Взгляд на проблему электроснабжения глазами офицера ИТ-безопасности
Большая часть информации в современном мире хранится в электронном виде: в мобильных телефонах, домашних ПК, рабочих станциях, серверах, корпоративных центрах обработки данных. Поэтому обеспечение качественного электропитания систем — одна из составляющих комплексного подхода к защите информации в организации. Отсутствие должного внимания к этому вопросу открывает потенциальную возможность для злоумышленников влиять на работу всей информационной системы, вызывая кратковременные или продолжительные простои, или даже физически выводить аппаратуру из строя.
 Схема централизованного обеспечения электропитанием здания или центра обработки данных. В схему заложена возможность автономной работы в случае длительного выхода из строя входящей сети питания |
Возможные варианты атак представляют собой в основном физическое вмешательство: злоумышленнику необходимо получить доступ к входящим линиям электросети, причём сделать это можно как внутри помещения, так и снаружи (промежуточные станции, внешние линии электропередач и т.д.). Получив доступ к линии, злоумышленник может выполнить следующие действия:
• подключить оборудование, создающее существенные помехи в электросети, тем самым вызвав многократное переключение систем защиты на автономное питание, что приводит к неустойчивости в работе информационных систем, “зависанию” компьютеров, сбоям в работе серверов;
• тем же способом реализовать подключение стороннего оборудования и вызвать всплески напряжения, с помощью чего можно вывести из строя если не само компьютерное оборудование, то хотя бы средства защиты, и, тем самым, увеличить вероятность сбоев серверного комплекса;
• произвести физический обрыв линии на короткий или длительный срок. Даже кратковременный простой информационной системы может нанести существенный урон, особенно если время выключения было качественно спланировано и произошло в момент пиковых нагрузок.
Приведенный список далеко не полон, но включает в себя наиболее распространённые виды вмешательства. Средства защиты информации и борьбы с подобным влиянием на работу информационной системы делятся на несколько категорий.
Самыми простыми устройствами защиты по электропитанию являются сетевые фильтры. Эти компоненты не дорогие, но и задачи они решают не сложные: обеспечить устойчивую работу электронного оборудования при кратковременном падении напряжения или импульсном перенапряжении. Для качественной защиты информационных систем наиболее часто используются источники бесперебойного питания: оборудование этого класса решает проблему падения напряжения или временного отключения электричества.
В общем работу ИБП можно представить так: блок прямо подключён к сети электропитания, имеет инвертор (средство контроля входного сетевого напряжения и механизм переключения питания от сети на батареи), а также автономные батареи. При аварии на линии системы продолжают работать от батарей, оставляя время на сохранение всей информации и корректное завершение работы систем. Такие системы имеют конструктивные отличия, условно их разделяют на три вида: резервные ИБП, линейно-интерактивные и источники с двойным преобразованием. Для источников резервного типа характерно в нештатной ситуации автоматически переключать питание на автономные батареи с малой задержкой. В ИБП линейно-интерактивной топологии конструктив очень похож на резервный, но при этом наблюдается существенное уменьшение интервала задержки переключения, а инвертор дополнительно выполняет ряд полезных функций. В источнике бесперебойного питания с двойным преобразованием инвертор работает постоянно, и при неполадках в электросети никакого переключения на внутренние батареи не происходит: при нормальной работе переменное напряжение преобразуется в постоянное, а потом снова в переменное, а в аварийной ситуации используется заряд аккумуляторных батарей. Преимущество ИБП с двойным преобразованием напряжения — надёжная защита подключённого оборудования практически от любых неполадок в сети электропитания, стабилизация напряжения на выходе с высокой степенью точности, а также отсутствие времени переключения как такового. Важность последнего аргумента возрастает с ростом числа подключённых устройств.
Все три топологии построения источников бесперебойного питания используются в современных системах: резервные ИБП — для индивидуальной защиты рабочих мест сотрудников, а дорогие системы с двойным преобразованием — для защиты мощных систем корпоративного уровня.
