Richiedi il Prezzo
WW +41 21 641 6080 | US +1 800 256 0192 | CA +1 800 935 0725 | FR +33 261 880008 | DACH +49 1744625528
Contatti
Principale > Blog sul backup e sul ripristino > Valutazione della sicurezza dei data center: Standard, normative e best practice

Valutazione della sicurezza dei data center: Standard, normative e best practice

1 Star2 Stars3 Stars4 Stars5 Stars
(8 voti, media: 4,80 fuori da 5) Loading...
Aggiornato 19th Luglio 2024, Rob Morrison

Introduzione

I data center sono diventati una delle parti più fondamentali di molte aziende oggi.
Lo scopo principale di qualsiasi centro dati è quello di gestire, archiviare o elaborare le informazioni in modo efficiente, di solito per un’ampia gamma di utenti diversi e talvolta condivisi da diverse organizzazioni.

I servizi di data center possono assumere diverse forme e un’azienda non deve costruirne uno da zero per accedere alle risorse di un data center. Ad esempio, sia l’accesso in affitto che i servizi di data center forniti dal cloud stanno guadagnando popolarità da un po’ di tempo a questa parte, e l’adozione diffusa del cloud computing mette ancora più risorse in questo stesso settore, che si prevede raggiungerà i 344 miliardi di dollari solo nel 2024.

Allo stesso tempo, l’enorme popolarità che i centri dati hanno acquisito negli ultimi anni li ha anche resi l’obiettivo principale dei criminali informatici. Diverse ricerche confermano questo fatto, indicando che questo è diventato un problema enorme per qualsiasi organizzazione. Ad esempio, circa il 76% dei data center aziendali nutre preoccupazioni sulle proprie capacità di sicurezza dei dati. A causa di vari quadri normativi, le organizzazioni possono anche incorrere in una multa significativa e dolorosa se i loro dati vengono rubati o tenuti sotto riscatto.

La definizione di valutazione della sicurezza dei data center

In genere c’è una richiesta di maggiore sicurezza dei dati per i data center, e la minaccia del ransomware è solo uno dei tanti potenziali eventi negativi che potrebbero interrompere il regolare flusso di lavoro di intere aziende, con conseguenti perdite finanziarie potenzialmente ingenti o addirittura la chiusura completa dell’attività.

In questo contesto, è essenziale non solo creare o scegliere data center con gli standard di sicurezza più elevati, ma anche valutare le loro capacità di acquisire informazioni sullo stato di sicurezza di quel data center.
Questo processo viene definito Valutazione della sicurezza del centro dati: un processo di valutazione altamente sofisticato per l’hardware e il software del centro dati, con l’unico obiettivo di capire come fare a resistere il centro dati alle varie minacce alla sicurezza.

Aspetti principali di una valutazione della sicurezza del centro dati

Un processo di valutazione della sicurezza adeguato per un data center deve essere in grado di coprire sia la parte fisica che quella tecnologica delle sue capacità. Alcune delle categorie più comuni di fattori inclusi nelle valutazioni della sicurezza del data center sono:

  • Stato fisico. Un ampio segmento di caratteristiche e controlli costituito da tutti gli elementi di sicurezza del centro dati del mondo reale, compresi i meccanismi di controllo degli accessi, le strutture antincendio, i sistemi di sorveglianza e il livello di preparazione a vari disastri fisici come inondazioni o terremoti.
  • Stato della sicurezza della rete. In questa fase viene valutata la maggior parte dei protocolli di comunicazione tra il data center e il resto del mondo. A causa del gran numero di violazioni di dati che avvengono regolarmente in tutto il mondo, questo gruppo di fattori deve valutare in modo approfondito i protocolli di comunicazione sicuri, la segmentazione della rete, i firewall, i framework di rilevamento delle intrusioni, ecc.
  • Sicurezza operativa. Anche i processi e le politiche esistenti devono partecipare a questa valutazione, per ridurre la possibilità che un criminale informatico approfitti di una lacuna nelle procedure esistenti. Qui si valutano le capacità di risposta agli incidenti, le funzioni di gestione degli accessi degli utenti, le politiche di backup dei dati e così via.
  • Conformità normativa. A causa della loro natura orientata al business, la maggior parte dei data center deve soddisfare molti standard industriali o quadri di conformità pertinenti – HIPAA, GDPR, SOC 2, ISO 27001, ecc. Per motivi legali, la capacità di un data center di aderire a tutti i requisiti di archiviazione e ridondanza dei dati è un argomento importante.

