[ تعرٌف على ] أمان مراكز البيانات # اخر تحديث اليوم 2024-04-27

تم النشر اليوم 2024-04-27 | أمان مراكز البيانات

البنية التحتية لأمن الشبكة

تتضمن البنية التحتية لأمن الشبكة أدوات الأمن المستخدمة في مراكز البيانات لفرض سياسات الأمن. تتضمن الأدوات تقنيات تصفية الحزم (packet-filtering) مثل قوائم التحكم في الوصول (ACL) والجدران النارية (Firewalls) وأنظمة كشف التسلل (IDS) بشكليها القائمة على الشبكة والمستندة إلى المضيف. ACLs (قائمة التحكم بالوصول)
قوائم التحكم في الوصول (ACL) هي آليات تصفية محددة بشكل صريح بناءً على معلومات ترويسة الحزمة للسماح أو لرفض حركة المرور على منافذ محددة. يتم استخدام قوائم التحكم في الوصول (ACL) في مواقع متعددة داخل مركز البيانات مثل المنافذ المواجهة للإنترنت(Internet Edge) ومزرعة خوادم الشبكة الداخلية (إنترانت). فيما يلي وصف لقوائم الوصول القياسية والموسعة: قوائم التحكم في الوصول القياسية (Standard ACLs): أبسط نوع من تصفية مرور البيانات ACL استنادًا إلى عناوين الشبكية IP للمصدر فقط. عادةً ما يتم نشر قوائم ACL القياسية للتحكم في الوصول إلى تجهيزات الشبكة الخاصة بإدارة الشبكة أو الوصول عن بُعد. على سبيل المثال يمكن تكوين قائمة ACL قياسية في موجه (router) لتحديد الأنظمة المسموح لها الوصول باستخدام Telnet. قوائم التحكم في الوصول القياسية (Standard ACLs) ليست خياراً موصى به لتصفية حركة المرور نظراً لافتقارها إلى الدقة. يتم تكوين ACLSs القياسية برقم بين 1 و 99 في موجهات Cisco. قوائم التحكم بالوصول الممتدة (Extended ACLs): تستند قرارات تصفية قائمة التحكم بالوصول (ACL) الموسعة إلى عناوين الشبكية IP لكل من المصدر والوجهة، وبروتوكولات الطبقة الرابعة، ومنافذ الطبقة الرابعة، ونوع رسالة ICMP ورمزها، ونوع الخدمة، والأسبقية. في أجهزة توجيه Cisco، يمكن تحديد قوائم ACL الموسعة بالاسم أو برقم ضمن النطاق من 100 إلى 199. جدران الحماية
جدار الحماية (Firewall) عبارة عن جهاز ترشيح متطور يفصل بين مقاطع الشبكة المحلية LAN، ويمنح كل جزء مستوى أمن مختلف ويؤسس حداً أمنياً يتحكم في تدفق حركة المرور بين القطاعات. يتم نشر جدران الحماية بشكل شائع في طرف الشبكة المواجه للانترنت Internet Edge حيث تعمل كحدود للشبكات الداخلية. من المفترض أن تحقق الخصائص التالية:
الأداء: الهدف الرئيسي لجدار الحماية هو الفصل بين المناطق الآمنة وغير الآمنة في الشبكة. يتم بعدها وضع جدران الحماية على مسار حركة المرور الأساسي المحتمل تعرضه لكميات كبيرة من البيانات. لذلك يكون الأداء عامل طبيعي أثناء التصميم للتأكد من أن جدار الحماية يلبي المتطلبات الدقيقة. دعم التطبيقات: هناك جانب مهم آخر وهو قدرة جدار الحماية على التحكم في تطبيق أو بروتوكول محدد وحمايته، مثل Telnet و FTP و HTTP. من المفترض أن يفهم جدار الحماية تبادلات الحزم على مستوى التطبيق لتحديد ما إذا كانت الحزم تتوافق مع سلوك التطبيق أو لا تقوم بذلك فيقوم برفض حركة المرور. هناك أنواع مختلفة من جدران الحماية بناءً على قدراتها الخاصة على معالجة الحزم بالإضافة لوعيها بالمعلومات على مستوى التطبيق: جدران الحماية لتصفية الحزم
جدران الحماية الخادم الوكيل
جدران الحماية محدد الحالة
جدران الحماية الهجينة
أنظمة كشف التسلل IDSs
أنظمة كشف التسلل IDSs هي أنظمة يمكنها اكتشاف المتسللين والأنشطة المشبوهة وإبلاغ نظام المراقبة عنها في الوقت الفعلي. تم تكوين إعداداتها لمنع أو تخفيف عمليات الاقتحام الجارية وفي النهاية تحصين الأنظمة من الهجمات المستقبلية. لديها مكونان أساسيان: أجهزة الاستشعار: الأجهزة والوكلاء البرمجيين الذين يحللون حركة المرور على الشبكة أو استخدام الموارد على الأنظمة الطرفية لتحديد التسلل والأنشطة المشبوهة.
إدارة IDS: نظام أحادي أو متعدد الأجهزة يستخدم لتكوين إعدادات وإدارة أجهزة الاستشعار ولتجمع جميع معلومات الإنذار التي تم إنشاؤها بواسطة أجهزة الاستشعار. أجهزة الاستشعار تعادل أدوات المراقبة، وإدارة نظام كشف التسلل هي مركز التحكم الذي يراقب المعلومات التي تنتجها أدوات المراقبة.

