Seguridad del centro de datos

Prácticas para asegurar el acceso a un centro de datos

La seguridad del centro de datos es el conjunto de políticas, precauciones y prácticas adoptadas en un centro de datos para evitar el acceso no autorizado y la manipulación de sus recursos. ^[1] El centro de datos alberga las aplicaciones y los datos empresariales, por lo que es fundamental proporcionar un sistema de seguridad adecuado. La denegación de servicio (DoS), el robo de información confidencial , la alteración y la pérdida de datos son algunos de los problemas de seguridad comunes que afectan a los entornos de los centros de datos. ^[2]

Los problemas de seguridad de los datos a veces pueden ser perjudiciales para muchas empresas, por lo que es muy importante saber cuáles son los problemas y encontrar soluciones útiles para ellos. El propósito de la seguridad de los datos es proteger la información digital del acceso no autorizado. También es importante tener en cuenta que la seguridad de los datos es diferente de la privacidad de los datos . Hay muchas situaciones en las que la seguridad del centro de datos se vería amenazada, especialmente para los datos basados ​​en la nube .

Descripción general

Según la Encuesta sobre el costo de una violación de datos , ^[3] en la que participaron 49 empresas estadounidenses en 14 sectores industriales diferentes, notaron que:

• El 39% de las empresas dice que la negligencia fue la causa principal de las filtraciones de datos.
• Los ataques maliciosos o criminales representan el 37 por ciento del total de infracciones.
• El coste medio de una infracción es de 5,5 millones de dólares.

Hoy en día, muchas grandes empresas utilizan la nube para almacenar sus datos y los de sus clientes, pero los riesgos de guardar datos en la nube pueden ser enormes. Los ciberataques pueden resultar muy perjudiciales para muchas empresas. El 64% de las empresas de todo el mundo tuvieron problemas con los ciberataques solo en el año 2020. ^[4] Algunos ataques cibernéticos dirigidos a información personal, como el robo de identidad, pueden dañar el crédito de alguien con influencias que cambian la vida.

La necesidad de un centro de datos seguro

Se necesita seguridad física para proteger el valor del hardware que contiene. ^[5]

Protección de Datos

El coste de una violación de la seguridad puede tener graves consecuencias tanto para la empresa que gestiona el centro de datos como para los clientes cuyos datos se copian. La violación de 2012 en Global Payments, un proveedor de procesamiento de Visa, donde se robaron 1,5 millones de números de tarjetas de crédito, pone de relieve los riesgos de almacenar y gestionar datos valiosos y confidenciales. ^[6] Como resultado, se terminó la asociación de Global Payments con Visa; ^[7] se estimó que perdieron más de 100 millones de dólares.

Ataques internos

Las defensas contra las vulnerabilidades de software explotables a menudo se basan en el supuesto de que se puede confiar en los "iniciados". ^[8] Los estudios muestran que los ataques internos tienden a ser más dañinos debido a la variedad y cantidad de información disponible dentro de las organizaciones.

Vulnerabilidades y ataques comunes

La cantidad de datos almacenados en los centros de datos ha aumentado, en parte debido a las concentraciones creadas por la computación en la nube ^[3]

Amenazas

Algunas de las amenazas más comunes a los centros de datos:

• DoS (Denegación de Servicio)
• Robo o alteración de datos
• Uso no autorizado de recursos informáticos
• El robo de identidad

Vulnerabilidades

Las vulnerabilidades comunes incluyen:

• Implementación : fallas en el diseño y protocolo del software, errores de codificación y pruebas incompletas
• Configuración : uso de valores predeterminados, elementos configurados de forma inapropiada

Explotación de software obsoleto

Muchos ataques de "gusanos" a centros de datos aprovecharon vulnerabilidades bien conocidas:

• Código rojo ^[9]
• Nimda ^[10] y
• SQL Slammer ^[11]

Explotación de los valores predeterminados del software

Muchos sistemas vienen con cuentas y contraseñas predeterminadas, que son explotadas para acceso no autorizado y robo de información.

