Центры обработки данных и хостинг в Сети. Опасности и безопасность

Если у вас паранойя, то это еще не значит, что за вами никто не следит.

Data-center, или центр обработки данных (ЦОД), - новое явление, приходящее на смену Интернет-хостинг-провайдерам в тех областях, где требуется повышенная надежность и высокий уровень информационной безопасности. Предоставление в аренду приложений, хранение и обработка больших объемов критически важной информации в сочетании с доступом к такой информации через Интернет - основные функции ЦОД, современных крепостей для данных. И поэтому вопросы информационной безопасности и защиты выходят на первое место.

Несмотря на постоянные сообщения о хакерских атаках, наносящих миллиардные убытки, все больше компаний используют Интернет. Бизнесу, который становится глобальным и распределенным, требуется общее пространство для работы с информацией. Через Интернет обеспечивается доступ к корпоративным данным, в том числе и к жизненно важной информации. И если государственные организации, военные или дипломатические ведомства работают с закрытыми сетями, то у коммерческих организаций такой возможности нет: это невыгодно, неудобно и нецелесообразно.

В связи с этим все большее распространение получают услуги современных центров обработки данных, которые обеспечивают надежный хостинг и высокую безопасность. Так, например, при удаленной работе с приложениями по схеме ASP (аренда приложений) безопасность обеспечивается за счет комплексной системы защиты, включающей в себя межсетевые экраны, сканеры для обнаружения вторжений, системы аудита журнальных файлов, системы анализа статистических характеристик трафика и многое другое.

Задачи информационной безопасности сводятся к минимизации ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.

Составляющими информационной безопасности являются:

- определение объектов, на которые могут быть направлены угрозы;

- выявление существующих и потенциальных угроз;

- определение возможных источников угрозы;

- оценка рисков;

- методы и средства обнаружения враждебного воздействия;

- методы и средства защиты от известных угроз;

- методы и средства реагирования при инцидентах.

Какие объекты в ИС могут подвергаться угрозам?

Собственно информация. Ее можно: а) украсть; б) уничтожить; в) изменить; г) заблокировать; д) скомпрометировать. Но информация сама по себе пассивна, для того чтобы влиять на нее, нужно воздействовать на носитель или систему, в которой информация живет. Для защиты информации используются методы криптозащиты.

Оборудование и элементы инфраструктуры. Сюда относятся серверы, активное сетевое оборудование, кабельные системы, электропитание, вспомогательные системы. Для подобных объектов есть угроза физического воздействия, которое может привести к повреждению, потере функциональности либо к появлению в системе чужеродных агентов, влияющих на работу системы или осуществляющих съем информации. Кроме того, возможно похищение объектов защиты. Так, в 2000 г. средний ущерб от кражи лэптопов составил более 10 млн. долл. Для минимизации риска в этом направлении используются классические методы физической защиты (защитный периметр, пропускная система и контроль доступа персонала, видеонаблюдение, “закладки” и системы сигнализации, срабатывающие при похищении оборудования, вооруженная охрана, служба безопасности и т. п.). Что касается вирусов, выжигающих оборудование, это, к счастью, пока только легенды*1 (и, возможно, вопрос относительно далекого будущего).

_____

*1). Известны, по крайней мере, три способа вывода из строя различных частей ПК. - Прим. гл. ред.

Программное обеспечение. Операционные системы, прикладные программы и сервисы - основные цели классических атак и основные источники уязвимостей. Атаки на такие объекты могут привести: а) к краху системы (программы, сервиса), частичной или полной потере функциональности; б) к выполнению атакующей стороной (или в результате внешнего воздействия) несанкционированных действий внутри системы; в) к получению контроля над системой-злоумышленником.

Защита от атак, использующих “дыры” в ПО, как правило, и является основной задачей классических систем обеспечения информационной безопасности.

Персонал. Анализ возможностей физического и психологического воздействия на системного администратора выходит за рамки этой статьи. Хотя, если серьезно говорить о безопасности в целом, администратор крупной ИС должен являться объектом защиты и пристального внимания собственной службы безопасности компании. Пока остановимся на том, что воздействие на персонал, имеющий административные полномочия в системе, может привести к возникновению существенных рисков. Отметим также, что в ряде случаев “цена вопроса” сопоставима со стоимостью всей системы.