تدابير أمنية

بوابات في مركز البيانات لمنع الوصول غير المصرح به
تتطلب عملية تأمين مركز البيانات نهج تحليل نظام شامل وعمل مستمر لتحسين مستويات الأمن مع تطوير مركز البيانات. يتم تطوير مركز البيانات باستمرار مع توفر تطبيقات أو خدمات جديدة. أصبحت الهجمات أكثر تعقيدًا وتكرارًا. يتطلب هذا المنحى إجراء تقييم بشكل مستمر للجاهزية الأمنية. تعتبر السياسات التي تحكم تطبيق الأمن في الشبكة والتي تحتي ضمناً مركز البيانات أحد المكونات الرئيسية لتقييم الجاهزية الأمنية. يتضمن التطبيق كلاً من تفاصيل أفضل ممارسات التصميم والتنفيذ. نتيجة لذلك غالباً ما يُنظر إلى الأمن على أنه مكون رئيسي لمتطلبات البنية التحتية الرئيسية. نظراً لأن المسؤولية الرئيسية لمراكز البيانات هي التأكد من توفر الخدمات، غالباً ما تنظر أنظمة إدارة مركز البيانات في كيفية تأثير أمنها على تدفقات حركة المرور، والفشل، وقابلية التوسع. نظراً لكون التدابير الأمنية قد تختلف اعتمادًا على تصميم مركز البيانات أو استخدام الميزات الفريدة أو متطلبات الامتثال أو أهداف أعمال الشركة، لا توجد مجموعة من التدابير المحددة التي تغطي جميع السيناريوهات المحتملة. يوجد بشكل عام نوعان من أمن مركز البيانات: الأمن المادي والأمن الافتراضي. الأمن المادي
الأمن المادي لمركز البيانات هو مجموعة البروتوكولات المضمنة في مرافق مركز البيانات من أجل منع أي ضرر مادي للآلات التي تقوم بتخزين البيانات. يجب أن تكون هذه البروتوكولات قادرة على التعامل مع كل المخاطر والتي تتراوح بين كل من الكوارث الطبيعية إلى تجسس الشركات إلى الهجمات الإرهابية. ماسح بصمة الإصبع في مركز البيانات
لمنع الهجمات المادية، تستخدم مراكز البيانات تقنيات مثل: شبكة أمن كاميرات المراقبة CCTV: توضع في المواقع ونقاط الوصول مع الاحتفاظ بالفيديو لمدة 90 يومًا.
24 × 7
حراس الأمن ضمن موقع العمل،
فريق الخدمات والدعم الفني مركز عمليات الشبكة (NOC)
الباب الدوار المضاد للعودة للخلف / المضاد للتمرير بشكل عكسي. يسمح فقط لشخص واحد بالمرور بعد المصادقة.
نقطة دخول واحدة إلى مرفق الموقع المشترك.
تقليل حركة المرور من خلال بيانات وقاعات والأجنحة والأقفاص المخصصة.
مزيد من تقييد الوصول إلى الأقفاص الخاصة
مصادقة متعددة العوامل
مرافق متوافقة مع SSAE 16.
التحقق من مصدر وتصميم الأجهزة المستخدمة
تقليل المخاطر الداخلية من خلال مراقبة الأنشطة والحفاظ على اعتماداتهم آمنة
مراقبة درجة الحرارة والرطوبة
الوقاية من الحرائق باستخدام رشاش أنابيب جاف مخصص
مواقع خالية من مخاطر الكوارث الطبيعية
الأمن الافتراضي
