컴퓨터 보안: 데이터 센터의 악몽

정말 나쁜 주말입니다. 잠을 잘 못 잤어요. 아니요. 안에. 모든 사람. 나는 던지고 돌아섰다. 힘드는. 그녀는 잠에서 깨어났다가 다시 잠들었습니다. 나는 데이터 센터에서 악몽을 꾸었습니다.

아시다시피 컴퓨터 보안에는 명확한 설명이 포함됩니다. 하나는 “심층 방어”입니다. 예를 들어 시기적절하고 신속한 업데이트 및 취약성 관리, 안전하고 전문적인 소프트웨어 개발, 소프트웨어 빌(Software Bill of)로 알려진 인벤토리 등 하드웨어 및 소프트웨어 스택의 모든 수준에 보안 제어가 적용됩니다. 재료(SBOM), 비즈니스 연속성 및 재해 복구 계획 테스트, 로깅 및 침입 감지, 액세스 제어, 네트워크 분리 및 파티셔닝, 방화벽 및 이메일 격리, 데이터 바이너리, 기본 호스트, 게이트웨이 및 프록시. 두 번째 슬로건은 “Kiss”입니다. “Keep it simple, dumb.”입니다. 이는 일을 지나치게 복잡하게 하지 말고, 불필요한 복잡성을 피하고, “표준”에서 너무 많이 벗어나지 말라고 말합니다.

하지만 더 이상 “키스”는 없습니다. 가속기 산업, 물리학 실험, IT 부서에서 작업을 수행하기 위해 수많은 전용 컴퓨터(컴퓨터 팜)를 사용하던 시대는 지나갔습니다. 사무실에서 볼 수 있는 것과 동일한 컴퓨터입니다. 보안 관점에서 볼 때 당시 개인용 컴퓨터는 마더보드, BIOS 및 즐겨 사용하는 응용 프로그램 등 쉬웠습니다. 보안을 위한 3개의 레이어. 쉬운. 과거에는 별도의 컴퓨터 센터가 있었지만 더 이상 저렴하지 않습니다. 액셀러레이터, 실험, IT 부문과 사용자 커뮤니티의 결합된 요구 사항은 너무 큽니다.

반면, 현대의 데이터센터는 복잡합니다. 3개의 레이어 대신 5개의 레이어가 있습니다. 마더보드(현재 전체 운영 체제를 실행 중), 하이퍼바이저, 마더보드의 여러 CPU를 활용하는 하나 이상의 가상 머신, 내부 실행 컨테이너 ─ 드디어! – 당신이 가장 좋아하는 응용 프로그램입니다. 모든 것이 가상이기 때문에 동일한 장치가 수많은 다른 애플리케이션을 병렬로 실행합니다. 이를 “복원력” 또는 “복원력”이라고 하며 로드 밸런싱, 비즈니스 연속성 및 재해 복구를 가능하게 합니다. 이는 “빅 데이터” 인프라, 즉 기계 학습을 수용하고 이에 가깝습니다. 채팅GPT. GPU는 물론 퍼블릭/하이브리드/프라이빗 클라우드 리소스도 제공하며, 궁극적으로는 양자 컴퓨팅을 가능하게 할 것입니다. 독일어 표현을 사용하자면, “eine eierlegende Wollmilchsau”. 세 번째 컴퓨터 보안 슬로건인 “AC/DC”, 아니 “모든 것이 너무 편리하고 저렴합니다”를 입력하세요. 결국 누구도 편의성과 가격 대비 가치보다 보안을 우선시하지 않습니다. 따라서 AC/DC는 복잡하고 심각한 보안 문제가 있습니다. 최악의 악몽입니다… 꿈부터 시작하겠습니다.

임시 네트워킹의 꿈

시도해 보자. 단일 하드웨어 네트워크와 해당 BIOS(현재 IPMI 또는 BMC라고 함)는 완전한 운영 체제입니다. 가상 머신 및 컨테이너를 프로비저닝하기 위한 단일 네트워크입니다. CERN의 인트라넷을 위한 하나의 네트워크 – 캠퍼스 네트워크. 가속기, 인프라 및 실험을 운영하는 여러 네트워크. “보안”을 위해서는 이러한 네트워크가 물리적으로 서로 분리되어야 합니다. 예를 들어 VLAN을 작동하기 위해 동일한 하드웨어(라우터 및 스위치)를 사용하면 결함이 있을 수 있고 이를 악용할 경우 해커가 한 네트워크에서 다른 네트워크로 이동할 수 있기 때문입니다. . 나는 침대에서 뒤척이기 시작한다.

