Como garantir mais segurança e disponibilidade nas suas operações de TI

Dentro das empresas e organizações, a segurança de dados tem sido um dos temas mais importantes. Mas, como encarar o desafio de garantir total segurança de dados e ter um sistema sempre disponível?

Os dados são uma mercadoria que requer uma estratégia de segurança ativa do data center para gerenciá-los adequadamente. Uma única violação do sistema causará estragos na empresa e terá efeitos a longo prazo.

Suas cargas de trabalho críticas estão isoladas de ameaças externas à cibersegurança? Essa é a primeira garantia que você precisará saber se sua empresa usa (ou planeja usar) serviços hospedados.

Para interromper problemas com segurança, os provedores de serviços precisam adotar um Modelo Zero Trust. Da estrutura física aos racks em rede, cada componente é projetado com isso em mente.

Arquitetura Zero Trust

O Modelo Zero Trust trata todas as transações, movimentos ou iterações de dados como suspeitos. É um dos mais recentes métodos de detecção de intrusões.

O sistema rastreia o comportamento da rede e os dados fluem de um centro de comando em tempo real. Ele verifica qualquer pessoa que extrai dados do sistema e alerta a equipe ou revoga direitos de contas em que uma anomalia é detectada.

Camadas de segurança e redundâncias de data centers

Manter seus dados seguros requer controles de segurança e o sistema verifica a camada por camada na estrutura de um data center. Do próprio edifício físico, dos sistemas de software e do pessoal envolvido nas tarefas diárias.

Você pode separar as camadas em um físico ou digital.

Padrões de segurança física do data center

Localização

A avaliação da segurança de um data center começa com o local.

O design de um Data Center confiável levará em consideração:

  • Atividade geológica na região
  • Indústrias de alto risco na região
  • Qualquer risco de inundação
  • Outros riscos de força maior

Você pode evitar alguns dos riscos listados acima, tendo barreiras ou redundâncias extras no design físico. Devido aos efeitos nocivos, esses eventos teriam sobre as operações do data center; é melhor evitá-los completamente.

Os edifícios, estruturas e sistemas de suporte de data center

O design das estruturas que compõem o data center precisa reduzir qualquer risco de controle de acesso. A vedação ao redor do perímetro, a espessura e o material das paredes do edifício e o número de entradas que ele possui. Tudo isso afeta a segurança do data center.

Alguns fatores-chave também incluem:

  • Armários de servidor equipados com uma trava.
  • Os edifícios precisam de mais de um fornecedor para serviços de telecomunicações e eletricidade.
  • Sistemas de backup de energia extra, como UPS e geradores, são uma infraestrutura crítica.
  • O uso de armadilhas. Isso envolve ter uma câmara de ar entre duas portas separadas, com autenticação necessária para ambas as portas
  • Leve em consideração a expansão futura dentro do mesmo limite
  • Sistemas de suporte separados dos espaços em branco permitem que funcionários autorizados executem suas tarefas. Também impede que os técnicos de manutenção e serviço obtenham entrada não supervisionada.

Controle de acesso físico

Controlar o movimento de visitantes e funcionários no data center é crucial. Se você tiver scanners biométricos em todas as portas – e registrar quem teve acesso a quê e quando -, isso ajudará a investigar qualquer possível violação no futuro.

Escadas de incêndio e rotas de evacuação devem permitir apenas que as pessoas saiam do edifício. Não deve haver alças externas, impedindo a reentrada. Abrir qualquer porta de segurança deve soar um alarme.

Proteger todos os terminais

Qualquer dispositivo, seja um servidor, tablet, smartphone ou laptop conectado a uma rede de data center, é um ponto de extremidade.

Se o cliente não proteger o servidor corretamente, todo o centro de dados poderá estar em risco. Os invasores tentarão tirar proveito dos dispositivos não seguros conectados à Internet.

Por exemplo, a maioria dos clientes deseja acesso remoto à unidade de distribuição de energia (PDU), para que eles possam reiniciar remotamente seus servidores. A segurança é uma preocupação significativa nesses casos de uso. Cabe aos provedores de instalações conhecer e proteger todos os dispositivos conectados à Internet.

