Uçtan Çekirdeğe: Veri Merkezinde Güvenlik


Timothy Liu, CTO ve Hillstone Networks Kurucu Ortağı

Çoğu kuruluş, veri merkezini ağın en temel ve kritik unsuru olarak kabul eder. Ne de olsa, iş fonksiyonlarının çalışmasına izin veren hassas veriler için bir havuz görevi görür. Bununla birlikte, veri merkezlerinin genel güvenliğini sağlamak, herkese uyan tek bir çözümü olmayan karmaşık bir sorundur. Bugünkü çoğu veri merkezinin dağıtılmış mimarisi sorunu daha da karmaşık hale getiriyor; tesisler şirket içinde, bulutta, kiralık bir ortak sitede, şirkete ait bir uzak veri merkezinde veya bunların herhangi bir kombinasyonunda olabilir.

Ne yazık ki bilgisayar korsanları, veri merkezi içeriklerinin diğer saldırılardan çok daha fazla kar için satılabileceğini veya başka bir şekilde kullanılabileceğini uzun zaman önce öğrendiler. Colonial Pipeline saldırısında olduğu gibi fidye yazılımı sadece bir örnektir; kişisel bilgiler, ağ kimlik bilgileri ve kredi kartı numaraları yeniden satılabilir veya yanlış iddialarda bulunmak için kullanılabilir ve fikri mülkiyet ulus devletlere veya rakiplere pazarlanabilir.

Risk altındaki riskler göz önüne alındığında, veri merkezi güvenliği son derece önemlidir. Yine de, veri merkezi mimarilerinin boyutu ve karmaşıklığı, geleneksel ağ ortamlarından farklı stratejiler ve çözümler gerektirir.

Veri Merkezi Farkı

Standart ağ güvenliği mimarileri için, Hillstone Networks’ün yeni nesil güvenlik duvarları (NGFW’ler) gibi çevre güvenlik cihazları, kötü amaçlı yazılımlara, izinsiz giriş girişimlerine ve diğer bilgisayar korsanı taktiklerine karşı koruma sağlayarak ağır işlerin çoğunu yapıyor. Bu, uzak çalışanlara ve Hizmet Olarak Yazılım kullanımına yönelik son trendler ışığında bile geçerliliğini koruyor – her iki durumda da benzer çevre güvenlik taktikleri kullanılıyor.

Bununla birlikte, veri merkezleri genellikle çok daha büyük trafik hacimlerini yönetir ve görevleri gerçekleştirmek ve verileri paylaşmak için etkileşime giren VM’ler, sunucular ve kapsayıcılar aracılığıyla sanallaştırmayı kullanır. Veri merkezi yapısı, yalnızca bir kurum içi dizi olabilir veya birden çok bulut mimarisini kapsayabilir; ikincisi daha gevşek tanımlanmış bir çevreye yol açabilir.

Yönetilen hizmet sağlayıcıları (MSP’ler), genellikle telekomünikasyon şirketleri ve diğer şirketler, birden çok müşterinin ortamlarının tek bir büyük veri merkezinde barındırıldığı, paylaşılan, çok kiracılı bir tasarım üzerinde çalışır. Ayrıca, hükümetler ve benzer gruplar, birkaç departmanın, kurumun veya diğer alt kümelerin veri merkezi varlıklarını tek bir ortak tesiste aynı yere yerleştirebilir. Her iki durumda da, münferit varlıkların kaynaklarını ve verilerini korumak için sıkı bir ayırma gereklidir.

Veri merkezi ortamları, onları kullanan kurum ve kuruluşlar kadar farklı olduğundan, veri merkezi güvenliği için tek bir derde deva yoktur. Neyse ki, yıllar içinde en iyi uygulamalar ve genel standartlar, veri merkezi siber güvenliğinin temelini oluşturmak için gelişti.