Ataques comunes

Los ataques comunes incluyen:

• Escaneo o sondeo : un ejemplo de un ataque basado en sondeo o escaneo es un escaneo de puertos , mediante el cual se utilizan "solicitudes a un rango de direcciones de puertos de servidor en un host" para encontrar "un puerto activo" y luego causar daño a través de " una vulnerabilidad conocida de ese servicio". ^{[12] [13]} Esta actividad de reconocimiento a menudo precede a un ataque; su objetivo es obtener acceso descubriendo información sobre un sistema o red.
• DoS (Denegación de servicio) : un ataque de denegación de servicio se produce cuando los usuarios legítimos no pueden acceder a sistemas de información, dispositivos u otros recursos de la red debido a las acciones de un actor de ciberamenaza malicioso. ^[14] Este tipo de ataque genera un gran volumen de datos para consumir deliberadamente recursos limitados como ancho de banda, ciclos de CPU y bloques de memoria.
• Denegación de servicio distribuido (DDoS) : este tipo de ataque es un caso particular de DoS en el que una gran cantidad de sistemas se ven comprometidos y se utilizan como fuente o tráfico en un ataque sincronizado. En este tipo de ataque, el hacker no utiliza sólo una dirección IP sino miles de ellas. ^[15]

  

• Acceso no autorizado : cuando alguien que no sea el propietario de la cuenta utiliza privilegios asociados a una cuenta comprometida para acceder a recursos restringidos utilizando una cuenta válida o una puerta trasera. ^[dieciséis]
• Escuchando : Etimológicamente, Escuchando significa escuchar en secreto una conversación. ^[17] En el ámbito de las redes, se trata de una interceptación no autorizada de información (nombres de usuario, contraseñas) que viaja por la red. Los inicios de sesión de usuarios son las señales más comunes que se buscan.
• Virus y gusanos : Son códigos maliciosos que al ejecutarse producen resultados no deseados. Los gusanos son malware que se autorreplica, ^[18] mientras que los virus, que también pueden replicarse, necesitan algún tipo de acción humana para causar daño. ^[19]
• Ataques a la infraestructura de Internet : este tipo de ataque se dirige a los componentes críticos de la infraestructura de Internet en lugar de a sistemas o redes individuales.
• Explotación de confianza : estos ataques explotan las relaciones de confianza que tienen los sistemas informáticos para comunicarse.
• Secuestro de sesión también conocido como secuestro de cookies : Consiste en robar una sesión legítima establecida entre un objetivo y un host de confianza. El atacante intercepta la sesión y hace creer al objetivo que se está comunicando con el host de confianza. ^[20]
• Ataques de desbordamiento de búfer : cuando un programa asigna espacio de búfer de memoria más allá de lo que había reservado, se produce una corrupción de la memoria que afecta los datos almacenados en las áreas de memoria que se desbordaron. ^[21]
• Ataques de capa 2 : este tipo de ataque explota las vulnerabilidades de los protocolos de capa de enlace de datos y sus implementaciones en plataformas de conmutación de capa 2.
• Inyección SQL : también conocida como inyección de código, aquí es donde la entrada a un formulario de entrada de datos, debido a una validación de datos incompleta, permite ingresar datos dañinos que provocan la ejecución de instrucciones dañinas. ^[22]

Infraestructura de seguridad de red

La infraestructura de seguridad de la red incluye las herramientas de seguridad utilizadas en los centros de datos para hacer cumplir las políticas de seguridad. Las herramientas incluyen tecnologías de filtrado de paquetes como ACL, firewalls y sistemas de detección de intrusiones (IDS), tanto basados ​​en red como en host.

ACL (lista de control de acceso)

Las ACL son mecanismos de filtrado definidos explícitamente en función de la información del encabezado del paquete para permitir o denegar el tráfico en interfaces específicas. Las ACL se utilizan en varias ubicaciones dentro del centro de datos, como Internet Edge y la granja de servidores de intranet. A continuación se describen las listas de acceso estándar y extendida:

ACL estándar: el tipo más simple de ACL que filtra el tráfico basándose únicamente en las direcciones IP de origen. Las ACL estándar generalmente se implementan para controlar el acceso a dispositivos de red para administración de red o acceso remoto. Por ejemplo, se puede configurar una ACL estándar en un enrutador para especificar qué sistemas pueden realizar Telnet. Las ACL estándar no son una opción recomendada para el filtrado de tráfico debido a su falta de granularidad. Los ACLS estándar están configurados con un número entre 1 y 99 en los enrutadores Cisco.

