Безопасность данных это способ хранения данных

Хранение данных: почему важно защищать не только сеть, но и само устройство

В последнее время вопрос безопасности данных обсуждается очень широко, но довольно часто речь идет прежде всего о защите сети. В современных условиях это вполне объяснимо, ведь процент сотрудников, работающих дистанционно, постоянно увеличивается и мы все сильнее полагаемся на облачные технологии. Однако выбор правильного способа защиты самого устройства хранения данных остается не менее актуальным вопросом.

Для обеспечения безопасности данных необходимо внимательно проанализировать все компоненты — системы, аппаратное оборудование, программное обеспечение и приложения, чтобы определить возможности для улучшения существующей инфраструктуры. Более того, работа самых передовых средств защиты данных должна не только обеспечивать идеальные результаты, но и быть практически незаметной для конечных пользователей.

Возможности для улучшения инфраструктуры хранения данных есть, и в этой статье мы рассмотрим четыре области, в который уже сейчас существуют доказавшие свою эффективность концептуальные решения, позволяющие, как показывают свежие данные, добиться серьезных позитивных изменений.

1. Преимущества аппаратного шифрования

Шифрование — это важный компонент безопасности как для охраны конфиденциальности данных, так и для накопителя, на котором они хранятся. Надежное аппаратное шифрование может способствовать повышению уровня безопасности, не влияя при этом на скорость.

Поскольку пользователи уже привыкли выполнять аутентификацию через свои мобильные телефоны, многие из них практически никогда с ними не расстаются. Мы подключаем к нашим телефонам разные внешние устройства, например, наушники, и заходим в профили с помощью биометрических данных, в частности по отпечатку пальца или распознаванию лица. Такой подход кажется нам идеальным способом сделать нашу цифровую жизнь более безопасной, ведь мы воспринимаем их как нечто вполне естественное и интуитивно понятное.

Аппаратное шифрование отличается от шифрования программными средствами. Программное шифрование работает следующим образом: хост-компьютер получает доступ к ключу шифрования диска, а это означает, что попавшая в хост вредоносная программа может этот ключ украсть. В отличии от этого во многих видах аппаратного шифрования ключ, используемый для шифрования данных на диске, остается в изолированном сегменте самого диска.

Поэтому аппаратное шифрование является важной составляющей безопасного метода установления доверия и одновременно с этим позволяет устранить классические проблемы и слабые места процесса верификации.

2. Обеспечение безопасности приложения с помощью «песочницы»

Если авторы приложения хотят распространять его через официальные магазины приложений, то в нем должен быть реализован ряд мер безопасности, в том числе возможность запуска в изолированной среде, так называемой песочнице (application sandboxing). Дополняя встроенные в операционную систему проверки, песочница ограничивает системные ресурсы, которые может использовать приложение, и разрешает выполнять только те функции, которые явно предусмотрел разработчик. Это позволяет бороться с получением доступа к лишним системным ресурсам с помощью встроенного в приложение вредоносного или некорректного кода.

Так, например, запущенное в песочнице приложение не может повредить другие файлы самого приложения или подделать команды безопасности, отправляемые и получаемые на уровне операционной системы. В противоположность этому приложение, содержащее драйвер уровня ядра, обладает полным контролем над вашей операционной системой, а также над приложениями и файлами на вашем компьютере. Любой дефект безопасности в таком драйвере может позволить вредоносной программе взять под контроль компьютер целиком.

Подготовленные для песочницы приложения содержат список разрешений (entitlement list), в котором указаны системные ресурсы, необходимые для работы приложения. Этот список проверяется оператором магазина приложений на предмет его соответствия функционалу приложения. Если приложение пытается получить доступ к ресурсу, на использование которого у него нет разрешения, например, к микрофону, песочница операционной системы не позволит приложению продолжить работу.

Такой подход помогает предотвратить ситуацию, когда через приложение кто-то пытается получить доступ к ресурсам и данным на вашем диске. Когда речь идет о простоте использования, ключевым моментом будет использование внешний дисков с учетом самых передовых техник обеспечения безопасности мобильных устройств. Подключение к диску по зашифрованной беспроводной сети исключительно через приложение, установленное на совместимый смартфон пользователя, поможет повысить уровень безопасности и улучшить пользовательский опыт.

