Из «нормативки» в реальную выгоду: опыт центра обработки данных Кузбасса
Цифровизация – главный глобальный тренд. Тем не менее, в России продолжают работать сотни предприятий, для которых переход «в двоичный код» по-прежнему остаётся чем-то пугающим, дорогим и непонятным. Для них цифровизация во многом – не шаг в сторону эффективности, а лишь очередное нормативное требование. Однако куда важнее, что позитивная тенденция в стране сохраняется, пусть иногда и вопреки непониманию, нехватке кадров и бюджетов. При этом локомотивом прогресса выступают не только федеральные гиганты, но и регионы.
Один из ярких примеров – Кузбасс. Уровень цифровой зрелости региона за последние несколько лет стабильно растёт. Для обеспечения необходимых вычислительных мощностей в городе Кемерове был создан центр обработки данных (ЦОД) – масштабная цифровая инфраструктура, на которой размещаются ключевые государственные и муниципальные информационные системы. О том, как грамотно выстроить устойчивую систему информационной безопасности ресурсов целого региона рассказал министр цифрового развития и связи Кузбасса Максим Садиков.
Чтобы объект цифровизации успешно развивался и масштабировался, необходимы средства информационной защиты, иначе «переход в цифру» чреват неприятными последствиями. Сегодня грамотно выстроенная ИБ-инфраструктура – это фундамент, а не приятная опция.
При этом нужно понимать, что универсального решения в области ИБ не существует. Безопасность – не отдельный продукт, – это экосистема, учитывающая специфику предприятия, планы развития на годы вперёд, техническую оснащённость и даже сложившиеся пользовательские привычки сотрудников. В случае с быстро развивающейся организацией, вроде ЦОДа в Кузбассе, болевые точки могут быть самыми разными: от текучки кадров и необходимости постоянного онбординга новых сотрудников до работы с внешними подрядчиками и соответствия требованиям регуляторов. И если нормативы так или иначе можно постараться закрыть «малой кровью», то реальные проблемы человеческого фактора могут оказаться куда более серьёзными.
Особую угрозу для ЦОДов несут привилегированные пользователи. Ими могут быть администраторы, подрядчики, DevOps-специалисты и другие технические эксперты. На мощностях регионального ЦОДа, как правило, располагаются сотни организаций, поэтому атаки на цепочку поставок (supply chain) здесь не просто возможны: при таких условиях они происходят постоянно! Каждая учётная запись с правами администратора – потенциальная точка входа в систему. Случаев, когда уже уволенный сотрудник возвращается в систему под учёткой, которую забыли отозвать, масса. Причём, как правило, намерения такого «бывшего» не являются благими. Ещё один повседневный сценарий – недобросовестный подрядчик, который в лучшем случае будет просто бездействовать, а в худшем – попытается достать из системы что-нибудь с пометкой «конфиденциально». Да и среди хакеров привилегированные учётные записи ценятся высоко, ведь права администратора в системе открывают дорогу не только к персональным данным сотрудников, пользователей и контрагентов, но и к функционированию ресурсов в целом. Здесь не спасёт ни антивирус, ни межсетевой экран. Нужны специализированные решения.
ЦОД Кузбасса выбрал платформу СКДПУ НТ – решение класса PAM (Privileged Access Management) от российского разработчика «АйТи Бастион». PAM незаменим для контроля привилегированных учётных записей, предотвращения и расследования инцидентов. Такая система способна автоматизировать процессы, которые при высокой загруженности предприятия могут быть проигнорированы. К примеру, разрыв сессии по тайм-ауту, построение поведенческих портретов пользователей и отслеживание неправомерных действий. В условиях ЦОДа подобные процессы не просто желательны, они необходимы.
СКДПУ НТ позволяет контролировать все сессии привилегированных пользователей в реальном времени: от клавиатурного ввода до запуска процессов и работы с буферами обмена. Поддерживается работа с протоколами RDP, SSH, VNC, Telnet и другими. Платформа не только записывает, но и активно анализирует поведение пользователя, автоматически разрывая сессию и отправляя уведомление администратору при идентификации подозрительной активности. В ряде случаев можно ограничить запуск определённых приложений или заблокировать исходящие соединения с конкретных узлов. Это даёт возможность и предотвращать инциденты, и собирать доказательную базу при их расследовании.
Ключевым фактором при выборе PAM-решения специалистами кузбасского ЦОДа стала не только техническая зрелость СКДПУ НТ, но и готовность разработчика активно поддерживать своих заказчиков. Ведь скорость реакции технической поддержки вендора и в целом его отзывчивость для доработки функционала под задачи конкретного заказчика критически важна, особенно на первых этапах эксплуатации ИБ-решения.
Кроме того, PAM-платформой часто пользуются не только инженеры, а, например, ИТ-аудиторы, аутсорсинговые представители служб безопасности и другие привилегированные пользователи. В этом вопросе критично, чтобы продукт был понятным и не требовал месяцев обучения.
Для кузбасского ЦОДа также была важна быстрая интеграция новой платформы с уже установленными системами, потому что мы не можем себе позволить сделать долгий перерыв в работе, пока настраиваем оборудование.
Не только безопасность, но и экономическая выгода
Решение обеспечить контроль привилегированных учётных записей с помощью СКДПУ НТ помогло выстроить ИБ-инфраструктуру на основе принципа нулевого доверия. Такой подход позволяет использовать PAM и как инструмент кибербезопасности, и для отслеживания с его помощью эффективности работы подрядных специалистов, а следовательно – планировать целесообразность экономических вложений в их работу. Это особенно важно в случае с центром обработки данных, потому что множество задач здесь отдаётся на аутсорс, включая и задачи по обслуживанию и внедрению ИБ-систем. При помощи СКДПУ НТ кемеровские специалисты могут отслеживать бездействие исполнителей, что делает их труд абсолютно прозрачным для оценки.
Не останавливаться ни на минуту
ЦОД Кемеровской области – как цифровая нервная система региона. Любая уязвимость такой организации может обернуться сбоем десятков государственных систем. Именно поэтому стратегия обеспечения кибербезопасности должна представлять собой не пылящийся на полке план действий, а живой процесс, постоянно эволюционирующий вместе с развитием области.
Чем масштабнее темпы цифровизации, тем больше нужно смотреть в сторону технологий, способных исключить человеческий фактор и связанные с ним ошибки. В ближайшем будущем именно такие решения станут тем, что отделяет технологически зрелое предприятие от хаоса. ЦОД Кузбасса – пример того, как нормативное требование переросло в реальную необходимость и вместе с тем принесло пользу большому количеству людей.