Hovoříme-li o zabezpečení datového centra, mnoho lidí jako první napadnou služby a technologie, spojené s fyzickým zabezpečením objektů datových center, případně se zajištěním nepřetržitého provozu instalovaných technologií s pomocí záložních zdrojů napájení, spolehlivých technologií pro chlazení či automatických hasicích prostředků. Faktem ale je, že daleko více než neoprávněný fyzický přístup, požár nebo třeba výpadek napájení hrozí datovým centrům, resp. serverům a úložištím, která v nich provozují konkrétní zákazníci, různé typy kybernetických útoků. Tyto útoky se přitom nevyhýbají žádné zemi a jsou často vedeny prostřednictvím zneužití infrastrukturních technologií. Jeden z masivních útoků směrovaných na datová centra a infrastrukturu poskytovatelů internetových připojení, byl zaznamenán například na jaře letošního roku. Tento útok spočíval v napadení více než 200 tisíc přepínačů Cisco v datových centrech po celém světě, nad kterými mohli, kvůli neošetřené zranitelnosti, útočníci získat plnou kontrolu. Počet menších i masivních útoků přitom neustále roste.

Cílem kybernetických útoků může být získání informací (databází osobních údajů, obchodního tajemství atd.) nebo způsobení nedostupnosti služeb, poskytovaných napadeným provozovatelem. Ve všech případech jsou následkem finanční ztráty a/nebo poškození reputace, ze kterých se napadená firma či organizace již nemusí vzpamatovat.

Tři stupně zabezpečení

Úkolem kvalifikovaného provozovatele datového centra je poskytnout zákazníkům kromě fyzického zabezpečení instalovaných technologií, také ochranu přinejmenším před nejběžnějšími typy útoků. K bezpečnostním službám, které by měli zákazníci od svého provozovatele datového centra čekávat, patří především:

Ochrana před útoky typu DDoS, tedy záměrně extrémně navýšeným datovým provozem, který zcela zahltí, a tedy i znepřístupní severy zákazníka datového centra. Pokud jde například o e-shop, je následkem DDoS útoku zastavení obchodování a ztráta na tržbách. V případě napadení podnikových systémů (CRM, ERP, účetnictví atd.), hrozí "jen" zvýšení doby odezvy a dočasná nedostupnost těchto aplikací.

Zabezpečení síťového provozu firewallem zajišťující filtrování síťového provozu v reálném čase pro detekci potenciálních útoků a odhalení škodlivého kódu dříve, než dojde k napadení technologií a systémů. Součástí je zpravidla také antivirová, antispamová a IDS/IPS ­(Intrusion Detection/Prevention System) ochrana.

Ochranu webových aplikací prostřednictvím webového aplikačního firewallu, který zajišťuje kontrolu provozu webových aplikací, eliminuje případné útoky a rovněž snižuje jejich zátěž.

Zajištění odolnosti služeb

Distribuované kybernetické útoky (Distributed Denial of Service, DDoS) patří mezi nejčastější typy kyberútoků hned ze dvou důvodů: lze je relativně snadno provést (k dispozici jsou i nástroje na jejich realizaci, resp. služby, které po zaplacení útok provedou) a jsou velmi účinné − na určitou dobu vyřadí konkrétní web či službu a tím poškodí jejího provozovatele. Služby datových center na ochranu před tímto typem útoků mají zpravidla několik volitelných úrovní. Zákazník může především volit mezi nepřetržitou ochranou (čistění internetového provozu), která na případný DDoS útok reaguje prakticky okamžitě. Alternativou je tzv. detekční ochrana, kdy provozovatel datového centra zasáhne až při zjištění probíhajícího útoku. Reakční doba se v tomto případě pohybuje v řádu jednotek minut od zahájení DDoS útoku.

Smyslem ochrany před DDoS útoky ale není odstavení veškerého síťového provozu v případě zjištění útoku − tím by byl v podstatě splněn cíl útočníka. Aby byla zachována dostupnost webových služeb, je třeba datový provoz "vyčistit", tzn. odfiltrovat z něj útoky od relevantního provozu. Pravidla takového filtrování by měl provozovatel datového centra upravit na míru konkrétním zákazníkům dle povahy jejich webových služeb. Datové centrum by se mělo ubránit DDoS útokům v řádu desítek Gb/s.

Detekce útoků

Mezi základní prvky zabezpečení datového provozu patří firewally, které filtrují síťový provoz a zablokují pokusy o neoprávněný průnik do systémů v datovém centru. Základní funkce firewallů se dnes, kvůli rostoucí sofistikovanosti útoků, rozšiřují nejen o detekci spamu a virů, resp. všech typů škodlivého softwaru, ale také o systémy detekce a prevence nových typů útoků (IPS a IDS) na základě sledování chování uživatelů a aplikací.

Každé filtrování síťového provozu nutně snižuje datovou propustnost infrastruktury, proto je třeba, aby provozovatel datového centra disponoval opravdu výkonnými firewally, jejichž činnost neovlivní negativně provoz služeb a aplikací. Se svými zákazníky by provozovatel datového centra měl řešit nastavení úrovně ochrany a datovou propustnost firewallu. Pomocí tzv. load balancingu, tedy rozkládání zátěže na více zařízení, je zajištěna vysoká propustnost firewallů i v případě nestandardních situací a skokového navýšení objemu datového provozu.

Ochrana webových aplikací

Pro zákazníky datových center, kteří si zde pronajímají servery za účelem provozu webových aplikací (internetových obchodů či jakýchkoli jiných služeb), jsou důležité služby na ochranu těchto aplikací před prolomením jejich zabezpečení, neoprávněným přístupem nebo zahlcením požadavky (DoS útoky). Právě k tomu slouží webový aplikační firewall (Web Application Firewall, WAF), který na úrovni analýzy datového toku odliší legitimní datový provoz od pokusů o napadení internetových aplikací. WAF přitom chrání nejen samotnou webovou aplikací, ale zároveň i infrastrukturu, na které tato aplikace běží. V případě detekce pokusu o útok pak existuje několik možností, jak WAF zareaguje. Kromě zablokování potenciálního útočníka může na základě nastavených pravidel dojít k omezení počtu připojení, zpracovaných požadavků nebo šířky pásma datového spojení − to vše s cílem zajištění maximální dostupnosti webové aplikace.

Moderní webové aplikační firewally se neomezují na standardní sady pravidel filtrování síťového provozu, ale postupně se učí odhalovat další nestandardní požadavky na webové aplikace, které mohou představovat nové způsoby kybernetických útoků. Konfiguraci WAF je rovněž možné upravovat a zpřesňovat na základě nových požadavků, vznikajících během postupného vývoje webových aplikací.

Bezpečnost řešte s provozovatelem

Zákazníci služeb datových center se jistě mohou postarat o zabezpečení svých systémů a aplikací sami. Daleko efektivnější je ale spolupracovat s provozovatelem datového centra, který pravděpodobně již má nasazeny sofistikované bezpečnostní technologie a se kterým lze řešit jejich nastavení ve vztahu ke konkrétním provozovaným službám.

 

Článek byl publikován v magazínu ICT revue.