Код кибербезопасности ЦОД: подходы, решения, практика. Блок 3. Подходы к обеспечению безопасности. Кадровый потенциал

Вчера в 22:21

Стратегическая сессия

Центры обработки данных входят в контур объектов критической информационной инфраструктуры (КИИ), однако их защита до сих пор страдает от системного разрыва между подходами к физической и кибербезопасности. Редакция журнала RUБЕЖ провела заочную стратегическую сессию с ведущими отраслевыми экспертами в сфере методов и средств технической защиты дата-центров. «Хранители секретов» раскрыли подходы к проектированию систем безопасности, формированию карты угроз и назвали некоторые действенные меры предотвращения инцидентов в ЦОД.

Участники дискуссии: 

• Дмитрий Кузнецов, руководитель департамента системной интеграции Уральского центра систем безопасности (УЦСБ)

• Константин Горбунов, ведущий эксперт по сетевым угрозам компании «Код Безопасности»

• Игорь Каменский, руководитель российского офиса компании ITeaQ

• Антон Паламарчук, основатель агентства ИБ-консалтинга Expice Security

• Дмитрий Малоедов, старший инженер по информационной безопасности компании «Инфосистемы Джет»

• Дмитрий Казмирчук, эксперт по реагированию на инциденты компании «Инфосистемы Джет»

• Никита Бережанский, руководитель направления разработки аппаратного обеспечения компании «Айсорс»

• Вячеслав Селихов, ведущий пресейл-инженер Cloud Networks

БЛОК 3. ПОДХОДЫ К ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ. КАДРОВЫЙ ПОТЕНЦИАЛ

Как подтвердить компетенции выпускников будущих инженеров и ИБ-специалистов на соответствие требованиям рынка?

Константин Горбунов («Код Безопасности»): Один из главных вызовов отрасли – подготовка специалистов, способных одновременно понимать ИТ-архитектуру, инженерную инфраструктуру и практическую кибербезопасность. Оптимальная модель обучения – междисциплинарная, с учебными треками, объединяющими сетевое администрирование, виртуализацию, расследование инцидентов, управление доступом, резервирование и отказоустойчивость.

Для закрепления навыков эффективны три формата. Первый – полигоны и стенды для безопасного воспроизведения типовых сценариев: сбой охлаждения, компрометация периметра, ошибка сегментации, отключение резервного питания. Второй – киберучения и CTF-соревнования, развивающие реакцию в условиях стресса. Третий – наставничество с чётким roadmap формирования компетенций, где стажёр не просто наблюдает, а осваивает навыки и подтверждает их на практике.

Чтобы технические специалисты стали активными участниками обеспечения безопасности, а не источником риска, принципы ИБ должны быть встроены в ежедневные процедуры: многофакторная авторизация, культура логирования операций, обязательный разбор инцидентов и использование регламентов с чек-листами. Важно учить не только «как защищать», но и «как не мешать эксплуатации»: каждая политика безопасности должна быть технически обоснована, а не внедрена как запрет ради запрета.

Никита Бережанский («Айсорс»): Вопросы киберзащиты ЦОД находятся в зоне ответственности ключевых ИТ-интеграторов, занимающихся строительством дата-центров. В период 2023–2025 гг. максимальная маржинальность у многих интеграторов была получена именно за счёт комплексных проектов, включающих построение сетевой инфраструктуры и внедрение СЗИ.

Бизнес-модель строительства ЦОД представляет собой симбиоз вендоров ИБ-решений, поставщиков вычислительных мощностей и производителей серверного оборудования. Компетенции по кибербезопасности в такой модели замыкаются внутри компаний и зачастую составляют коммерческую тайну. Поэтому организации неохотно делятся знаниями с внешним рынком, а молодые специалисты приходят с теоретической базой, но без опыта работы в условиях реальной неопределённости.

Обучение специфическим практикам происходит уже после трудоустройства, а путь выпускника до уровня серьёзного ИБ-специалиста для ЦОД занимает от 5 до 10 лет. Это формирует колоссальный разрыв между системой образования и требованиями бизнеса. Одним из решений выступает инициатива по созданию передовых инженерных школ, где коммерческие компании совместно с вузами разрабатывают программы обучения.

Права на такие образовательные программы, оборудование и результаты интеллектуальной собственности при этом сохраняются за бизнесом. Яркий пример – инженерная школа на базе МИРЭА, созданная совместно с предприятием, занимающимся проектированием высокотехнологичных кластеров. Ситуацию поддерживают профильные ассоциации и ФОИВы через грантовые программы, однако 90% университетских лабораторий до сих пор ориентированы на отработку существующих стандартов, а не на инновации.

Что касается подтверждения компетенций, система сертификации СЗИ и специалистов сложна и регулируется государством. Решением могла бы стать пилотная программа с льготными условиями получения сертификата для выпускников профильных специальностей, где уровень знаний подтверждался бы в рамках государственной аттестационной комиссии при защите квалификационной работы, аналогично практикам в других отраслях, где в состав комиссии входит представитель сертифицирующего органа.

Киберучения в действующем ЦОД: можно ли провести без остановки бизнеса?

Дмитрий Казмирчук («Инфосистемы Джет»): Никакие киберучения не должны приводить к остановке бизнеса, будь то ЦОД, офисная сеть или промышленный контур.

