Modelo de seguridad para centros de datos

3

Tengo varios centros de datos y ahora quiero planificar la seguridad para ellos, por lo que es resistente a los ataques externos.

Necesito crear un modelo de seguridad que cubra mis servidores web, servidores de autenticación, servidores de registro, enrutadores, bases de datos, etc. que se ejecuten en Internet, y como mínimo debe incluir:

  • Las capas OSI están presentes
  • manejo de código fuente
  • certificación
  • creación segura del sistema operativo, política de red y esquema sql
  • cifrado

Básicamente, habría seguridad en cada capa, y estas capas tendrían que estar vinculadas y el proceso de administración de éstas debería ser sólido.

Para el ciclo de vida de desarrollo seguro, he visto el SDL de Microsoft. ¿Es esto apropiado para esa etapa?

La administración de usuarios y el acceso físico es algo fácil de entender y seguir, no es el problema, tengo buenos sistemas de alarma y monitoreo, sin embargo, en este momento no tengo lo mencionado anteriormente.

    
pregunta Andrew Smith 07.08.2012 - 20:00
fuente

2 respuestas

4

Bien, parece que está pidiendo una política, un plan y prácticas para la administración segura del sistema de un centro de datos. Tengo algunas sugerencias para usted:

Comience con una política. Comience por pensar en su política de seguridad. Desarrolle una política de seguridad por escrito y obtenga la aprobación de la administración.

Eche un vistazo a recursos de SANS sobre políticas de seguridad . Te darán algunas ideas de cosas que podrían tener sentido para ti.

Plan de seguridad. Desarrolle un plan de seguridad. Le sugiero que comience por crear un inventario de los datos y sistemas que almacena, con una idea de lo importante que es para la misión de su empresa. Esto te ayudará, ya que debes planear dedicar la mayor cantidad de energía para asegurar tus activos más críticos.

A continuación, puede reflexionar un poco sobre cuáles son los tipos de ataques o amenazas más importantes que deberían recibir la más alta prioridad (ya sea la más probable, dada su situación, o las que serían más graves). Puede hacer una lluvia de ideas sobre las amenazas con las que es más probable que se enfrente (por ejemplo, ¿quién tendrá un incentivo para atacarlo?) Y usar esto para ayudarlo a desarrollar un plan para asegurar su organización.

Una vez que haya inventariado sus activos y priorizado los principales problemas de seguridad que probablemente enfrentará, desarrolle un plan para mitigar los riesgos y proteger a su organización de estos ataques. Consulte la lista SANS de los 20 controles de seguridad más importantes ; pueden formar algunos elementos de su plan, o pueden darle ideas sobre cómo puede proteger sus activos de estas amenazas.

Ejecutar. A continuación, implementa tu plan. No necesitas hacer todo de una vez; está bien elegir una parte de su plan, ejecutarla y aumentar gradualmente su nivel de madurez de seguridad. Capacitación en seguridad. Podría ser útil tener alguna capacitación sobre buenas prácticas de seguridad para los administradores de sistemas. No soy la persona adecuada para preguntar, pero otros pueden tener algunas sugerencias. Creo que SANS tiene una buena reputación para la formación profesional en esta área.

Recursos para obtener información adicional. Eche un vistazo a Política de seguridad para administradores de sistemas en este sitio.

Es posible que desee consultar las preguntas etiquetadas security en ServerFault . ServerFault es un sitio hermano donde muchos administradores de sistemas profesionales se reúnen y tienen algunos buenos recursos sobre temas relacionados con la seguridad orientados a los administradores de sistemas.

Debe conocer las organizaciones profesionales en esta área y considerar unirse a ellas y hacer uso de sus recursos. Consulte SANS . Tienen muchos recursos disponibles en su página web.

También, busque en LISA , una asociación profesional de Usenix para administradores de sistemas. Tienen excelentes conferencias, buenas oportunidades para establecer contactos y oportunidades para mantenerse al día con la última tecnología. Además, tienen una serie de folletos con información para administradores de sistemas; vea, por ejemplo, Seguridad del sistema: una perspectiva de gestión .

¿Qué pasa con Microsoft SDL? El SDL de Microsoft es fantástico, pero está realmente orientado al desarrollo de software. No creo que sea tan útil para los administradores de sistemas, por lo que puede que no sea el recurso adecuado para usted.

    
respondido por el D.W. 08.08.2012 - 05:29
fuente
1

Debido a que es una pregunta difícil, me estoy respondiendo con lo que sea que haya surgido hasta ahora.

Llegué a la conclusión de que, al utilizar las capas OSI y el proceso de ciclo de desarrollo para toda la organización y los departamentos, se cumple.

Es posible que la gráfica no se explique por sí misma, así que aquí está la descripción.

  • A la derecha, hay un departamento / gerente que maneja la política de seguridad como el acceso, la aplicación, etc.
  • A la izquierda hay un departamento / gerente que maneja la estabilidad, la continuidad, la certificación y el desarrollo de explotaciones

  • En la parte superior, hay un equipo de desarrollo trabajando en su software, así como diseñadores de centros de datos, etc.

  • En la parte inferior, hay un sistema de seguridad automático, por ejemplo, cifrado, antispam, IDS, IPS, etc.

Las flechas intentan describir las relaciones, por lo que para que una empresa sea estable, debe establecer los requisitos que deben pasar por el ciclo de desarrollo, así como las empresas deben desarrollar nuevos exploits (o adquirirlos, como es el caso). ) para mantenerse seguro.

Ahora, este proceso se puede aplicar a varias capas, por ejemplo, por ejemplo. Puedo dividir la organización en Aplicación, Red, Física, etc. y manejarla por separado.

Al mirar a continuación, puedo ver ahora la razón del cifrado múltiple: cada capa puede presentar algún tipo de inteligencia artificial o cifrado (parte inferior), por lo que podría ser manejado por el mismo departamento hasta cierto punto.

La concientización es igual que en el ciclo SDL: investigándolo desde todos los ángulos, uno puede conocer los problemas. Al pasar por esto a través de cada capa, uno puede lograr una conciencia total y una seguridad total.

Lo importante aquí es que entre cada capa hay una autenticación / detección de IDS entre el cuadrado azul inferior y derecho.

  

Conciencia total de seguridad

    
respondido por el Andrew Smith 07.08.2012 - 21:26
fuente

Lea otras preguntas en las etiquetas