Хотя основное внимание фокусируется на киберугрозах, физическая безопасность центров обработки данных не менее важна, тем более что наличие физического доступа облегчает реализацию многих других видов угроз — за взломами часто стоит именно авторизованный персонал. К тому же, хотя и медленнее, реальные угрозы тоже эволюционируют — размывание периметра затрагивает не только сеть, но и территорию центра обработки данных: с распространением дронов операторам ЦОДа придется, видимо, задуматься и об охране воздушного пространства над ним.
Как заявил в своем выступлении на конференции Data Center World Global Адам Рингл, эксперт по безопасности, дроны несут многочисленные угрозы для ЦОДов — в буквальном и переносном смысле. Так, составленная ими с помощью тепловизора тепловая карта помещений может быть использована злоумышленниками для выявления критических объектов инфраструктуры или при планировании физического проникновения.
И это без учета таких прямых угроз применения грубой силы, как доставка опасных материалов или использование оружейных систем. Против лома, как известно, нет приема, если только не найдется другого такого же. И кто знает, может быть, на вооружении охраны ЦОДов тоже появятся дроны для отлова нарушителей воздушного пространства, которые, например, смогут сбрасывать сеть с грузами для блокирования винтов беспилотных летательных аппаратов.
Конечно, операторы коммерческих центров обработки данных укрепляют физическую и логическую безопасность, но разделяемая природа предоставляемых ими облачных услуг многократно умножает риски: одна-единственная уязвимость в инфраструктуре, платформе или приложении способна вызвать серьезные проблемы у всех клиентов.
«Атаки на приложения могут служить отправной точкой для атак на ваш сервис целиком или на другие сервисы, которые находятся там же», — предостерег в своем выступлении на форуме «Мир ЦОД – 2016. Услуги. Облака» Рустэм Хайретдинов, заместитель генерального директора Infowatch. Между тем провайдеры не имеют возможности эффективно осуществлять контроль за тем, какие приложения размещаются в ЦОДах клиентами. Даже если уязвимости в них отсутствуют, что само по себе маловероятно (согласно статистике, бреши обнаруживаются в более чем 95% приложений), нет никакой гарантии, что они не появятся после установки обновлений, которые выпускаются все чаще, дабы угнаться за требованиями рынка к функциональности.
Современный подход к предоставлению облачных сервисов предполагает максимальную автоматизацию разработки, развертывания и поддержки приложений в соответствии с методологией DevOps с целью максимально быстрого предложения функционального и защищенного кода. Чтобы еще больше подчеркнуть необходимость интеграции защиты в процесс разработки, все чаще говорят о SecDevOps, DevSecOps и DevOpsSec. Различие между этими терминами, скорее, условное, но Джейми Тисчарт, CTO в Intel Security, предлагает следующую интерпретацию: в SecDevOps меры безопасности предпринимаются до разработки, в DevSecOps — после разработки, но до внедрения, а в DevOpsSec — уже после развертывания. Как бы то ни было, все они предполагают учет требований безопасности в процессе разработки.
Различным видам угроз для центров обработки данных была посвящена секция «Безопасность» на форуме «МИР ЦОД – 2016. Услуги. Облака». Обзор представленных на ней докладов можно найти в статье автора «Как защитить ЦОД».