Ciberseguridad en energía y enfriamiento de Data Centers: un enfoque en 3 pasos del ciclo de vida de su administración

Este artículo fue publicado originalmente en el blog global de Schneider Electric por Patrick Donovan.

Los equipos de infraestructura física de data center conectados a la red, es decir, los dispositivos de monitoreo de energía, enfriamiento y medio ambiente/seguridad que se encuentran en el espacio de TI, son necesarios para asegurar la disponibilidad y hacer que la operación sea eficiente. Sin embargo, estas conexiones de red, especialmente si están mal diseñadas e implementadas desde una perspectiva de ciberseguridad, podrían ser usadas por los cibercriminales como superficie de ataque. Una instalación típica está compuesta por dispositivos de hardware ampliamente distribuidos y conectados en red que se comunican con gateways de red, firewalls y servidores de administración de infraestructura local o remota (DCIM). Estas conexiones se pueden extender a dispositivos móviles, sistemas corporativos de TI y administración de instalaciones, y servicios en la nube de terceros.

El White Paper 216 de Schneider Electric, Guía de Ciberseguridad para la Energía de los Centros de Datos e Infraestructura de Enfriamiento, proporciona información sobre el fortalecimiento y la protección de los dispositivos de infraestructura de centros de datos conectados y sus redes.

Para ello, utiliza un entorno simple basado en el ciclo de vida y en tres pasos. La siguiente figura resume la guía de ciberseguridad descrita en detalle en el documento. Las porciones de círculo naranja, azul y verde representan los 3 pasos.

Por supuesto, una estrategia de seguridad más amplia también incluiría orientación sobre las personas, los procesos y la seguridad física. Pero el enfoque de este artículo se centra específicamente en el fortalecimiento de los dispositivos y su red de comunicación.

Tenga en cuenta que para los que gestionan una cartera de sitios de TI periféricos más pequeños y altamente distribuidos, consulte también el White Paper 12 de Schneider Electric, «Una Visión General de las Mejores Prácticas de Ciberseguridad para Edge Computing».

A continuación, se proporciona un resumen de alto nivel de los puntos clave de cada uno de los tres pasos.

1. Diseño de Red de Tecnología de Operaciones (OT)

La fase de diseño de un nuevo Data Center o proyecto de modernización debe comenzar con una evaluación de la capacidad de ciberseguridad de los proveedores de dispositivos y software. Esto se traduce en entrevistarlos y leer su documentación que transmite la manera en que administran los riesgos de ciberseguridad a través de sus prácticas de diseño y desarrollo, así como la forma en que apoyan sus productos una vez que se implementaron en el campo.

Al final, busca proveedores que acepten una cultura corporativa «primero en la seguridad» que afecte todo, desde la contratación y capacitación del personal, hasta el diseño, las pruebas y el soporte técnico de los productos. ¿Utilizan un ciclo de vida de desarrollo seguro (SDL)? ¿Confían en la validación de tecnología independiente? ¿Cómo monitorean y acceden a sus capacidades de seguridad? Estas son algunas de las preguntas que debería hacerse.

A continuación, una red segura comienza con la adopción de una estrategia de «defensa en profundidad» (DiD)  para el diseño de la red. Este enfoque en capas comienza con el endurecimiento del perímetro de la red mediante firewalls para controlar el flujo de información dentro y fuera de la red, mediante el uso de reglas de configuración definidas por el usuario. Siempre debe colocar los dispositivos de energía y enfriamiento conectados a la red detrás de firewalls y otros dispositivos de protección de seguridad que limitan el acceso solo a las conexiones remotas autorizadas.

El fortalecimiento de la red OT en sí comienza con la separación lógica (virtual) de la red OT de otras redes corporativas, de clientes o públicas e implementación de controles de acceso seguro a la red. A menudo, esto se realiza mediante VLANs (redes de acceso local virtuales). En el diseño de la red deben especificarse medidas para detectar compromisos de la red, como los sistemas de detección y prevención de intrusos. Utilice servidores de tiempo de confianza para sincronizar todos los relojes del dispositivo. Se debe utilizar una herramienta de monitoreo de gestión de infraestructura de Data Centers (DCIM) o una solución de escaneo de redes que sea capaz de crear un mapa de inventario de activos.

2. Configuración e instalación del dispositivo

El Paso 2 se refiere a la protección de la estación de trabajo y los dispositivos, que incluye la administración de cuentas de usuario y la configuración de funciones de ciberseguridad de cada componente del sistema, incluida la configuración de firewalls de red, el fortalecimiento de los dispositivos de infraestructura conectados a la red, la configuración de cuentas de usuario para dispositivos y software de administración, y la activación de la detección de amenazas como se mencionó anteriormente.