Minacce comuni ai data center

I data center possono subire una varietà sorprendentemente ampia di tipi di minacce, e non si limitano solo a un disastro naturale o a un cyberattacco.
I tipi più comuni di minacce ai data center sono:

  • Violazioni fisiche

Qualsiasi tentativo di accedere fisicamente al centro dati in questione è considerato una violazione fisica, sia per accedere a informazioni sensibili, sia per rubare l’hardware, sia per impiantare vari dispositivi di tracciamento o di altro tipo nell’hardware esistente.

  • Attacchi alla catena di approvvigionamento

Questo tipo di attacco sta crescendo di popolarità negli ultimi tempi, grazie alla sua capacità di aggirare molte misure di sicurezza tradizionali.Prende di mira i fornitori di software o hardware per compromettere la catena di fornitura e utilizzare backdoor e vulnerabilità per accedere al data center. Mitigare la possibilità di questi tipi di attacchi richiede un approccio completamente diverso alla sicurezza, con valutazioni regolari per ogni elemento della catena di fornitura, invece che solo per il data center.

  • Attacchi informatici

I cyberattacchi si presentano in molte forme e scopi, dal malware e dal ransomware che mirano a manomettere le informazioni sensibili agli attacchi DDoS (Distributed Denial of Service) che rendono interi data center incapaci di rispondere agli utenti regolari per un periodo prolungato.Altri tipi di attacco includono lo sfruttamento delle vulnerabilità e l’ingegneria sociale.

  • Minacce interne

Un altro angolo di attacco da cui è molto difficile proteggersi è la minaccia insider – un insider malintenzionato con accesso a dati interni sensibili che può comprometterli o rubarli (o un insider accidentale che cade in una truffa o compromette involontariamente la sicurezza del sistema senza cattive intenzioni).

  • Minacce persistenti avanzate

Le APT sono un’altra forma di attività criminale informatica, molto più mirata e iper-focalizzata rispetto agli altri metodi di attacco informatico. Utilizzano vari attacchi persistenti per ottenere un accesso prolungato e manomettere le informazioni sensibili. A causa della loro complessità e del loro impegno, le APT sono utilizzate principalmente da organizzazioni criminali sofisticate o da Stati nazionali.

  • Rischi di conformità

Anche se non sono così dannosi, i rischi di conformità possono essere altrettanto dannosi per le operazioni di un’organizzazione. Possono essere innescati praticamente da qualsiasi altro tipo di violazione dei dati e spesso portano a sostanziali perdite di reputazione e a massicce multe legali per qualsiasi azienda che non sia in grado di rispettare regolamenti come HIPAA, GDPR, ecc.

  • Disastri naturali e altri rischi ambientali

Non solo qualsiasi tipo di disastro naturale può causare diversi tipi di danni all’infrastruttura fisica di un data center, ma ci sono anche altri rischi ambientali, come interruzioni di corrente inaspettate o guasti alle apparecchiature. Questi problemi possono essere classificati come pericoli ambientali e possono portare alla perdita di dati e all’interruzione dei processi, oltre ad altri problemi.

Con tutte queste informazioni in mente, possiamo ora approfondire il tema delle valutazioni di sicurezza per i data center.

Standard di sicurezza dei data center

Ora che abbiamo familiarità con il tema della valutazione della sicurezza dei data center, va notato che esistono diversi termini simili nello stesso settore. Ad esempio, abbiamo gli Standard di sicurezza dei data center – una combinazione di protocolli, linee guida e raccomandazioni su come i data center operano e proteggono i dati dei clienti.

