Home > Blog de Apoio e Recuperação > Avaliação da segurança do data center: Padrões, regulamentos e práticas recomendadas

Avaliação da segurança do data center: Padrões, regulamentos e práticas recomendadas

Atualizado 19th julho 2024, Rob Morrison

Introdução

Os data centers se tornaram uma das partes mais fundamentais de muitas empresas atualmente. O objetivo principal de qualquer data center é gerenciar, armazenar ou processar informações de forma eficiente, geralmente para uma ampla gama de usuários diversos e, às vezes, compartilhadas por diferentes organizações.

Há diferentes formas que os serviços de data center podem assumir, e uma empresa não precisa construir o seu próprio data center do zero para acessar os recursos de um data center. Por exemplo, tanto o acesso alugado quanto os serviços de data center fornecidos pela nuvem vêm ganhando popularidade há algum tempo, e a adoção generalizada da computação em nuvem coloca ainda mais recursos nesse mesmo setor, que, segundo as previsões, chegará a US$ 344 bilhões somente em 2024.

Ao mesmo tempo, a enorme popularidade que os data centers ganharam nos últimos anos também os tornou o principal alvo dos criminosos cibernéticos. Várias pesquisas confirmam esse fato, indicando que isso se tornou um problema enorme para qualquer organização. Por exemplo, cerca de 76% dos data centers corporativos estão preocupados com seus recursos de segurança de dados. Devido a várias estruturas normativas, as organizações também podem enfrentar uma multa significativa e dolorosa se seus dados forem roubados ou mantidos como resgate.

A definição de avaliação da segurança do data center

Normalmente, há uma demanda por mais segurança de dados para os data centers, e a ameaça de ransomware é apenas um dos muitos possíveis eventos negativos que podem interromper o fluxo de trabalho regular de empresas inteiras, levando a perdas financeiras potencialmente enormes ou até mesmo ao fechamento completo dos negócios como resultado.

Nesse contexto, é essencial não apenas criar ou escolher data centers com os mais altos padrões de segurança, mas também avaliar seus recursos para obter informações sobre o estado de segurança desse data center. Esse processo é chamado de Avaliação de Segurança do Data Center – um processo de avaliação altamente sofisticado para hardware e software do data center com o objetivo único de compreender a resiliência do data center contra várias ameaças à segurança.

Principais aspectos de uma avaliação de segurança do data center

Um processo de avaliação de segurança adequado para um data center deve ser capaz de abranger tanto a parte física quanto a tecnológica de seus recursos. Algumas das categorias mais comuns de fatores incluídos nas avaliações de segurança do data center são:

  • Estado físico. Um grande segmento de recursos e verificações que consiste em todos os elementos de segurança do data center do mundo real, incluindo seus mecanismos de controle de acesso, estruturas de supressão de incêndio, sistemas de vigilância e o nível de preparação para vários desastres físicos, como inundações ou terremotos.
  • Estado da segurança da rede. A maioria dos protocolos de comunicação entre o data center e o resto do mundo é avaliada nesta etapa. Devido ao grande número de violações de dados que ocorrem regularmente em todo o mundo, esse grupo de fatores precisa avaliar minuciosamente os protocolos de comunicação segura, a segmentação da rede, os firewalls, as estruturas de detecção de intrusão etc.
  • Segurança operacional. Os processos e as políticas existentes também devem participar dessa avaliação para reduzir a possibilidade de um criminoso cibernético tirar proveito de uma lacuna nos procedimentos existentes. É aqui que os recursos de resposta a incidentes são avaliados, juntamente com os recursos de gerenciamento de acesso de usuários, políticas de backup de dados e assim por diante.
  • Conformidade regulatória. Devido à sua natureza voltada para os negócios, a maioria dos data centers deve atender a muitos padrões relevantes do setor ou estruturas de conformidade – HIPAA, GDPR, SOC 2, ISO 27001 etc. Por motivos legais, a capacidade de um data center de aderir a todos os requisitos de armazenamento e redundância de dados é um tópico importante.

Ameaças comuns aos data centers

Os data centers podem sofrer uma variedade surpreendentemente grande de tipos de ameaças, e isso não se limita apenas a um desastre natural ou a um ataque cibernético. Os tipos mais comuns de ameaças aos data centers são:

  • Violações físicas

Qualquer tentativa de acessar fisicamente o data center em questão é considerada uma violação física, seja para acessar informações confidenciais, roubar hardware ou implantar vários dispositivos de rastreamento ou outros dispositivos no hardware existente.