Çevre İçin Özel Hususlar

Standart ağ mimarilerinde olduğu gibi, yeni nesil güvenlik duvarları (NGFW’ler) genellikle kötü amaçlı yazılımlara, izinsiz giriş girişimlerine ve diğer kötü niyetli eylemlere karşı koruma sağlayan veri merkezleri için ilk koruma hattıdır. Ancak veri merkezinin trafik hacimleri, hizmet seviyesi anlaşmaları ve diğer faktörler, veri merkezi ortamları için özelleştirilmiş bir NGFW gerektirebilir. Hillstone Networks’ün X-Serisi gibi veri merkezi NGFW’leri, tipik olarak – kurumsal sınıf NGFW’ler tarafından desteklenen çoklu gigabit işlem hacminin yanı sıra milyonlarca eşzamanlı kullanıcı bağlantısı yerine terabit aralığındaki verimi destekler.

Özel veri merkezi NGFW’leri, paylaşılan veya çok kiracılı ortamlarda savunma hizmetleri sağlamak için birden çok sanal güvenlik duvarına bölümlemeyi de destekler. Servis sağlayıcıya bağlı olarak, müşterilerin bireysel müşteri gereksinimleri için özelliklerin özelleştirilmesine izin veren sanal NGFW’leri doğrudan kontrol etmesine izin verilebilir.

Arıza, doğal veya insan kaynaklı felaket veya işi kesintiye uğratan diğer olaylar sırasında kesintisiz operasyonların sağlanmasına yardımcı olmak için veri merkezi altyapılarında yük devretme ve yedeklilik de hayati zorunluluklardır. Standart ağ ortamlarında yük devretme yöntemleri aktif/aktif veya aktif/pasif düzenlemeler olabilir, ancak veri merkezi ekosistemleri için aktif/aktif mod, bu koşullarda operasyon sürekliliğini koruyabileceğinden en iyi uygulama olarak kabul edilir.

Özellikle fiziksel olarak uzaktaki yedekli bir veri merkezi durumunda bir yük devretme durumu meydana gelirse, son kullanıcı bağlantılarının yanı sıra uygulamalar ve verilerin sürekliliğini sağlamaya yardımcı olacak önlemler alınmalıdır. Uygun yapılandırmalar, devam eden oturumları etkilemeden yük devretmenin gerçekleşmesine izin verecek ve süreci kullanıcılar için farkedilemez hale getirecektir.

Mikro-Segmentasyon İçin Acil İhtiyaç

Bugün neredeyse her veri merkezi, sanallaştırma, kapsayıcılı iş yükleri ve birden çok bulutun kullanımı dahil olmak üzere bulut tasarımının en azından bazı öğelerini içerir. Bu faktörler esneklik ve ölçeklenebilirliğe katkıda bulunur; ancak, ele alınması gereken yeni güvenlik tehlikeleri de getirebilirler. Örneğin, bir tehdit aktörü veri merkezine erişim kazanırsa, orada bulunan birbirine bağlı iş yükleri, daha sonra istismara maruz kalan diğer veri merkezi kaynaklarına bir geçit sunabilir.

Hillstone’un CloudHive’ı gibi mikro segmentasyon çözümleri, veri merkezinin ayrı bölümlerinin tanımlanmasına ve ardından bunları savunmak için güvenlik ilkelerinin atanmasına olanak tanır. Bu alanlar bir VM, kapsayıcı veya iş yükü kadar küçük veya daha büyük segmentler olabilir. Dahili veri merkezi doğu-batı trafik akışları daha sonra kötü amaçlı yazılım veya benzer tehlike göstergeleri gibi potansiyel tehditlere karşı izlenir ve bunlar veri merkezinde yayılmadan önce hafifletilir veya ortadan kaldırılır.

Çok kiracılı ortamlar için mikro segmentasyon ayrıca müşteri varlıkları arasında yetkisiz son kullanıcı erişimlerinin yanı sıra istemciler arası tehditlere ve son Kaseya olayı gibi saldırılara karşı savunmaya yardımcı olur. Mikro segmentasyon ayrıca veri merkezi trafik akışlarının yanı sıra anti-virüs, IPS ve diğerleri gibi standart savunma yöntemlerine ilişkin derin görünürlük sağlar.