الأمن الافتراضي هو إجراءات أمنية التي يتم وضعها بواسطة مراكز البيانات لمنع الوصول غير المصرح به عن بُعد والذي سيؤثر على سلامة/وفر/سرية البيانات المخزنة على الخوادم. يعد الأمن الافتراضي أو أمن الشبكة مهمة صعبة للتعامل معها نظراً لوجود العديد من الطرق التي يمكن المهاجمة من خلالها. أسوأ ما في الأمر أنه يتطور سنة بعد سنة. على سبيل المثال يمكن للمهاجم أن يقرر استخدام برمجيات خبيثة (أو برمجية استغلال مماثلة) لتجاوز جدران الحماية المختلفة للوصول إلى البيانات. قد تعرض الأنظمة القديمة الأمن للخطر أيضًا لأنها لا تحتوي على أساليب حديثة لأمن البيانات. يمكن منع الهجمات الافتراضية بتقنيات مثل تعمية عالية للبيانات أثناء النقل أو غيره: تشفير SSL 256 بت لتطبيقات الويب، مفاتيح عامة RSA 1024 بت لنقل البيانات. تعمية AES 256 بت للملفات وقواعد البيانات.
سجلات تدقيق الأنشطة لجميع المستخدمين.
أسماء المستخدمين وكلمات المرور المؤمنة: معماة بواسطة SSL 256 بت، ومتطلبات كلمات المرور المعقدة، وإعداد انتهاء الصلاحية المجدولة، ومنع إعادة استخدام كلمة المرور.
الوصول بناء على مستوى المصرح به.
تكامل مع AD / LDAP.
السيطرة بناء على عناوين الشبكة IP.
تعمية ملفات تعريف الارتباط معرّف الجلسة من أجل تحديد كل مستخدم بشكل فريد.
توفر المصادقة ثنائية العامل.
اختبار اختراق من قبل طرف ثالث يتم إجراؤه سنويًا
منع البرامج الضارة من خلال جدران الحماية والماسح الآلي
أمن الشركة
بعض الاستراتيجيات الممكن العمل عليها حول كيفية ترقية أمن البيانات في الشركة: حدد المخاطر. ابحث عن جميع الأدوات التي قد تخزن البيانات مثل أجهزة الكمبيوتر وقواعد البيانات، وتأكد من تخزين كل شيء بطريقة متوافقة مع متطلبات الامتثال.
مراجعة أنظمة أمن البيانات الحالية. تحقق من وجود أي تحديثات في نظام أمن البيانات الحالي. في بعض الأحيان يجب إزالة البيانات القديمة ومن المفيد أيضًا تثبيت برنامج تنظيف لمساعدة الشركة على حذف البيانات غير المستخدمة أو غير الضرورية.
قم بتشكيل فريق لأمن البيانات. قم ببناء فريق أمن داخلي محترف يمكنه مساعدة الشركة في تأمين بياناتها ويساعد على توفير المال من تعيين فرق أمنية أخرى. يجب أن يكون لدى الفريق الأمني خطة استعادة فقط في حالة حدوث شيء غير متوقع.
تحديث نهج أمان البيانات. تأكد من أن الأشخاص المصرح لهم فقط يمكنهم الوصول إلى النظام. هناك حاجة إلى برنامج التعمية لأنه يمكن أن يحمي البيانات من الأشخاص الذين يقومون بفك تشفير النظام. إذا لم يتم توفير مفتاح التشفير المناسب سيجعل البرنامج البيانات عديمة الفائدة لأشخاص آخرين. برنامج إخفاء البيانات هو برنامج آخر مفيد لأنه يمكنه إخفاء بعض المعلومات الحساسة من الظهور. البرنامج الأخير هو برنامج تقييم المخاطر، وهو أداة تساعد المستخدمين على مراقبة وفحص الأمن لشبكاتهم.

