Che cos’è la Data Center Security?

Quando l’infrastruttura aziendale è ospitata in un data center, è essenziale assicurarsi che questo luogo sia protetto e sicuro, sia dal punto di vista fisico che virtuale. La Data Center Security, letteralmente sicurezza dei data center, include tutte quelle misure di difesa atte a proteggere i dati aziendali dagli attacchi. La maggior parte dei data center ospita dati sensibili di tante aziende allo stesso tempo, perciò una falla nella sicurezza potrebbe portare alla compromissione dei dati di decine di aziende.

La data center security previene i data breach, ma assicura anche l’uptime e l’integrità dell’infrastruttura aziendale e dei servizi cloud.

Nella maggior parte delle organizzazioni, la minaccia più grande per i dati, è costituita dalle vulnerabilità scoperte dai cybercriminali nei software o nelle infrastrutture di rete. I data center devono non soltanto proteggersi da questo tipo di minacce virtuali, ma hanno anche la responsabilità di proteggere fisicamente il luogo che ospita l’infrastruttura. Esistono appositi standard di certificazione che i provider sono tenuti a rispettare e per i quali sono sottoposti a regolari audit da parte degli enti di controllo.

Sicurezza fisica dei data center

I data center sono situati in località strategiche, lontano dalle grandi città. Questo da un lato per questioni di sicurezza, dall’altro per non impattare sulle reti elettriche domestiche e aziendali. Trovarsi in un luogo remoto elimina molte delle minacce fisiche, anche se il data center può sempre essere a rischio di intrusione da parte di malintenzionati, che, in caso riuscissero ad accedere ai locali, potrebbero esfiltrare dati dai server utilizzando dispositivi di memorizzazione esterni.

La prima linea di difesa è rappresentata dalle guardie addette alla sicurezza, e dalle telecamere di sorveglianza attorno al perimetro dell’edificio. Tipicamente i data center non presentano finestre, quindi non costituiscono un problema, ma le porte di ingresso vanno invece sempre videosorvegliate. Telecamere, serrature, e guardie di sicurezza servono proprio a proteggere dagli attacchi fisici.

Se un malintenzionato riuscisse ad accedere all’edificio, la linea di difesa successiva dei data center è costituita da una gabbia di Faraday. Senza autorizzazione, nessuno può accedervi a meno che non abbia la chiave apposita. La chiave può essere una tradizionale chiave fisica, un codice da inserire su un dispositivo di sicurezza, una tessera da passare su un lettore, o un sistema di controllo biometrico. I sistemi biometrici sono i più sicuri, ma anche i più costosi. I data center tier 4 (livello 4), sono sempre dotati di sistemi di riconoscimento biometrico come strumento di sicurezza.

In pochi sono ammessi ad accedere ai locali dei data center, e quei pochi che accedono sono strettamente monitorati. Inoltre hanno accesso limitato soltanto a specifiche aree, e sempre scortati da un addetto del data center. Viene loro dato un pass da visitatori all’arrivo, e viene registrato il loro ingresso e la loro uscita dall’edificio.

Sicurezza virtuale

Esistono diverse strategie per proteggere i data center dagli attacchi virtuali. Le aziende che hanno le proprie infrastrutture fisiche interne, possono utilizzare molte delle stesse strategie messe in atto nei data center. Per evitare molte delle minacce e degli attacchi malware esterni, i data center sono sottoposti ad uno stretto monitoraggio e a precise regole di auditing.

Tutti i clienti che utilizzano risorse dei data center, non devono poter accedere alle informazioni relative ad account di altri clienti. Solitamente all’interno dei data center si utilizzano sistemi SIEM (Security Information and Event Management) che forniscono una visione a 360 gradi di tutte le risorse e del traffico di rete. Questi strumenti sono combinati con la gestione del rischio e il rilevamento delle minacce per identificare attività sospette.

L’attività di rete è segmentata in zone. Ciò che accade più o meno con un normale setup di rete aziendale, ma è molto più restrittivo, per impedire che il traffico degli utenti collida o esponga dati di altri utenti. Le configurazioni di rete devono consentire agli utenti di lanciare il proprio software all’interno del proprio ambiente virtuale, ma proteggere allo stesso tempo gli altri clienti e il data center dalle vulnerabilità presenti nei software degli utenti.

Prima che un’applicazione venga installata nell’infrastruttura di un data center, viene testata a fondo, e il codice viene esaminato alla ricerca di vulnerabilità. Se un malware venisse introdotto nell’infrastruttura di un data center, anche la sicurezza dei clienti sarebbe messa a rischio.