Savunmaları Yuvarlama: CWPP

Modern veri merkezlerinin dağıtılmış sanallaştırılmış mimarisi ve akışkanlığı göz önüne alındığında, iş yüklerine ve trafiğe ilişkin görünürlük, güçlü bir güvenlik duruşu elde etmenin önünde büyük bir engel olabilir. Bu nedenle, normal durumlarda bulut iş yüklerinin konumu ve durumu ile bunların arasındaki etkileşimler ve ara bağlantılara ışık tutmak zorunlu hale gelir. Sıradan davranışların bu analizi ve modellenmesi, daha sonra, bir uzlaşma veya tehdit göstergesi olabilecek anormallikleri tespit etmek ve buna karşı koymak için uygun savunma eylemlerini gerçekleştirmek için kullanılabilir.

Hillstone’un CloudArmour’u gibi bulut iş yükü koruma platformları (CWPP’ler), yerel ve bulut veri merkezi tesislerinde bu görünürlüğü ve güvenliği sağlamak için tasarlanmıştır. CWPP’ler normalde, potansiyel sorunlara hızlı yanıtlar için veri merkezi varlıklarının ve trafik akışlarının kolayca görselleştirilmesine ve izlenmesine olanak tanıyan kapsamlı bir pano sunar.

Ek olarak, CWPP’ler normal ve olağan davranışların doğru bir şekilde öğrenilmesi için tipik olarak makine öğrenimi veya yapay zeka kullanır. Bu, yanlış pozitifleri azaltmak ve tehdit algılama doğruluğunu artırmak için kritik öneme sahiptir. Ve son olarak, bu çözümler genellikle daha fazla güvenlik için birden çok buluta yayılabilen mikro segmentasyon yetenekleri içerir.

Bununla birlikte, önceki yetenekler veri merkezinin savunulmasında hayati öneme sahipken, çoğu CWPPS’nin başka bir yeteneği daha da önemli olabilir: konfigürasyonlar, konteynerler, düğümler, ana bilgisayarlar ve görüntüler içinde kapsüllenmiş güvenlik açıklarını belirleme yeteneği. CWPP’ler, uyumluluk duruşlarını en iyi uygulama şablonları ve diğer özel uyumluluk kontrolleriyle karşılaştırabilir ve ardından gerekirse düzeltmeler önerebilir. Güvenlik açıkları tespit edildiğinde uyarılar da tetiklenebilir.

Saldırganların sürekli olarak stratejilerini ve taktiklerini değiştirmesi gibi, veri merkezi güvenliği de bir kereye mahsus bir olay değil, bir evrimdir. Güvenlik uzmanlarının, çevre güvenliği ve veri merkezi içindeki savunmalar gibi temel unsurlara dikkat etmesi zorunludur. Bunu yaparken, fiziksel veya sanal olarak nerede olurlarsa olsunlar, iş için gerekli verileri ve uygulamaları korumak için sağlam bir temel oluşturabilirler.

yazar hakkında

Uçtan Çekirdeğe: Veri Merkezinde GüvenlikTimothy Liu, Hillstone Networks’ün Kurucu Ortağı ve baş teknoloji sorumlusudur. Bay Liu, görevinde şirketin ürün stratejisi ve teknoloji yönünün yanı sıra küresel pazarlama ve satıştan sorumludur. Bay Liu, 25 yılı aşkın deneyime sahip teknoloji ve güvenlik endüstrisinde kıdemli bir kişidir. Hillstone’u kurmadan önce, NetScreen Technologies’de ScreenOS için VPN alt sistemlerinin geliştirilmesini ve NetScreen’in satın alınmasının ardından Juniper Networks’ü yönetti. Bay Liu ayrıca patentli Juniper Evrensel Erişim Kontrolü’nün ortak mimarlarından biridir ve NGFW için Risk Puanlama ve Risk Bazlı Erişim Kontrolü konusunda ek bir patente sahiptir. Bay Liu, kariyeri boyunca Intel, Silvan Networks, Enfashion ve Convex Computer’da önemli Ar-Ge pozisyonlarında görev yaptı. He Liu, Çin Bilim ve Teknoloji Üniversitesi’nden lisans derecesine ve doktora derecesine sahiptir. Austin’deki Texas Üniversitesi’nden.

Tim’e çevrimiçi olarak @thetimliu adresinden ve şirketimizin web sitesi https://www.hillstonenet.com/ üzerinden ulaşılabilir.



Source link