CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как защитить свои активы без капитальных вложений.
1. SECaaS или безопасность из облака —
как защитить свои активы без капитальных
вложений
Денис Безкоровайный, CISA, CISSP, CCSK, Аудитор СТО БР ИББС
Руководитель направления по работе с заказчиками
Trend Micro
2. 2
Новые ИТ – это облака
• Динамичность
• Быстрый старт
• Короткий жизненный
цикл
• Разные устройства
• Разные пользователи
• Новая среда
3. Copyright 2014 Trend Micro Inc. 3
?
?
?
?
3
Как это все защищать?
• Утечки данных
• Повсеместный и
небезопасный доступ
• Постоянно изменяющаяся
среда
• Динамичные угрозы
4. Software as a Service
Platform as a Service
Infrastructure as a Service
Everything as a Service
Security as a Service
5. 5
SECaaS
Что это — сервисная модель использования подсистем безопасности и
систем управления безопасностью
Как сервис
• Быстрый старт, нет CAPEX
• Pay as you go
• Масштабируемость
• Лучшие технологии
• Экономия – эффект масштаба
У себя
• Затраты на инфраструктуру
• Затраты на лицензии – платим
вперед
• Унаследованные технологии –
долгий жизненный цикл систем
7. Из облака можно получить
самую актуальную защиту
Динамичность
Эффект масштаба
8. Безопасность из облака
для облака
Традиционные средства защиты иногда просто архитектурно
не могут защищать данных в других облачных системах
9. Можно ли доверять
безопасность третьей стороне?
Вы, вероятно, уже это делаете
фильтрация почты в облаке
защита от DDoS
10. Другие плюсы SecaaS
Динамическая масштабируемость
Практически неограниченные ресурсы
Pay as you go
Вендоры SecaaS серьезней (других SaaS игроков)
относятся к безопасности
11. Обратная сторона
К выбору SecaaS провайдера следует подходить более
тщательнее, чем к выбору других облачных решений
аудиты, сертификация третьей стороной
Необходимо учитывать законодательство по
информационной безопасности
Необходимо понимать, как технически работает
облачное решение
13. Безопасность как услуга (SECaaS) —
определение категорий сервисов от CSA
• Defined Categories of Service 2011
• SecaaS Category 1 // Identity and Access Management Implementation Guidance
• SecaaS Category 2 // Data Loss Prevention Implementation Guidance
• SecaaS Category 3 // Web Security Implementation Guidance
• SecaaS Category 4 // Email Security Implementation Guidance
• SecaaS Category 5 // Security Assessments Implementation Guidance
• SecaaS Category 6 // Intrusion Management Implementation Guidance
• SecaaS Category 7 // Security Information and Event Management Implementation
Guidance
• SecaaS Category 8 // Encryption Implementation Guidance
• SecaaS Category 9 // BCDR Implementation Guidance
• SecaaS Category 10 // Network Security Implementation Guidance
14. 14
Антивирусная защита
Управление защитой от вредоносного ПО, базовый уровень защиты
Как сервис
• Сервер не нужен
• Любые пользователи – on site и
off site
• Единая система отчетности
У себя
• Нужен сервер АВЗ
• Сложности с мобильными
пользователями
15. 15
Контроль веб-доступа
Повышение продуктивности сотрудников, снижение риска заражения ВПО
Как сервис
• Удаленные офисы и мобильные
сотрудники защищены
• Нет центральной точки
обработки трафика
• Маршрутизация всего трафика
через веб-шлюз
• Сложности с мобильными
пользователями
• Сложности с удаленными
офисами
У себя
16. 16
Управление журналами регистрации событий
Сбор логов для анализа и оповещений, анализ инцидентов
Как сервис
• Интегрируется с облачными
сервисами
• Дешевое дисковое пространство
• Расширяемость по требованию
• Высокие требования к
подсистеме хранения
• Сложности с облачными
сервисами
У себя
17. 17
Управление учетными записями
Контроль создания, удаления и изменения учетных записей в различных
подсистемах
Как сервис
• Основные риски – в облачных
приложениях – готовые
интеграции
• Identity as a Service – источник
данных для других подсистем в
облаке
• Сложности с облачными
сервисами
У себя
18. 18
Аутентификация пользователей
Дополнительное подтверждение личности пользователей при доступе к
критичным системам
• Готовая интеграция
• Рабочие каналы доставки
токенов
Как сервис
• Сложно реализовать –
интеграция с приложениями
• Сложности с каналами доставки
• Сложно защищать хранилище –
HSM?
У себя
19. 19
Защита веб-приложений
Защиту от взлома через уязвимости в веб-приложениях
Как сервис
• Гибкость – простое подключение
• Весь трафик пропускается через
«железку» - неудобно
• Дорого
У себя
20. 20
Защита от DDoS
Доступность веб-приложений в случае атак
Как сервис
• Простое подключение
• Низкий TCO
У себя
• Дублированные каналы связи
• Зависимость от вышестоящих
провайдеров
• Дорогое оборудование
21. 21
Шифрование данных
Защиту от сотрудников сервис-провайдера и прочих третьих лиц
Как сервис
• Готовые интеграции с IaaS
• Разделение ответственности
между провайдером и клиентом
У себя
• Сложности с реализацией
• Где хранить ключи?
• Сложности с IaaS
22. 22
Управление уязвимостями
Выявление уязвимостей на ранних этапах цикла разработки ПО
Как сервис
• Разделяемое знание – доступная
экспертиза
• Покупка узких специалистов в
своей области
У себя
• Экспертиза – дорого содержать
для своих нужд
• Инструменты — лицензии стоят
денег
• Непостоянный контроль в SDLC
23. 23
Еще раз: SecaaS — все плюсы облака плюс
специфика ИБ
Как сервис
• Проще подключение
• Ниже TCO (эффект масштаба и
pay as you go)
• Быстрее возврат инвестиций
• Дорого
• Сложно
• Долго
У себя
24. Преимущества SECaaS
• Security as a Service — не просто модель
аутсорсинга; это необходимый компонент в
новой реальности
• Использование SECaaS для административных
задач, таких как управление журналами
регистрации событий, может сэкономить
время и деньги, позволяя организации
заниматься своим основным бизнесом
24
25. Итоги
SecaaS – уже доступна и будет только развиваться в
ближайшее время
широкий спектр сервисов по безопасности
SecaaS - позволяет существенно экономить на ИБ*
SecaaS - требует более тщательного анализа рисков