또한 DHCP, DNS, NTP 등 네트워크를 관리해야 합니다. 이상적으로는 네트워크당 하나의 시스템이 있어야 합니다. 안타깝게도 연결되거나 하나의 중앙 시스템만 보유하여 동기화해야 합니다. 모든 것을 지배하는 하나의 시스템. 실패할 수 있는 하나의 시스템. 내 마음이 경주하고 있습니다.

그것은 중요하지 않을 수도 있습니다. 하이퍼바이저를 사용하여 실제로 네트워크를 상호 연결합니다. 유연하지도, 편리하지도, 저렴하지도 않은 세 번째 진언을 위반하는 별도의 업무를 위한 별도의 가상 모니터링 소프트웨어가 없다면 말입니다. 불행하게도 우리는 하이퍼바이저 취약점이 확산되어 한 VM에서 다른 VM으로 점프하고 네트워킹하는 등의 사례를 이미 확인했습니다. “Spectre”, “Meltdown”, “Foreshadow”(2018), “Fallout”(2019). ), ‘Hertzblade'(2022), ‘The Fall'(2022), ‘The Beginning'(2023) 등이 있습니다. 땀을 흘리고 있어요.

그러나 상황은 더욱 악화될 수 있습니다. 우리의 하드웨어, 컴퓨터 센터는 봉사하기 위한 것입니다. 때로는 여러 명의 주인이 봉사해야 할 때도 있습니다. 가속기 및 실험 부문과 동시에 캠퍼스 네트워크. 더 나쁜 것은 캠퍼스 네트워크와 인터넷입니다. 전체 노출. 가속기 제어실, 실험, 캠퍼스 네트워크 및 전 세계에서 볼 수 있는 하나의 서버, 하나의 서비스 및 하나의 애플리케이션(예: “전자 기록”)입니다. 먹이가 될 준비가되었습니다. 랜섬웨어. 일어나 다.

통제된 관리 및 공급에 대한 환각

하지만 그런 합병증은 잊어버리자. 나는 다시 잠이 든다. 이번에는 데이터센터 관리를 꿈꿉니다. 이상적으로 관리자는 IPMI/BMC 네트워크용 컨트롤러 하나와 프로비저닝용 컨트롤러 하나를 보유합니다. 하지만 책상 위에 두 개의 콘솔을 두고 싶은 사람이 있을까요? 캠퍼스 네트워크에 1개를 포함한다면 3개입니다. 세 번째 주문: 아무도 없습니다. 그래서 우리는 네트워크를 다시 연결합니다. 하나의 콘솔(데스크톱 컴퓨터)로 이러한 모든 장치를 관리할 수 있습니다. 원격 유지 관리를 위해 인터넷에서 이상적으로 액세스할 수 있습니다. 이거 말고 이것은 아무런 위험 없이 다가온다…또 던지고 돌립니다.

그리고 우리는 프로비저닝, 즉 Puppet 및 Ansible 도구를 사용하여 스토리지 및 데이터베이스 시스템에서 가상 머신과 컨테이너를 “푸시”하고 이를 하이퍼바이저에 배포하여 데이터 센터를 “조정”하는 것에 대해서는 언급하지 않았습니다. 그러나 이 형식, 스토리지 시스템 및 데이터베이스는 사용자 커뮤니티에서도 사용할 수 있어야 합니다. CERN은 커뮤니티가 자체 서비스, 가상 머신 및 컨테이너를 실행할 수 있도록 허용합니다. 그래서 마침내 프로비저닝 네트워크와 인트라넷을 다시 연결했습니다. 땀을 흘리다. 땀을 많이 흘린다.

구름 휴거

위의 구성은 매우 복잡하기 때문에 “프라이빗 클라우드”라고도 합니다. 하지만 현대인들은 여기서 멈추지 않는다. 퍼블릭 클라우드를 만나보세요. 당사의 데이터 센터를 Amazon, Google, Microsoft 또는 Oracle 데이터 센터에 연결하세요. 우리의 네트워크, 한숨, 그리고 그들의 네트워크를 차단하십시오. 온라인. 그리고 공개적으로 공유되는 가상 머신, 공개적으로 사용 가능한 컨테이너, 공유(오픈 소스) 소프트웨어 라이브러리 및 패키지 등 다른 인터넷 리소스를 동시에 사용합니다. 인터넷은 온갖 유용한 것들로 가득 차 있습니다. 그리고 악의적인 것들도요. 손상된 가상 머신, 악성 컨테이너, 취약한 소프트웨어. 모두 우리 데이터 센터로 직접 라우팅되었습니다.. 필터도 없고 아무것도 없습니다. 아아. 나는 다시 깨어났다.

데이터센터의 악몽