Перечислим основные черты, характеризующие такие системы:
- весь основной объем информации накапливается в структурированных реляционных базах данных;
- все компьютерные ресурсы обычно находятся в выделенных, хорошо охраняемых серверных комнатах (так называемые центры обработки данных);
- хранилища - это не просто мертвый склад информации, но и наличие большого числа тесно связанных с ним прикладных и обслуживающих систем. Например, ПО для архивирования информации, управления, системы обработки типа ETL, прикладные системы и т.д.;
- средний размер хранилища составляет 1 Тбайт и выше, что диктует серьезное отношение к сетевой инфраструктуре и системам хранения и обработки информации.
Как и везде, в вопросах построения систем информационной безопасности необходим комплексный, взвешенный, многоуровневый подход, поскольку недорабатка в одном вопросе способна свести на нет все усилия в остальных направлениях.
Ясно, что территория хранилища должна быть максимально закрыта от попыток проникновения снаружи, поэтому при необходимости удаленного доступа обязательно шифрование трафика. И даже внутренняя сеть управления (которую желательно выделить отдельно с помощью VLAN или даже на физическом уровне, то есть управлять серверами по отдельным сетевым интерфейсам) должна шифроваться (SSH, IPSec, SSL и т.д.). Обязательно шифрование данных, выходящих наружу с использованием контроля целостности (MD5, SHA1). Обычно из-за больших объемов обрабатываемой информации не используют шифрование на уровне ядра сети из-за проблем с производительностью.
Разные сетевые протоколы и сетевые взаимодействия требуют наличия средств защиты на своем уровне.
Обычный транспортный уровень требует наличия следующих средств от подмены адресата и средств защиты:
- организация VLAN, Port Security и т.д.;
- proxy-серверы на периметре, анализирующие прикладной уровень взаимодействия;
- системы предотвращения вторжений (IDS/IPS) и др.
- антивирусная защита и т.д.
Уровень Fibre Channel также требует своей защиты, например Fibre Channel Authentication Protocol, Switch Link Authentication Protocol и т.д.
На уровне Storage Area Networking применяется Virtual SAN, маркировка LUN и др.
По вопросам редакционного сотрудничества (написания или комментирования статей) обращайтесь к Марии Калугиной (kalugina@groteck.ru) по тел. (495) 609 3231
По вопросам размещения материалов в журнале обращайтесь к Оксане Царенко (marunina@groteck.ru) по тел. (495) 609 3231