مراکزداده
زمان تخمینی مطالعه: 6 دقیقه
برای اکثر سازمانها، امنیت مراکزداده یک معمای چند وجهی و چند لایه است. مراکزداده چه در سازمان میزبانی شوند، چه با امکانات مدیریت شوند و یا بهصورت مشترک، و چه خارج از سایت متعلق به شرکتها یا در فضای ابری، آنها نشاندهنده «گنجینه» یک سازمان هستند. آنها حاوی دادههای حیاتیاند که به فرآیندهای تجاری اجازه میدهند تا اجرا شده و زمینه را برای تصمیمگیریهای منطقی شرکتی فراهم آورند. در طرف مقابل، مهاجمانی هستند که به این دادههای بسیار جذاب و پُرسود طمع ورزیده و برای دسترسی به آن با جدیت تلاش میکنند. بههمین ترتیب، خودیها ممکن است سهوا یا عمدا از اطلاعات حساس شرکت سواستفاده کنند یا آن را بهخطر بیاندازند.
در هر صورت، اطلاعات شرکت و مشتری ممکن است برای باجگیری مورد حمله واقع شود، در Dark Web (به سایتی گفته میشود که در دسترس عموم نبوده و بیشتر برای مقاصد غیرقانونی مورد استفاده قرار میگیرد) فروخته شود یا به نحو دیگری مورد سواستفاده قرار گیرد.
یک محیط تخصصی
پیچیدهتر از این معادله، مقیاس و تنوع محیطهای مرکزداده است. در شبکههای سنتی، امنیت سایبری عمدتا روی محیط متمرکز میشود و از نفوذ مهاجمان در شبکه جلوگیری میکند. این استراتژی با رشد سریع نیروی ِکار پراکنده، گسترش مییابد و اغلب در فضای شبکه حل میشود. در مقابل، مراکزداده معمولا حجم بسیار بیشتری از ترافیک را مدیریت میکنند، با بارهای کاری مجازی شده که در سرورها، ماشینهای مجازی و رکها کار میکنند، برای انجام وظایف و به اشتراکگذاری دادهها با هم تعامل دارند. معماریهای مرکزداده همچنین میتوانند بهاندازه یک مرکز واحد داخلی ساده باشند یا از معماریهای ترکیبی یا چند ابری با محیطی تا حدودی بیشکل استفاده کنند.
امنیت تخصصی در لبه
مانند شبکههای سنتی، فایروالهای نسل بعدی (NGFW) معمولا بهعنوان اولین خط دفاعی برای مراکزداده مستقر میشوند. با اینحال، بسته به اندازه، بار ترافیک و سایر ملاحظات، ممکن است یک مرکزداده تخصصی NGFW مورد نیاز باشد. این راهحلها اغلب میتوانند از توان عملیاتی فایروال در ترابیت (بر خلاف گیگابیت برای NGFWهای استاندارد) و میلیونها جلسه کاربر همزمان پشتیبانی کنند. NGFWهای مرکزداده معمولا از تقسیم به چندین فایروال مجازی پشتیبانی میکنند که میتوانند خدمات فردی را برای مشتریان در محیطهای چند مستاجر ارائه دهند. اغلب، این NGFWهای مجازی بهطور مستقل مستقیما توسط مشتریان کنترل میشوند تا امکان تنظیم دقیق ویژگیها برای نیازهای هر مشتری را فراهم کنند. افزونگی و خرابی نیز از ملزومات حیاتی مراکزداده برای اطمینان از زمان کار مداوم حتی در صورت خرابی، فاجعه یا رویدادهای مخرب تجاری مشابه هستند. مکانیسمهای Failover ممکن است در شبکههای سنتی فعال/فعال یا فعال/غیرفعال باشند. با اینحال، در محیطهای مرکزداده، فعال/فعال معمولا بهمنظور حفظ تداوم عملیات در هنگام خرابی ترجیح داده میشود. در شرایط خرابی، بهخصوص اگر مرکزداده اضافی از نظر جغرافیایی دور باشد، باید مراقب تداوم اتصالات کاربر علاوه بر دادهها و برنامهها بود. با مکانیزمهای مناسب، Failover میتواند تقریبا بهطور نامریی برای کاربران و بدون تاثیر بر اتصالات فعلی اتفاق بیافتد. با اینحال، همیشه یک معامله وجود دارد. خرید و نصب NGFW میتواند نسبتا گران باشد و همچنین هزینهای که با ضرر مالی و اعتباریش نقض یا اختلال در کسبوکار ایجاد کند، سنجیده شود. علاوه بر این، بسیاری از کارهای سنگین یک NGFW توسط سیاستهای امنیتی انجام میشود و در حالیکه اکثر فروشندگان خبره پیکربندی و ابزارهای دیگر را ارائه میدهند، ممکن است تضادهای خطمشی ایجاد کنند. برای مثال، قراردادن کارمندان دورکار ممکن است به پیکربندی دستی نیاز داشته باشد تا امکان دسترسی به منابع مرکزداده فراهم شود.