El paso 2 se centra en los dispositivos, el software de administración y las estaciones de trabajo/dispositivos móviles que se utilizan para acceder a ellos. Fundamentalmente, se trata de controlar el acceso y garantizar que las configuraciones de seguridad de los dispositivos no faciliten que los ciberdelincuentes encuentren una forma de entrar en el sistema. La administración de cuentas de usuario implica la eliminación de inicios de sesión predeterminados, la sustitución de contraseñas predeterminadas, la deshabilitación del acceso de todos de forma predeterminada y la adición de permisos según sea necesario. Para obtener una guía mucho más detallada sobre la administración de identidades digitales, consulte la publicación especial NIST 800-63 y el apéndice A de NIST sobre la resistencia de los secretos memorizados.

La activación y configuración de las funciones o configuraciones relacionadas con la seguridad en la tarjeta de administración de redes de dispositivos (NMC, Device Network Management Card ) y la plataforma de software de administración también es, obviamente, un aspecto crítico de ciberseguridad en la configuración e instalación de Data Centers.

Por lo general, las tarjetas NMC y las herramientas de software proporcionan múltiples medios para comunicarse. Siempre se deben usar protocolos seguros y encriptación, y debe haber un medio para proteger contraseñas y frases de captura mediante el ordenamiento o la encriptación. Además, los dispositivos deben configurarse para actualizaciones automáticas del firmware y los firewalls de dispositivos deben activarse y configurarse adecuadamente.

3. Operaciones y mantenimiento

Es un error común poner gran parte de su esfuerzo y centrarse en el diseño de un Data Center, pero no suficiente en la vigilancia y el mantenimiento constantes para mantener las medidas de protección y la tecnología actualizadas.

Esto requiere disciplina operacional y soporte de administración ejecutiva. En un nivel fundamental, existen cinco tareas principales para el equipo de operaciones responsable de la ciberseguridad de la infraestructura una vez que esta esté operativa:

• Mantenimiento del firmware y el software actualizados
  • Usar una herramienta de monitoreo DCIM que ofrece una función de evaluación de seguridad
  • Activar actualizaciones automáticas cuando sea posible
  • Emplear una herramienta de monitoreo de correcciones si se requiere probar/validar nuevos firmwares y softwares
• Mantenimiento de la configuración de seguridad y los backups de datos
  • Usar la evaluación de seguridad de DCIM para identificar la configuración de red insegura
  • Mantener backups y almacenar adecuadamente
• Monitoreo de actividades sospechosas
  • Monitoree con regularidad los logs del sistema de los sistemas de detección de intrusos
• Respuesta a una violación
  • Desarrollar, mantener y practicar planes de respuesta ante incidentes (IRPs) y procedimientos operativos de emergencia (EOPs) relacionados
• Eliminación de dispositivos y servidores al final de su vida útil
  • Siga los procedimientos del proveedor para asegurar que los datos del dispositivo y los archivos de registro se eliminen correctamente

Lea el White Paper 216 para obtener más información sobre la reducción de los riesgos de ciberseguridad de los dispositivos de infraestructura de enfriamiento y energía de su Data Center conectado en red.

Para los centros de datos que no cuentan con los recursos o que desean contar con soporte y validación por parte de expertos de terceros, existen proveedores, como Schneider Electric, que ofrecen servicios de ciberseguridad. Estas soluciones pueden ejecutar la gama desde servicios de consultoría (por ejemplo, análisis de brechas, desarrollo de políticas y procedimientos) hasta diseño de redes, endurecimiento de dispositivos, capacitación de equipos de operaciones, así como servicios de monitoreo y mantenimiento (por ejemplo, monitoreo de dispositivos y firewall, información de seguridad de OT y administración de eventos).

Conozca las opciones contactando a nuestro equipo de especialistas. Si nos visita de México, dé clic en este enlace. Para Centroamérica, puedes visitar esta página. Si nos lee de España, este es el enlace. En caso de estar en Latinoamérica, le invitamos a conocer tu sitio local en nuestra página web global.

About the author

Patrick Donovan, Research, Principal Technical Expert

Patrick Donovan es Analista de investigación Senior para el Data Center Science Center de Schneider Electric. Tiene más de 20 años de experiencia desarrollando y dando soporte crítico a la unidad de energía y sistemas de enfriamiento, la cual incluye diferentes soluciones acreedoras a premios en términos de protección de energía, eficiencia y disponibilidad.

Como autor de diversos white papers, artículos de la industria y valoraciones de tecnología, la investigación de Patrick en tecnologías y mercados de infraestructura física para Data Centers,  ofrece guía y consejo respecto a mejores prácticas en planeación, diseño y operación de las instalaciones de Data Centers.

Etiquetas: centros de datos, ciberseguridad, Data Center, DCIM, Enfriamiento para Data Center