CloudsNN 2014. Виктор Аляшевич. Облако Облаков: Куда пойти, Куда податься?
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфраструктуры"
1. Организация защиты облачных сервисов
и инфраструктуры
Бизнес-направление информационной безопасности Департамент системной интеграции
2. О чем пойдет речь?
• Проблематика
• Рекомендации Микротест и предлагаемые решения
• Особенности защиты персональных данных
• Опыт Микротест
• Заключение
2
3. Проблематика вопроса
• Тенденция перевода данных и сервисов в облако!
• Необходимо защищать данные и облачную инфраструктуру!
• Особенности защиты данных в облаке!
3
4. Несколько слов об облаках
Виды облаков:
• Частное облако
• Публичное облако
• Гибридное облако
• Общественное облако
Предоставляемые сервисы:
• Инфраструктура как сервис (IaaS).
• Платформа как сервис (PaaS).
• Программное обеспечение как сервис (SaaS)
Примеры сервисов:
• Портал ГосУслуги, Google Docs, MS Cloud Power, Dropbox, ЯндексДиск
5. Как защищать облака?
• Традиционный подход (защита физической инфраструктуры)
• Защита виртуальной среды: гипервизора и виртуальных машин
6. Межсетевое экранирование
• Межсетевое экранирование на внешнем
периметре, а также для выделения
отдельных сегментов КСПД, на границе
физической и виртуальных
инфраструктур
(к примеру Stonegate FW/VPN)
• Межсетевое экранирование на
уровне гипервизора и гостевых машин,
с использованием технологии VShield
и решений от технологических
партнёров VMWare, например –
Trend Micro Deep Security
Рекомендуемые решения
7. Система предотвращения вторжений
Система предотвращения вторжений на уровне гипервизора и гостевых машин:
Trend Micro Deep Security
Система предотвращения вторжений на границе ЦОД – традиционные системы класса
IDS/IPS, аппаратные или в виде отдельных виртуальных
машин, например: StoneGate IPS
StoneGate IPS:
• Сигнатурный анализ
• Анализ аномалий в трафике
• Анализ поведения хостов
• Обнаружение любых видов
сканирования сетей
• Адаптивное применение
сигнатур (виртуальное
профилирование)
• Сертифицирована ФСТЭК по ТУ,
по 4 уровню контроля отсутствия
НДВ, может использоваться для
создания АС до 1Г включительно,
а также в ИСПДн до 1 класса включительно Рекомендуемые решения
8. Защита каналов связи
Для организации защищенного удаленного доступа в зависимости
от особенностей задачи используются:
• криптографические шлюзы
• шлюзы защищенного удаленного доступа
• Шлюзы SSL VPN
Рекомендуемые решения:
• StoneGate FW
• StoneGate SSL VPN
Особенности:
• интеграция с КриптоПро CSP
• поддержка технологий резервирования
оборудования и каналов связи
• централизованные управление и мониторинг
• сертификация ФСТЭК по требованиям к МЭ (2 и 3 классы),
по 4 уровню контроля отсутствия НДВ , по ТУ, могут использоваться для создания АС до 1Г
включительно, а также в ИСПДн до 1 класса включительно
• Сертификация ФСБ по классам КС1 и КС2
Рекомендуемые решения
9. Защита от DDOS атак
Arbor Pravail – решение от мирового лидера по защите от DDoS-атак,
предназначенное для Enterprize-сетей и ЦОДов
Возможности Arbor Pravail:
• обнаружение и блокировка DDoS-атак
на ресурсы предприятия/ЦОД
• функции Web Application Firewall
• Мониторинг
и анализ инцидентов ИБ
• быстрое развёртывание
и готовность к защите
• выявление
и блокирование botnet-сетей
• обеспечение доступности
и защищенности бизнес-приложений
• возможность работы в среде VMWare
Рекомендуемые решения
10. Защита от DDOS атак
Arbor Peakflow SP – мировой лидер по защите от DDoS-атак
в операторских сетях
Arbor Peakflow SP решает задачи:
• мониторинг и анализ трафика
и маршрутизации
• обнаружение
и предотвращение DDoS-атак
• обеспечение доступности
бизнес приложений;
• URL-фильтрация трафика
абонентов в сетях
операторов связи
• поддержка порталов
(личных кабинетов), через которые
клиенты могут управлять мониторингом
и защитой своих сервисов и своего трафика
Рекомендуемые решения
11. Trend Micro Deep Security
Антивирус
Межсетевой экран
Глубокий пакетный
анализ (DPI)
IDS / IPS на ОС Агент
Virtual
Защита Web-приложений
Appliance
Контроль приложений
Анализ Контроль
событий целостности
Рекомендуемые решения
12. Trend Micro Deep Security
• «Trend Micro Enterprise Security 10.0» (включая Deep Security 7.0)
сертифицирован по требованиям безопасности информации
на соответствие техническим условиям (ТУ) и на отсутствие
недекларированных возможностей (НДВ) по 4 уровню контроля.