L’argomento degli standard in termini di sicurezza può essere un po’ complesso da discutere, soprattutto perché molte aziende hanno una propria selezione di standard da seguire, compresi esempi sia ufficiali che non ufficiali. Fortunatamente, esiste ancora una piccola selezione di standard diffusi che sono maggiormente accettati come fulcro dell’intera idea, come l’International Standards Organization (ISO), il National Institute of Standards and Technology (NIST), ecc.

Raccomandazioni generali sugli standard di sicurezza

Il numero di standard e quadri normativi diversi nel mondo moderno è davvero sbalorditivo, e il numero sembra crescere a un ritmo allarmante. Qui citeremo sei esempi di quadri di conformità e standard di sicurezza che possono essere adottati per sostenere la sicurezza di un data center.

  • PCI DSS (Payment Card Industry Data Security Standard) è una combinazione di standard che tutte le aziende che trattano informazioni relative alle carte di credito devono rispettare. Si tratta di uno standard aggiornato frequentemente che spiega come fare per archiviare tali informazioni sensibili e quali misure di sicurezza applicare alle unità di archiviazione, come i data center.
  • L’HIPAA (Health Insurance Portability and Accountability Act) è un’altra serie di raccomandazioni altamente specifiche, che si rivolge principalmente al settore sanitario. L’obiettivo dell’HIPAA è quello di proteggere e salvaguardare le informazioni personali dei clienti e altri dati sensibili dello stesso settore,
  • NIST 800-53 (National Institute of Standards and Technology) è un insieme di standard che include un breve processo in 7 fasi per la gestione della privacy e della sicurezza delle informazioni e collegamenti ad altri standard NIST che trattano il tema della sicurezza delle informazioni in modo più approfondito.
  • ISO 27001 (International Standards Organization) è uno standard internazionale che delinea alcune delle pratiche più valide per i sistemi di gestione della sicurezza delle informazioni. Va notato che questo standard non è esclusivo della categoria ISO; la “famiglia” 2700 comprende diverse decine di altri standard che offrono varie raccomandazioni e norme che le unità di archiviazione dati (compresi i data center) devono rispettare.
  • FISMA (Federal Information Security Modernization Act) è una serie di standard legali che si applicano principalmente alle agenzie governative federali e ai loro sistemi di dati, come i data center. Questi standard garantiscono il massimo livello possibile di sicurezza e protezione.
  • SSAE 16 (Statement on Standards for Attestation Engagements) è una combinazione di standard di revisione che può essere utilizzata per valutare un centro dati in base alla sua capacità di proteggere la riservatezza, la sicurezza e la disponibilità delle informazioni archiviate.Lo standard SSAE 16 può utilizzare diversi tipi di report; gli esempi più comuni sono i SOC 1 e SOC 2.

Programma di certificazione TIA-942

Mentre gli standard precedentemente menzionati possono coprire la parte tecnologica della valutazione, l’argomento della sicurezza fisica dei data center è completamente diverso e abbastanza grande per un articolo a sé stante. In questa sede, ci soffermeremo solo brevemente sulla parte fisica della sicurezza dei data center, che utilizza l’ANSI/TIA-942 come mezzo di verifica dell’hardware. Si tratta di uno standard adottato a livello globale per i data center, che spiega come fare per proteggere i data center in diversi casi d’uso, fisicamente e virtualmente.

Questo standard prevede quattro potenziali classificazioni, ognuna delle quali descrive un livello separato di un’infrastruttura di data center, in base alle sue capacità e alla resilienza generale.

  • Livello 1 – Infrastruttura del sito di base; è la categoria meno protetta delle quattro, con una protezione limitata contro le minacce fisiche, componenti a capacità singola e un percorso di distribuzione per tutte le apparecchiature senza misure di ridondanza.
  • Livello 2 – Infrastruttura del sito con componenti ridondanti; comprende i centri dati con componenti di capacità ridondanti e un unico percorso di distribuzione per le apparecchiature informatiche.
  • Livello 3 – Infrastruttura del sito con manutenzione simultanea; un percorso di distribuzione ridondante per le apparecchiature, combinato con componenti di capacità ridondanti, rende questo livello molto più sicuro dei precedenti e comporta miglioramenti anche per la sicurezza dello storage fisico.
  • Livello 4 – Infrastruttura del sito con tolleranza ai guasti; la valutazione più alta possibile per la sicurezza fisica include la ridondanza sia dei componenti di capacità che dei percorsi di distribuzione dell’hardware, proteggendo al contempo il software da vari scenari di guasto con il massimo livello di protezione possibile contro i visitatori malintenzionati.