Рассмотренные средства защиты информации по электропитанию дают возможность защитить дорогостоящую аппаратуру и в случае пропадания напряжения в основной питающей сети предоставить системам автономное питание в разумных пределах. Но нередко существует необходимость обеспечить постоянную работу вычислительных мощностей даже при долговременном отсутствии напряжения в линиях электропитания. Для такой задачи предусмотрено использование дизель-генераторов: устройств, работающих на бензине или дизельном топливе. При этом полной заправки может хватать до нескольких суток. Недостатком данных систем является то, что с момента запуска до выхода на режим нормальной работы генератору необходимо довольно много времени.
 Традиционная схема обеспечения электропитанием отдельных рабочих мест. Отличается финансовой доступностью, но подходит только для малых офисов и не обеспечивает длительной автономной работы |
Наиболее важный шаг в планировании будущей системы защиты — необходимость разобраться и определить, какие именно системы требуют организации защиты и в каких объёмах. Электропитание можно рассматривать отдельно для клиентских рабочих мест (ПК, принтеры, сканеры) и общедоступных корпоративных мощностей (серверы, хранилища данных, вычислительные центры) ввиду их существенных отличий:
• клиентские места, в противоположность серверам, обычно не содержат критически важной информации;
• ПК персонала, как правило, не находятся в одном помещении и представлены в большом количестве, при этом серверы обычно работают в отдельной серверной комнате и их количество на порядок меньше, чем ПК;
• потребляемая мощность сервера намного выше, чем у ПК, что, следовательно, требует оснащения их более мощными ИБП. Также необходимо учитывать, что зачастую блоки устанавливаются парами (для повышения надёжности работы), и это также увеличивает потребление электроэнергии;
• отключение электропитания на рабочих местах не столь критично, как отключение на серверах.
Подход к решению вопроса электропитания для клиентских ПК решается двумя способами:
• использование отдельной силовой линии с организацией отдельных розеток для компонентов, требующих защиты (например, только ПК), и подключение их всех через единую защиту (мощный ИБП);
• организация индивидуальной защиты на каждом рабочем месте с использованием источников на 250–500 ВА.
В отношении серверов рассматривается более сложный подход:
• использование индивидуального ИБП под отдельные группы серверов (или под каждый сервер) с расчётом максимальной мощности, необходимой для работы подключённых систем и с возможностью наращивания количества подключаемых серверов (запас на развитие). Примером такого использования может служить схема установки для каждого из серверных шкафов собственного ИБП с подключёнными блоками розеток;
• использование единого ИБП, обслуживающего все системы организации. При этом внутри источника предусмотрено множественное дублирование компонентов для повышения отказоустойчивости работы. При проектировании такой системы необходимо планировать будущий рост ИТ-инфраструктуры, определить механизмы подвода электропитания к новым стойкам, предоставить возможность наращивания системы батареями (для обеспечения систем питанием в рамках регламента по времени) и т.д. Примером может служить централизованная система электропитания, когда в большом вычислительном центре есть возможность установить до 30 серверных шкафов, а подвод электропитания осуществляется путём построения схемы под фальшполом или через специальные конструкции, позволяющие протянуть кабели над шкафами;
• использование многоуровневой системы защиты. В таких случаях предлагается комбинированная схема с оборудованием различного типа.
Отдельно следует рассмотреть многоуровневые системы защиты, использующие несколько видов оборудования, к примеру ИБП и дизель-генератор. Смысл построения таких систем — использование преимуществ каждого компонента с возможностью устранения недостатков, связанных с конструкцией и схемой их работы. Сценарий работы многоуровневой защиты выглядит следующим образом:
• потеря питания в линиях электросети привела к моментальному отключению второстепенных систем. При этом основная информационная система, состоящая из множества дорогостоящих и мощных устройств, питается автономно от аккумуляторных батарей ИБП. Такой результат достигается благодаря использованию ИБП двойного преобразования. Но, какой бы ни был источник бесперебойного питания, ресурс батарей достаточно ограничен и система не может долго работать в таком режиме;
• сразу после определения нештатной ситуации производится запуск дизель-генераторного комплекса. Мгновенно перейти к обеспечению системы электропитанием невозможно, так как генератор требует определённого времени для выхода на рабочий режим (период от запуска системы до предоставления нужного напряжения в электросеть);
• после начала активной работы генератора производится переключение на него внутренних электрических линий. При этом ИБП отключает свои внутренние батареи, предоставляет питание через себя подключённым системам и параллельно начинает подзарядку своих батарей.