ACL extendidas: las decisiones de filtrado de ACL extendidas se basan en las direcciones IP de origen y destino, los protocolos de capa 4, los puertos de capa 4, el tipo y código de mensaje ICMP, el tipo de servicio y la precedencia. En los enrutadores Cisco, se pueden definir ACL extendidas por nombre o por un número en el rango de 100 a 199. ^[2]

Cortafuegos

Un firewall es un dispositivo de filtrado sofisticado que separa los segmentos de una LAN, otorgando a cada segmento un nivel de seguridad diferente y estableciendo un perímetro de seguridad que controla el flujo de tráfico entre segmentos. Los cortafuegos se implementan más comúnmente en el borde de Internet, donde actúan como límite para las redes internas. Se espera que tengan las siguientes características:

Rendimiento: el objetivo principal de un firewall es separar las áreas seguras y no seguras de una red. Luego, los firewalls se colocan en la ruta de tráfico principal potencialmente expuesta a grandes volúmenes de datos. Por lo tanto, el rendimiento se convierte en un factor de diseño natural para garantizar que el firewall cumpla con los requisitos particulares.

Soporte de aplicaciones: Otro aspecto importante es la capacidad de un firewall para controlar y proteger una aplicación o protocolo en particular, como Telnet, FTP y HTTP. Se espera que el firewall comprenda los intercambios de paquetes a nivel de aplicación para determinar si los paquetes siguen el comportamiento de la aplicación y, si no lo hacen, deniegan el tráfico.

Existen diferentes tipos de firewalls según sus capacidades de procesamiento de paquetes y su conocimiento de la información a nivel de aplicación:

1. Cortafuegos de filtrado de paquetes
2. Cortafuegos proxy
3. Cortafuegos con estado
4. Cortafuegos híbridos ^[2]

IDS

Los IDS son sistemas en tiempo real que pueden detectar intrusos y actividades sospechosas e informarlas a un sistema de monitoreo. Están configurados para bloquear o mitigar las intrusiones en curso y, finalmente, inmunizar los sistemas contra futuros ataques. Tienen dos componentes fundamentales:

• Sensores: dispositivos y agentes de software que analizan el tráfico en la red o el uso de recursos en los sistemas finales para identificar intrusiones y actividades sospechosas.
• Gestión IDS: Sistema monodispositivo o multidispositivo utilizado para configurar y administrar sensores y además recopilar toda la información de alarma generada por los sensores. Los sensores equivalen a herramientas de vigilancia, y la gestión IDS es el centro de control que observa la información producida por las herramientas de vigilancia. ^[2]

Seguridad de capa 2

Los conmutadores Cisco de capa 2 proporcionan herramientas para prevenir los ataques comunes de capa 2 (escaneo o sondeo, DoS, DDoS, etc.). Las siguientes son algunas características de seguridad cubiertas por la Seguridad de Capa 2 :

• Seguridad Portuaria
• Inspección ARP
• VLAN privadas
• VLAN privadas y firewalls

Medidas de seguridad

Puertas en un centro de datos para evitar el acceso no autorizado

El proceso de seguridad de un centro de datos requiere tanto un enfoque integral de análisis del sistema como un proceso continuo que mejore los niveles de seguridad a medida que evoluciona el centro de datos. El centro de datos evoluciona constantemente a medida que aparecen nuevas aplicaciones o servicios disponibles. Los ataques son cada vez más sofisticados y más frecuentes. Estas tendencias requieren una evaluación constante de la preparación en materia de seguridad.

Un componente clave de la evaluación de la preparación para la seguridad son las políticas que rigen la aplicación de la seguridad en la red, incluido el centro de datos. La aplicación incluye tanto las mejores prácticas de diseño como los detalles de implementación. ^[2] Como resultado, la seguridad a menudo se considera un componente clave del principal requisito de infraestructura. Dado que una responsabilidad clave de los centros de datos es garantizar la disponibilidad de los servicios, los sistemas de gestión de los centros de datos a menudo consideran cómo su seguridad afecta los flujos de tráfico, las fallas y la escalabilidad. Debido a que las medidas de seguridad pueden variar según el diseño del centro de datos, el uso de características únicas, los requisitos de cumplimiento o los objetivos comerciales de la empresa, no existe un conjunto de medidas específicas que cubra todos los escenarios posibles. ^[23]