  • Ataques à cadeia de suprimentos

Esse tipo de ataque tem crescido em popularidade recentemente devido à sua capacidade de contornar muitas medidas de segurança tradicionais. Ele tem como alvo os fornecedores de software ou hardware para comprometer a cadeia de suprimentos e utilizar backdoors e vulnerabilidades para acessar o data center. A atenuação da possibilidade desses tipos de ataques requer uma abordagem totalmente diferente em relação à segurança, com avaliações regulares de cada elemento da cadeia de suprimentos, em vez de apenas o data center.

  • Ataques cibernéticos

Os ataques cibernéticos têm muitas formas e propósitos, desde malware e ransomware que visam adulterar informações confidenciais até ataques DDoS (Distributed Denial of Service, negação de serviço distribuída) que tornam os data centers inteiros incapazes de responder aos usuários regulares por um período prolongado. Outros tipos de ataque incluem a exploração de vulnerabilidades e a engenharia social.

  • Ameaças internas

Outro ângulo de ataque contra o qual é muito difícil se proteger é a ameaça interna: uma pessoa mal-intencionada com acesso a dados internos confidenciais que pode comprometê-los ou roubá-los (ou uma pessoa acidental que cai em um golpe ou compromete involuntariamente a segurança do sistema sem nenhuma intenção ruim).

  • Ameaças persistentes avançadas

As APTs são outra forma de atividade criminosa cibernética, muito mais direcionada e hiperfocada do que os outros métodos de ataque cibernético. Elas utilizam vários ataques persistentes para obter acesso prolongado e adulterar informações confidenciais. Devido à sua grande complexidade e comprometimento, as APTs são usadas principalmente por organizações criminosas sofisticadas ou estados-nação.

  • Riscos de conformidade

Embora não sejam tão mal-intencionados, os riscos de conformidade podem ser igualmente prejudiciais às operações de uma organização. Eles podem ser acionados por praticamente qualquer outro tipo de violação de dados e, muitas vezes, levam a perdas substanciais de reputação e a multas legais enormes para qualquer empresa que não consiga cumprir normas como HIPAA, GDPR etc.

  • Desastres naturais e outros riscos ambientais

Além de qualquer tipo de desastre natural poder causar diferentes tipos de danos à infraestrutura física de um data center, há também outros riscos ambientais, como falta de energia inesperada ou falha de equipamentos. Esses problemas podem ser classificados como riscos ambientais e podem levar à perda de dados e à interrupção de processos, entre outros problemas.

Com todas essas informações em mente, podemos agora explorar mais detalhadamente o tópico das avaliações de segurança para data centers.

Padrões de segurança do data center

Agora que já estamos familiarizados com o tópico Avaliação de segurança do data center, é importante observar que existem vários termos semelhantes no mesmo setor. Por exemplo, temos os Padrões de Segurança do Data Center – uma combinação de protocolos, diretrizes e recomendações sobre como os data centers operam e protegem os dados dos clientes.

O tópico de padrões em termos de segurança pode ser um pouco complexo de discutir, principalmente porque muitas empresas têm sua própria seleção de padrões que seguem, incluindo exemplos oficiais e não oficiais. Felizmente, ainda há uma pequena seleção de padrões difundidos que são mais aceitos como a peça central de toda a ideia, como a International Standards Organization (ISO), o National Institute of Standards and Technology (NIST) etc.

Recomendações gerais de padrões de segurança

O número de diferentes padrões e estruturas normativas no mundo moderno é impressionante, e esse número parece estar crescendo em um ritmo alarmante. Aqui, citaremos seis exemplos de estruturas de conformidade e padrões de segurança que podem ser adotados para manter a segurança de um data center.