Описанная выше схема эффективна для информационных систем, имеющих географически распределённую инфраструктуру с явно выраженной централизованной системой обработки и накопления данных, которая обслуживает множество клиентов, требующих постоянного доступа 24 часа в сутки, 365 дней в году. Такая схема устраняет недостаток генераторов по времени выхода на рабочий режим, а также уменьшает требования к ИБП по времени обеспечения резервного питания от внутренних батарей.
Выше было рассмотрено множество решений, позволяющих защитить информационные системы от неполадок в электросети. Все компоненты, обеспечивающие бесперебойное электропитание, требуют обязательной предварительной подготовки серверной площадки для установки и работы:
• проработка схемы подключения серверов и систем обеспечения бесперебойного питания;
• изучение вопроса о необходимости PDU (power distribution unit), их количества и типа (управляемые, неуправляемые);
• обязательно следует с большой ответственностью подойти к вопросу качественного заземления на площадке;
• заведение на площадку отдельных линий электропитания — основной и резервной (по необходимости);
• для более надёжного обеспечения электропитанием возможно использование двух линий электропитания, проведенных от двух независимых источников (электростанций).
Кроме физической составляющей систем защиты по питанию, существуют программно-аппаратные компоненты: карты расширения ИБП для обеспечения управления и мониторинга, а также ПО, исполняющее роль агента для выполнения корректного выключения сервера по ранее спланированному сценарию. Эта связка качественно справляется с задачей своевременного, в указанной последовательности выключения аппаратных средств. Но не стоит полагаться на автоматику при включении серверов и промышленных систем: администраторы, несущие ответственность за работу информационных служб, самостоятельно производят запуск, отслеживая на каждом этапе корректность завершения процедур, и выполняют подготовку к следующему шагу.
Очевидно, что система без человеческого вмешательства в работу существовать не может, а значит, необходимо регламентировать те работы, которые будут проводиться персоналом. В работы по созданию сопроводительной документации по проведению сопутствующих работ необходимо включить:
• отладку механизмов работы системы защиты по электропитанию с тестированием в реальном времени;
• создание документации по описанию работы системы, настройке модулей, регламенте включения и выключения вычислительных систем;
• создание плана действий персонала в нештатной ситуации, в котором прописаны действия и обязанности сотрудников;
• формализациию тренировочных работ по проверке готовности персонала и отработке взаимодействия при аварийных ситуациях и выхода из них.
Периодически необходимо пересматривать указанные материалы и корректировать их при обнаружении изменений в системах или несоответствии реальной ситуации.
Безопасность по электропитанию является неотъемлемой частью комплексных мер по обеспечению физической защиты ИТ-систем предприятия. От наличия электропитания зависит работа всей информационной системы, игнорирование и пренебрежение работой этой системы равносильно созданию дополнительной значительной угрозы для ИТ-безопасности. На рынке существует множество технических решений, которые отличаются по качеству работы, сложности конструкции, множеству выполняемых функций, и выбор подходящего решения зависит от анализа критичности служебной информации и суммы, которую можно потратить на её защиту. Наиболее важное замечание, которое необходимо учесть, — проектирование систем защиты по электропитанию имеет индивидуальный характер для каждого случая, а результат и качество работы системы зависит от детальной проработки решения, учёта всех внешних факторов, влияющих на электропитание, а также создания всех сопроводительных и регламентирующих документов.
С Андреем Каравановым, начальником сектора инфраструктурных решений компании “БМС Консалтинг”, можно связаться по адресу:
Andrey_Karavanov@bms-consulting.com