Manter registros de vídeo e entrada

Todos os registros, incluindo imagens de videovigilância e registros de entrada, devem ser mantidos em arquivo por no mínimo três meses. Algumas violações são identificadas quando já é tarde demais, mas os registros ajudam a identificar sistemas e pontos de entrada vulneráveis.

Procedimentos de segurança de documentos

Ter procedimentos rigorosos, bem definidos e documentados é de suma importância. Algo tão simples quanto uma entrega regular precisa ser bem planejado para seus detalhes principais. Não deixe nada aberto para interpretação.

Executar auditorias regulares de segurança

As auditorias podem variar de verificações diárias de segurança e orientações físicas a auditorias trimestrais de PCI e SOC . As auditorias físicas são necessárias para validar se as condições reais estão em conformidade com os dados relatados.

Camadas digitais de segurança em um data center

Assim como todos os controles físicos, software e redes, compõem o restante dos modelos de segurança e acesso para um data center confiável.

Existem camadas de proteção digital que visam impedir que ameaças de segurança obtenham acesso.

Sistemas de Detecção e Prevenção de Intrusão

Este sistema verifica ameaças avançadas persistentes (APT). Ele se concentra em encontrar aqueles que conseguiram obter acesso ao data center. Os APTs geralmente são ataques patrocinados e os hackers terão um objetivo específico em mente para os dados que coletaram.

A detecção desse tipo de ataque requer monitoramento em tempo real da atividade da rede e do sistema para quaisquer eventos incomuns.

Eventos incomuns podem incluir:

  • Um aumento de usuários com direitos elevados acessando o sistema em momentos ímpares
  • Aumento de solicitações de serviço que podem levar a um ataque de negação de serviço distribuído (DDoS)
  • Grandes conjuntos de dados aparecendo ou se movendo pelo sistema
  • Extração de grandes conjuntos de dados do sistema
  • Aumento nas tentativas de phishing para pessoal crucial

Para lidar com esse tipo de ataque, os sistemas de detecção de intrusão e prevenção (IDPS) usam linhas de base dos estados normais do sistema. Qualquer atividade anormal recebe uma resposta. O IDP agora usa redes neurais artificiais ou tecnologias de aprendizado de máquina para encontrar essas atividades.

Práticas recomendadas de segurança para sistemas de gerenciamento de edifícios

Os sistemas de gerenciamento de edifícios (BMS) cresceram de acordo com outras tecnologias de data center. Agora eles podem gerenciar todas as facetas dos sistemas de um edifício. Isso inclui controle de acesso, fluxo de ar, sistemas de alarme de incêndio e temperatura ambiente.

Um BMS moderno vem equipado com muitos dispositivos conectados. Eles enviam dados ou recebem instruções de um sistema de controle descentralizado. Os próprios dispositivos podem ser um risco, bem como as redes que eles usam. Qualquer coisa que tenha um endereço IP pode ser invadida.

Sistemas seguros de gerenciamento predial

Os profissionais de segurança sabem que a maneira mais fácil de tirar um data center do mapa é atacando seus sistemas de gerenciamento predial.

Os fabricantes podem não ter em mente a segurança ao projetar esses dispositivos; portanto, são necessários patches. Algo tão insignificante quanto um sistema de aspersão pode destruir centenas de servidores se acionado por um ataque cibernético.

Segmentar o sistema

A segmentação dos sistemas de gerenciamento predial da rede principal não é mais opcional. Além disso, mesmo com essas medidas de precaução, os invasores podem encontrar uma maneira de violar a rede de dados primária.

Durante a infame violação de dados do Target, o sistema de gerenciamento predial estava em uma rede fisicamente separada. No entanto, isso apenas diminuiu a velocidade dos invasores, uma vez que eles saltaram de uma rede para outra.

O que nos leva a outro ponto crítico – monitorar o movimento lateral.

Movimento lateral

Movimento lateral é um conjunto de técnicas que os atacantes usam para se deslocar em dispositivos e redes e obter privilégios mais altos. Depois que os invasores se infiltram em um sistema, eles mapeiam todos os dispositivos e aplicativos, na tentativa de identificar componentes vulneráveis.

Se a ameaça não for detectada desde o início, os invasores podem obter acesso privilegiado e, finalmente, causar estragos. O monitoramento de movimentos laterais limita o tempo em que as ameaças à segurança do data center estão ativas dentro do sistema.