En general, existen dos tipos de seguridad en los centros de datos: seguridad física y seguridad virtual. ^[24]

Seguridad física

La seguridad física de un centro de datos es el conjunto de protocolos integrados en las instalaciones del centro de datos para evitar cualquier daño físico a las máquinas que almacenan los datos. Esos protocolos deberían poder manejar todo, desde desastres naturales hasta espionaje corporativo y ataques terroristas. ^[25]

Un escáner de huellas dactilares en un centro de datos

Para prevenir ataques físicos, los centros de datos utilizan técnicas como:

• Red de seguridad CCTV: ubicaciones y puntos de acceso con retención de video de 90 días. ^[26]
• 24×7
  • guardias de seguridad en el sitio,
  • Centro de operaciones de red (NOC) Servicios y equipo técnico
• Puerta torniquete anti-retroceso/anti-retroceso. Solo permite el paso de una persona después de la autenticación.
• Punto de entrada único a las instalaciones de coubicación.
• Minimización del tráfico a través de salas de datos, suites y jaulas dedicadas.
• Mayor restricción de acceso a jaulas privadas
• Autenticación de tres factores
• Instalaciones que cumplen con SSAE 16 .
• Comprobación de la procedencia y el diseño del hardware en uso.
• Reducir el riesgo interno mediante el seguimiento de las actividades y manteniendo seguras sus credenciales ^[27]
• Monitoreo de temperatura y humedad.
• Prevención de incendios con aspersores zonificados de tubería seca
• Lugares libres de riesgo de desastres naturales ^[28]

seguridad virtual

La seguridad virtual son medidas de seguridad implementadas por los centros de datos para evitar el acceso remoto no autorizado que afectará la integridad, disponibilidad o confidencialidad de los datos almacenados en los servidores. ^[29]

La seguridad virtual o de red es una tarea difícil de manejar, ya que existen muchas formas de atacarla. Lo peor es que está evolucionando año tras año. Por ejemplo, un atacante podría decidir utilizar un malware (o exploits similares) para eludir los distintos cortafuegos y acceder a los datos. Los sistemas antiguos también pueden poner en riesgo la seguridad, ya que no contienen métodos modernos de seguridad de datos. ^[24]

Los ataques virtuales se pueden prevenir con técnicas como

• Cifrado de datos pesado durante la transferencia o no: cifrado SSL de 256 bits para aplicaciones web. Claves públicas RSA de 1024 bits para transferencias de datos. Cifrado AES de 256 bits para archivos y bases de datos.
• Registra las actividades de auditoría de todos los usuarios.
• Nombres de usuario y contraseñas seguros: cifrados mediante SSL de 256 bits, requisitos para contraseñas complejas, configuración de vencimientos programados, prevención de reutilización de contraseñas.
• Acceso según el nivel de autorización.
• Integración AD/LDAP.
• Control basado en direcciones IP.
• Cifrado de cookies de identificación de sesión para identificar a cada usuario único.
• Disponibilidad de autenticación de dos factores.
• Pruebas de penetración de terceros realizadas anualmente ^[26]
• Prevención de malware mediante firewalls y escáner automatizado ^[30]

Seguridad de la empresa

Algunas posibles estrategias sobre cómo mejorar la seguridad de los datos en una empresa:

1. Determinar los riesgos. Encuentre todas las herramientas que puedan almacenar los datos, como computadoras y bases de datos, y asegúrese de que todo esté almacenado de manera compatible.
2. Revisar los sistemas de seguridad de datos actuales. Verifique si hay actualizaciones en el sistema de seguridad de datos actual, si las hay. A veces, los datos obsoletos deben eliminarse y también es útil tener instalado un software de limpieza para ayudar a la empresa a eliminar los datos no utilizados o innecesarios.
3. Reúna un equipo de seguridad de datos. Cree un equipo de seguridad interna profesional que pueda ayudar a la empresa a proteger sus datos y ahorrar dinero en la contratación de otros equipos de seguridad. El equipo de seguridad debe tener un plan de recuperación en caso de que suceda algo inesperado.
4. Actualizar el enfoque de seguridad de los datos. Asegúrese de que sólo las personas autorizadas puedan acceder al sistema. Se necesita software de cifrado porque puede proteger los datos de las personas que descifran el sistema. Si no se proporciona la clave adecuada, el software puede hacer que los datos parezcan inútiles para otras personas. El software de enmascaramiento de datos es otro software útil ya que puede ocultar cierta información confidencial para que no se vea. El último software es el software de evaluación de riesgos, que es una herramienta que ayuda a los usuarios a monitorear y verificar los valores de su red.