• Пакет продуктов Trend Micro может быть использован при построении
АС класса защищенности до 1Г включительно и подходит для построения
информационных систем персональных данных (ИСПДн) до 1 класса
включительно
Рекомендуемые решения
13. Особенности защиты персональных данных
Согласно требованиям законодательства РФ в области защиты персональных
данных при построении системы защиты ПДн должны быть реализованы:
1. Система обнаружения уязвимостей сети, примеры:
• сканер сетевой безопасности Xspider 7.8
• система контроля защищенности MaxPatrol
2. Защита от несанкционированного доступа, примеры:
• СЗИ от НСД SecretNet/сертифицированные ОС MS Windows/Linux
• встроенные в СУБД или приложение средства
(должны быть сертифицированы ФСТЭК)
• сертифицированные межсетевые экраны, например StoneGate FW
• средства защиты на уровне гипервизора VMWare на базе технологии Vshield
(например, TM DeepSecurity, vGate)
Особенности защиты ПД
14. Система обнаружения уязвимостей сети
Управлять уязвимостями в информационной системе необходимо!
Возможности управления уязвимостями
с помощью Xspider и MaxPatrol:
• инвентаризация IT-активов
• проверка информационных систем
на наличие уязвимостей
• оценка защищенности ИС
• классификация уязвимостей
по степени опасности
• устранение найденных проблем
и проверка устранения
Сертификат ФСТЭК на соответствие ТУ по 4 уровню контроля отсутствия НДВ ,
позволяет применять сканер для анализа АС до класса 1Г,
и в ИСПДн до 1 класса включительно
Особенности защиты ПД
15. Защита от НСД. Контроль доступа
Для осуществления контроля доступа используются:
на Интернет-периметре и при защите каналов связи – шлюзы безопасности:
• Stonegate FW/VPN
• StoneGate SSL VPN
на уровне гипервизора –
решения на базе Vshield, например:
• Trend Micro Deep Security
на гостевых машинах:
• SecretNet, сертифицированная ОС
(Windows, Linux), Dallas Lock, Страж
и другие средства
• Средства СУБД
и приложений (Oracle, 1С и другие)
Особенности защиты ПД
16. Защита от НСД. Контроль целостности
Для осуществления контроля целостности используются:
на уровне гипервизора:
• решения на базе технологии
VShield (например, Trend
Micro Deep Security, VGate)
на гостевых машинах:
• Secret Net,
сертифицированные ОС
(Windows, Linux),
Dallas Lock, Страж
• СУБД и приложения
(Oracle, 1С и другие)
Особенности защиты ПД
17. Защита от НСД. Регистрация и учет
Для осуществления регистрации и учета используются:
на Интернет-периметре:
• межсетевые экраны
• шлюзы удаленного доступа
• системы IDS/IPS
на уровне гипервизора:
• решения на базе технологии
VShield (например, Trend
Micro Deep Security, VGate)
на гостевых машинах:
• Secret Net, сертифицированные
ОС (Windows, Linux), Dallas Lock, Страж
• СУБД и приложения (Oracle, 1С и другие)
Особенности защиты ПД
18. Опыт Микротест
Задача: построение гибридного облака для размещения приложений госструктур
и частных заказчиков. Услуги должны предлагаться по модели SaaS, PaaS, IasS
В проекте предусмотрены решения:
В результате: проект базового варианта системы, готового при реализации
к масштабируемости под требуемые задачи
19. Опыт Микротест
Задача: построение единого портала крупного государственного холдинга в облачной
инфраструктуре для предоставления сервисов по управлению бизнес процессами
и передачи отчетности территориально распределенных филиалов.
Компанией Микротест запроектирован и реализован портал в виртуальной среде на базе 1С.