Le migliori prassi per la valutazione della sicurezza del Centro dati

L’intero processo di valutazione della sicurezza del Data Center varierà in modo significativo da un caso all’altro, a seconda di molti fattori.Allo stesso tempo, è comunque possibile fornire una combinazione di raccomandazioni quando si esegue una valutazione di questo tipo, compresi i molteplici fattori menzionati di seguito.

  1. Creare un inventario completo dell’intero ambiente del data center, compresi gli elementi fisici e virtuali, gli account di servizio, le applicazioni del data center, ecc. Ad ogni elemento deve essere assegnata una valutazione separata dell’importanza per il normale funzionamento aziendale. Tutti i componenti che non contribuiscono alla sicurezza o al flusso di lavoro dell’azienda devono essere eliminati per garantire che non possano essere utilizzati come gateway per software dannosi e intrusi – comprese le applicazioni, gli account di servizio e persino gli elementi del data center.
  2. Valutare il traffico del data center e mapparlo, se possibile, per comprendere appieno come le informazioni fluiscono da e verso la sua rete. Questo la aiuterà anche a capire quali parti del sistema lavorano maggiormente con le informazioni sensibili, permettendole di dare priorità alle sue risorse di conseguenza.
  3. Valuti la segmentazione del suo centro dati e si assicuri che la comunicazione tra i diversi livelli passi attraverso un firewall di alto livello. La stessa valutazione deve essere fatta per tutti gli utenti e le applicazioni che hanno accesso a livelli specifici del centro dati, per garantire che solo coloro che hanno bisogno di questo accesso possano continuare ad averlo per motivi di sicurezza.
  4. Elaborare l’argomento precedente della valutazione degli utenti e analizzare l’accesso alla sicurezza di ogni singolo utente (creando anche gruppi di utenti pertinenti per un controllo degli accessi più semplice in futuro) per garantire che abbiano bisogno di accedere al data center per il corretto funzionamento del loro lavoro. Questo non include solo i dipendenti dell’azienda stessa, ma anche i clienti, i partner, gli appaltatori, i fornitori, ecc.
  5. Ilmonitoraggio e la valutazione continua riguardano meno la valutazione una tantum dello stato del sistema e più il futuro continuo, ma alcune informazioni sullo stato del data center possono essere raccolte solo dopo aver trascorso un po’ di tempo a monitorare e valutare la situazione generale, motivo per cui questo punto fa parte dell’elenco.

Ancora una volta, l’elenco non è definitivo e molti elementi e raccomandazioni sono soggetti a modifiche in base a molti fattori.Inoltre, possiamo offrire alcuni suggerimenti per la sicurezza del centro dati in generale, che saranno utili una volta completato il processo di valutazione della sicurezza del centro dati:

  • Eseguire valutazioni regolari del sistema. Non è necessario che siano così approfondite e dettagliate come quelle descritte sopra. Tuttavia, una valutazione regolare dello stato generale dell’ambiente del data center è molto utile per scoprire potenziali vulnerabilità e problemi prima che possano essere rivolti contro di lei.
  • Rispettare tutti i quadri normativi in cui rientra la sua azienda, che si tratti di PCI DSS, GDPR, HIPAA o di qualcosa di più specifico. Anche l’esecuzione di regolari audit di conformità è un’ottima idea per evitare potenziali multe e altri problemi causati dalla non conformità a quadri normativi noti.
  • Utilizzare vari mezzi di protezione della rete interna, come i firewall e varie applicazioni di rilevamento delle intrusioni.
  • Crei un piano fisso per rispondere agli incidenti, in modo che tutti i suoi dipendenti sappiano cosa fare in caso di emergenza.
  • Anche laformazione regolare dei dipendenti è un vantaggio per ridurre le possibilità di errori causati da errori umani, tra cui le e-mail di phishing e altri metodi.
  • Implementare un software per il monitoraggio interno continuo, per rispondere alle minacce ancora più velocemente ed essere più proattivi nel combattere le minacce alla sicurezza.
  • Eseguire backup regolari e criptare le informazioni, entrambi necessari per migliorare la disponibilità di informazioni sensibili in caso di emergenza.