La sicurezza dei data center viene classificata in Tier (livelli). I tier sono importanti per permettere alle aziende di scegliere a quale data center affidare i propri dati. Quando si deve scegliere un cloud provider ad esempio, bisogna affidarsi ad un data center con il giusto tier, per assicurare che vengano rispettati gli stessi standard che è tenuta a rispettare la propria attività. Tier più elevati indicano che il data center risiede in una struttura più grande con maggiori sistemi di sicurezza a protezione. Allo stesso modo, tier più alti garantiscono uptime maggiori.

• Tier 1: È il livello più basso di data center. Viene principalmente utilizzato dalle piccole aziende che non conservano dati particolarmente sensibili, e che hanno i propri sistemi di ridondanza all’interno della propria infrastruttura. Viene garantito un uptime del 99,671%, che significa che il proprio service level agreement prevede fino a 28,8 ore di downtime all’anno.
• Tier 2: Viene utilizzato per lo più da aziende che necessitano servizi di colocation o housing dei propri server. Molta della propria infrastruttura viene ospitata nella sede dell’azienda, ma ci si appoggia al data center per gestire il failover o distribuire le risorse, anziché fare affidamento soltanto sulla propria infrastruttura. Sia i data center tier 1 che tier 2 hanno una sola fonte di alimentazione e raffreddamento, che in caso di guasto si tradurrebbe in downtime per il data center e di conseguenza per i propri clienti. Il tier 2 garantisce un uptime del 99,741% o 22 ore di downtime all’anno.
• Tier 3: I data center di questo livello offrono un grande salto rispetto al tier 1 e tier 2. La differenza principale sta nel fatto che nel tier 3, viene utilizzata doppia alimentazione e raffreddamento, garantendo ridondanza per l’uptime. La ridondanza delle risorse permette il failover, perciò i clienti non subiranno downtime in caso una risorsa dovesse guastarsi. Non è richiesto downtime nemmeno per la manutenzione. Il tier 3 garantisce il 99,982% di uptime o 1,6 ore di possibile downtime all’anno.
• Tier 4: Per le grandi aziende, in base all’uptime garantito, i data center tier 4 offrono ridondanza su tutte le risorse con tolleranza ai guasti contro il downtime. Con questo livello, raramente gli utenti sperimentano downtime. I data center tier 4 forniscono il 99,995% di uptime o soltanto 26,3 minuti all’anno di possibile downtime.

Più alto è il tier, più affidabile e sicuro sarà il data center. I grandi provider di servizi cloud, come Amazon Web Services, Google Cloud Platform, o Microsoft Azure, hanno data center tier 4. L’accesso fisico ai locali è protetto da sistemi di riconoscimento biometrico e l’integrità dei dati è garantita dai sistemi di backup.

Ogni data center segue i propri standard di sicurezza, ma esistono anche linee guida globali che vanno rispettate. I provider cloud hanno i propri standard di conformità digitale da seguire, e i clienti devono tenerne conto nella scelta del data center giusto per le proprie aziende.

Per quelle attività che devono rispettare le normative imposte per il settore finanziario o sanitario, vanno scelti data center che rispettano gli standard PCI e HIPAA, ma i data center seguono principalmente delle linee guida in fatto di auditing che certificano l’utilizzo di pratiche unificate secondo il Service Organization Control (SOC). Gli standard SOC costituiscono delle linee guida per la valutazione, la comunicazione del rischio e il regolare controllo delle tecnologie. È importante notare che il SOC è un report audit creato e distribuito dagli auditor che controllano le procedure.

La seguente lista mostra una breve spiegazione dei livelli SOC e della conformità:

• SOC 1: Si concentra sulle procedure utilizzate per applicazioni finanziarie. Tutte le applicazioni ospitate su data center che lavorano con i clienti o con i dati finanziari delle aziende rientrano in questa categoria.
• SOC 2: Si applica a tutte le aziende che offrono servizi SaaS e che conservano i dati dei propri clienti su un data center. È uno degli audit più comuni. Gli auditor controllano la strategia di difesa e le procedure di gestione per assicurarsi che i dati siano mantenuti al sicuro, integri e regolarmente accessibili.
• SOC 3: L’unica grande differenza dal SOC2 è che questo report è destinato alla revisione da parte del pubblico esterno, per garantire che il data center sia conforme con gli standard SOC2.

L’importanza della data center security non riguarda soltanto i provider cloud, ma è fondamentale anche che i clienti lavorino con un provider che rispetti tutti gli standard previsti dalle normative. Quando si devono conservare dati sensibili su un data center, si dovrebbe sempre cercare un report SOC3. I provider che offrono servizi di data center ai clienti devono assicurare che tutti i protocolli di sicurezza, le procedure, e le risorse dedicate alla ridondanza siano perfettamente integrate e funzionanti.