Legújabb hírek, cikkek a DoclerWeb életében

Informatikai biztonság II. - A szerver fizikai biztonsága, security, hacker védelem

A korábbi posztokban azt emeltük ki, milyen külső kockázatoknak van kitéve egy szerver. Hogyan lehet biztosítani a folyamatos áramellátást, felkészülve olyan eshetőségekre is, amik szinte biztosan nem következnek be soha. Hogyan lehet nagy biztonsággal és teljesítménnyel hűteni a géptermet, felkészülve az idén épp rekordokat döntögető hőségre, valamint arra, hogy bizony ezek a berendezések akár tönkre is mehetnek, és azonnal át kell venni a helyüket.

A szerverek biztonsága azonban nem csak a véletlen környezeti hatások kivédésén múlik. Szándékos támadásokat hajtanak végre az adataink ellen minden másodpercben, ugyanúgy kell védenünk a kényes információkat a rendszerünkbe behatolni próbáló hackerektől, akár éppen mellettünk ülnek a buszon, vagy a Föld másik oldalán, egy távol-keleti lakásból próbálnak információkat lopni. Akár csak ártalmas kódok, automatizmusok, amik érzelemmentesen továbbítják az adatokat valahová.

Nyilvánvaló, hogy elsősorban a szerverteremhez való hozzáférést kell megoldani a security kérdéskörén belül. Ez a legnyilvánvalóbb támadási módszer, amit leginkább Tom Cruise tett híressé a Mission Impossible-ben látható kötéltáncával - mégis, egyben a legvalószínűtlenebb. Mégsem engedhető meg, hogy szabad bejárása legyen a szerverünkhöz bárkinek, és egy esetleges adatvesztés, adatlopás esetén tehetetlenül álljunk, és ne tudjuk, mi történt.

A DoclerWeb irodaház és szerverterem a PCI DSS adatvédelmi szabványnak megfelelően oldja meg a kérdést. 24 órás őrszolgálat védi az irodaházat, egy külső és egy belső őrség. Előbbiek az épület környékét, illetve az DoclerWeb felé közeledő autókat figyelik, utóbbiak az irodaházban dolgozókat és a vendégeket ellenőrzik. Az itt dolgozók és a vendégek belépőkártyát kapnak, amivel a jogosultságuknak megfelelő ajtókon be tudnak jutni. A vendégeknek nincs jogosultsága belépni sehová, így őket csak kísérő viheti el bárhová. A kísérő a portánál találkozik a vendéggel, és ugyanide kell visszavezetnie a kiléptetési ponthoz.

Az itt dolgozók minden ajtónál lehúzzák a kártyát, hiszen ugyanaz az ajtó nem engedi vissza őket, ha a rendszer nem regisztrálta az áthaladást. Ezért mindig mindenkinél ott a kártya és mindenki a nyakába akasztva hordja: ha valaki nem, a folyamatosan járőröző biztonsági szolgálat figyelmezteti. Így mindig lehet tudni, ki hol van épp. Az irodaház, különösen a szerverterem környékének ráadásul minden négyzetcentimétere be van kamerázva a mellékhelyiségek kivételével. A felvételeket természetesen rögzítik.

Egy behatolót azonban nem feltétlenül úgy kell elképzelni, mint aki terepszínű ruhában megpróbál elrejtőzni az őrök elől, besurranni a gépterembe és hóna alatt kiszalad pár tucat merevlemezzel. Lehet a hacker egy látogató is, aki a belső wifi-hálózaton keresztül próbál támadni, vagy a bárki számára elolvasható, cetlire írt jelszavakat szerzi meg. A DoclerWebnél ez nem fordulhat elő: egy látogatóra mindig figyel valaki, és a jelszavak kezelésére külön, szigorú rendszert találtak ki a biztonsági szakértők. Nem tartózkodhat az irodaház közelében sem senki, akihez ne menne oda egy őr, innentől kezdve pedig szinte futószalag viszi egy neki meghatározott irányba az épületen belül, majd onnan ki.

A támadás azonban sokszor bentről érkezik, érkezhet. Ez lehet egy adathalász beállítottságú munkatárs, aki az információkat el kívánja adni, esetleg egy elbocsátás miatt bosszúvágyó ember, aki kártékony kódot telepít. Ezeket az eseteket egy érzékeny, precíz jogosultságkezelés és hozzáférési rendszer képes megelőzni - ezek olyan környezetet teremtenek, hogy a hasonló próbálkozások már meg sem történnek, hiszen nincs értelme.

A DoclerWeb rendszerét ráadásul egy csapat etikus hacker védi, akik folyamatosan betöréseket szimulálnak, megpróbálnak bejutni a védelmi rendszereken - ha az ügyfél kéri, az ő rendszerén is, hogy a biztonsági hibákra rávilágítsanak, és egy olyan védelem létrehozását segítsék elő, amit nem érdemes távolról piszkálni. Persze ne feledjük, hogy a "hacker", a támadó a legtöbb esetben csupán egy automatizmus: nem embereket kell már elképzelni, hanem a kártékony eszközöket, malware-eket, exploitokat ismerő és használó kódokat, amik automatikusan kihasználják egy rendszer, weboldal gyengeségét. A veszély tehát egyáltalán nem szimbolikus, szinte perceken belül lecsapnak a gyanútlan áldozatokra.

Az a cég, aki ezt a védelmet nem tudja biztosítani a saját szerverei körül, nem érezheti magát biztonságban. Kénytelen ránézni egy viszonylag magas kockázati számra, egy valószínűségre, és azt mondani: nekem belefér, hogy az adataim kikerülhetnek a feketepiacra vagy a konkurenciához. És ne feledjük, ilyenkor nemcsak a cég bizalmas információiról beszélünk, hanem sokszor több tízezer ügyfél adatairól, akik rábízták magukat a szolgáltatóra.

Van azonban még egy fontos biztonsági kockázat. Talán az összes eddiginél fontosabb. Ezt minden cégnek a saját dolgozói körében kell biztosítani, különben a fenti megoldások ugyanannyit érnek, mint egy stoptábla a szerverterem ajtaján. Néhány napja hallottunk egy lányról, aki egy komplett banki rendszer biztonságát tette semmissé fél perc alatt. A lány egy buszon ült, kezében a mobilja, a túloldalon lévő barátnőjének hangosan, tagoltan mondta be a telefonba a bankkártyájának adatait. Valamennyi számot, aminek a segítségével bárki képes az ő bankszámlájáról vásárolni.

Mennyit ér ilyenkor egy banki szerver összes védelme, amit többek között a lány biztonságának érdekében létrehoztak? Semmit. Mintha nem is létezne.

A lány úgy gondolta, nyilván nem ül mellette hacker, sem tolvaj, senkinek sem volt barátságtalan az arca. Lehet, hogy nem is érdekelte, körül sem nézett, mert nem tudta, mit tesz épp. Arra azonban nem gondolt, hogy egy egész busznak nyújtotta oda a pénztárcáját, csukott szemmel, úgy, hogy még azt sem tudta, kik kapnak hozzáférést a pénzéhez.

A biztonság ott kezdődik, amikor minden munkatárs felelősen viselkedik. Mindenki tudja, mennyit ér a jelszava, mennyit érnek a rábízott információk. Ezeket pedig ott és akkor használja csak, ahol és amikor arra szükség van.

« Vissza az előző oldalra

security hacker ITbiztonság