Кто и что представляет угрозу для информации?

Злоумышленник. Некто по определенным мотивам осуществляет сознательные действия, которые могут нанести ущерб. Мотивы могут быть самые разные - от спортивного интереса до обиды на работодателя. Эти действия могут быть частью служебных обязанностей сотрудника организации-конкурента.

Администратор. Лояльный сотрудник, имеющий полномочия суперпользователя, который в силу каких-либо обстоятельств непреднамеренно осуществляет действия, наносящие ущерб. Причиной может быть отсутствие квалификации, усталость, чрезмерная нагрузка. Классический пример - команда rm -rf/* (удалить все файлы, включая вложенные каталоги, без подтверждения) в UNIX, ставшая темой анекдотов и страшных историй и тем не менее периодически выполняемая. У администратора практически неограниченные полномочия в системе, и даже если какая-то информация защищена от изменения и компрометации, очень сложно предотвратить ее уничтожение.

Вирусы. Обобщим под этим названием все самовоспроизводящиеся программы. Это и вирусы, и черви, и распространяющиеся с ними “троянские кони”. Контроль за ними со стороны создателя может быть полностью утерян (пример - сетевой червь Морриса) или частично сохранен (Code Red). В случае вирусной атаки выяснить первоначальный источник заражения и автора программы во многих случаях невозможно.

Разумеется, есть еще “форс-мажорные обстоятельства, т. е. обстоятельства непреодолимой силы, выходящие за пределы разумного предвидения и контроля сторон+”, но это вопрос скорее юридический и тема для другой статьи.

Согласно последним данным, опубликованным Институтом компьютерной безопасности (Computer Security Issues & Trends, 2001 CSI Computer Crime and Security Survey), на первом месте по количеству зафиксированных инцидентов стоят вирусные атаки, на втором - кражи лэптопов, на третьем - действия инсайдеров внутри сети. И только на четвертом месте, со значительным отрывом, идет проникновение в сеть извне.

Что касается заявленного финансового ущерба, то здесь данные не столь достоверны - с учетом того, что слишком многое можно списать на хакеров и сетевых червей и далеко не все пострадавшие заявляют о нанесенном ущербе, боясь испортить репутацию компании. Разброс цифр очень велик. Так, для удаленных атак заявленная сумма ущерба колеблется от $100 до 10 млн. долл. на каждую атаку (средняя цифра - $500), для вирусных атак - от $100 до 20 млн. долл. (средняя - чуть больше $200).

При этом есть категории инцидентов, где средний ущерб действительно велик, - это финансовое мошенничество и кража информации. Например, средний ущерб от мошенничества оценивается почти в 4,5 тыс. долл., при совокупном заявленном ущербе около 100 тыс. долл. И эта информация подтверждается, в частности, сообщениями о банкротстве ряда фирм, занимавшихся Интернет-торговлей.

Вероятность атаки на сеть хостинг-провайдера или ЦОД велика. Это обусловлено большим объемом размещаемых там ресурсов. В случае ЦОД из-за характера размещаемой информации, ее высокой цены и критичности нельзя исключать опасности профессионально подготовленной и проведенной атаки, направленной на получение или уничтожение информации, а также на достижение контроля над ресурсом.

Профессиональная атака на компании, специализирующиеся на виртуальном веб-хостинге, маловероятна, но заведомо велико число лобовых атак (brute force), а также атак с использованием хорошо известных уязвимостей. Весьма вероятны атаки на почтовые серверы с целью безнаказанной передачи большого объема спэма (как правило, рекламного характера). Надо отметить, что подготовка сложных профессиональных атак требует серьезных усилий (иногда привлечения инсайдеров), цена которых может превысить стоимость полученного результата, даже при успешной реализации атаки.

Политика безопасности различна для разных организаций и систем

Как по-разному обеспечивается безопасность жилого дома, магазина и атомной станции, точно так же по-разному строится информационная безопасность хостинг-провайдера, корпоративной информационной системы и ЦОД.

Центры обработки данных - новое явление, вызванное развитием сети и бизнеса в сети. Крупные компании, выходящие в Интернет, предъявляют свои требования, в первую очередь касающиеся уровня оказания услуг и обеспечения безопасности. При этом большинство хостинговых компаний ориентировано на другой сегмент рынка и не готово к решению подобных задач.

