Киберзащита дата-центра: как обезопасить себя и клиентов

По прогнозу Deloitte, в ближайшие год-полтора внимание бизнеса будет направлено на расширение серверных мощностей, формирование баз данных и строительство дата-центров следующего поколения. И на повестке остро встает вопрос информационной безопасности как самих ЦОДов, так и их клиентов. Как показывает практика, кибермошенники идут в ногу со временем, изобретают новые способы взлома баз данных с целью их продажи, получения выкупа и другими явно неблагими мотивами. 

Вопрос заблаговременного выстраивания системы защиты ЦОД не вызывает сомнений. Есть два основных варианта: строить защиту самостоятельно (с использованием ресурсов инфраструктуры ЦОД и интернет-провайдеров) или передать решение задачи операторам, предоставляющим комплексную защиту от DDoS-атак. Рассмотрим обе альтернативы.

Какие факторы учитывать при выборе системы защиты дата-центра

Для самостоятельного построения качественной системы защиты ЦОДу в первую очередь нужны время и деньги. Готовые аппаратно-программные решения для фильтрации трафика на различных уровнях сетевой модели OSI стоят дорого, особенно если говорить о проверенных временем зарубежных решениях (Arbor Peakflow и прочие). Помимо затрат на их приобретение, поддержку и обновление, необходимо учитывать и расходы на технический персонал, специализирующийся на том или ином решении, и их постоянное обучение.

Можно разработать собственное решение, но на это, ввиду неопределенных сроков, затяжных рисков и специфичности области применения, готовы немногие. Здесь важно не только сформировать штат грамотных технических специалистов по защите, разработчиков и сетевых инженеров, но и на своей инфраструктуре протестировать готовое решение. Это может оказаться невыгодным для компании.

К тому же некоторым клиентам ЦОДов может потребоваться защита не только ввиду финансовых или репутационных рисков, но и в целях соответствия требованиям защищенности (законам «О персональных данных», «О безопасности КИИ РФ», PCI DSS, ISO 27001 и пр.). Для обеспечения их исполнения необходимо, чтобы средства защиты трафика не влияли на конфиденциальность, целостность или доступность объектов.

Необходимо учесть и договоренности с операторами связи о возможности BGP FlowSpec или ACL-фильтрации для защиты собственной и клиентской инфраструктуры от вероятного переполнения и дальнейшего отказа в обслуживании. Сюда же можно включить и потребность в широких каналах с апстримами, емкостью свыше 200Гбит/с, чтобы защитить всех клиентов ЦОД от влияния масштабных атак.

При этом провайдер должен гарантировать максимально большую емкость их собственной сети, что в сумме значительно сужает выбор. К тому же для обеспечения достаточной емкости входящих каналов, высокой сетевой связности и резервирования, таких операторов должно быть несколько.

Передача этой услуги специализированному AntiDDoS-провайдеру позволит ощутимо сэкономить на защите, но главное — даст дата-центру возможность обеспечить безопасность компании и клиентов, привлечь финансовую выгоду и снять с себя лишнюю ответственность за возможные инциденты.

Затем по информации из открытых источников необходимо изучить его сеть (связность, интернет-провайдеров, отзывы клиентов). Это определяет не только качество самой защиты, но и качество транзита чистого трафика в момент, когда атак не наблюдается, то есть в 99% времени.

Ведя разговор об эффективности и надежности защиты, первое, на что стоит обратить внимание — гарантируемая полоса пропускания, мощность комплекса очистки на разных уровнях и надежность сети (резервирование, дополнительные узлы, отказоустойчивость). Помните и о технической поддержке. Оперативность и квалифицированность специалистов может сыграть огромную роль при атаках, и от них будет зависеть конечный результат защиты.

И, разумеется, предварительно протестируйте решение выбранного AntiDDoS-провайдера. Проверить ее эффективность можно, заказав стресс-тестирование у стороннего поставщика. Эти шаги помогут определить реальные параметры комплекса защиты и поведение технической службы в момент атак, оперативность уведомлений и корректность сетевой конфигурации.

Как выстроить комплексную защиту дата-центра от кибератак

Комплекс мер по информационной защите ЦОД подразумевает три последовательных этапа, задача каждого из которых — постепенно снижать количество нелегитимного трафика по пути до определенного объекта инфраструктуры дата-центра или его клиента. 

1. Грубая фильтрация в сети вышестоящих операторов связи и на собственных пограничных маршрутизаторах. 

Позволяет превентивно и эффективно защищать инфраструктуру от атак, призванных переполнить емкость сети ЦОД или атакуемого клиента. По нашему опыту и практике коллег, подавляющее большинство хакерских нападений относится к классу Volumetric (объемные / скоростные атаки), самых простых и эффективных. 

2. Тонкая очистка в сети DDoS-оператора, которая призвана защищать от атак на исчерпание очереди сессий и ресурсов атакуемой инфраструктуры. 