3. Протоколы передачи информации по Bluetooth и через USB-порты

Существует два «классических» способа получить доступ к вашему диску и авторизовать других пользователей — беспроводное подключение по Bluetooth™ и проводное, например, через USB-порт. Впрочем, независимо от выбранного варианта, для обеспечения безопасности вашего соединения с устройством применяются одни и те же технологии.

Для соединения по Bluetooth на обоих устройствах необходимо ввести одинаковый код авторизации. Сейчас стандарты безопасность протокола Bluetooth поддерживают процесс подключения по принципу «point and pair» (указать и создать пару). Этот шаг не только упрощает процедуру создания пары, но и повышает уровень безопасности благодаря проверке аутентичности диска на этапе подключения к нему.

На корпусе диска может быть наклеен стикер с уникальным ключом, используемый для настройки и проверки безопасности соединения. Подключаясь по Bluetooth, вы можете просто отсканировать QR-код на стикере своим телефоном, и этого будет достаточно для поиска и соединения с диском, поскольку ключ вшит в код. При подсоединении через USB-порт используется другой, более короткий код, нанесенный рядом с QR-кодом. С его помощью вы можете убедиться, что подключаетесь к правильному диску, кроме того, он помогает предупредить подключение к диску вредоносных приложений.

4. Защита данных с помощью аппаратного шифрования

В настоящий момент в основе аппаратного шифрования лежит новый подход к управлению открытыми ключами, при котором защита данных реализуется с помощью аппаратной памяти ключей, расположенной на вашем смартфоне или компьютере.

Однако слабым звеном в периметре безопасности могут стать пароли, которые, кроме этого, в некотором смысле негативно влияют на удобство и простоту использования устройства. Проще говоря, люди могут выбрать ненадежный пароль или попросту забыть его. Утрата пароля к самошифруемому диску может привести к невозможности получить доступ ко всей информации, которая на нем хранится.

Для решения этой проблемы был разработан новый подход к обеспечению безопасности данных на самошифруемом диске. Теперь в качестве «ключа», разблокирующего ваш диск, можно использовать смартфон или компьютер. Эта функция реализуется как раз с помощью аппаратной памяти ключей на вашем устройстве. Аппаратная защита служит дополнительным барьером безопасности для получения доступа к личному ключу наряду с паролем от мобильного устройства или входом по биометрическим данным.

Взгляд в будущее

Не стоит полагаться исключительно на защиту сетей, поскольку уже сейчас мы можем говорить об очевидных преимуществах использования аппаратного оборудования для обеспечения безопасности данных. Продукты, поддерживающие аппаратную защиту, способны раздвинуть границы передовых подходов к обеспечению безопасности, одновременно гарантируя практически бесшовные впечатления от использования устройств. Такие решения разрабатываются с опорой на существующие и зарекомендовавшие себя концепции обеспечения безопасности, которые в случае необходимости могут дорабатываться, и позволяют создавать востребованные инновационные продукты. В перспективе совместное использование двух подходов создаст предпосылки для появления архитектуры следующего поколения, которая внесет свой вклад в обеспечение безопасности сразу на нескольких технологических уровнях.

Старший менеджер по маркетингу продукции Western Digital в регионе EMEA Рубен Денненвальдт

Источник

Лучшие практики по безопасности хранилищ данных

В статье рассматриваются ключевые угрозы, связанные с информационными хранилищами

Автор: Paul Rubens

В статье рассматриваются ключевые угрозы, связанные с информационными хранилищами, даются рекомендации по защите и затрагиваются вопросы соответствия законодательству.

Практики по безопасности хранилищ данных подразумевают защиту как инфраструктуры (локальных /внешних датацентров и облаков), так и хранимой информации. Спектр решаемых проблем достаточно широк, начиная от случайной или преднамеренной порчи информации и заканчивая неавторизированным доступом. Тема критически важная, поскольку большинство утечек данных в конечном счете сводятся к проблемам в области безопасности информационных хранилищ.

