web-dev-qa-db-ja.com

データセンターのセキュリティモデル

私はいくつかのデータセンターを持っていますが、今はそのセキュリティを計画したいので、外部からの攻撃に対して耐性があります。

インターネット上で実行されているWebサーバー、認証サーバー、ログサーバー、ルーター、データベースなどをカバーするセキュリティモデルを作成する必要があり、少なくとも次のものが含まれている必要があります。

  • OSI層が存在します
  • ソースコードの処理
  • 認証
  • 安全なオペレーティングシステムのビルド、ネットワークポリシー、SQLスキーマ
  • 暗号化

基本的に、各レイヤーにはセキュリティがあり、これらのレイヤーはリンクされている必要があり、これらを管理するプロセスは堅牢である必要があります。

安全な開発ライフサイクルについては、MicrosoftのSDLを見てきましたが、これはその段階に適していますか?

ユーザー管理と物理的アクセスは理解し、従うのが簡単なものです。それは大したことではありません。私は優れた警報システムと監視機能を備えていますが、現時点では上記が不足しています。

operating-systemsidscorporate-policythreat-modeling
3
Andrew Smith

OK、データセンターの安全なシステム管理のためのポリシー、計画、および慣行を求めているようです。私はあなたにいくつかの提案があります:

ポリシーから始めます。セキュリティポリシーを考えることから始めます。書面によるセキュリティポリシーを作成し、経営陣から承認を得ます。

セキュリティポリシーに関するSANSのリソース をご覧ください。彼らはあなたに意味があるかもしれないことのいくつかのアイデアをあなたに与えるでしょう。

セキュリティ計画。セキュリティ計画を作成します。まず、保存するデータとシステムのインベントリを作成し、それがビジネスの使命にとってどれほど重要であるかを理解することから始めることをお勧めします。これは、最もミッションクリティカルな資産の保護に最大限のエネルギーを費やすように計画する必要があるため、役立ちます。

次に、最も重要な種類の攻撃または脅威のうち、最も優先度が高いもの(状況に応じて最も可能性が高いもの、または最も深刻なもの)について少し考えてみてください。直面する可能性が最も高い脅威(たとえば、誰があなたを攻撃するインセンティブを持っているか)をブレインストーミングし、これを使用して組織を保護するための計画を立てることができます。

資産のインベントリを作成し、直面する可能性のある上位のセキュリティ問題に優先順位を付けたら、リスクを軽減し、これらの攻撃から組織を保護するための計画を立てます。 上位20のセキュリティ制御のSANSリスト ;を見てください。それらはあなたの計画のいくつかの要素を形成するかもしれません、あるいはあなたがこれらの脅威からあなたの資産を保護する方法についてあなたにアイデアを与えるかもしれません。

実行します。次に、計画を実装します。すべてを一度に行う必要はありません。計画の一部を選択して実行し、セキュリティの成熟度レベルを徐々に上げていくのは問題ありません。 セキュリティトレーニング。システム管理者向けの優れたセキュリティプラクティスに関するトレーニングを受講すると役立つ場合があります。私は質問するのにふさわしい人ではありませんが、他の人がいくつかの提案をするかもしれません。 SANSは、この分野での専門的なトレーニングで高い評価を得ていると思います。

追加情報のリソース。このサイトの システム管理者向けのセキュリティポリシー をご覧ください。

ServerFaultでsecurityとタグ付けされた質問 を確認することをお勧めします。 ServerFaultは、多くのプロのシステム管理者がたむろする姉妹サイトであり、システム管理者向けのセキュリティに関連するトピックに関する優れたリソースがいくつかあります。

この分野の専門組織を認識し、それらに参加してリソースを活用することを検討する必要があります。 [〜#〜] sans [〜#〜] を見てください。彼らは 多くのリソース 彼らのウェブページで利用可能です。

また、システム管理者向けのUsenixプロフェッショナルアソシエーションである Lisa も調べてください。彼らは優れた会議、優れたネットワーキングの機会、そして最新のテクノロジーを最新に保つチャンスを持っています。また、システム管理者向けの情報が記載された小冊子シリーズもあります。たとえば、 システムセキュリティ:管理の観点 を参照してください。

Microsoft SDLはどうですか?MicrosoftのSDLは素晴らしいですが、実際にはソフトウェア開発を対象としています。システム管理者にとってはそれほど有用ではないと思うので、あなたにとって適切なリソースではないかもしれません。

4
D.W.

難しい質問なので、これまでに思いついたことは何でも答えています。

私は、OSIレイヤーと、組織および部門全体のプロセスのような開発サイクルを使用することで、それが実現すると結論付けました。

グラフはわかりにくいかもしれないので、ここに説明があります。

  • 右側には、アクセス、施行などのセキュリティポリシーを処理する部門/マネージャーがいます。

  • 左側には、安定性、継続性、認証、およびエクスプロイト開発を処理する部門/マネージャーがあります

  • 上部には、ソフトウェアに取り組んでいる開発チームや、データセンターの設計者などがいます。

  • 下部には、自動セキュリティシステムがあります。暗号化、スパム対策、IDS、IPSなど

矢印は関係を説明しようとしているため、ビジネスが安定するためには、開発サイクルを通過する必要がある要件を作成する必要があります。また、ビジネスは、新しいエクスプロイトを開発する(または取得する)必要があります。安全です。

現在、このプロセスは複数のレイヤーに適用できるため、たとえば、組織をアプリケーション、ネットワーク、物理などに分割し、個別に処理できます。

以下を見ると、複数の暗号化の理由がわかります。各レイヤーは、ある種の人工知能または暗号化を備えている可能性があるため(下)、同じ部門である程度処理できます。

意識はSDLサイクルと同じです-あらゆる角度からそれを研究することで、問題に気付くことができます。これを各レイヤーに通すことで、完全な認識と完全なセキュリティを実現できます。

ここで重要なことは、各レイヤーの間で、下と右の青い四角の間で認証/ IDS検出が行われていることです。

トータルセキュリティアウェアネス

enter image description hereOSI Layers Triangle

1
Andrew Smith