  • O PCI DSS (Payment Card Industry Data Security Standard) é uma combinação de padrões que todas as empresas que lidam com informações de cartão de crédito devem seguir. Trata-se de um padrão atualizado com frequência que explica como essas informações confidenciais devem ser armazenadas e quais medidas de segurança devem ser aplicadas às unidades de armazenamento, como os data centers.
  • A HIPAA (Health Insurance Portability and Accountability Act) é outro conjunto de recomendações altamente específico, voltado principalmente para o setor de saúde. O objetivo da HIPAA é proteger e resguardar as informações pessoais dos clientes e outros dados confidenciais do mesmo setor,
  • O NIST 800-53 (National Institute of Standards and Technology) é um conjunto de normas que inclui um breve processo de sete etapas para gerenciar a privacidade e a segurança das informações e links para outras normas do NIST que abordam o tema da segurança das informações de forma mais detalhada.
  • A ISO 27001 (International Standards Organization) é uma norma internacional que descreve algumas das práticas mais valiosas para sistemas de gerenciamento de segurança da informação. Deve-se observar que essa norma não é exclusiva da categoria ISO; a “família” 2700 tem várias dezenas de outras normas que oferecem diversas recomendações e padrões que as unidades de armazenamento de dados (incluindo data centers) devem cumprir.
  • O FISMA (Federal Information Security Modernization Act) é um conjunto de padrões legais aplicados principalmente a órgãos do governo federal e seus sistemas de dados, como data centers. Esses padrões garantem o mais alto nível possível de segurança e proteção.
  • A SSAE 16 (Statement on Standards for Attestation Engagements) é uma combinação de normas de auditoria que pode ser usada para avaliar um data center com base em sua capacidade de proteger a confidencialidade, a segurança e a disponibilidade das informações que ele armazena. A SSAE 16 pode usar vários tipos de relatórios, sendo que os exemplos mais comuns são SOC 1 e SOC 2.

Programa de certificação TIA-942

Embora os padrões mencionados anteriormente possam abranger a parte tecnológica da avaliação, o tópico da segurança física do data center é totalmente diferente e grande o suficiente para um artigo próprio. Aqui, abordaremos apenas brevemente a parte física da segurança do data center, que usa o ANSI/TIA-942 como meio de teste de hardware. Trata-se de um padrão adotado globalmente para data centers que explica como os data centers devem ser protegidos em diferentes casos de uso, física e virtualmente.

Esse padrão tem quatro classificações possíveis, cada uma descrevendo um nível separado de uma infraestrutura de data center com base em seus recursos e resiliência geral.

  • Tier 1- Infraestrutura básica do local; é a categoria menos protegida das quatro, com proteção limitada contra ameaças físicas, componentes de capacidade única e um caminho de distribuição para todos os equipamentos sem nenhuma medida de redundância implementada.
  • Tier 2 – Redundant Component Site Infrastructure; abrange data centers com componentes de capacidade redundante e um único caminho de distribuição para equipamentos de informática.
  • Tier 3 – Infraestrutura de site com manutenção simultânea; um caminho de distribuição redundante para equipamentos, combinado com componentes de capacidade redundante, torna esse nível muito mais seguro do que os anteriores e também traz melhorias para a segurança do armazenamento físico.
  • Tier 4 – Infraestrutura de site tolerante a falhas; a classificação mais alta possível para a avaliação de segurança física inclui redundância para os componentes de capacidade e caminhos de distribuição de hardware, além de proteger o software contra vários cenários de falha com o nível mais alto possível de proteção contra visitantes mal-intencionados.

Práticas recomendadas para a avaliação de segurança do data center

Todo o processo de avaliação de segurança do data center será significativamente diferente de um caso para outro, dependendo de muitos fatores. Ao mesmo tempo, ainda é possível fornecer uma combinação de recomendações ao realizar essa avaliação, incluindo vários fatores mencionados abaixo.

  1. Crie um inventário completo de todo o ambiente do data center, incluindo elementos físicos e virtuais, contas de serviço, aplicativos do data center, etc. A cada elemento deve ser atribuída uma classificação separada de importância para o funcionamento normal dos negócios. Todos os componentes que não contribuem para a segurança ou para o fluxo de trabalho da empresa devem ser eliminados para garantir que não possam ser usados como porta de entrada para softwares mal-intencionados e invasores, inclusive aplicativos, contas de serviço e até mesmo elementos do data center.
  2. Avalie o tráfego do data center e mapeie-o, se possível, para entender completamente como as informações fluem de e para a sua rede. Isso também o ajudará a entender quais partes do sistema trabalham mais com informações confidenciais, permitindo que você priorize seus recursos de acordo.
  3. Avalie a segmentação do seu data center e garanta que a comunicação entre as diferentes camadas passe por um firewall de alto nível. A mesma avaliação deve ser feita para todos os usuários e aplicativos que têm acesso a camadas específicas do data center para garantir que somente aqueles que precisam desse acesso ainda possam tê-lo por motivos de segurança.
  4. Desenvolva o tópico anterior sobre avaliação de usuários e analise o acesso de segurança de cada usuário (e, ao mesmo tempo, crie grupos de usuários relevantes para facilitar o controle de acesso no futuro) para garantir que eles precisem acessar o data center para o bom funcionamento de seu trabalho. Isso inclui não apenas os funcionários da própria empresa, mas também clientes, parceiros, prestadores de serviços, fornecedores etc.
  5. O monitoramento e a avaliação contínua têm menos a ver com a avaliação única do estado do sistema e mais a ver com o futuro contínuo, mas algumas informações sobre o estado do data center só podem ser obtidas depois de algum tempo de monitoramento e avaliação da situação geral, e é por isso que esse ponto faz parte da lista.