Хостинговые компании появились раньше ЦОД и в иной экономической ситуации. Такие компании в основном нацелены на предоставление относительно дешевых услуг по размещению и поддержке веб-сайтов и почтовых систем. Они используют недорогие серверы под управлением Linux или Free-BSD, веб-серверы Apache, базы данных MySQL и Postgress и скрипты на Perl и PHP. Все это имеет плюс в виде бесплатности и минус - в отсутствии нормальной технической поддержки от вендоров. Среди клиентов хостинговых компаний оказываются и частные лица, и небольшие компании, и бюджетные организации, и шоу-бизнес. В целом общий уровень защиты у среднего хостера адекватен цене размещаемой информации и возможным угрозам. Политика безопасности, как правило, не разрабатывается, а все изменения в системе проводятся парой администраторов. Корпоративный бизнес и структуры, связанные с государственными органами власти, обычно не работают с хостинговыми компаниями в силу низкой защищенности и негарантированности уровня услуг.

ЦОД стали появляться сравнительно недавно, и их нельзя считать развитием хостинговых компаний. Это другая структура, ориентированная на предоставление сложных комплексных услуг, которые могут требоваться корпоративному заказчику. ЦОД отличает высокая защищенность территории, надежность технических средств и организационных мер безопасности.

В обеспечении информационной безопасности в ЦОД есть своя специфика. В первую очередь это необходимость обеспечения прозрачного доступа клиентам, работающим через Интернет, при соблюдении жестких требований к защите информации. Еще одной особенностью является использование разнообразных платформ и приложений, что не позволяет сконцентрироваться на безопасности какой-либо одной платформы или одной линии продуктов. Следует учитывать и то, что доступ к определенной категории клиентской информации не должен иметь никто, включая администраторов ЦОД.

Кроме того, для большинства коммерческих продуктов режим ASP появился сравнительно недавно. Такие продукты не имеют длительной истории эксплуатации в режиме разделенного удаленного доступа и не могут похвастаться тщательным тестированием на уязвимости. Поэтому перед запуском ASP-продукта необходима продолжительная процедура тестирования и конфигурирования. Для определения настроек брандмауэров требуется анализ трафика, определение диапазона открытых портов, статистических характеристик трафика в различных режимах.

Некоторые элементы защиты, их реализация и целесообразность применения

Нулевой рубеж обороны - это сокрытие структуры сети, так называемая имитационная защита. Специальное ПО эмулирует сетевые сегменты, серверы и уязвимости. Постоянный контроль за атаками на несуществующую сеть позволяет выявить источники угроз. С другой стороны, имитационная защита вводит в заблуждение потенциальных агрессоров и затрудняет определение истинной структуры системы и планирование атак.

Первый уровень защиты - детектор вторжений, IDS. Анализируя входящий трафик, эта система отслеживает известные типы атак. В ряде случаев устанавливается система адаптивной защиты, в которой при обнаружении определенных атак изменяются списки доступа на межсетевом экране (firewall). Таким образом, оперативно блокируется источник атаки. При этом целесообразно ограничивать число проверяемых сигнатур (что характерно, например, для Cisco IDS - NetRanger). Это позволяет увеличить быстродействие и снизить вероятность ложных тревог (что критически важно для адаптивной системы). Снижение числа обнаруживаемых атак компенсируется применением дополнительных систем обнаружения вторжений в локальных контурах защиты (чаще всего устанавливается свободно распространяемый детектор SNORT).

Стоит отметить, что с IDS связан ряд проблем. В первую очередь это ложные срабатывания. Подобная ситуация наблюдалась во время эпидемии Code Red и Nimda. Эта проблема решается, но возможность таких событий всегда надо иметь в виду.

В компаниях, занимающихся традиционным виртуальным веб-хостингом, аппаратные IDS практически не используются в силу дороговизны. Программные “легкие” детекторы тоже применяются довольно редко, так как требуют значительных системных ресурсов. Анализ трафика (разбор пакетов) производится при необходимости “вручную”, с помощью утилит типа tcpdump. Основная масса атак отслеживается при анализе журнальных файлов.

В ЦОД использование и аппаратных, и программных IDS является обязательным.

