Een aantal jaren geleden was ik betrokken bij de bouw van een gloednieuw datacenter. Dat is een grote luxe voor een datacenterbeheerder, omdat ik het gebouw hierdoor echt volledig volgens de nieuwste technologie kon inrichten. Maar tegelijk was het ook uitdagend, want een blauwdruk voor het perfecte datacenter bestaat niet. Ik wil jullie deelgenoot maken van mijn keuzes en afwegingen. Na de eerste blauwdruk over koeling nu aandacht voor datacenter security.
Datacenters zijn voor verschillende typen criminelen interessant. Op de eerste plaats zijn er koper en aluminiumdieven. Zij zijn vooral op zoek naar onbewaakte gebouwen op industrieterreinen waar ze ongestoord hun gang kunnen slaan. Daarnaast staan datacenters ook op de radar van cybercriminelen. Soms is hun motivatie het neerhalen van een website of de interne systemen van een bedrijf om zo de concurrentie dwars te zitten. Anderen willen juist echt toegang tot de bedrijfsgegevens en hebben daar weer duistere intenties mee. En weer anderen zijn nog geen zestien jaar oud en zien het vooral als een sport om op de systemen in te breken.
Box-in-een-box
Al die verschillende soorten criminelen hebben ook verschillende security-maatregelen nodig. Om te beginnen zijn er fysieke maatregelen nodig om onbevoegden op afstand te houden. Je kunt daar ongelofelijk ver in gaan, van infraroodcamera’s en stalen hekken tot grachten. Alles kost natuurlijk geld en je zult hier daarom een risicoanalyse van moeten maken. Wat mij betreft spelen daarbij twee zaken een cruciale rol: de locatie en de gebouwconstructie. Je kunt je bijvoorbeeld voorstellen dat het niet praktisch is als een datacenter middenin de stad staat. Verdachte types vallen dan niet snel op.
Daarnaast is het belangrijk dat het gebouw een goede constructie heeft. Veel datacenters die ‘historisch gegroeid’ zijn, zijn gevestigd in gebouwen die daar niet zo geschikt voor zijn. En dat brengt risico’s met zich mee. Zijn de muren bijvoorbeeld vrij dun, dan zou je er in principe met een auto doorheen kunnen rijden. Ook kan een datacentergebouw vastzitten aan een ander gebouw, wat de criminelen een onopvallende manier geeft om binnen te dringen. Het ideale datacentergebouw is eigenlijk een box-in-een-box. Je kunt er dan niet zomaar via de deur naar binnen. Want bij alle inbraken moet je je realiseren: als mensen echt extreem graag naar binnen en een hit-and-run kraak willen zetten, lukt dat toch wel. Je maatregelen moeten er daarom op gericht zijn zo snel mogelijk te alarmeren en criminelen zoveel mogelijk te hinderen.
Social engineering
Datacenters zijn in Nederland relatief goed beveiligd als het om de fysieke beveiliging gaat. Veel ingewikkelder is de afweer van cybercriminelen. Beveiliging tegen cybercriminelen is vooral ook lastig omdat het hier om een gedeelde verantwoordelijkheid gaat. De klanten die gebruik maken van het datacenter moeten ook maatregelen nemen. Je rol als datacenter is daarom voor een deel beperkt tot het aanbieden van diensten tegen aanvallen. Onze klanten kunnen bijvoorbeeld een dienst afnemen die ze beveiligd tegen DDoS. Ook kunnen ze een firewall huren. Maar als dit soort diensten niet wordt afgenomen en mensen die maatregelen ook zelf niet nemen, is het niet te voorkomen dat er wordt ingebroken.
De meest voorkomende vorm van hacking waar we bij Previder mee te maken hebben is social engineering. Een persoon doet zich voor als een klant en wil bijvoorbeeld een server opnieuw opstarten of heeft de inloggegevens nodig. Wij hebben dit aangepakt met een strak protocol dat voorschrijft welke gegevens absoluut niet verstrekt mogen worden. Bovendien werken we met een secure access list, een lijst van bevoegde mensen die bepaalde handelingen mogen uitvoeren. Wordt er om opnieuw opstarten van een server gevraagd, dan wordt de persoon op de lijst ter controle gebeld. Zo wordt de identiteit geverifieerd.
DDoS
Een apart geval is de afweer tegen een DDoS-aanval, een populair middel van cybercriminelen om de website van een bedrijf plat te leggen. Je hebt in feite twee typen DDoS-aanvallen: de volume-based attack en de application-based attack. Volume-based aanvallen richten zich op de beschikbare bandbreedte in een netwerk. Er worden een enorme hoeveelheid generieke berichten verstuurd en de bandbreedte is daar uiteindelijk niet op berekend. Omdat het verkeer in volume snel oploopt, valt een volume-based attack op en kan je deze als provider goed detecteren. Het verdachte verkeer wordt vervolgens gefilterd en alleen het ‘geschoonde’ internetverkeer wordt afgeleverd.
Application-based attacks zijn anders. Deze aanvallen richten zich op de achterliggende systemen van een site of dienst. Ze vragen bijvoorbeeld ongelofelijk vaak een webformulier op, vullen dat maar half in en sturen het ter verwerking terug naar het achterliggende systeem. Net zo lang tot dit systeem op een gegeven moment crasht. Het succes van een application-based attack is sterk afhankelijk van hoe de site in elkaar zit. Zit een bepaalde verwerking ’logisch’ in elkaar, dan kost dat minder verwerking en kan het achterliggende systeem meer requests afhandelen. Los van deze eigen verantwoordelijkheid is het voor een datacenteraanbieder veel moeilijker om dit type DDoS-aanval te detecteren. Er is geen volumepiek en het is ook moeilijk om vast te stellen wat ‘normaal’ verkeer is voor een bepaalde klant.
Deze bijdrage is het vervolg op de opinie Blauwdruk voor perfect datacenter (1): koeling.
Ik mis eigenlijk de keuzes die gemaakt zijn? Hoe ga je om met fysieke beveiliging? is de eerste de vraag en daarna hoe je omgaat met ICT beveiliging. Dios is maar een van de aspecten, welke overige maatregelen zijn getroffen?