Mais uma vez, a lista em si não é definitiva, e muitos elementos e recomendações estão sujeitos a alterações, dependendo de muitos fatores. Além disso, podemos oferecer algumas sugestões para a segurança do data center em geral, que serão úteis após a conclusão do processo de avaliação da segurança do data center:

  • Realizar avaliações regulares do sistema. Elas não precisam ser tão completas e detalhadas como a descrita acima. Ainda assim, uma avaliação regular do estado geral do ambiente do data center ajudaria muito a descobrir possíveis vulnerabilidades e problemas antes que eles possam se voltar contra o senhor.
  • Cumpra todas as estruturas regulatórias às quais sua empresa está sujeita, seja PCI DSS, GDPR, HIPAA ou algo mais específico. A realização de auditorias regulares de conformidade também é uma ótima ideia para evitar possíveis multas e outros problemas causados pela não conformidade com estruturas regulatórias conhecidas.
  • Use vários meios de proteger a rede interna, como firewalls e vários aplicativos de detecção de intrusão.
  • Crie um plano estabelecido para responder a incidentes para que todos os funcionários saibam o que fazer em uma emergência.
  • A realização de treinamentos regulares para os funcionários também é uma vantagem para reduzir as chances de erros causados por falhas humanas, inclusive e-mails de phishing e outros métodos.
  • Implemente um software de monitoramento interno contínuo para responder às ameaças ainda mais rapidamente e ser mais proativo no combate às ameaças à segurança.
  • Faça backups regulares e criptografe as informações, ambos necessários para melhorar a disponibilidade de informações confidenciais em caso de emergência.

Processos de backup e criptografia

Todas as recomendações mencionadas acima são importantes por si só, mas a última é uma das mais essenciais para a segurança dos dados em praticamente qualquer ambiente, inclusive nos data centers. Esse tópico também abrange a criptografia porque a maioria das soluções de backup oferece criptografia de dados como um de seus recursos fundamentais.

A lista de possíveis vantagens de segurança, continuidade dos negócios e sustentabilidade que a implementação correta de uma solução de backup e recuperação pode oferecer a um ambiente tão complexo como um data center é surpreendentemente longa, com recursos como

  • A criptografia de dados é um recurso comum nas soluções de backup. No mínimo, elas costumam oferecer criptografia AES-256 e recursos adicionais na mesma área (em alguns casos).
  • A imutabilidade do armazenamento é um conceito bastante popular na área de backup. Ele usa a ideia básica de um armazenamento que não pode ser modificado de forma alguma depois que os dados são gravados nele pela primeira vez. Ela pode ser obtida por meio de medidas lógicas ou usando hardware dedicado com recursos WORM (write-once-read-many).
  • O air-gapping é uma extensão do conceito anterior que abrange a ideia de cortar todas as conexões de um armazenamento específico com o restante da infraestrutura para aumentar drasticamente sua segurança. Semelhante ao conceito anterior, o air-gapping pode ser realizado logicamente dentro do sistema ou fisicamente, o que oferece mais proteção, mas também traz vários problemas em termos de acessibilidade, razão pela qual é usado principalmente apenas para os dados mais confidenciais.
  • A regra 3-2-1 é outro conceito bem conhecido no espaço de backup, que enfatiza a necessidade de manter várias cópias de backup para fins de redundância. A regra em si implica a existência de pelo menos três cópias de backup armazenadas usando dois tipos diferentes de armazenamento, sendo que uma cópia é armazenada em um local fisicamente separado do restante da infraestrutura (fora do local).
  • A autenticação multifatorial amplia o conhecido sistema 2FA para melhorar a segurança das medidas de controle de acesso existentes. O nome implica que o usuário final deve apresentar pelo menos duas ou mais credenciais de autenticação para obter acesso às informações.
  • A centralização de informações também é relativamente comum no software de backup. Ela permite que várias operações de backup e gerenciamento de dados sejam gerenciadas usando um ambiente de painel único que oferece acesso conveniente a tudo.

