Почему в ЦОД корпоративного класса невозможно попасть человеку «с улицы»
Мнение экспертов

Почему в ЦОД корпоративного класса невозможно попасть человеку «с улицы»

669
6 минут

Павел Горюнов
Технический директор сети дата-центров

Один наш заказчик как-то обратил внимание на то, что система доступа в ЦОД слишком «жесткая»: он не мог просто так пройти к арендованным серверам, для этого требовалось подтверждение личности и сопровождение инженеров службы эксплуатации.

Подобные правила — вовсе не наше ноу-хау. Им следуют провайдеры ЦОД, которые сертифицированы на соответствие PCI DSS — стандарту безопасности в индустрии платежных карт. Казалось бы, какая может быть связь между обеспечением защиты банковских транзакций и услугами коммерческих дата-центров? На самом деле — прямая.
ЦОД КРОК

Что такое PCI DSS и зачем он нужен?

Когда-то крупнейшие в мире операторы платежей, включая Visa, MasterСard, объединились, чтобы разработать стандарт для всех, кто обрабатывает транзакции по банковским картам. Для подготовки единых отраслевых требований компании создали совет Payment Card Industry Security Standards Council. Первая редакция норм вышла еще в 2004 году.

Несмотря на кажущуюся узкую отраслевую специфику, действие стандарта распространяется не только на финансовые структуры. Под него также попадает деятельность поставщиков облачных услуг, ведь главная цель документа — соблюдение регламентов безопасности и защита конечных пользователей. Всего в стандарте 12 разделов, где прописаны требования по всем этапам — от контроля доступа в ЦОД, куда нельзя так просто попасть без пропуска, до требований непосредственно к обработке операций и хранению их истории.

Если компания работает с данными карт систем Visa и MasterСard (например, развивает интернет-магазин с возможностью оплаты на сайте), выбирая облако, она должна проверить, соответствует ли ЦОД провайдера всем требованиям PCI DSS. В обратном случае работать с ним нельзя.

Как получить сертификат?

Сертификат выдается по итогам аудита, срок действия документа составляет всего один год. По истечении необходимо снова привлекать к проверке аккредитованного аудитора.

Длительность прохождения этой процедуры сильно зависит от того, как долго облачный провайдер сертифицируется на соответствие требованиям PCI DSS. Например, у нас аудит в среднем у нас занимает 1-2 недели, потому что подготовка к аудиту проводится на регулярной основе, и мы соблюдаем все требования. При этом на первую нашу сертификацию мы потратили месяцы, загрузив работой команду.

Стандарт PCI DSS охватывает технические и организационные вопросы не только Облака и ЦОД, но и компании в целом. Поэтому в команду входили абсолютно разные специалисты: технические эксперты по информационной безопасности, непосредственно специалисты Облака и ЦОД, представители департамента внутренней автоматизации и т.д. Нам было сложно не только потому, что подобное мероприятие проводилось впервые. Трудностей добавляло то, что на базе ЦОД у нас работает облако, причем облако собственной разработки с использованием Open Source продуктов.

Так как наша компания одновременно проектирует, разрабатывает и эксплуатирует сеть ЦОД и облака, то аудиту подвергаются три этих направления. Консультанты PCI DSS проводят проблемные интервью, проверяют документы, смотрят, как работают системы и процессы. Один из важнейших пунктов при сертификации — это пен-тесты (тесты на проникновение). Специально обученные белые хакеры пытаются взломать виртуальную среду, имитируя действия злоумышленников. Такие пен-тесты мы проводим в своем облаке регулярно в соответствии с правилами PCI DSS.

Как уже было сказано, сегодня сама процедура прохождения проверок на PCI DSS занимает всего 5-7 дней: перед ними мы проверяем всю необходимую документацию, которую, как правило, нужно лишь немного актуализировать. Однако в течение года ведем работу над выявлением неоптимально организованных процессов, внешних факторов и новых опасностей, таких как Meltdown и Spectre (уязвимости в микропроцессорах), которые могут привести к проблемам в системе безопасности.

Должны ли заказчики соответствовать стандарту?