الحاجة إلى مركز بيانات آمن

الأمن المادي والبيئة المحيطة ضروري لحماية قيمة الأجهزة الموجودة فيه. حماية البيانات
يمكن أن يكون لتكلفة خرق الأمن عواقب وخيمة على كل من الشركة التي تدير مركز البيانات والعملاء الذين يتم نسخ بياناتهم. يمكن القول بأن خرق 2012 في Global Payments، وهي شركة مزودة لخدمة معالجة لـVisa، والذي تم فيه سرقة 1.5 مليون رقم بطاقة ائتمان، يسلط الضوء على مخاطر تخزين وإدارة البيانات القيمة والسرية. نتيجة لذلك، تم إنهاء شراكة Global Payments مع Visa؛ تشير التقديرات إلى أنهم خسروا أكثر من 100 مليون دولار. الهجمات من الداخل
غالباً ما يتم بناء الدفاعات ضد الثغرات الأمنية القابلة للاستغلال في البرامج على افتراض أنه يمكن الوثوق بـ "الأفراد الداخليين". تشير الدراسات إلى أن الهجمات الداخلية تميل إلى أن تكون أكثر ضرراً بسبب تنوع وكمية المعلومات المتاحة داخل المنظمات.

نقاط الضعف والهجمات الشائعة

ازدادت كمية البيانات المخزنة في مراكز البيانات، ويرجع ذلك جزئياً إلى التركيزات الناتجة عن الحوسبة السحابية التهديدات
بعض التهديدات الأكثر شيوعًا لمراكز البيانات: DoS (حجب الخدمة)
سرقة البيانات أو تغييرها
الاستخدام غير المصرح به لموارد الحوسبة
سرقة الهوية
نقاط الضعف
تشمل نقاط الضعف الشائعة ما يلي: التنفيذ: عيوب في تصميم البرامج والبروتوكول وأخطاء الترميز والاختبار غير الكامل
إعداد التكوين: استخدام الإعدادات الافتراضية, استخدام إعدادات تكوين للعناصر بشكل غير ملائم
استغلال البرامج منتهية التاريخ
استغلت العديد من هجمات "الدودة" على مراكز البيانات نقاط ضعف الشائعة: كود رد
نيمدا و
سيكول سلامر
استغلال الاعدادات الافتراضية للبرامج
يتم توريد العديد من الأنظمة بأسماء حسابات وكلمات مرور افتراضية، والتي يتم استغلالها للوصول غير المصرح به وسرقة المعلومات. الهجمات الشائعة
تشمل الهجمات الشائعة ما يلي: المسح أو السبر: أحد الأمثلة على هجوم السبر أو المسح هو مسح المنافذ - حيث يتم استخدام "إرسال الطلبات إلى مجموعة من عناوين منافذ الخادم على مضيف" ، للعثور على "منفذ فعال" ومن ثم التسبب في ضرر عبر "نقطة ضعف معروفة لتلك الخدمة". . غالبًا ما يسبق هذا الاستطلاع هجومًا هدفه هو الوصول عن طريق اكتشاف معلومات حول نظام أو شبكة.
DoS (حجب الخدمة): يحدث هجوم حجب الخدمة عندما يكون المستخدمون الشرعيون غير قادرين على الوصول إلى أنظمة المعلومات أو الأجهزة أو موارد الشبكة الأخرى بسبب تصرفات المهاجم السيبراني الخبيث. يولد هذا النوع من الهجوم حجمًا كبيرًا من البيانات لاستهلاك الموارد المحدودة عمدًا مثل النطاق الترددي ودورات وحدة المعالجة المركزية وكتل الذاكرة.
حجب الخدمة الموزع (DDoS): هذا النوع من الهجوم هو حالة خاصة من DoS حيث يتم اختراق عدد كبير من الأنظمة واستخدامها كمصدر للبيانات أو مرور البيانات في هجوم متزامن. في هذا النوع من الهجوم، لا يستخدم المخترق عنوان IP واحدًا فقط ولكن الآلاف منهم.
الوصول غير المصرح به (Unauthorized access): عندما يستخدم شخص ما حساب لا يخصه مع الامتيازات المرتبطة به هذا الحساب تم اختراقه للوصول إلى الموارد المقيدة باستخدام حساب حقيقي أو باب خلفي.
التنصت (Eavesdropping): من الناحية اللغوية يعني التنصت الاستماع إلى محادثة سراً. في مجال الشبكات، هو اعتراض غير مصرح به للمعلومات (أسماء المستخدمين وكلمات المرور) التي تنتقل عبر الشبكة. تعتبر سجلات دخول المستخدم هي الإشارات الأكثر شيوعًا التي يتم البحث عنها.
الفيروسات والديدان (Viruses and worms): هذه ترميزات برمجية خبيثة تنتج نتائج غير مرغوب فيها عند تنفيذها. الديدان عبارة عن برامج ضارة ذاتية التكاثر، بينما تحتاج الفيروسات التي يمكنها أيضًا التكاثر إلى نوع من التدخل البشري لإحداث الضرر.
هجمات البنية التحتية للإنترنت (Internet infrastructure attacks): يستهدف هذا النوع من الهجمات المكونات الأساسية للبنية التحتية للإنترنت بدلاً من الأنظمة أو الشبكات الفردية.
استغلال الثقة (Trust exploitation): تستغل هذه الهجمات علاقات الثقة بين أنظمة الكمبيوتر الواجب وجودها للتواصل بعضها بعضاً.
اختطاف الجلسة (Session hijacking) يُعرف أيضًا باسم اختطاف ملفات تعريف الارتباط (cookie hijacking): يتكون من سرقة جلسة شرعية تم إنشاؤها بين هدف ومضيف موثوق. يعترض المهاجم الجلسة ويجعل الهدف يعتقد أنه يتواصل مع مضيف موثوق به.
هجمات تجاوز سعة المخزن المؤقت (Buffer overflow attacks): عندما يقوم برنامج ما بتخصيص مساحة المخزن المؤقت للذاكرة بخلاف ما تم حجزه، فإنه يؤدي إلى تلف الذاكرة الذي يؤثر على البيانات المخزنة في مناطق الذاكرة التي تم تجاوزها.
هجمات الطبقة الثانية (Layer 2 attacks): يستغل هذا النوع من الهجوم نقاط ضعف بروتوكولات طبقة ربط البيانات وتطبيقاتها على الطبقة الثانية منصات التبديل.
حقن سيكول (SQL injection): يُعرف أيضًا باسم حقن التعليمات البرمجية، حيث يسمح الإدخال في نموذج إدخال البيانات (بسبب عدم تطبيق التحقق من صحة البيانات) بإدخال إدخال ضار يتسبب في تنفيذ تعليمات ضارة.