Хорошо спроектированная система безопасности также предусматривает соответствие разным нормативным положениями, как, например, PCI-DSS (Payment Card Industry Data Security Standard; Стандарт безопасности в индустрии платежных карт) или GDPR (General Data Protection Regulation, Общий регламент по защите данных), используемым в Евросоюзе. Все чаще компании в сфере безопасности стали разрабатывать решения, помогающие соответствовать подобным регламентам. В качестве примера можно привести растущий рынок GDPR решений.

В целом надежная система безопасности хранилища данных минимизирует риск кражи, несанкционированного раскрытия, подделки и случайной / преднамеренной порчи информации. Кроме того, в такой системе как правило внедрены средства, повышающие прозрачность и достоверность данных.

Угрозы безопасности хранилищ данных

Перед реализацией системы безопасности хранилища данных важно понимать типы угроз, с которыми может столкнуться компания.

В целом все факторы делятся на две категории: внешние и внутренние.

Хакеры, кибермошенники, организованные преступные группировки.

Конкуренты, занимающиеся промышленным шпионажем.

Инсайдеры с нечистоплотными помыслами.

Плохо обученный или безответственный персонал.

Пожары, наводнения и другие катастрофы природного характера.

Перебои с электроэнергией.

Принципы безопасности хранилищ данных

На самом высоком уровне система безопасности хранилища данных должна быть построена на трех принципах: конфиденциальности, целостности и доступности.

Конфиденциальность: несанкционированный доступ к данным должен быть исключен как по сети, так и локально. Это ключевой принцип, позволяющий предотвратить утечку информации.

Целостность: этот принцип в контексте безопасности означает, что данные должны быть защищены от подделки и несанкционированных изменений.

Доступность: в контексте безопасности следование этому принципу минимизирует риск выхода из строя или недоступности хранилища как намеренно – например, через DDoS атаку – так и случайно во время стихийного действия, перебоев с электроэнергией или механической поломки.

Как защитить хранилище данных

Стандарт ISO/IEC 27040 в области безопасности информационных хранилищ предусматривает использование физических, технических и административных мер для защиты систем хранения и инфраструктуры вместе с хранимой информацией. По своей природе меры контроля могут быть превентивными, розыскными, корректирующими, сдерживающими, восстанавливающими или компенсирующими.

Согласно SNIA (Storage Networking Industry Association; Ассоциация сетевых технологий хранения), основная суть стандарта ISO/IEC 27040 – наилучшие практики, позволяющие реализовать безопасности систем хранения на базовом уровне.

Меры безопасности на физическом уровне предусматривают защиту инфраструктуры и данных от физического неправомерного доступа и могут включать:

Найм персонала для мониторинга дата центров и хранилищ.

CCTV мониторинг (Сlosed Circuit Television; Система телевидения замкнутого контура) с сохранением видео.

Использование систем доступа на базе биометрии / смарт-карт и турникетов с защитой от проникновения нескольких лиц одновременно и обратного хода, которые разрешают проходить только одному человеку после аутентификации.

Мониторинг внутреннего пространства при помощи датчиков температуры и дыма.

Использование альтернативных источников питания (например, запасного генератора).

Меры безопасности на техническом уровне включают в себя многие процедуры, знакомые ИТ специалистам, как, например, защита сетевого периметра, системы обнаружения вторжений, фаерволы и антивирусы.

В контексте защиты хранилищ данных рекомендуется предпринять следующие меры:

Аутентификация пользователей и контроль доступа: в плане безопасности информационных хранилищ SNIA рекомендует уделять особое внимание аутентификации пользователей и контролю за доступом. Во многих коммерческих системах безопасности реализована защита инфраструктуры и самих данных. Кроме того, лучшие практики предусматривают реализацию следующих мер, при внедрении подобных систем:

Изменение всех стандартных учетных записей.

Избегание совместного использования учетных записей, отследить которые сложно или невозможно.

Назначение ровно таких прав, которые нужны для выполнения роли.

