“Az okos ember a más kárán tanul!” A jól ismert mondás nyilván az adatbiztonságra is érvényes, de mivel az adatvesztések, a zsarolóvírus-támadások áldozatai nem szokták nyilvánossá tenni problémáikat, inkább a bevált adatbiztonsági megoldások azok, amikből tanulni lehet. Ahelyett, hogy – egy újabb közmondással élve – újra feltalálnánk a kereket, érdemes kicsit körülnézni.
1. Értse meg az alkalmazott adattechnológiákat és adatbázisokat
Adatbázisok
A megfelelő védelem kialakításához mindenekelőtt érteni kell, mit is akarunk megvédeni. Az adatbázisok – ezen belül is a relációs adatbázisok – ma szinte minden vállalkozásban meghatározó szerepet játszanak. Az adatbázis szerverek lekérdezése a legtöbbször a Structured Query Language, vagyis az SQL segítségével, valós időben történik. Régen az adatbázisok privát hálózatokban működtek, ezért védelmük viszonylag egyszerű volt. A mai, lényegesen bonyolultabb környezetben az adatbázisok teljesítménye és a biztonság érdekében a cégek az alábbi modellek egyikét választják:
- Egyszintű modell: Ilyenkor az adatbázis és az ezt használó alkalmazás ugyanazon a rendszeren találhatók (pl. egy önálló adatbázis egy asztali gépen fut.)
- Kétszintű modell: Gyakori megoldás, amikor az adatbázis és az azt használó alkalmazás külön rendszeren találhatók.
- Háromszintű modell: Az adatbázis és az azt használó alkalmazás közé egy középső szint, egy önálló szerver ékelődik be.
NoSQL adatbázisok: Bár az üzleti életben az SQL-t használó relációs adatbázisok (Oracle, Microsoft SQL Server, MySQL, PostGres) a legelterjedtebbek, az utóbbi időben megjelentek a NoSQL adatbázisok is. Ezek leginkább ott használatosak, ahol a skálázhatóságnak különösen nagy jelentősége van.
Big data
Egyre gyakoribb, hogy a cégek nagy mennyiségű, akár sok terrabájtnyi adatot halmoznak fel. Ennyi információ nem tárolható egyetlen szerveren, ezért a nagy tömegű adatok tárolására leggyakraban SAN (Storage Area Network) tárolóhálózatot alkalmaznak. Bár a SAN a cég hálózatáról nézve egyetlen szerverként jelenik, meg, valójában egy komplett hálózatról van szó.
Fájlrendszerek
A fájlrendszerek a strukturálatlan adatok tárolására és azok visszanyerésére szolgálnak.
Nélkülük az adattárolóban elhelyezett információ kezelhetetlen lenne.
Az adatok felbontása apróbb darabokra, azok elnevezése lehetővé teszi azok elkülönítését és azonosítását. A fájlrendszer típusa függ az alkalmazott operációs rendszertől.
2. Azonosítsa és osztályozza az érzékeny adatokat
Adatai hatékony védelmének alapja, hogy tisztában van vele, milyen adatokkal is rendelkezik. Egy cég adatkészlete gyorsan eléri azt a mértéket, amikor a manuális adatleltár elvégzése már nem lehetséges. A data discovery (adtafelfedező) technológiák segítségével felmérheti az adattárakat és erről jelentést is készíthet. Ezután következhet az adatok kategorizálása és klasszifikálása.
3. Hozzon létre adathasználati szabályzatot
Az osztályozás maga természetesen még nem elég, ennek alapján megfelelő szabályzatot kell kialakítani, ami meghatározza az adatokhoz való hozzáférés típusait, feltételeit. Ez a szabályzat meghatározza, ki férhet az adatokhoz, mik a felhasználás korrekt feltételei stb. Fontos, hogy a szabályzat megszegésének világos következményei legyenek.
4. Korlátozza az érzékeny adatokhoz való hozzáférést
Az adatokhoz való kontrollálatlan hozzáférés még akkor is komoly károkat okozhat, ha nincs mögötte semmiféle ártó szándék.
A felhasználók hozzáférését a legkisebb privilégiumok elve alapján érdemes korlátozni. Ennek alapján mindenki csak olyan jogosultságokat kap, ami a munkája elvégzéséhez feltétlenül szükséges adathozzáférést biztosít számára. A hozzáférés kontrollja történhet fizikai, technikai, vagy adminisztratív eszközök segítségével.
5. A változásmenedzsment alkalmazása és az adatbázis auditálása
Fontos biztonsági lépés az adatbázisok és a szerver-aktivitás naplózása. A biztonsági auditok elvégzéséhez a belépési aktivitások adatait legalább egy évig meg kell őrizni. A belépési naplóadatok (különösen az ismételten sikertelen belépések) értékes információt tartalmaznak a biztonsági vezetők számára.
A hisztorikus információk segítenek megérteni, mik is az érzékeny adatok, ki, hogyan, hol használta azokat. Mindez segít egy pontos szabályzat felépítésében.