Механика учений определяется выбранной программой. Первый формат – командно-штабные тренировки (КШТ), где отрабатывается организационное взаимодействие между подразделениями при возникновении инцидента. Второй – тренировки на учебной инфраструктуре с эмуляцией продуктивных систем и атак. В этом случае участники развивают техническую «насмотренность»: анализируют события, разбирают дампы памяти, выстраивают цепочки атак. Тренироваться безопаснее всего на учебных копиях, что позволяет наработать «мышечную память» без нарушения SLA (Service Level Agreement — это договор между заказчиком и исполнителем).

Для ЦОД приоритетными сценариями должны стать реагирование на шифровальщики (с обязательной проверкой функционирования резервного копирования), утечки конфиденциальных данных и DDoS-атаки. Чтобы избежать конфликтов между инженерами эксплуатации и ИБ-командой при авариях, необходимо заранее разработать регламенты взаимодействия (Playbook), состоящие из матрицы ответственности, матрицы эскалаций и содержащие чёткий перечень действий, которые ИТ-команда может выполнять самостоятельно или только при участии ИБ.

В качестве технической меры критически важно создание выделенной сети управления, позволяющей получать данные с IPMI и PDU даже в случае парализации основной инфраструктуры.

Константин Горбунов («Код Безопасности»): Проводить киберучения в действующем ЦОД допустимо, но исключительно при строгом разграничении боевой и тестовой активности. Основной принцип: сначала сценарий максимально отрабатывается на тестовом стенде с учётом последовательности, зависимостей и возможных ошибок, и только затем реализуется в продуктивной среде с возможностью быстрого отката, по согласованным временным окнам.

Учения проводятся на тестовой копии или выделенном полигоне, и лишь после успешного завершения – в боевом контуре, но без разрушительных техник, с белыми списками целей и контрольными точками остановки.

В первую очередь следует отрабатывать сценарии, которые одновременно вероятны и критичны: компрометация BMS с ложными показаниями или изменением режимов, проникновение во внутренний контур, недоступность внеполосного OOB-управления, отказ основного или резервного канала связи, рассинхронизация мониторинга, злоупотребление подрядным доступом. Отдельно моделируются организационные решения в условиях сжатых сроков и неполных данных, когда необходимо быстро выбирать между изоляцией сегмента и поддержанием доступности.

Чтобы «борьба за живучесть» не превращалась во внутренний конфликт, требуются единые регламенты кризисного режима: заранее утверждённые процедуры, общая временная шкала событий, защищённые каналы связи и технические средства для безопасного обмена данными – централизованный SIEM, ролевые дашборды и форензически значимые логи.

Атомная генерация — использование энергии атомных электростанций (АЭС) или малых модульных реакторов (ММР) для ЦОД: прорыв или новые риски?

Вячеслав Селихов (Cloud Networks): Рост потребности в искусственном интеллекте напрямую увеличивает нагрузку на центры обработки данных и их потребность в электропитании. В мире рассматриваются различные источники, но наиболее актуальным направлением становится атомная энергетика. С развитием модульных ЦОД логичным ответом выступают малые модульные реакторы (АСММ/ММР), обеспечивающие мобильную, огромную, надёжную и предсказуемую мощность 24/7, синергетически связанную с линиями связи, системами охлаждения и модульностью для наращивания мощностей.

Уже существуют проекты размещения модульных ЦОД на Кольской АЭС, а также обсуждения запитки центров на базе Калининградской, Нововоронежской, Балаковской и Смоленской станций. Однако размещение ЦОД в непосредственной близости к АЭС, особенно при сценариях прямого технологического присоединения, порождает нетривиальные риски и кардинально меняет модель угроз. ЦОД – это актив, постоянно подключённый к глобальным сетям для обмена данными. АЭС, напротив, требует строгой изоляции и контроля физических процессов.

Модель угроз расширяется: включаются физические риски (террористические акты, захваты), способные привести к техногенной катастрофе, радиоактивному заражению, уничтожению серверного оборудования и нарушению энергоснабжения.

Системой защиты выступают многоуровневые охранные периметры с участием силовых структур и системы локализации радиоактивных веществ. Киберриски трансформируются: ЦОД может стать шлюзом для атак на системы контроля и управления АЭС (АСУ ТП). Системы охлаждения, бесперебойного питания и коммерческое ИТ-оборудование становятся плацдармом для проникновения в защищённый контур. Защита требует физического и логического разделения сетей АСУ ТП по уровням безопасности, включая военно-промышленную сегментацию, использование отечественных решений, контроля целостности, операций с двойным подтверждением и систем предотвращения атак.

Внутренние угрозы со стороны персонала минимизируются через контроль благонадёжности, PLC-системы (программируемые логические контроллеры, ПЛК)  с защитой на уровне операционной системы (ОС), DLP-решения (Data Leak/Loss Prevention —программные комплексы для защиты от утечек конфиденциальной информации), контроль привилегированных пользователей (PAM) и ужесточение требований к подрядчикам. Привилегированный доступ через IPMI/iDRAC без PAM-шлюзов остаётся прямым путём к катастрофе.

Что касается законодательства, ФЗ-187 «О безопасности критической информационной инфраструктуры РФ» уже регулирует объекты энергетики и атомной отрасли, но не полностью покрывает сценарии прямого присоединения ЦОД к системе АЭС. Изменения возможны с последующим закреплением ответственности за ядерную безопасность при атаках через ЦОД, определением такого гибридного объекта высшего класса важности КИИ и разработкой специализированных регуляторных требований.

Читайте также "Код кибербезопасности ЦОД: подходы, решения, практика. Блок 1. Проектирование безопасности" на портале RUБЕЖ.