Для фильтрации такого рода DDoS-аномалий применяются кластеры высокомощных серверов-очистителей, которые предназначены для эффективной обработки предельно большого количества IP-пакетов. Их значения близки к теоретическому максимуму для защищаемого физического порта.

3. Дополнительная фильтрация на уровне приложения. 

Это может быть защита от DoS на уровне L7 или Web Application Firewall для охраны веб-приложений от уязвимостей из международной классификации OWASP TOP-10, или сервис автоматизированной защиты от ботов. Благодаря партнерским отношениям с операторами связи возможные схемы включения ЦОД под защиту могут варьироваться и зависят от потребностей дата-центра:

1. Защита с постоянным прохождением через центр очистки, когда DDoS-оператор принимает на себя весь трафик ЦОД. 

Схема эффективна только при полной уверенности в распределенной инфраструктуре комплекса защиты и ее отказоустойчивости. В ином случае необходимо рассматривать другие варианты, так как имея одного оператора дата-центр ухудшает связность и не может гарантировать доступность сервиса близкую к 99,99%.

2. Защита трафика по требованию. 

Эффективный способ защиты, при котором на инфраструктуре ЦОД разворачивается выделенный DDoS-анализатор. При обнаружении аномалии на определенный блок адресов, трафик конкретно этой подсети автоматически перемаршрутизируется на комплекс защиты посредством BGP. Связность остальных объектов при этом не ухудшается, что исключает возможное влияние на доступность отдельно взятых ресурсов, которые в данный момент не атакуются. Чистый трафик доставляется через каналы связи с интернет-операторами.

3. Защита по требованию с ручным переключением трафика. 

Некоторые ЦОДы предпочитают сами принимать решение о переводе трафика под охрану или фильтрации своими силами. Такая схема работает аналогично защите с автоматической перемаршрутизацией, но с оговоркой на реакцию технической службы ЦОД и погрешностью на время реагирования и принятия решения. Иногда это может оказать критическое влияние на общую доступность инфраструктуры дата-центра.

Как действовать при кибератаках на дата-центр

Рассмотрим на недавнем примере. 19 января дежурный специалист Servicepipe обнаружил на DDoS-анализаторе оператора связи одного из партнеров, который компания предоставляет в качестве одного из средств защиты инфраструктуры, множественные DDoS-аномалии, сильно распределенные по атакуемым IP-адресам. Анализ показал, что эти адреса объединяла принадлежность компании, предоставляющей услуги ЦОД. 

Силами оператора связи не всегда получается отразить ту или иную атаку, особенно если она направлена не на один или несколько конкретных адресов, а на целые блоки по 256 адресов и более. Сложность заключается в том, что Blackhole (мера, используемая для запрета входящего трафика на какой-то определенный IP-адрес или подсеть) вызывает полную недоступность инфраструктуры клиента до момента снятия блокировки. При этом различные меры фильтрации (ACL или BGP Flowspec) могут помочь только, если емкость входящего интернет-канала оператора выше суммарной мощности атаки. 

В случае с этой атакой силами команды специалистов по сетевым технологиям, информационной безопасности и дежурных сотрудников техподдержки, удалось оперативно пустить входящий трафик через комплекс очистки и восстановить доступность по всем объектам дата-центра. Но вскоре на аналогичном анализаторе другого партнера начали появляться аномалии на те же IP-адреса, а доступность инфраструктуры дата-центра стала резко ухудшаться. Помимо основного канала был еще и резервный, и атака пошла туда.

После ряда принятых мер по снижению влияния на сеть резервного оператора стало ясно — надо забирать и этот трафик, что и было сделано. В итоге доступность инфраструктуры защищаемых ЦОД была полностью восстановлена.

Анализируя произошедшее, управляющий Servicepipe Артем Избаенков подчеркнул, что оперативная реакция на кибератаку стала возможна благодаря:

• развернутым на инфраструктуре операторов, предоставляющих услуги доступа в интернет,  DDoS-анализаторам, которые позволили обнаружить атаки на ЦОД;
• круглосуточному наблюдению за анализаторами дежурных специалистов по информационной безопасности, которые смогли принять оперативные меры;
• наличию физического стыка между оператором связи и специализированным AntiDDoS-провайдером, который позволил в короткие сроки организовать доставку нелегитимного трафика в комплекс очистки, а уже очищенного трафика конечному клиенту.

На сегодняшний день ни одно средство защиты не может в полной мере обеспечить фильтрацию всех видов атак. И без возможности вмешательства человека в процедуру защиты не обходится ни в одном кейсе. В случае с предотвращением DDoS-атак, дежурный специалист должен иметь возможность круглосуточно следить за ходом аномалии и в случае необходимости принять меры по устранению влияния нелегитимного трафика на инфраструктуру ЦОД и его клиентов.

Фото на обложке: HappyAprilBoy/shutterstock.com