Хотелось бы ответить, что нет и снять гору с чьих-то плеч, но на самом деле это не так. Одни и те же требования применяются как к площадке хостинга, так и к виртуальной инфраструктуре клиента. Например, в стандарте есть раздел, который требует применять шифрование при передаче платежных данных через сети общего пользования, и сделать это можно только на стороне клиента. А требования к межсетевому экранированию на обеих сторонах имеют разную реализацию и ответственность.

Хотя сам стандарт ясный и логичный, трудности случаются, когда к нему нужно адаптировать уже существующую инфраструктуру компании: не все узкие места видны в первом приближении. Чтобы в итоге получить адекватный результат, между провайдером и клиентом нужно четко разделить ответственность и обозначить те зоны, где каждый из них прикладывает усилия со своей стороны.

Хорошая новость в том, что вместе с провайдером проходить этот путь в чем-то даже проще. Если провайдер сертифицировал свой ЦОД согласно PCI DSS, то это значит, что все необходимые технические и организационные меры он уже предпринял. На практике это ускоряет процесс прохождения клиентами аудита безопасности со своей стороны, а еще упрощает его, так как часть документации уже готова.

Сертификация полезна обоюдно. Для провайдера она показатель уровня зрелости и дополнительное конкурентное преимущество. Для клиента — возможность получить доступ к экспертизе поставщика услуги. Не всем очевиден этот бонус, однако облака и данные — это сфера, которая с каждым годом все серьезнее и серьезнее регулируется. Чтобы разобраться в рекомендациях и требованиях закона самостоятельно, нужно обладать экспертизой и иметь в штате специалистов, разбирающихся в теме.

Всё потому, что тема облаков и ЦОД тесно связана с безопасностью. Речь идет не только о персональных данных (а к ним относится даже номер телефона, который собирает служба рассылки или форма обратной связи на сайте), но и более серьезных категориях. Например, о данных платежных систем.
24 марта 2022
Дата-центры – 2022
По прогнозам Gartner в нынешнем году глобальные расходы на системы ЦОДов вырастут до 226 млрд долл., что на 11,4% выше прошлого года. Главными причинами повышенного спроса на мощности ЦОДов аналитики называют развитие цифровой трансформации бизнеса и массовый переход на облачные услуги.
3 минуты
331
16 августа 2021
Мошенничество в банковском сегменте и облака: есть ли связь?
У некоторых российских банков до сих пор есть некая предвзятость к публичным облакам. Часто их считают одним из основных источников инцидентов. Почему это не так, объясняет директор по развитию бизнеса КРОК Облачные сервисы Сергей Зинкевич.
4 минуты
482
26 мая 2021
Как переехать в новый ЦОД и не потерять данные
Популярность облачных услуг растет год от года. По нашим оценкам, порядка 70% крупных российских компаний когда-либо использовали облако или другие услуги на базе коммерческих ЦОД. При этом одним из преимуществ такой формы потребления ресурсов всегда считалась возможность быстрого переноса данных из локальной инфраструктуры в инфраструктуру провайдера и такое же быстрое схлопывание, если потребности в сервисе больше нет.
4 минуты
797
12 апреля 2021
Станет ли экология лучше благодаря облачным вычислениям?
Аналитики IDC опубликовали любопытный отчет. В нем говорится о снижении выбросов в атмосферу диоксида углерода, которое заметно уже сейчас и будет нарастать вплоть до 2024 года. Это приведет к уменьшению парникового эффекта и позитивно скажется на экологии во всем мире.
3 минуты
662
16 марта 2021
Не гори оно огнем
10 марта в Страсбурге произошел пожар в дата-центре OVH, одном из крупнейших европейских хостинг-провайдеров, чьими клиентами являются банки, государственные структуры, ретейлеры. Заметное событие, но, к сожалению, не единичное в истории российского и иностранного рынка ЦОД. Почему происходят такие инциденты и как могут финансовые компании защититься от их последствий?
3 минуты
625
11 марта 2021
Дата-центры в жилых домах: насколько реализуема такая инициатива?
Крупные застройщики могут начать проектировать небольшие площади под установку ЦОДов в жилой и коммерческой недвижимости. Их оператором в Москве планирует стать 3data: компания ведет переговоры с группой «Самолет», «Пионером», Coldy и другими девелоперами.
2 минуты
687
scrollup