غوطهور در ژرفنای: تقسیمبندی میکرو
از طریق مجازیسازی، رکها، استفاده از چند ابر و سایر ساختارها، تقریبا هر مرکزداده مدرن از عناصر معماری ابری استفاده میکند. این امکان مقیاسپذیری و کشش را فراهم میکند اما بهخودی خود خطرات امنیتی را بههمراه دارد. بهعنوان مثال، هنگامیکه یک مهاجم دسترسی پیدا کرد، فرآیندهای کاری مرتبط با مرکزداده میتواند مسیری را برای سرورها، دادهها، برنامهها و سایر منابع دیگر فراهم کند.
فناوریهای تقسیمبندی میکرو به تیمهای امنیتی اجازه میدهند تا مناطق مجزایی از مرکزداده را تعریف کنند، سپس خطمشیهای امنیتی را برای محافظت از آنها تنظیم میکنند. ترافیک شرقی-غربی بین عناصر مرکزداده را میتوان نظارت و تجسم کرد و در برابر بدافزارها و سایر شاخصهای در معرض خطر، قبل از اینکه بهطور گسترده در مرکزداده پخش شوند، دفاع کرد. علاوه بر این، در محیطهای چند مستاجر، یک راهحل ریز بخشبندی میتواند به جلوگیری از دسترسی بین مشتریان توسط کاربران غیرمجاز یا تهدیدات و حملات کمک کند. علاوه بر این، این راهحلها دید گستردهای را در ترافیک درون مرکزداده و مجموعه استانداردی از مکانیزمهای دفاعی همچون IPS، آنتیویروس و سایر دفاعهای حمله فراهم میکنند. بهرغم مزایای فراوان تقسیمبندی خرد، پیادهسازی میتواند بسیار پیچیده و بهکارگیری صحیح آن در محیطهای موجود دشوار باشد. یادگیری ماشینی الگوهای ترافیک عادی میتواند به تعیین جریان ترافیک شرقی-غربی برای رد یا قبول آن کمک کند – اما یک پیکربندی نادرست میتواند عملیات تجاری را مختل کند و مانند NGFWها، هنگام در نظر گرفتن این راهحل، هزینهها در مقابل منافع باید سنجیده شود.
قطعه دیگری از پازل: CWPP
همانطور که در بخش قبل به آن اشاره شد، مشاهده بارهای کاری ابری و درک نحوه تعامل داراییها بهطور معمول یکی از کلیدهای ایمنسازی یک مرکزداده است. با مدلسازی رفتارهای معمول حجم کاری، شناسایی هر گونه ناهنجاری که میتواند نشاندهنده یک تهدید بالقوه باشد، بسیار آسانتر میشود و سپس بهسمت خنثی کردن یا اصلاح آن حرکت میکند. این فناوری نوظهور که توسط شرکت تحلیلگر گارتنر، پلتفرمهای حفاظت از بار کاری ابری (CWPP) نامیده میشود، معمولا تعدادی از قابلیتهای امنیتی کلیدی را برای مراکزداده چند ابری ارائه میدهد: داشبوردی که امکان نظارت، تجسم و کنترل را فراهم میکند. مدلسازی مبتنی بر یادگیری ماشینی یا هوشمصنوعی از رفتارها و الگوهای عادی برای شناسایی تهدیدها؛ و ریز بخشبندی در میان ابرهای متعدد است. هنگام در نظر گرفتن CWPP، به خاطر داشته باشید که برخی از راهحلها ممکن است از همه موارد استفاده مانند ظروف و میکروسرویسها پشتیبانی نکنند. علاوه بر این، از آنجا که اکثر CWPPها مبتنی بر استفاده نمایندگان ازین خدمات هستند، هزینه نصب و نگهداری آنها در هر دارایی مرکزداده میتواند بهسرعت افزایش یا سرعت استقرار آن کاهش یابد و بهطور بالقوه بر سطوح کارایی داراییها تاثیر بگذارد.
در حالی که امنیت مرکزداده یک فرآیند مداوم است و نه یک رویداد یکباره، تنظیم پادمانهای اصلی در لبه و بهصورت داخلی برای اجزای مرکزداده ضروری است. انجام این کار، زمینه را برای محافظت موفقیتآمیز داراییهای حیاتی شرکت – در هر کجا که مستقر هستند، ایجاد میکند.
منبع : Data Centre Magazine
بخوانید: پنج نوع مختلف مرکزداد
بدون دیدگاه