6. Titkosítsa adatait
A titkosítás az egyik legalapvetőbb adatvédelmi gyakorlat, sokan mégis megfeledkeznek róla. Különösen fontos, hogy a hordozható eszközök titkosított adathordozót használjanak. A titkosítás akár a Windows EFS rendszerével elvégezhető, de a piacon számos egyéb szoftver is elérhető. A szoftveres módszerek mellett igény szerint hardveres titkosítás is alkalmazható, ami BIOS szinten állítható be.
7. Készítsen biztonsági mentést
A kritikus üzleti adatokról feltétlenül másolatot kell készíteni. Az adatoknak ez a redundanciája a biztonsági másolat. A biztonsági mentés lényegében rendszeres archiválás, ami egy esetleges szerver hiba esetén biztosítja a folyamatos munkát. Adatbiztonsági szempontból háromféle elsődleges mentésről beszélhetünk.
- Teljes mentés: nevének megfelelően ilyenkor a teljes adatállomány lementésre kerül. (Ezt a módszert leggyakrabban napi mentésre alkalmazzák.)
- Különbségi biztonsági mentés: a legutolsó normál vagy növekményes biztonsági mentés óta létrehozott vagy módosított fájlokról készít biztonsági másolatot.
- Növekményi biztonsági mentés: csak a legutolsó normál vagy növekményes biztonsági mentés óta létrehozott vagy módosított fájlokról készít biztonsági mentést.
8. RAID alkalmazása a szervereken
A RAID (Redundant Array of Inexpensive Disks vagy Redundant Array of Independent Disks) olyan tárolási technológia, aminek segítségével az adatok elosztása vagy replikálása több fizikailag független merevlemezen, egy logikai lemez létrehozásával lehetséges. A RAID rendszer több szinten valósulhat meg, Minden RAID szint alapjában véve vagy az adatbiztonság vagy az adatátviteli sebesség növelését szolgálja.
9. Klaszter és load balancing alkalmazása
A RAID kitűnő megoldás, ha egyetlen rendszer biztonságáról kell gondoskodni. Amikor több számítógépet kapcsolunk össze úgy, hogy azok egyetlen szerverként működjenek, klasztert hozunk létre. A klaszter párhuzamos jelfeldolgozással működik, ami növeli a teljesítményt, a rendelkezésre állást és a redundanciát is. (Ennek persze – forintban is mérhető – ára van.)
A magas rendelkezésre állást segíti a terhelés kiegyenlítése (load balancing). Ennek lényege a munkaterhelés elosztása az egyes számítógépek között.
10. Erősítse meg a rendszereit
Egy rendszer mindig olyan gyenge, mint a leggyengébb pontja. Különösen érzékenyek azok a pontok, ahol az adatok – akár ideiglenesen is – kívülről hozzáférhetők.
Az operációs rendszer, a webszerver, a levelezőszerver, az FTP szerver kiemelten fontos pontok. (Talán felesleges is emlékeztetni rá, hogy a Windows a támadások egyik kiemelt célpontja.)
11. Védje meg adatait a belső támadásokkal szemben
Gyakori hiba, amikor egy cég erős külső védelmet alakít ki, de “házon belül” nem védi a rendszerét. Számtalan kutatás bizonyítja, hogy az adatokban okozott károk jelentős része belső felhasználók tevékenységéből származik. A jogosulatlan hozzáférés, a felelőtlen jelszóhasználat, illetve a meg nem engedett eszközök (pendrive, saját mobiltelefon) használata, adatok küldése privát email címre) – ezek csak a leggyakoribb problémák.
12. Alkalmazzon végpontvédelmi megoldásokat
Elmúlt már az az idő, amikor a gépekre telepített vírusvédő programok elegendőek voltak egy cég megvédéséhez. A legveszélyesebb vírusok gyakran a végpontokon jutnak be. A végpontok védelme és folyamatos monitorozása ma már a kibervédelem egyik legfontosabb feladata.
13. Tesztelje informatikai rendszereit
Ha be is tartja az adatbiztonságra vonatkozó előírásokatˇ, szabályokat, előfordulhatnak olyan biztonsági rések, amik veszélyeztetik értékes adataikat. Ne várja meg, amíg egy sikeres támadás bizonyítja be a rendszer hiányosságait. A sebezhetőségi és penetrációs tesztelés biztonságos körülmények között mutatja meg az eszközök és az egész rendszer hiányosságait.
A teszteléshez számos szoftver áll a rendelkezésére, de ha teheti, érdemes erre szakosodott külső szakember segítségét is igénybe vennie.
Összegzés
Az adatvédelem olyan terület, ami rengeteg feladatot ad a hálózat adminisztrátoroknak és az IT biztonsági szakembereknek. Ezek ráadásul nem egyszer elvégzendő, hanem folyamatosan jelentkező tennivalók. Cikkükben szinte csak címszavakban tudtuk felsorolni ezeket a feladatokat. Feltétlenül ajánljuk ezeknek a területeknek az alapos megismerését, hiszen csak így védhető meg a cég egyik legnagyobb értéke, az adatvagyon.
