Старший директор по инженерии и архитектуре разработчика облачного ПО для защиты ЦОДов Guardicore Дэйв Клейн на портале Information Age поясняет, почему ЦОДы становятся мишенью для хакерских атак и советует, какие шаги нужно предпринять, чтобы защитить их.
Почему хакеры перенацелились на ЦОДы
Как отмечают некоторые эксперты, за последние три года злоумышленники начали переключаться со взлома индивидуальных потребительских устройств на корпоративные ЦОДы. Будь то локальные, облачные или гибридные облачные среды — хакеры нацелились на них по двум причинам. Во-первых, ЦОДы — это неисчерпаемый источник бесценной корпоративной информации, а значит — денег. Их даже можно сравнить с золотыми приисками, которые могут приносить хакерам большую прибыль. Почему? Ответ прост. Зачем преступникам взламывать браузер для доступа к конфиденциальной информации отдельного человека, если за раз можно добраться до десятков миллионов аккаунтов.
Еще более привлекательной целью ЦОДы делает то, что в них хранятся деловые и промышленные секреты, перепродажа которых может оказаться гораздо прибыльнее, чем торговля потребительской информацией. Наконец, они — средоточие больших вычислительных мощностей и скоростных сетевых каналов, что гарантирует хакерам дополнительные возможности для получения прибыли с использованием захваченных корпоративных ресурсов. Сворованная вычислительная инфраструктура пользуется высоким спросом на черном рынке — киберкриминал в Даркнете торгует ею в виде DDoS как услуги и RAT как услуги. С их помощью можно проводить массированные заражения ПК по всему миру или распространять бэкдоры с функцией удаленного доступа.
RAT как услуга позволяет добиться полного контроля над зараженной системой. С помощью бэкдоров злоумышленники могут фиксировать нажатия клавиш, извлекать учетные данные, делать скриншоты, получать доступ к веб-камере, а также запускать файлы на компьютере жертвы. Злоумышленники также могут приобрести популярные решения, которые позволяют скрыть источник атаки. Известны случаи, когда злоумышленники пытались извлечь выгоду при помощи «уведенных» корпоративных мощностей ЦОДов, занимаясь майнингом криптомонет Monero или распространением программ-вымогателей.
Анализируя атаки за последние три года, Guardicore пришла к выводу, что второй важной причиной, связанной с переключением интереса хакеров на ЦОДы, стала их беззащитность. Дело в том, что защита очень многих дата-центров имеет прорехи и поэтому они постоянно становятся жертвами атак, которые можно было бы легко предотвратить.
Сегментация — лучшая защита
Важную роль в обеспечении защиты ЦОДов играет улучшение управления обновлениями ПО и патчами для устранения уязвимостей (Patch Management). Не менее важное значение для повышения уровня безопасности имеет применение паролей в сочетании с двухфакторной аутентификацией, улучшенное управление учетными записями, дополнительные проверки безопасности, особенно в случаях, когда предприятие активно применяет сценарии DevOps.
Однако наибольшие проблемы в защите периметра сети создает отсутствие сегментации. Она имеет несколько форм (к примеру, сегментация сетей или приложений, микросегментация и др.) и применяется для изоляции активов, серверов, сегментов сети и отдельных программ, чтобы защитить их от посягательств хакеров. Многие предприятия не задействуют сегментацию из-за отсутствия необходимых инструментов, чем подвергают себя значительным рискам. Риски возросли, потому что ЦОДы начали обслуживать инфраструктуры IoT и виртуальные рабочие столы (VDI), которым недостает или сегментированности, или изолированности.
Ситуация осложняется тем, что ЦОДы становятся все более открытыми для партнеров, дистрибьюторов, клиентов, подрядчиков и поставщиков, но одновременно с ростом числа участников экосистемы возрастает опасность взлома через третью сторону (цепочка поставок, которая генерирует материальные, финансовые и информационные потоки). В недавнем прошлом мы уже были свидетелями «перекрестного» заражения, когда злоумышленники брали на прицел предприятие, но осуществляли взлом его инфраструктуры через более уязвимую третью сторону, будь то компания, которая применяла VDI с незакрытыми уязвимостями, или подключенный к ЦОДу IoT-девайс.
К сегментации сети прибегают не только для защиты, но и для соблюдения отраслевых нормативных требований, таких как GDPR, SWIFT и PCI. Столкнувшись с потенциальными штрафами со стороны регулирующих органов, предприятиям необходимо изолировать определенные рабочие нагрузки, активы и приложения. Не стоит забывать, что во многих ЦОДах работают устаревшие ОС и платформы с истекшим сроком эксплуатации — они не подлежат замене и их сегментирование обеспечит наилучшую защиту.