Processi di backup e crittografia

Tutte le raccomandazioni sopra menzionate sono importanti di per sé, ma l’ultima è una delle più essenziali per la sicurezza dei dati praticamente in ogni ambiente, compresi i data center. Questo argomento riguarda anche la crittografia, perché la maggior parte delle soluzioni di backup offre la crittografia dei dati come una delle sue funzionalità fondamentali.

L’elenco dei potenziali vantaggi in termini di sicurezza, continuità aziendale e sostenibilità che la corretta implementazione di una soluzione di backup e ripristino può offrire ad un ambiente complesso come un data center è sorprendentemente lungo, con caratteristiche quali:

  • La crittografia dei dati è una caratteristica comune delle soluzioni di backup. Come minimo, spesso offrono la crittografia AES-256 e funzioni aggiuntive nella stessa area (in alcuni casi).
  • L’immutabilità dell’archiviazione è un concetto abbastanza popolare nel campo del backup. Utilizza l’idea di base di un’archiviazione che non può essere modificata in alcun modo una volta che i dati sono stati scritti per la prima volta. Può essere ottenuta tramite misure logiche o utilizzando un hardware dedicato con funzionalità WORM (write-once-read-many).
  • L’air-gapping è un’estensione del concetto precedente che abbraccia l’idea di interrompere tutte le connessioni di uno storage specifico con il resto dell’infrastruttura, al fine di migliorarne drasticamente la sicurezza .Analogamente al concetto precedente, l’air-gapping può essere eseguito logicamente all’interno del sistema, oppure fisicamente, il che offre una maggiore protezione ma comporta anche diversi problemi in termini di accessibilità, motivo per cui viene utilizzato principalmente solo per i dati più sensibili.
  • La regola del 3-2-1 è un altro concetto ben noto nel settore del backup, che pone l’accento sulla necessità di conservare più copie di backup per garantire la ridondanza.La regola stessa implica l’esistenza di almeno tre copie di backup che vengono conservate utilizzando due tipi di archiviazione diversi, con una copia conservata in un luogo fisicamente separato dal resto dell’infrastruttura (fuori sede).
  • L’autenticazione a più fattori amplia il noto sistema 2FA per migliorare la sicurezza delle misure di controllo dell’accesso esistenti. Il nome implica che l’utente finale deve presentare almeno due o più credenziali di autenticazione per accedere alle informazioni.
  • La centralizzazione delle informazioni è relativamente comune anche per il software di backup. Consente di gestire più operazioni di backup e di gestione dei dati in un unico ambiente che offre un comodo accesso a tutto.

Il mercato delle soluzioni di backup e ripristino è altamente competitivo e comprende centinaia di soluzioni diverse. Trovare un software in grado di offrire tutti questi vantaggi e allo stesso tempo di supportare i centri dati potrebbe inizialmente sembrare una sfida. Tuttavia, non è così, perché soluzioni come Bacula Enterprise possono offrire tutti questi vantaggi nello stesso pacchetto.

Bacula Enterprise è una piattaforma completa di backup e ripristino con molte capacità diverse. Può lavorare con tutti i tipi di storage, dai supporti tradizionali alle macchine virtuali, alle applicazioni SaaS, ai database e altro ancora. Questo è importante per le organizzazioni che hanno un ambiente IT ampio e diversificato, in quanto in genere hanno bisogno di una soluzione di backup unica per raggiungere realisticamente gli standard e i requisiti di sicurezza e normativi.

La capacità di soddisfare gli standard di sicurezza e conformità dipende in parte dalle capacità di monitoraggio e di reporting di una soluzione di backup. Queste funzionalità sono particolarmente forti in Bacula, che consente un monitoraggio e una reportistica estesi in tutto il suo sistema, fino a consentire report altamente dettagliati, specializzati e personalizzati per soddisfare le esigenze dei suoi clienti più particolari.