Referencias

1. Craig Wolff (13 de diciembre de 1989). "Informe encuentra fallas en las computadoras EMS". Los New York Times . demasiados empleados de EMS tienen acceso a...
2. Maurizio Portolani, Mauricio Arregoces(2004). Fundamentos del centro de datos. Editores, Cisco Press, 800 East 96th Street Indianápolis, IN 46240 EE. UU., Capítulo 5
3. Las cuatro capas de seguridad física del centro de datos para un enfoque integral e integrado [1]
4. "Lo que necesita saber sobre la seguridad de los datos en 2021". Inteligencia de Seguridad . Consultado el 10 de abril de 2022 .
5. "El robo de centros de datos genera nuevas ideas sobre seguridad".
6. Jessica Silver-Greenberg (2 de abril de 2012). "Después de una filtración de datos, Visa elimina a un proveedor de servicios". Los New York Times .
7. Robin Sidel (2 de abril de 2012). "Procesador de tarjetas: los piratas informáticos robaron números de cuentas". El periodico de Wall Street (WSJ) . Visa retiró su sello de aprobación
8. Informe de 2003 de CSI/FBI "Encuesta de seguridad y delitos informáticos". Archivado el 23 de noviembre de 2022 en Wayback Machine.
9. David Moore; Colleen Shannon (2001). "La propagación del gusano Code-Red (CRv2)" . Consultado el 3 de octubre de 2006 .
10. "Net-Worm: Descripción de W32/Nimda". F-secure.com (laboratorios F-Secure) .
11. John Leyden (6 de febrero de 2003). "Slammer: Por qué la seguridad se beneficia del código de prueba de concepto". El registro .
12. "Ataques de Port Scan y sus metodologías de detección".
13. Vitali Shmatikov; Ming-Hsiu Wang. "Seguridad contra ataques de respuesta a sonda en la detección colaborativa de intrusiones" (PDF) . La Universidad de Texas en Austin.
14. "Comprensión de los ataques de denegación de servicio". CERT de EE. UU. 6 de febrero de 2013 . Consultado el 26 de mayo de 2016 .
15. Khalifeh, Soltanian, Mohammad Reza. Métodos teóricos y experimentales para defenderse de ataques DDoS. Amiri, Iraj Sadegh, 1977-. Waltham, MA. ISBN 0128053992 . OCLC 930795667. 
16. Certificaciones GIAC. Documento de certificación de aseguramiento de la información global.
17. "escuchar - Definición de escuchar a escondidas en inglés según los diccionarios de Oxford". Diccionarios Oxford - Inglés.
18. Barwise, Mike. "¿Qué es un gusano de Internet?". BBC.
19. Puestos, William (2012). Seguridad informática: principios y práctica . Boston: Pearson. pag. 182. ISBN 978-0-13-277506-9 . 
20. "Advertencia de secuestro de Wi-Fi de correo web". Noticias de la BBC. 3 de agosto de 2007.
21. "Objetivos de desbordamiento modernos" (PDF) .
22. Li, Q. (mayo de 2019). "Método de detección de inyección SQL basado en LSTM para sistemas de transporte inteligentes". Transacciones IEEE sobre tecnología vehicular . 68 (5): 4182–4191.
23. Guía de referencia de Cisco SAFE [2] capítulo 4
24. Tipos de seguridad de centros de datos de Rich Banta
25. Sara D. Scalet 19 formas de incorporar seguridad física a su centro de datos Archivado el 8 de julio de 2022 en Wayback Machine.
26. Descripción general del centro de datos y seguridad
27. Descripción general del diseño de seguridad de la infraestructura de Google
28. Iliad Data Center, 'Seguridad del centro de datos' Archivado el 23 de octubre de 2021 en Wayback Machine capítulo 4
29. Asegurar la infraestructura en la nube de Microsoft 2009.
30. "Gestión del centro de datos" (PDF) . Archivado desde el original (PDF) el 23 de noviembre de 2022 . Consultado el 30 de junio de 2018 .