تأمین امنیت در مرکز داده

۱۸۷۱مراکز داده همواره بخش اصلی بسیاری از سازمان‌ها محسوب می‌شوند. این مراکز مسئولیت فراهم کردن دسترسی قابل‌اطمینان و مقیاس‌پذیر به اطلاعات و برنامه‌هایی را دارند که سازمان را تشکیل می‌دهند. از آنجایی‌که این مراکز نسبت به گذشته اهمیت و ارزش بیشتری یافته‌اند، مسئله محافظت و نظارت بر آن‌ها نیز اهمیتی دو چندان یافته است. در عین حال، مراکز داده نیازها، چالش‌ها و تهدید‌های خاص خود را دارند.

هنوز هم در بسیاری موارد، امنیت مرکز داده و مجازی شده در قالب امنیت شبکه سنتی پیاده‌سازی می‌شود. مشکل اینجاست که مرکز داده مرز جداکننده شبکه خصوصی و محیط بیرونی نیست. اگرچه تغییر عملکرد مدل‌ها در این مرز جداکننده شاید رایج و امن به نظر برسد، اما این امر می‌تواند به شکاف‌های امنیتی خطرناکی منجر شود.

عبور از بخش‌بندی به سمت امنیت

راه‌حل صنعت برای استفاده از مدل مرز شبکه به همان شکل اصلی و بدون تغییر، این بود که کنترل‌های مرزی را مجازی کرده و آن‌ها را به درون مرکز داده منتقل کند. این روش در حقیقت بر اساس امنیت مرز یعنی دیواره آتش آغاز شد. روش مذکور در ابتدا با اجرای دیواره آتش‌های سنتی در قالب ماشین‌های مجازی آغاز شد. سپس از مدل‌های بخش‌بندی مبتنی بر عامل استفاده شد که به لحاظ ساختاری به نرم‌افزار بستر مجازی‌سازی نزدیک بودند.

در هر دو این موارد، توجه اصلی روی ایجاد سیاست‌های مناسب درون مرکز داده است.

حال آنکه، ایجاد و برقراری قوانین در شبکه‌ها، برابر با به دام انداختن یک نفوذگر نیست. در مرز شبکه، عملکرد دیواره آتش به‌خودی‌خود کامل نبوده بلکه در کنار انواع روش‌های کشف تهدید و فناوری‌های پیش‌گیری مانند راهکار‌های ضد بدافزاری، IDS/IPS، فیلترینگ وب تکمیل می‌شود. شایان ذکر است بسیاری از این فناوری‌های پیش‌گیری تهدید در مرز شبکه همانند دیواره‌های آتش به محیط مجازی منتقل شده‌اند.

حملات پیشرفته و حملات کامل

مشکل اینجاست که نمی‌توان گفت مرکز داده همان نسخه ارتقاء یافته مرز شبکه است. یک مرکز داده معمولاً با حملات پیچیده‌تری نسبت به مرز شبکه مواجه بوده و بدین ترتیب انواع تهدید‌ها و روش‌های حمله را تجربه می‌کند.

به‌طور خاص، تمرکز اصلی فناوری‌های مقابله با تهدید در محیط مرزی بر روی آلودگی اولیه است (مثل بد‌افزارها). حال آن‌که مهاجمان پس از بهره‌برداری موفق از مرز شبکه، به مرکز داده حمله می‌کنند.

مهاجم ممکن است به دستگاه‌های متعددی نفوذ کرده و به سرقت جزئیات کاربران و یا حتی مدیران بپردازد. در مراکز داده به‌جای بهره‌برداری و یا استفاده از بدافزار، مهاجمان تمایل دارند از اعتمادی که جلب کرده‌اند برای دسترسی به اطلاعات ‌حساس‌تر و یا صدمه به آن‌ها استفاده کنند. این بدان معنا است که یک مرکز داده معمولاً با حملات پیچیده‌تری روبرو می‌شود که احتمالاً همراه با نشانه‌ای آشکار از وجود بدافزار یا بهره‌برداری نیست.