Изменение или снятие прав при увольнении или смены роли пользователя.

Анализ трафика: одна из наиболее действенных мер в контексте безопасности хранилищ – профилирование доступа к данным и отслеживание паттернов поведения с целью детектирования аномальной или подозрительной активности для последующего более тщательного исследования. Эта задача решается при помощи приложений для поведенческого анализа (user and entity behavior analytics; UEBA), которые все чаще становятся частью решений SIEM (security information and event management).

Мониторинг и отчетность: SNIA рекомендует внедрять разные возможности, связанные с мониторингом и отчетностью, включая разные приложения и системные журналы для детектирования и более глубокого понимания нарушений в области безопасности с целью предотвращения подобных инцидентов в будущем.

Защита интерфейсов управления: многие организации внедряют меры по защите инфраструктуры хранилища и данных от неавторизированного доступа, но забывают обезопасить системы управления. Соответственно, злоумышленник может наделить себя нужными правами доступа или расширить уже существующие привилегии для доступна к данным.

Приведенный перечень технических мер ни в коей мере не является исчерпывающим. Также следует внедрять другие средства безопасности, включая:

Надежное шифрование как в стационарных хранилищах, так и во время передачи данных по сети в связке с эффективной системой управления ключами.

Защиту конечных узлов: настольных компьютеров, ноутбуков и других устройств, у которых есть доступ к данным для минимизации риска установки вредоносов, могущих скомпрометировать хранимые данные.

Специальные меры для защиты баз данных, содержащих кредитные карты и другую ценную коммерческую конфиденциальную информацию. Наилучшие практики безопасности включают усиление защиты баз данных, использование фаерволов, заточенных под базы данных, мониторинг активности и другие меры.

Эффективное управление жизненным циклом данных и устройств хранения, включающее в себя безопасное удаление информации (в том числе из облака), в которых нет необходимости. Принцип здесь довольно простой: злоумышленник не сможет скомпрометировать информацию, которой не существует. Кроме того, следует внедрять процедуры безопасной утилизации устаревших носителей.

Административные меры сводятся к трем «П» (Политика, Планирование, Процедуры), каждая из которых играет важную в контексте безопасности хранилищ данных. Если говорить конкретно, то, к примеру, политики безопасности должны определять места хранения для различных типов информации, разграничивать права доступа, типы шифрования и моменты, когда следует удалять ненужные данные.

Учитывать аспекты хранения в политиках безопасности после идентификации наиболее важных и критичных для бизнеса категорий информации и требований к защите.

Интегрирование политик, специфичных для хранилищ, и других регламентов там, где возможно.

Внедрение мер сохранности и защиты данных.

Внедрение мер по удалению информации и утилизации носителей.

Проверка на соответствие, что все элементы инфраструктуры хранения соответствуют политикам безопасности

В зависимости от отрасли и страны, где работает ваша организация, возможно потребуется соответствие одному или нескольким нормативно-правовым регламентам в сфере безопасности хранения информации, включая PCI-DSS, Sarbanes Oxley, HIPAA, GDPR и другим.

Наказание за несоответствие вышеуказанным стандартам и, как следствие, уязвимости в системе безопасности, могут быть суровыми – начиная от штрафов и заканчивая тюремным заключением. Однако в некоторых случаях использование специфических мер безопасности не предписывается.

Например, в стандарте GDPR упоминается шифрование, но использование не является обязательным. Однако в случае серьезного инцидента, последствия неиспользования шифрования могут быть очень серьезными и даже сделано заключение, что реализованных мер недостаточно для соответствия GDPR.

Другие регламенты являются более специфическими. Например, стандарт PCI-DSS предписывает шифрование владельца карты при передаче через публичные сети.

Главное, нужно помнить, что эти регламенты созданы с целью помочь в реализации эффективных мер безопасности. Соответствие регламентам не означает, что система безопасности компании работает эффективно, но очень редко меры, предпринятые для обеспечения соответствия, сделают систему безопасности организации менее эффективной, чем, если бы эти меры не были бы внедрены совсем.

Источник