткита, который продолжает кидать вызов всем способом защиты ЦОД. Более сложные атаки могут быть разделены на фазы и использовать модель «цепочки» (рисунок 5).

Рисунок 5. Цепная атака
Исследование
При подготовке к любой атаке, важно понимать, что представляет из собой среда:
• Какие операционные системы идентифицируемы?
• Какие меры защиты используются в данной среде?
• Определить пользователей, их адреса электронных почт, через которые будет рассылка фишинга, так как он является эффективным способом атаки. Как сообщается в Verizon Data Breech Report за 2014 год, из 10ти зараженных писем, посланных по электронной почете, успех составляет около 90%.
• Какие способы обхода от защиты ЦОДа нужно развернуть злоумышленнику?

Разработка
После тщательного исследования, атакующий переходит к разработке вредоносного ПО, и это не всегда программа, написанная с нуля.
…

2.3 DDoS-атаки

DDoS – это сокращение английского выражения Distributed Denial of Service, что переводится на русский язык как «распределённый отказ в обслуживании». Это означает отказ от обслуживания сетевого ресурса в результате многочисленных распределенных (то есть происходящих с разных точек интернет-доступа) запросов. В случае гораздо более сложной и совершенной DDoS-атаки может быть полностью нарушена работа любого ресурса — от небольшого информационного сайта до целого сервера. Во время атаки на сервер сайта-«жертвы» поступают миллионы запросов от пользователей, что приводит к его перегрузке и, соответственно, недоступности. Не успевая обрабатывать огромное количество запросов, сервер вначале начинает просто тормозить, а затем и вовсе прекращает
работу. Запросы чаще всего носят хитроумный и бессмысленный характер, что еще более усложняет работу сервера (рисунок 6).

Рисунок 6.
…

2.4 Кража данных

Атаки, направленные на похищение конфиденциальной информации, начинается с этапа зондирования и сканирования целевой системы с целью сбора информации о ней. Преступники могут использовать общедоступные механизмы, например nmap, для получения сведений об операционной системе целого устройства (зондирование), а также сервисов, работающих на сервере (сканирование).
Следующий этап подразумевает собой идентификацию уязвимостей удаленной системы. Преступники могут использовать общедоступные

инструменты, такие как nessus, для выявления уязвимостей, которые можно использовать при осуществлении атаки.
Вслед за этим, злоумышленники могут внедрить на атакуемый хост фрагмент программного кода, который будет выполнять нужные им функции (троянская программа).
…

2.5 Интернет-черви

Сетевые черви – это вредоносные программы, распространяющие свои копии по локальным и глобальным сетям. Сетевые черви различаются между собой по способу распространения, т.е. каким способом он передает свою копию на удаленные компьютеры. Черви могут использовать различные векторы распространения. Некоторые черви требуют определенного действия пользователя для распространения (например, открытие зараженного сообщения в электронной почте). Другие черви могут распространяться автономно, выбирая и заражая жертв в автоматическом режиме.
Почтовые черви для своего распространения используют электронную почту. Червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе. В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.
…

2.6 SQL-Injection

В последнее время информация об атаке посредством внедрения SQL- кода в запрос произвольного SQL-кода при взломе сайтов, работающих с базами данных (БД) или же самих серверов баз данных, встречается все чаще и чаще. Условно говоря, БД состоит из множества таблиц, и у каждой таблицы есть столбцы и строки. Допустим, если взять таблицу пользователей какой-либо БД, то для каждого из них должно быть заполнено описание каких-то параметров (например, никнейм, email, пароль для входа и т.д.). При внедрении SQL-инъекции, в зависимости от типа используемой СУБД и условий внедрения, атакующий может выполнить произвольный запрос к базе данных, и таким образом получить возможность чтения и/или записи файлов, а также выполнения произвольных команд на атакуемом сервере. Из- за некорректной обработки входных данных, используемых в SQL-запросах, и происходят такие атаки.
…

3.1 Next Generation IPS

Это система, которая пришла от компании SourceFire. Она базируется архитектурно на решении SNORT – это система предотвращений с открытым кодом.
Архитектурно система IPS состоит из нескольких модулей:
• Sniffer – осуществляет захват проходящего в сети трафика и пакетов. Это могут как IP-пакеты версии v4 или v6. На текущий момент IPS полностью адаптирован к инфраструктуре IPv6.
• Preprocessors – В дальнейшем эти пакеты собираются в сессии, проверяется их корректность, а также корректность протоколов, заголовков. В случае несоблюдения каких-либо правил, информируется об аномалиях
• Detection engine – осуществляет анализ уже собранных сессий и коррелирует этот трафик с теми правилами, которые мы настраиваем на IPS.
• Output and alerting module – модуль информирования о работе IPS.
…