استفاده از روش‌های رفتاری

اینجاست که مدل‌های شناسایی تهدید رفتاری به صحنه وارد می‌شوند. در این موارد علاوه بر جستجو ساده برای شناسایی رفتارهای غیرعادی کاربر، باید به شناسایی رفتاری ابزارها و روش‌های حمله پرداخت.

نفوذ به حساب‌های مدیریتی، پیاده‌سازی درب‌های پشتی، راه‌اندازی تونل‌های مخفی و RAT ها همگی فرآیند‌های استاندارد برای یک حمله مداوم هستند. همه این روش‌ها، رفتارهایی را از خود بروز می‌دهند که آن‌ها را از ترافیک عادی شبکه مجزا می‌سازد؛ به‌عبارت‌دیگر می‌توان به این فرآیند به‌عنوان نسخه تکامل‌یافته شناسایی تهدید نگاه کرد که به‌جای اسامی مخرب، بر رفتارهای مخرب تمرکز دارد. به‌جای این‌که به دنبال پیدا کردن یک بار داده مخرب خاص باشید، می‌توانید آنچه همه بار داده‌ها انجام می‌دهند را دنبال کنید.

همواره باید توجه داشت که مهاجمان از محدودیت‌های ما پیروی نمی‌کنند. حملات آن‌ها در اکثر موارد هم خود شبکه و هم مرکز داده را هدف قرار می‌دهند. تیم‌های امنیتی همیشه باید به هر دو این محیط‌ها توجه کافی نشان دهند.

برای مثال،‌ ترافیک دستور و کنترل مخفی، شناسایی شبکه، سرقت اطلاعات ورود کاربر یا مدیر از نمونه‌هایی هستند که می‌توانند یک نفوذ معمولی را به مرکز داده گسترش دهند. هرکدام از این مراحل فرصتی برای شناسایی یک حمله محسوب می‌شود. بنابراین تیم‌های امنیتی باید تا حد امکان چنین مراحلی را قبل از رسیدن حمله به مرکز داده کشف کنند.

به همین دلیل استفاده از رویکردی واحد در امنیت که هم محیط شبکه و هم مرکز داده را شامل می‌شود ضروری است. حملات سایبری رخدادهای به هم مرتبط و پیچیده‌ای هستند. تصور این‌که پایگاه داده به لحاظ امنیتی یک موجودیت جدا است فقط و فقط به مهاجمان کمک می‌کند.

حال اگر متخصصان امنیتی، محیط شبکه و مرکز داده را به‌عنوان منابع مرتبط با هم در نظر بگیرند، می‌توانند به‌عنوان محافظ، از پیچیدگی موجود در یک حمله به نفع خود استفاده کنند. به عبارت دیگر، هر چه مراحل موجود در یک حمله بیشتر باشد، فرصت‌های شناسایی و مقابله با آن‌ها نیز بیشتر خواهد بود.

در طرف مقابل، بروز تغییرات غیرعادی در رفتار کاربر در مرکز داده، شاخص مناسب و کافی برای شناسایی یک حمله نیست و بررسی هرگونه تغییر غیرعادی نیز روشی ناکارآمد به لحاظ زمانی برای تحلیلگران خواهد بود. از طرف دیگر رفتارهایی مانند ایجاد تونل در محیط شبکه، مشاهده آثار ارتباط با یک درب‌پشتی در کارگزار مرکز داده و ذخیره‌سازی داده‌ها همه و همه نشانه‌هایی از یک حمله را نشان می‌دهند.

تمامی این مسائل نکته‌ای را خاطرنشان می‌کند و آن اینکه ما باید منحصر به فردهای مرکز داده و تهدید‌هایی که با آن‌ها روبرو هستند را بشناسیم. البته باید توجه داشت این منحصر به فرد بودن موجب نمی‌شود که مرکز داده یک موجودیت جدا تلقی شود. ما باید به روش‌های حمله‌ای که مختص مراکز داده هستند اشراف داشته باشیم؛ به‌علاوه تمامی نکات امنیتی که در بخش محیط شبکه را به کار ببندیم. این مهم نیازمند یک برنامه‌ریزی دقیق است اما واقعیت آن است که امری دست‌یافتنی است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap