"Безопасные хранилища данных" - экспертная статья Алексея Задонского

"Безопасные хранилища данных" - экспертная статья Алексея Задонского

Перечислим основные черты, характеризующие такие системы:

- весь основной объем информации накапливается в структурированных реляционных базах данных;

- все компьютерные ресурсы обычно находятся в выделенных, хорошо охраняемых серверных комнатах (так называемые центры обработки данных);

- хранилища - это не просто мертвый склад информации, но и наличие большого числа тесно связанных с ним прикладных и обслуживающих систем. Например, ПО для архивирования информации, управления, системы обработки типа ETL, прикладные системы и т.д.;

- средний размер хранилища составляет 1 Тбайт и выше, что диктует серьезное отношение к сетевой инфраструктуре и системам хранения и обработки информации.

Как и везде, в вопросах построения систем информационной безопасности необходим комплексный, взвешенный, многоуровневый подход, поскольку недорабатка в одном вопросе способна свести на нет все усилия в остальных направлениях.

Ясно, что территория хранилища должна быть максимально закрыта от попыток проникновения снаружи, поэтому при необходимости удаленного доступа обязательно шифрование трафика. И даже внутренняя сеть управления (которую желательно выделить отдельно с помощью VLAN или даже на физическом уровне, то есть управлять серверами по отдельным сетевым интерфейсам) должна шифроваться (SSH, IPSec, SSL и т.д.). Обязательно шифрование данных, выходящих наружу с использованием контроля целостности (MD5, SHA1). Обычно из-за больших объемов обрабатываемой информации не используют шифрование на уровне ядра сети из-за проблем с производительностью.

Разные сетевые протоколы и сетевые взаимодействия требуют наличия средств защиты на своем уровне.

Обычный транспортный уровень требует наличия следующих средств от подмены адресата и средств защиты:

- организация VLAN, Port Security и т.д.;

- proxy-серверы на периметре, анализирующие прикладной уровень взаимодействия;

- системы предотвращения вторжений (IDS/IPS) и др.

- антивирусная защита и т.д.

Уровень Fibre Channel также требует своей защиты, например Fibre Channel Authentication Protocol, Switch Link Authentication Protocol и т.д.

На уровне Storage Area Networking применяется Virtual SAN, маркировка LUN и др.

Источник: статья Алексея Задонского, ведущего менеджера проектов в государственных структурах компании Oracle которая полностью будет опубликована в №4 журнала "Information Security/Информационная безопасность".
По вопросам редакционного сотрудничества (написания или комментирования статей) обращайтесь к Марии Калугиной (kalugina@groteck.ru) по тел. (495) 609 3231
По вопросам размещения материалов в журнале обращайтесь к Оксане Царенко (marunina@groteck.ru) по тел. (495) 609 3231