Проект системы обеспечения информационной безопасности подразумевает защиту
как физической так и виртуальной инфраструктур, используя:
• Межсетевое экранирование, защита каналов связи – Континент АП (Код безопасности)
• Система предотвращения вторжений – CheckPoint IPS 1
• Антивирусная защита на виртуальных машинах – Антивирус Касперского
• Система обнаружения уязвимостей сети – Xspider
• Система защиты от несанкционированного доступа – SecretNet
• Защита виртуальной среды – Vgate
В результате: функционирующий портал для предоставления сервисов
удаленным филиалам, готовый к реализации проект по обеспечению
информационной безопасности
20. Безопасность данных в облаках для оператора и для клиента
Для оператора
• прямое повышение доходности
• привлечение новых клиентов и удержание существующих
• повышение уровня лояльности и доверия со стороны клиентов
Для клиента
• Сокращение расходов и издержек на подбор и содержание
высококвалифицированного персонала с высоким уровнем доверия
• быстрый ввод в эксплуатацию
• Сокращение расходов на подбор и приобретение
оборудования и систем обеспечения
• Защита от угроз на уровне оператора
Компания Микротест для защиты информации в виртуальных средах
рекомендует использовать только сертифицированные средства защиты
и опыт, основанный на лучших практиках обеспечения безопасности
21. Заключение
При создании системы безопасности облачной инфраструктуры заказчик
получает защищённую и бесперебойную работу облачных сервисов:
• Защита от НСД
• Антивирусная защита
• Межсетевое экранирование и защита каналов связи
• Защищенный удалённый доступ
• Защита от атак на приложения, DDoS-атак и других видов атак
Компания Микротест руководствуется :
• большим опытом по реализации проектов по защите вычислительных сетей, ЦОДов
и облачной инфраструктуры
• требованиями Российского законодательства;
• руководством по менеджменту безопасности и персональных данных в публичных
облаках NIST SP 800-144;
• лучшими мировыми практиками обеспечения безопасности.
22. Опыт Микротест
Опыт
• На рынке ИБ свыше 10 лет
• Реализовано более 100 проектов в области ИБ из них не менее 20 по аудиту и №152-ФЗ
Поддержка
• Сервисный центр
• Круглосуточная поддержка
• Услуги аутсорсинга
• Регионально-распределённый учебный центр
Этическая чистота при проведении аудита
• Сертификационный аудит (ISO27k, PCI DSS) проводится независимым партнером, за счет чего
обеспечивается независимая оценка качества выполненных работ
Экспертиза
• Специалисты по проведению тестов на проникновение (White hacking)
• Юристы
• Сертифицированные специалисты (CISA, CISSP,
CISM, CCIE Security, JNCIS-FW, JNCIA-IDP и т.п.)
23. Заказчики Микротест
Промышленность Финансы и страхование Государственные
• General Motors • Raiffeisen Bank учреждения
• Toyota Motors • BSGV • МЧС
• VOLVO • ABN-AMRO • Министерство Транспорта
• Coca Cola • City Bank • Министерство Внутренних Дел
• Oriflame • Банк России • Прокуратура РФ
• GlaxoSmithKline • Внешторгбанк • Федеральная Служба Исполнения
• КАМАЗ • Промсвязьбанк Наказаний
• Объединенная Авиастроительная • Россельхозбанк • Пенсионный Фонд РФ
Корпорация • Сибакадембанк • Администрация ХМАО
• Корпорация «Тактическое • РОСНО • Администрация Екатеринбурга
ракетное вооружение»
• Прогресс-гарант
• НБД-Банк
• СК Макс
ТЭК Транспорт Операторы связи Торговые компании
• Газпром • Российские Железные • Транстелеком • Азбука Вкуса
• Газпромнефть
Дороги • Мегафон • Le Future
• ЛУКОЙЛ • Трансконтейнер • Вымпелком • Рольф
• ТНК-ВР • Мострансавто • Sky Link • Красный Куб
• Салым Петролеум
• Метрополитен • Уралсвязьинформ • Кенгуру
Екатеринбург
• ЕСО ЦДУ • Аэропорт • Южная Телеком- • Фамилия
• Таманьнефтегаз Шереметьево муникационная
компания
• РТКом
• Петерстар
24. Один из 3-х роботов может стать Вашим!
Спешите принять участие в лотерее компании Микротест!