Второй уровень защиты - это разделение зон безопасности, закрытых сетевыми экранами, и разделение трафика за счет виртуальных сетей VPN. Трехуровневую структуру (внешняя зона, демилитаризованная зона и внутренняя зона) можно считать стандартным решением. Межсетевые экраны - это хорошо описанная классика. Задача изоляции клиентского трафика в UNIX-системах виртуального хостинга решается программными средствами.

Настройка межсетевых экранов при сложной структуре сети - задача нетривиальная. В целом работает принцип “запрещено все, что не разрешено”.

Из других методов следует выделить антивирусную защиту. Идеальным решением является централизованный антивирусный мониторинг, выбор ПО здесь широк и зависит от вкуса и финансовых возможностей. Что касается антивирусного контроля почты с автоматическим удалением зараженных сообщений, то эта вещь кажется сомнительной. Не всегда приятно, когда антивирусная система молча “съедает” сообщения, содержащие, скажем, сигнатуры вирусов или предупреждения о возможности вирусной атаки с прикрепленным подозрительным файлом. Однако постоянные вирусные атаки делают подобный контроль за почтовыми ящиками желательным. По крайней мере, должен быть выбор и для разных категорий пользователей должны применяться различные типы реагирования.

Анализ журнальных файлов является неотъемлемой процедурой, входящей в системы безопасности независимо от класса и уровня компании, и мы не будем на нем останавливаться.

Контроль доступа и идентификация пользователей - тоже непременная часть системы безопасности, постоянно обсуждаемая и описываемая. Однако стоит остановиться на контроле доступа администраторов и операторов, имеющих административные полномочия в системе. Постоянную проблему представляет собой генерация и смена паролей суперпользователей. Из соображений безопасности их действительно следует менять часто. Но это либо не делается, либо пароли root оказываются записанными на видных местах. Неплохим выходом может стать применение современных средств идентификации и контроля доступа, в частности на основе бесконтактных элементов памяти (“таблеток”) Dallas Semiconductor, на основе смарт-карт (Schlumberger и аналогичных), а также системы биометрического контроля.

Последние (для центра управления сетью ЦОД) кажутся предпочтительней, так как палец или глаз потерять сложнее, чем брелок с элементом памяти. И есть гарантия, что в систему входит именно уполномоченный пользователь, а не некто, нашедший ключ.

Из систем биометрического контроля наиболее распространены сканеры отпечатков пальцев (Compaq Fingerprint, Identix, мыши и “хомяки” - “Hamster”). Эти системы, как правило, недороги, цена многих не превышает $100. Сканеры радужной оболочки глаза пока дороги и недостаточно надежны.

Но только технических средств, какими бы мощными они ни были, недостаточно для поддержания даже минимального уровня безопасности.

Некорректные действия администратора могут нанести ущерб больший, чем все вирусные атаки. Ошибка пользователя, самостоятельно администрирующего свои приложения, сводит на нет все усилия по обеспечению безопасности. Логин “demo” и пароль “test” встречаются до удивления часто. (Так же, как и пароли “sdfgh” и “54321”.)

Для ЦОД характерны разработанная политика безопасности, жесткая регламентация и система документации

Жесткая регламентация действий персонала, и в первую очередь системных администраторов, конечно, снижает оперативность при необходимости проведения нестандартных действий. Но зато гарантируется исполнение действий, предписанных и необходимых, а увольнение специалиста с административными полномочиями не влияет на нормальное функционирование и не снижает общего уровня безопасности. Кроме того, наличие системы собственной безопасности позволяет минимизировать ущерб от возможных действий персонала, имеющего административные полномочия в системе.

Важный момент - корпоративная политика и этика. В ЦОД работает большое число людей, от которых зависят многие вопросы, касающиеся безопасности. И если администраторы и технический персонал преданы организации и не станут инсайдерами, работающими на конкурента, - безопасность системы будет уже наполовину обеспечена.

Реагирование на инциденты

Клиенты ЦОД должны быть максимально защищены, и в случае атак необходимо принимать адекватные меры.