Bacula pone anche un’enfasi significativa sulla sicurezza dei dati, che è una delle ragioni per cui diverse organizzazioni di livello governativo hanno scelto Bacula come soluzione di backup. Uno dei motivi è la sua architettura unica, che rende estremamente difficile per gli attacchi maligni, come il ransomware, infettare i dati di backup. Per questo motivo, la più grande alleanza militare dell’Occidente ha scelto Bacula per proteggere i suoi dati.

In generale, eseguire una valutazione della sicurezza di un data center può essere impegnativo, e migliorare la situazione esistente dopo la valutazione è spesso ancora più difficile.Fortunatamente, l’esistenza di un software come Bacula consente di eseguire la maggior parte delle operazioni che ruotano intorno alla ridondanza delle informazioni, alla conformità e alla sicurezza da un’unica soluzione, con un elevato grado di convenienza e facilità d’uso.

Conclusione

La valutazione della sicurezza dei data center valuta lo stato attuale dell’ambiente di sicurezza di un data center da più punti di vista. La sua importanza è difficile da sopravvalutare, visto quanto sono popolari ed essenziali i data center nell’ambiente moderno e come fanno spesso i malintenzionati.

Il processo varia in modo significativo per molte situazioni, e anche la varietà di quadri a cui un data center deve conformarsi cambia caso per caso. Per la maggior parte delle situazioni si può consigliare un piano di valutazione piuttosto scarno, ma migliorarlo in ogni situazione va ben oltre le nostre capacità.

L’adesione agli standard di sicurezza del data center può migliorare la sicurezza fisica e virtuale dell’infrastruttura, migliorando al contempo le capacità di gestione dei dati in generale ed eliminando questioni potenzialmente problematiche, come l’eccessiva condivisione, l’eccesso di privilegi e l’abbondanza di accesso a informazioni sensibili per utenti che non ne hanno bisogno per lavorare.

Inoltre, seguendo le best practice sia per la valutazione della sicurezza del centro dati che per la sicurezza generale di questo supporto, si può semplificare in modo significativo il processo di gestione delle informazioni, migliorando al contempo la sicurezza dell’ambiente. L’implementazione di una soluzione di backup completa come Bacula Enterprise è una delle opzioni meno problematiche, grazie alla sua ricchezza di funzioni in un’unica soluzione, unita all’ampio numero di piattaforme, database, macchine virtuali, container, ambienti cloud e tipi di storage che può supportare.

Nel complesso, ci auguriamo che la nostra valutazione dell’argomento sia stata abbastanza dettagliata da mostrare perché è fondamentale valutare i livelli di sicurezza di un data center, sottolineando al tempo stesso come fare un processo personalizzato e specifico per ogni caso.

Informazioni sull'autore
Rob Morrison
Rob Morrison è il direttore marketing di Bacula Systems. Ha iniziato la sua carriera nel marketing IT con Silicon Graphics in Svizzera, ottenendo ottimi risultati in vari ruoli di gestione del marketing per quasi 10 anni. Nei 10 anni successivi, Rob ha ricoperto anche diverse posizioni di gestione del marketing in JBoss, Red Hat e Pentaho, assicurando la crescita della quota di mercato di queste note aziende. Si è laureato all'Università di Plymouth e ha conseguito una laurea ad honorem in Digital Media and Communications e ha completato un programma di studi all'estero.
Messaggi correlati
Le 15 migliori soluzioni di backup per server nel 2024
Agosto 31, 2022
I 15 migliori fornitori e aziende HPC
Maggio 2, 2024
Software di protezione continua dei dati. La definizione di protezione continua dei dati
Febbraio 6, 2023
Backup RHEV - Perché è importante
Settembre 26, 2022
Come fare per proteggere i dati di backup? Guida ai backup sicuri
Dicembre 13, 2023
Guida al backup di Google Workspace: Vantaggi, soluzioni e tipi
Marzo 17, 2023
Lascia un commento

Il suo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *

Potresti anche essere interessato a:
soluzioni di backup aziendale
software di backup incrementale
backup in cloud aziendali