Baixe o app para aproveitar ainda mais
Prévia do material em texto
Universidade do Estado do Rio de Janeiro Faculdade de Engenharia Departamento de Sistema e Computação Instalações de Ambiente Computacional Segurança no Data Center Aluno (a): Andressa da Silva Siqueira Matricula: 2006.1.03249.11 Professor (a): Flavio Joaquim Índice de ilustrações Figura 1 - Desenho em preto e branco de uma visão interna de um DataCenter 4 Figura 2 - Exemplos de controle de acesso 5 Figura 3 - Monitoramento do acesso as instalações. 6 Figura 4 – Exemplo de visão externa de um data center 6 Figura 5 - Visão de sala do data center e fotos de desastres. 7 Figura 6 - Exemplo de controle de acesso ao terreno do data center e visão geral do mesmo. 8 Figura 7 - Avisos de proibição. 8 Figura 8 - Exemplo de teto alto, sistema de energia e etc 9 Figura 9 - Exemplos de medidores de temperatura. 9 Figura 10 - Fotos de rack e servidores. 9 Figura 11 - Exemplo de estrutura física de um DC 10 Figura 12 - Rack de servidores e telecomunicações aberto 10 Figura 13 - Dobradiça na parte externa da porta. 11 Figura 14 - Picotadora de papel. 11 Figura 15 - Aviso de que naquele local se encontra um data center 12 Figura 16 - Fotos de incêndios 15 Figura 17 - Esquema de detecção e combate contra incêndio 16 Introdução Segurança em relação aos dados confidenciais dos clientes são, hoje em dia, uma das maiores preocupações de todas as empresas, especialmente empresas especializadas em oferecer armazenamento de larga escala. Atualmente segurança envolve a parte física, como os prédios e equipamentos empresariais como também proteção de redes, privacidade, etc. Até hoje a maioria das organizações trabalham com segurança física e lógica, completamente separadas, inclusive administradas por departamentos separados. Data Center Data Center é o local planejado para garantir a segurança física dos equipamentos de TI das empresas, de maneira a preservar a segurança e disponibilidade das informações que trafegam dentro desses equipamentos. Atualmente é uma modalidade de serviço que oferece recurso de processamento e armazenamento de dados em larga escala para pequenas, médias e grandes empresas que desejam terceirizar os cuidados com servidores e segurança de seus dados. Figura 1 - Desenho em preto e branco de uma visão interna de um DataCenter Segurança Acesso físico O porquê a necessidade de controle de acesso físico. Garantir que nenhum equipamento do DataCenter será roubado. Garantir que ninguém terá acesso irrestrito aos dados guardados no DataCenter . Formas de controle de acesso O controle de acesso atualmente pode ser feito através de: Leitores biométricos Leitores de Cartões (SmartCards) Senha Livro de registro Leitores de Iris Entre outros. Figura 2 - Exemplos de controle de acesso Monitoração do acesso físico à Data Center O monitoramento do acesso físico as instalações do data center podem ser feitas através de: Sensores de movimentos instalados dentro do espaço físico do data center Circuito fechado de TV (CFTV) - que é um sistema de televisão que distribui sinais provenientes de câmeras localizadas em locais específicos, neste caso dentro do data center, para um ou mais pontos de visualização. O sistema do circuito interno em sua versão mais simples é constituído por câmera(s), meio de transmissão e monitor. Inicialmente sendo um sistema analógico, o CFTV transmitia as imagens das câmeras por meio de cabo coaxial para monitores CRT (analógicos).Figura 3 - Monitoramento do acesso as instalações. O que levar em conta sobre a localização do data center Na hora de se montar um data center deve-se levar em considerações informações sobre o local, segurança da região e de como será a ambientação na sala dos computadores e o que poderá afetar-la. Figura 4 – Exemplo de visão externa de um data center Localização Saber sobre os riscos de desastres naturais para garantir que enchentes, furacões entre outros não destruam as instalações do data center. Saber sobre riscos de desastres humanos como acidentes de carros contra ao data center. Sobre a contingência de eletricidade e água (resfriamento) para garantir que o data center estará sempre em pleno funcionamento. Sobre a sala exclusiva para data center garantindo que nenhuma pessoa não autorizada terá acesso a sala de controle. Figura 5 - Visão de sala do data center e fotos de desastres. Segurança no perímetro Nenhum tipo de anúncio de que ali é um DC para que não haja premeditação de roubo de maquinas e servidores. Construção de muros ao redor para evitar que qualquer pessoa sem autorização fiquei escondido em volta das dependências do data center Estacionamento distante para que em caso de assalto aos funcionários e∕ou visitantes não seja possível o rápido acesso do infrator ao data center Vigilância de CFTV possibilitando a rápida detecção de invasores nas salas do data center. Patrulha Interna 24 hrs para a detecção de invasores no terreno do data center Autenticação automática aos acessos do data center garantindo acesso somente acesso de pessoas autorizada. Figura 6 - Exemplo de controle de acesso ao terreno do data center e visão geral do mesmo. Ambientação na sala de computadores Avisos: Entrada Proibida, Proibido alimentos, bebidas