Mesmo com esses controles extras, ainda é possível que pontos de acesso desconhecidos possam existir no BMS.

Seguro no nível da rede

O aumento do uso da infraestrutura baseada em virtualização trouxe um novo nível de desafios de segurança. Para esse fim, os data centers estão adotando uma abordagem de segurança no nível da rede.

Criptografia no nível da rede é o uso de criptografia na camada de transferência de dados da rede, responsável pela conectividade e roteamento entre os terminais. A criptografia está ativa durante a transferência de dados e esse tipo de criptografia funciona independentemente de qualquer outra criptografia, tornando-a uma solução autônoma.

Segmentação de rede

É uma boa prática segmentar o tráfego de rede no nível do software. Isso significa classificar todo o tráfego em diferentes segmentos com base na identidade do terminal. Cada segmento é isolado de todos os outros, agindo assim como uma sub-rede independente.

A segmentação de rede simplifica a imposição de políticas. Além disso, ele contém possíveis ameaças em uma única sub-rede, impedindo-o de atacar outros dispositivos e redes.

Firewalls virtuais

Embora o data center tenha um firewall físico como parte de seu sistema de segurança, ele também pode ter um firewall virtual para seus clientes. Os firewalls virtuais monitoram a atividade de rede upstream fora da rede física do data center. Isso ajuda a encontrar injeções de pacotes com antecedência, sem usar recursos essenciais de firewall.

Os firewalls virtuais podem fazer parte de um hypervisor ou viver em suas próprias máquinas virtualizadas no modo de ponte.

Soluções tradicionais de proteção contra ameaças

As soluções conhecidas de proteção contra ameaças incluem:

  • Redes privadas virtualizadas e comunicações criptografadas
  • Filtragem de conteúdo, pacote, rede, spam e vírus
  • Analisadores e isoladores de tráfego ou fluxo de rede

A combinação dessas tecnologias ajudará a garantir que os dados estejam seguros, permanecendo acessíveis aos proprietários.

Padrões de segurança do data center

Há uma tendência de tornar os serviços de dados mais seguros e padronizar a segurança dos data centers. Para apoiar isso, o Uptime Institute publicou o Sistema de Classificação de Camadas para data centers.

O sistema de classificação define padrões para os controles do data center que garantem a disponibilidade. Como a segurança pode afetar o tempo de atividade do sistema, ele faz parte do seu Padrão de classificação de camadas.

Existem quatro níveis definidos pelo sistema. Cada camada é mapeada para uma necessidade comercial que depende de que tipo de dados está sendo armazenado e gerenciado.

Níveis 1 e 2

Visto como serviços táticos, os níveis 1 e 2 terão apenas alguns dos recursos de segurança listados neste artigo. São de baixo custo e utilizados por empresas que não desejam acesso em tempo real aos dados e que não sofrerão financeiramente devido a uma falha temporária do sistema.

Eles são usados ​​principalmente para armazenamento de dados externos.

Níveis 3 e 4

Essas camadas têm níveis mais altos de segurança. Eles têm redundâncias internas que garantem tempo de atividade e acesso. Fornecer serviços de missão crítica para empresas que conhecem o custo dos danos à reputação que uma quebra de serviço cria.

Essas instalações de processamento de dados em tempo real oferecem os mais altos padrões de segurança.

Leve a sério a segurança do data center utilizado por sua empresa

Cada vez mais empresas estão transferindo suas cargas de trabalho e serviços críticos para servidores hospedados e infraestrutura de computação em nuvem. Os data centers são os principais alvos de maus atores.

É essencial avaliar seus provedores de serviços em relação às melhores práticas apresentadas neste artigo. Não espere a próxima grande violação ocorrer antes de tomar uma ação para proteger seus dados. 

 

Gostou da solução? Nós podemos ajudar!

Conheça nossos conteúdos gratuitos, direcionados aos assuntos de sua preferência!

Enviar

Receba nosso conteúdo

Gostaria de receber de forma gratuita mais conteúdos sobre este ou outros assuntos? Preencha o formulário abaixo e receba nosso conteúdo gratuito!

Parabéns!

Você receberá nosso conteúdo em breve!

Atenção

Tivemos um problema com seu formulário, tente novamente.