O mercado de soluções de backup e recuperação é altamente competitivo e inclui centenas de soluções diferentes. Encontrar um software que ofereça todas essas vantagens e, ao mesmo tempo, ofereça suporte aos data centers pode parecer um desafio no início. No entanto, esse não é o caso, pois soluções como o Bacula Enterprise podem oferecer todas essas vantagens em um mesmo pacote.

O Bacula Enterprise é uma plataforma abrangente de backup e recuperação com muitos recursos diferentes. Ele pode trabalhar com todos os tipos de armazenamento, desde mídias tradicionais até VMs, aplicativos SaaS, bancos de dados e muito mais. Isso se torna importante para as organizações que têm um ambiente de TI amplo e diversificado, já que elas normalmente precisam de uma solução de backup de painel único para atingir de forma realista os padrões e requisitos de segurança e regulamentares.

Parte da capacidade de atender aos padrões de segurança e conformidade depende, em parte, dos recursos de monitoramento e geração de relatórios de uma solução de backup. Essas funcionalidades são especialmente fortes no Bacula, que permite o monitoramento e a geração de relatórios extensivos em todo o seu sistema, até mesmo ao ponto de permitir relatórios altamente detalhados, especializados e personalizados para atender às necessidades de seus clientes mais exclusivos.

O Bacula também dá uma ênfase significativa à segurança dos dados, que é uma das razões pelas quais várias organizações de nível governamental escolheram o Bacula como sua solução de backup. Uma das razões para isso é sua arquitetura exclusiva, que torna extremamente difícil que ataques mal-intencionados, como ransomware, consigam infectar os dados armazenados em backup. Por esse motivo, a maior aliança militar do Ocidente escolheu o Bacula para proteger seus dados.

De modo geral, realizar uma avaliação de segurança de um data center pode ser um desafio, e melhorar a situação existente após a avaliação costuma ser ainda mais difícil. Felizmente, a existência de softwares como o Bacula permite que a maioria das operações relacionadas à redundância, à conformidade e à segurança das informações seja realizada a partir de uma única solução com alto grau de conveniência e facilidade de uso.

Conclusão

A avaliação da segurança do data center avalia o estado atual do ambiente de segurança de um data center de vários pontos de vista. É difícil superestimar sua importância devido à popularidade e à essencialidade dos data centers no ambiente moderno e à frequência com que são alvo de ataques maliciosos.

O processo difere significativamente em muitas situações, e a variedade de estruturas com as quais um data center deve estar em conformidade também muda caso a caso. Um plano de avaliação bastante simples pode ser recomendado para a maioria das situações, mas aprimorá-lo em cada situação está muito além de nossas capacidades.

A adesão aos padrões de segurança do data center pode melhorar a segurança física e virtual da infraestrutura e, ao mesmo tempo, aprimorar os recursos de gerenciamento de dados em geral e eliminar questões potencialmente problemáticas, como compartilhamento excessivo, privilégio excessivo e acesso abundante a informações confidenciais para usuários que não precisam desse acesso para trabalhar.

Além disso, seguir as práticas recomendadas para a avaliação da segurança do data center e a segurança geral desse meio pode simplificar significativamente o processo de gerenciamento de informações e, ao mesmo tempo, melhorar a segurança do ambiente. A implementação de uma solução de backup abrangente, como o Bacula Enterprise, é uma das opções menos problemáticas devido à riqueza de recursos em uma única solução, combinada com o amplo número de plataformas, bancos de dados, máquinas virtuais, contêineres, ambientes de nuvem e tipos de armazenamento que ela pode suportar.

De modo geral, esperamos que nossa avaliação do tópico tenha sido detalhada o suficiente para mostrar por que é fundamental avaliar os níveis de segurança de um data center e, ao mesmo tempo, apontar como cada processo será personalizado e específico para cada caso.

Sobre o autor
Rob Morrison
Rob Morrison é o diretor de marketing da Bacula Systems. Ele começou sua carreira de marketing de TI na Silicon Graphics, na Suíça, e desempenhou intensamente várias funções de administração de marketing por quase 10 anos. Nos 10 anos seguintes, Rob também ocupou vários cargos de administração de marketing na JBoss, Red Hat e Pentaho, assegurando o crescimento da participação no mercado dessas empresas reconhecidas. Ele é formado pela Universidade de Plymouth e tem um diploma de honras em mídia digital e comunicação, além de ter feito um programa de estudos no exterior.
Deixe um comentário

Seu e-mail não será publicado. Os campos obrigatórios estão marcados com *