Отказ от традиционной сегментации
Принимаясь за сегментацию ЦОДа, нужно понимать, что за последние четыре года ее методы сильно эволюционировали и традиционный подход уже слабо коррелирует с динамикой современного облачного дата-центра. Возьмем для сравнения межсетевые экраны, VLAN и ACL-маршрутизацию на стороне предприятия и файервол, работающий в облаке. Первые привязаны к локальной сети, требуют статической привязки IP-адреса и часто зависят от платформы. Эти технологии продемонстрировали надежность в локальных средах, которым не требуются частые изменения в механике работы, и в ранних облачных средах, когда предприятия только начали эксперименты с ними.
Но есть один важный нюанс — в отличие от облачного файервола управлять ими приходится вручную. Требуется приложить немало усилий для туннелирования, перемещения, добавления или удаления рабочих нагрузок, осуществление чего в современных гибких, динамичных и автоматически масштабируемых ЦОДах проводится в автоматическом режиме. Устаревшим технологиям также недостает периметров для перенаправления трафика через межсетевые экраны следующего поколения. Применение сценариев DevOps для ускорения рабочих нагрузок и автоматического управления ими дает предприятиям ощутимые конкурентные преимущества, способствуя ускоренной реализации бизнес-задач, тогда как для развертывания в традиционной среде потребуется несколько методов ручной сегментации, что приведет к большим сетевым задержкам. К примеру, предприятию с парком серверов в тысячу штук потребуются месяцы, чтобы внести изменения в VLAN и IP-адреса вручную.
Значение межсетевых экранов идет на убыль — они больше не фильтруют основную часть трафика ЦОДов. Задержки пропускной способности появляются даже тогда, когда трафик направляется через брандмауэры виртуализированных ЦОДов. Наконец, традиционные методы фокусируются только на уровне машина/порт и не обеспечивают защиту на уровне прикладных процессов. Это означает, что процессы, включая вредоносные, могут легко обходить установленные портам правила, проникая через периметр защиты и тем самым подвергая приложения угрозам.
Переход к современной сегментации
Современный подход подразумевает выбор сегментации на базе программно-определяемых сетей. Он беспрепятственно работает на всех платформах, предназначен для динамического, автоматизированного развертывания сценариев DevOps, а также для перемещения, добавления, изменения и удаления рабочих нагрузок без ручной обработки. Взаимодействуя с ключевыми частями рабочих нагрузок и сетевых элементов модели безопасности, современная сегментация представляет альтернативу устаревшим подходам.
При условии, что применяются правильные инструменты и планирование, ее реализация не представляет сложности, обеспечивая владельца ЦОДа мощным инструментом защиты, несложным в управлении и обслуживании. Как показывает тестирование, в среднем развертывание современной сегментированной сети проводится в 30 раз быстрее, чем развертывание традиционных файерволов. Это не только экономит время, но и позволяет значительно снизить затраты на сегментацию в течение жизненного цикла решения.
Приступая к сегментации
Современные методы избавляют от недостатков, присущих традиционным методам сегментации, и, что еще важнее, обеспечивает корпоративным средам более высокий уровень безопасности. Это происходит за счет самой ее концепции —управления сетью на высоко детализированном, межпроцессном уровне, что влечет за собой создание политик безопасности как для отдельных, так и для логически сгруппированных приложений независимо от того, где они располагаются в гибридном ЦОДе.
Политиками определяется порядок взаимодействия между приложениями по модели Zero Trust — это обновленная версия классического подхода «доверяй, но проверяй», в котором внутреннему кругу сети доверяют по умолчанию. Современные методы сегментации также позволяют динамически присваивать рабочим нагрузкам политики безопасности по мере их возрастания, сокращения и даже перемещения, что устраняет необходимость в ручном управлении подмножеством процессов.
Ключ к успешному внедрению современной сегментации — графическая визуализация всех активов рабочей среды, будь то железо, виртуальные машины или контейнеры, а также зависимостей между ними. Она придает видимости и значительно ускоряет процессы идентификации, группировки и создания политик безопасности. При помощи сегментации администраторы могут обеспечивать безопасность и контроль на уровне приложений и процессов, выявлять нестандартные процессы и оповещать о них операторов. Таким образом, сегментация в современном виде является наиболее эффективным решением для уменьшения поверхности атаки и снижения степени риска при сохранении высокого темпа внедрения инноваций.