e cigarros; Porta anti-chamas. Figura 7 - Avisos de proibição. Teto alto; sistemas de energia, resfriamento e rede redundantes. Figura 8 - Exemplo de teto alto, sistema de energia e etc Temperatura entre 12° e 23° graus e umidade entre 20 e 80%. Figura 9 - Exemplos de medidores de temperatura. Manter os servidores em armários trancadosFigura 10 - Fotos de rack e servidores. Exemplo de estrutura física de um DC Figura 11 - Exemplo de estrutura física de um DC Falhas comuns Guardar a mídia de backup no Data Center ou na sala ao lado Deixar o rack de servidores e de telecomunicações aberto. Figura 12 - Rack de servidores e telecomunicações aberto Dobradiças na parte externa da porta Figura 13 - Dobradiça na parte externa da porta. Existir janelas no data center A vegetação muito perto das paredes externas do data center. Não ter picotadoras de papel no data center Figura 14 - Picotadora de papel. Algum tipo de aviso que naquele local se encontra um data center Figura 15 - Aviso de que naquele local se encontra um data center Ter mais de um ponto de entrada na sala do data center Permitir visitas públicas ao local. Técnicas de invasões mais utilizadas Remoção de material não autorizado (Roubo) Arrombamento Acesso ilegítimo Engenharia Social Acesso virtual Introdução Em um nível básico, medidas de segurança precisam equilibrar: a probabilidade de uma ocorrência de ameaça o impacto de uma violação de segurança os custos de implementação de contramedidas O nível de risco tolerado varia significativamente de uma organização para outra! O nível de risco aceitável é, por vezes ditadas pela legislação em determinados países ou para indústrias específicas: Gramm-Leach Bliley Act (GLBA) para as indústrias financeiras e de seguros Payment Card Industry Data Security Standard (PCI-DSS) para empresas que lidam com transações de cartão de crédito. Proteção de Informações Pessoais e Documentos Eletrônicos (Lei PIPEDA) no Canadá Directiva Protecção de Dados (UE Directiva 95/46/CE) na União Europeia (UE). Quais os objetivos de negócios está dirigindo o interesse da sua empresa em segurança virtual? Ameaças internas maliciosas Geralmente envolvem empregados ou contratados que têm algo a ganhar com a exploração de uma fraqueza no sistema. São as mais difíceis de gerir e controlar, pois envolvem pessoas que têm acesso legítimo aos sistemas afetados. Uma forma de prevenção é a de limitar os privilégios de um indivíduo específico tem e distribuir a carga de trabalho e responsabilidades entre os vários administradores. Ter um procedimento de resposta adequada caso ocorra um incidente de segurança no lugar, com métodos claros para acompanhar as atividades de administrador e fornecerprovas para qualquer investigação potencial penal ou civil. Ameaças internas não maliciosas È a causa mais comum de interrupções de serviço. Causas: a falta de conhecimento e formação, documentos inexistente de procedimentos operacionais, um desvio dos procedimentos operacionais, a fadiga causada por longas horas de trabalho, identificação errada de hardware e erros simples. A chave para minimizar os riscos deste tipo de ameaça é desenvolver sólidas e bem documentados procedimentos operacionais E restringir os privilégios de administrador para apenas as tarefas que são necessárias para as funções de um administrador particular de trabalho. Protegendo interfaces de gerenciamento As organizações devem empregar confiáveis globais IP práticas recomendadas de segurança de rede para isolar as interfaces de gerenciamento e garantir que eles são acessíveis apenas para o pessoal adequado na rede IP. A próxima ameaça potencial para um atacante fora é o ato de descobrir os dispositivos de comutação SAN na rede IP. As organizações podem minimizar essa ameaça, desativando todas as interfaces de gerenciamento não utilizados ou protocolos, tais como telnet, SNMP ou HTTP. Boa prática. Desativar todos os serviços IP desnecessários e requerer autenticação para ferramentas antes que um usuário pode visualizar qualquer informação, mesmo só de leitura de dados. Em muitos casos, as organizações devem usar protocolos mais seguros como SSHv2 e SSL / HTTPS para criptografar as conversas de login. Ao gerenciar seus switches com SNMP, as organizações devem também usar o SNMPv3 uma vez que suporta strings de comunidade criptografados, juntamente com muitas outras capacidades. Proteção contra incêndio Figura 16 - Fotos de incêndios Formas de prevenção Detecção analógica pontual e detecção a laser de alta sensibilidade VESDA; Sistema de supressão com agente limpo FE-25, sistema de sprinklers pré-action, sistemas de supressão com CO2; Sistemas de combate manual por hidrante, carretas e extintores CO2 e PQS. O combate a incêndio através de gás HFC227e a FM200 se dá através de um sistema automático que permite a atuação rápida e eficiente do agente extintor. Figura 17 - Esquema de detecção e combate contra incêndio Boas praticas no Data Center Armazenar os dados dos usuários em múltiplos locais para aumentar a confiabilidade. Guardar os arquivos com nomes aleatórios e com uma codificação que não permita as pessoas lerem o conteúdo. Os discos que não podem ser mais utilizados são completamente destruídos.
Compartilhar