BIZIT 11 - prvi dan

Šta bi bilo kad bi bilo

Uz značaj koji podaci imaju za naše živote, neminovno se pitamo koliko su ti podaci sigurni u data centrima. Šta bi bilo kada bi neko pokušao da tamo provali, softverski ili fizički…

PCPress.rs ImageOvih dana desio se dizaster u domenu sajber bezbednosti. Deo svetske populacije je mnogo pričao o tome, a druge žrtve napada ozloglašenog ransomware‑a bile su tihe. Ugledne kompanije su de facto prećutale incident jer je ulog ogroman (sve ili ništa) – poverenje korisnika. Da bi povratili podatke svojih klijenata, u tišini su potrošili stotine bitkoina. Ovaj napad je pokazao koliko je u stvari sistem ranjiv na „softverski način“.

U velikim svetskim firmama, za implementaciju „nekog“ softvera istovari se vagon para, za fizičku bezbednost mreže manje, a za fizičku bezbednost DC‑a gotovo ništa – nema budžeta. Politika „neće to nama da se desi“ gotovo uvek prevlada. Možda i neće da nam se desi, ali ne smemo zanemariti preporuke i standarde. Biznis je postao digitalan, pa i takav ima svoje mračne strane: informacijom se trguje, ruše se vlade, upravlja se izborima, pištaljka je davno označila početak trke za kompromitujućim stvarima (data mining). Kakve veze ima fizička bezbednost kad je WannaCry prošao kroz softverski propust i zaključao petabajte podataka? Ima li potrebe zidati firewall‑ove i graditi DM zone, kad „neko“ drugi ostavi otvorena vrata u, nazovimo ga, backstage‑u.

Pročitajte i:  Schneider Electric: Kako dizajnirati AI data centar za 15 minuta

Fizička bezbednost

Rezona za fizičku bezbednost data centra svakako ima, jer u poslednje vreme Internetom, kolaju razne priče o katastrofičnim scenarijima: „šta bi bilo, kad bi mali Perica isključio Internet celom svetu na tri dana“. Recimo, ako živite u Švedskoj, ‘leba se nećete najesti ni u Danskoj, jer se kod njih odavno ne koristi gotovina. Nemate pristup banci, pa nemate pristup kešu. Kamere metro policijskog nadzora ostanu bez ETH, signalizacija i ostalih 50 milijardi IoT čuda (2020) izgube konekciju i… tama! To je samo delić scenarija. Novo vreme donosi dva osnovna rizika: biti povezan i ne biti povezan – oba stanja (do)nose svoje teškoće, očigledno.

Postoje i drugi načini da se stvori isti haos, reći će neko. Na primer, isključimo napajanje – „sredimo“ trafo stanicu, branu, TE ili ne daj Bože nuklearku. Data centri pojedinih kompanija rade na alternativinim izvorima energije, tako da im smetnje na mreži ne predstavljaju problem i na duže staze. U budućnosti će sve više biti ovakvih primera, energetski nezavisnih od ostatka (sveta) mreže. Jednosmerna struja dolazi.

Pa šta Perici preostaje na putu da uspori budućnost? Možda da fizički uđe u skladište i digitalnih informacija i napravi dar‑mar. Da bi mu to pošlo za rukom, mora proći tri nivoa fizičke sigurnosti, dva spoljna i unutrašnji. Spoljni se sastoji od zaštite perimetra DC‑a, a unutrašnji podrazumeva pristup raznim delovima objekta.

Pročitajte i:  Od otkaza do pune produkcije za samo nekoliko minuta uz Zerto

PCPress.rs ImageAko je Perica krenuo da uzme dva servera na kojima je skrivena njegova nova digitalna budućnost, neće stići ni do žive ograde u bekstvu iz DC‑a, i već će biti neutralisan. Perica se zato okreće softverskim napadima. Zato zidajte firewall‑ove, obezbedite pristup spolja maksimalno, jer je šteta koja može da nastane prevelika. Uspostavite backup procedure i pametno skladištite podatke, vodite evidenciju ulaska i izlaska iz zgrade. Zaštitite ulazak u operativno kritične zone instalacijom savremene opreme za bezbednost, podesite face recognition polise, na vrata rekova ugradite biometrijske brave ili one sa numeričkim kodovima za otvaranje i za sve to uspostavite centralni i jedinstveni sistem upravljanja i nadgledanja (npr. DCIM).

Obezbeđeni kablovi

Dobro ukopajte telekomunikacione kablove. MMR i optički razvod dobro obezbedite, jer jedna mala „štipaljka“ na optičkom kablu može da „krade“ vaš saobraćaj, a da vi to ne primetite godinama. Da bi Perica uspeo u svojoj nameri, fizički mora da dođe do kabla ili uređaja i tu ga treba čekati. Postoji oprema kojom možete zaključati prespojne kablove vaših patch cord‑ova na odgovornim konekcijama, kako na sviču, tako i na PP. Na taj način ćete otežati ne samo namerne, već i slučajne akcije prekida saobraćaja na fizičkom nivou mreže. I ja sam učestvovao u jednom slučajnom incidentu pre nekih 12 godina, kad sam nehotice oborio pola baznih stanica na Banovom brdu. Nedostatak dokumentacije, neobeleženi portovi, s kolegom preko Motorole dogovarate prekid; moje levo, tvoje desno; ma ne, moje desno i odjednom… mrak.

Pročitajte i:  Ugrožena arhiva koja čuva istoriju celog interneta

Dokumentacija je važna: moraju se znati kritična mesta na kablovskom nivou, a pristup takvim dokumentima obezbeđuje se kreiranjem različitih nivoa autorizacije. Osoblje na objektu mora da bude informatički pismeno, ali i spremno da fizički zaustavi neželjeno dejstvo.

Jedinstvenog rešenja nema, sve počinje izborom lokacije, a završava se selekcijom kadrova, uz instalaciju savremene i kvalitetne opreme za nadzor, otkrivanje, alarmiranje i zaštitu opreme. Važno je znati da čak i IP kamera može biti žrtva hakerskog napada, a da se čelična sefovska vrata „hakuju“ tek sa mnogo eksplozivne smeše. RFID, biometrija, laseri, detektori, sve dolazi u obzir, ali najvažnije je dobro uraditi procenu rizika i shodno tome postaviti osnovna načela za izgradnju bezbednosnog sistema.

I za kraj, možda postoji jedinstvena preporuka za fizičku bezbednost – neka vaš DC bude nevidljiv, ali fizički nevidljiv. Go deep. Underwater?

Miodrag Kovanović

(Objavljeno u PC#244)

Facebook komentari:
Računari i Galaksija
Tagovi: , , , , ,