Що таке «пастка для людини» в дата-центрі і навіщо вона потрібна


Незважаючи на те, що левова частка захисних заходів будь-якого дата-центру спрямована проти віртуальних атак (malware, прямі атаки тощо), частина зусиль потрібно витрачати і на захист від фізичного злому/проникнення. У будь-дата-центр може рано чи пізно проникнути зловмисник у плоті. Це може бути цікавий підліток, злодій або ж саботажник, «агент впливу» прямого конкурента компанії.

У декількох дата-центрах, де розміщується наше обладнання, є фізична система захисту від таких «гостей». Така захист називається «пастка для людини» (mantrap). І це дійсно ефективний захід — уникнути її практично неможливо. Ті ж біометричні сканери можна обдурити або зламати, і для того, щоб уникнути наслідків злому, у багатьох дата-центрах і використовується Mantrap. Навіщо потрібні пастки і в яких випадках їх варто застосовувати?



Пастка для людини: що в імені?
Це саме те, чим здається: невелике приміщення, призначене для упіймання нежданих гостей. Пастка спочатку просить людини ідентифікувати себе, а потім вже починає діяти, залежно від відповідної реакції людини. У такому приміщенні зазвичай лише одна або дві двері, практично ніколи — більше. Процедуру аутентифікації потрібно зазвичай проходити для входу в будь-яку з дверей.

Найпростіша реалізація концепції «пастки для людини» — приміщення з двома дверима. Одна двері дає доступ до закритій зоні, а друга — до зоні загального доступу. У такій моделі використовується аутентифікація для кожної з дверей приміщення. Ось короткий опис того, як все це працює:

1. Хтось бажає отримати доступ в захищену зону. Для цього необхідно ввести код доступу або пройти процедуру аутентифікації за допомогою одного з сенсорів, або ж провести карткою щілини приймача. Можливі й комбінації цих способів. При успішної аутентифікації двері в пастку відкривається автоматично, запускаючи людини в приміщення.
2. Перша двері закриваються, запобігаючи потрапляння інших людей в пастку. Якісна автоматика з високим ступенем ймовірності відсікає інших людей від потрапляння всередину. Якщо система все ж фіксує в приміщенні кілька людей, включається сигнал тривоги, приміщення блокується;
3. Якщо в приміщенні одна людина — вхідні двері блокується, а гостю пропонується пройти процедуру аутентифікації ще раз. Причому процедура або їх комбінація може відрізнятися від того, що потрібно виконати при вході. Якщо все добре, людина проходить в закриту зону. Поки цього не сталося, двері залишаються закритими і заблокованими.

Як бачимо, одне з основних призначень «пастки» — мінімізація ймовірності проникнення в закриту зону людей, які слідують за верифікованим користувачем. В деяких системах використовуються ще й охоронці-люди, які, наприклад, оглядають входять через захищене вікно в приміщенні пастки. Але така система, звичайно, дорожче повністю автоматичною, так що використовують її в крайніх випадках.

Самотність в пастці
Як вже говорилося вище, основна задача пасток для людей у дата-центрах — гарантувати те, що в захищену зону потрапляють тільки авторизовані співробітники/гості. Тому головне завдання пастки — це пропуск у приміщення тільки однієї людини. Якщо гібридна система, тобто до роботи автоматики додається ще і робота людини, то проблеми немає. Але якщо функціонує чистий автоматика, то тут все складніше.

Справа в тому, що автоматичну систему можна обдурити. Людини в цьому плані обдурити набагато складніше — навряд чи уважний охоронець пропустить двох осіб під виглядом одного, це малоймовірно. Одна зі схем реалізації рішення задачі для автоматики — додавання інфрачервоних сенсорів. Також можна вбудувати в підлогу сенсори тиску (сподіваючись на те, що гості не прийде людина під вагою 200-250 кг, якого система може розпізнати, як двох осіб), додати аналітичний софт, який буде аналізувати відео з камер.

В цьому випадку все одно виникають проблеми. Наприклад, якщо працівникові потрібно пронести в захищену зону щось велике і важке — як повідомити про це пастці? Ті ж сенсори тиску точно можуть спрацювати. Рішення є, але вони досить дорогі. Одним з таких рішень є система Newton Security's T-DAR.

Зараз рішень досить багато, так що вибрати є з чого.

Що ще?
Є ще один важливий аспект безпеки дата-центру, пов'язаний з пастками. Це, наприклад, аварійна ситуація в приміщенні, пожежа або повінь, або ще щось. У цьому випадку пастка повинна автоматично пропускати людей в безпечну зону без перевірки. Крім того, пастки повинні бути досить великими, щоб відповідати стандартам U. S. ADA (в основному, це вимога США, але і в інших країнах є подібні стандарти).

Конструкція пастки не повинна бути занадто складною, вона повинна бути простою і надійною в експлуатації і обслуговуванні.

Все це тягне за собою додаткові витрати. Але злом найчастіше тягне за собою не великі, а величезні витрати, тому що це необхідна плата за безпеку ДЦ і спокій керівництва.



Потрібна «пастка для людини» вашій дата-центру?
Відповідь на це питання може бути різним у кожному конкретному випадку. У деяких випадках створення такої системи може бути просто непотрібною. Тут варто прорахувати витрати на експлуатацію пастки і можливі вигоди від її використання. Якщо безпека стоїть на чолі кута для всієї роботи — звичайно, пастка потрібна.

Але в деяких випадках вирішити проблему безпеки можна і без пастки. Головне — треба пам'ятати, для чого така система впроваджується, і знати, скільки грошей потрібно для реалізації такого проекту.

Ділимося досвідом:

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.