ملخص

وفقًا لاستبيان تكلفة خرق البيانات، الذي شاركت فيه 49 شركة أمريكية في 14 قطاعًا صناعيًا مختلفًا، فقد لاحظوا ما يلي: تقول 39٪ من الشركات أن الإهمال كان السبب الرئيسي لانتهاكات البيانات
تمثل الهجمات الخبيثة أو الإجرامية 37 بالمائة من إجمالي الانتهاكات.
متوسط تكلفة الخرق هو 5.5 مليون دولار.
تستخدم العديد من الشركات الكبيرة في الوقت الحاضر التخزين السحابي لحفظ بياناتها وبيانات عملائها، لكن مخاطر حفظ البيانات في التخزين السحابي من الممكن أن تكون هائلة. يمكن أن تكون الهجمات السيبرانية ضارة جدًا بالعديد من الشركات. هناك 64٪ من الشركات في جميع أنحاء العالم واجهت مشاكل مع الهجمات السيبرانية في عام 2020 فقط. بعض الهجمات السيبرانية تستهدف المعلومات الشخصية مثل سرقة الهوية والتي من الممكن أن تضر بموثوقية شخص ما بتأثيرات مصيرية.

أمن الطبقة الثانية

توفر مبدلات الطبقة الثانية من سيسكو Cisco Layer 2 switches أدوات لمنع هجمات الطبقة الثانية الشائعة (المسح أو الفحص، DoS هجمات حجب الخدمة، هجمات حجب الخدمة الموزعة DDoS، إلخ. ). فيما يلي بعض ميزات الأمان التي يغطيها أمن الطبقة الثانية: أمن المنافذ (Port Security)
تدقيقARP
الشبكات الافتراضية الخاصة VLAN
شبكات افتراضية خاصة VLAN وجدران الحماية الخاصة

شرح مبسط

أمن مركز البيانات هو مجموعة السياسات والتدابير الوقائية والممارسات المعتمدة في مركز البيانات لتجنب الوصول غير المرخص والتلاعب بموارده. [1] يضم مركز البيانات تطبيقات وبيانات المؤسسة، ولذلك فإن توفير نظام أمان مناسب هو أمر بالغ الأهمية. تعتبر هجمات الحرمان من الخدمة (DoS) وسرقة المعلومات السرية وتعديل البيانات وفقدان البيانات بعضًا من مشكلات الأمان الشائعة التي تؤثر على بيئات مراكز البيانات. [2]