Разумеется, не всегда легко определить истинный источник угрозы, но иногда это возможно. Не стоит пренебрегать административным реагированием. Существует сетевой этикет и общепринятые правила, которых придерживается подавляющее большинство провайдеров. И если они получают доказательства, подтверждающие атаку из их сети, то обычно действуют жестко. Кроме того, в большинстве развитых государств есть организации или подразделения, занимающиеся борьбой с преступлениями в Сети. Как правило, они реагируют в том случае, если преступление совершено на их территории или ущерб нанесен их резидентам. Но с учетом ужесточения политики контроля за Интернетом в связи с угрозой терроризма можно не сомневаться, что в случае действительно серьезных событий необходимое расследование будет проведено.

В любом случае служба информационной безопасности ЦОД имеет возможность административного реагирования на инциденты. При определенной настойчивости, знании структуры международных и национальных органов сетевой и общей безопасности, знании законодательства шанс на адекватную реакцию весьма велик.

В качестве примера можно привести статистику IDS (детектора вторжений), контролирующего одну из сетей проекта DATA FORT. За четыре дня октября было зафиксировано более 50 000 сигнатур атак. Основную массу внесли черви Nimda (более 40 000 обнаруженных сигнатур), причем почти все атаки шли из одного источника - из сети немецкого ISP-провайдера. Атака прекратилась после уведомления администраторов сети. Так как Nimda использует известные уязвимости, которые были закрыты администраторами DATA FORT сразу после их обнаружения, никакого ущерба вирусная атака не нанесла. Кроме того, были зафиксированы попытки использования очень старых “дырок” в FTP (две атаки) и в почтовых системах (три атаки). Разумеется, безрезультатные. В этих случаях административные меры не принимались (слишком любительский характер носили эти попытки). Еще зафиксировано 149 попыток определения версии DNS (из самых разных сетей) плюс 40 случаев сканирования портов. В целом ничего явно противозаконного в таком сканировании нет - это просто попытки отыскать слабое место в сети. Но зафиксированные источники сканирования занесены в базу данных как потенциально угрожающие.

Какие угрозы могут появиться в будущем?

Писать вирусоподобные программы становится все проще; вирусы приобретают мобильность и могут функционировать на любой платформе. Многие новые черви и “троянские кони” не имеют явной разрушительной функции, а предназначены в первую очередь для получения контроля над пораженным узлом - часто для организации массовых распределенных атак и создания “боевых сетей”.

Распределенные атаки происходят все чаще, а последствия их становятся все опаснее. DDoS (распределенные атаки типа “отказ в обслуживании”) представляют собой новую и весьма серьезную угрозу. Такая атака является многоуровневой, и осуществляют ее “зомби” - “троянские” программы, функционирующие на пораженных компьютерах и управляемые мастер-программами, также работающими на взломанных компьютерах. В результате практически невозможно отследить реальный источник угрозы, центр управления атакой. Кроме того, защититься от атаки, идущей одновременно с сотен и тысяч источников, крайне трудно.

Распределенными становятся и вычисления. Более того, они могут производиться и без ведома владельцев компьютеров. Прецеденты уже есть. И хотя в известных случаях цели были вполне мирными (ресурсы компьютеров использовались для поиска сигналов внеземных цивилизаций), никто не гарантирует, что красивые скринсейверы на десятках тысяч машин не будут на самом деле заниматься криптографическим анализом данных в чьих-то интересах.

Еще одна интересная тенденция - попытки обхода криптозащиты с помощью косвенных методов. И хотя попытка взлома (а точнее, обхода) защищенного протокола SSH за счет анализа временных промежутков между посылками выглядит скорее курьезом, она может оказаться предвестником грядущего зла. Увеличение мощности компьютеров и возможность организации параллельных распределенных вычислений в сочетании с современными математическими методами (в частности, с корреляционными методами анализа, использованием нейронных сетей) может привести к резкому падению защищенности информации.

Все выше вероятность войн в киберпространстве. И, как показали недавние события в США, противник может быть анонимным и сильным. При этом информационные системы крупных корпораций и ЦОД - мишень номер один. Они могут столкнуться с массированными и хорошо подготовленными атаками, противостоять которым в состоянии только продуманная и отлаженная система защиты.

Сегодня сетевые центры обработки данных являются первопроходцами в создании именно таких комплексных систем обеспечения безопасности для своих многочисленных клиентов.

С автором можно связаться по адресу: myelagin@ibs.ru.