O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

Защита облаков в условиях комбинирования частных и публичных облачных инфраструктур

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 38 Anúncio

Защита облаков в условиях комбинирования частных и публичных облачных инфраструктур

Baixar para ler offline

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Quem viu também gostou (14)

Anúncio

Semelhante a Защита облаков в условиях комбинирования частных и публичных облачных инфраструктур (20)

Mais de Aleksey Lukatskiy (20)

Anúncio

Mais recentes (20)

Защита облаков в условиях комбинирования частных и публичных облачных инфраструктур

  1. 1. Защита облаков в условиях комбинирования частных и публичных облачных инфраструктур Лукацкий Алексей, консультант по безопасности
  2. 2. У меня нет задачи остановить переход к облачным облакам – мы сами их используем повсеместно 2 Число CSP (400+) Sales Finance Manfacturing C&C Platform CDO Consumer IT Customer Service HR Acquisitions Cisco является одним из крупнейших в мире пользователей облачных услуг
  3. 3. ЧТО ТАКОЕ ОБЛАКА?
  4. 4. Три основных типа облака Публичное Гибридное Частное
  5. 5. Составные части любого типа облака 5 Виртуализция Железо ПО Согласование (orchestration) Хранение Сервисы IaaS PaaS SaaS Сервисы Сервисы Сервисы Арендаторы Потребители Сеть Облачные сервисы Облачные вычисления Энерго- снабжение
  6. 6. SaaS - наиболее популярная облачная модель IaaS •  Хранение •  Вычисления •  Управление сервисами •  Сеть, безопасность… PaaS •  Бизнес-аналитика •  Интеграция •  Разработка и тестирование •  Базы данных SaaS •  Биллинг •  Финансы •  Продажи •  CRM •  Продуктивность сотрудников •  HRM •  Управление контентом •  Унифицированные коммуникации •  Социальные сети •  Резервные копии •  Управление документами
  7. 7. Ключевые риски при переходе к облакам •  Сетевая доступность •  Жизнеспособность (устойчивость) •  Непрерывность бизнеса и восстановление после сбоев •  Инциденты безопасности •  Прозрачность облачного провайдера •  Потеря физического контроля •  Новые риски и уязвимости •  Соответствие требованиям
  8. 8. ЧТО ТАКОЕ БЕЗОПАСНОСТЬ?
  9. 9. Что такое информационная безопасность? •  Сохранение конфиденциальности, целостности и доступности информации. Кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотказуемость и надежность –  ГОСТ Р ИСО/МЭК 27002 •  Цель информационной безопасности заключается в защите информации и информационных систем от несанкционированного доступа, использования, раскрытия, перебоев, изменения или уничтожения
  10. 10. За счет чего достигается информационная безопасность? •  Информационная безопасность включает в себя –  Политика в области защиты –  Организация защиты информации –  Менеджмент активов –  Защита человеческих ресурсов –  Физическая безопасность и безопасность окружения –  Управление средствами связи и операциями –  Управление доступом –  Приобретение, разработка и поддержание в рабочем состоянии ИС –  Управление инцидентами –  Менеджмент непрерывности –  Соответствие требованиям
  11. 11. БЕЗОПАСНОСТЬ ОБЛАКА
  12. 12. На каком уровне вы способны обеспечивать безопасность в своей корпоративной сети уже сейчас? •  Вы можете гарантировать отсутствие закладок на аппаратном уровне? •  Вы защищаете и внутреннюю сеть или только периметр? •  Как у вас обстоит дело с защитой виртуализации? А SDN вы не внедряли еще? •  Вы знаете механизмы защиты своих операционных систем? А вы их используете? •  А механизмы защиты своих приложений вы знаете? А используете? •  А данные у вас классифицированы?
  13. 13. Разные возможности по реализации системы защиты для разных сервисных моделей •  В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно IaaS Провайдер Заказчик VMs/Containers ОС/Приложения Данные PaaS Приложения Провайдер Заказчик Данные SaaS Провайдер
  14. 14. Типы облачных моделей и средства защиты IaaS •  Заказчик облачных услуг может использовать любые средства защиты, устанавливаемые на предоставляемую аппаратную платформу PaaS •  Заказчик облачных услуг привязан к предоставляемой платформе •  Выбор СЗИ (особенно сертифицированных) ограничен и, как правило, лежит на облачном провайдере •  Заказчик может настраивать функции защиты приложений •  Компромисс между средствами защиты и облачными услугами SaaS •  Заказчик облачных услуг не имеет возможности по выбору средств и механизмов защиты облака •  Выбор лежит на облачном провайдере
  15. 15. Особенности защиты IaaS Защитная мера Нюансы реализации (з / о) Политика в области защиты 50 / 50 Организация защиты информации 50 / 50 Менеджмент активов 50 / 50 Защита человеческих ресурсов 30 / 70 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 35 / 65 Управление доступом 60 / 40 Приобретение, разработка и поддержание в рабочем состоянии ИС 60 / 40 Управление инцидентами 60 / 40 Менеджмент непрерывности 30 / 70 Соответствие требованиям 70 / 30
  16. 16. Защита IaaS: обратите внимание •  Ограничения на установку определенных средств защиты в инфраструктуру облачного провайдера •  Возможность установки собственных средств шифрования •  Экспорт из России средств шифрования –  На все площадки облачного провайдера в разных странах мира •  Обслуживание (замена) вышедших из строя средств защиты, особенно средств шифрования •  Защита данных при доступе с мобильных устройств –  Особенно в контексте шифрования трафика
  17. 17. Особенности защиты PaaS Защитная мера Нюансы реализации (з / о) Политика в области защиты 30 / 70 Организация защиты информации 30 / 70 Менеджмент активов 30 / 70 Защита человеческих ресурсов 20 / 80 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 20 / 80 Управление доступом 30 / 70 Приобретение, разработка и поддержание в рабочем состоянии ИС 50 / 50 Управление инцидентами 45 / 55 Менеджмент непрерывности 20 / 80 Соответствие требованиям 55 / 45
  18. 18. Защита PaaS: обратите внимание •  Насколько модель угроз и стандарты защиты облачного провайдера соответствуют вашим? –  Возможно ли привести их к общему знаменателю?
  19. 19. Особенности защиты SaaS Защитная мера Нюансы реализации (з / о) Политика в области защиты 10 / 90 Организация защиты информации 5 / 95 Менеджмент активов 5 / 95 Защита человеческих ресурсов 5 / 95 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 0 / 100 Управление доступом 5 / 95 Приобретение, разработка и поддержание в рабочем состоянии ИС 0 / 100 Управление инцидентами 5 / 95 Менеджмент непрерывности 0 / 100 Соответствие требованиям 5 / 95
  20. 20. Защита SaaS: обратите внимание •  Насколько модель угроз и стандарты защиты облачного провайдера соответствуют вашим? –  Возможно ли привести их к общему знаменателю? •  Как вообще вы можете повлиять на реализацию и эксплуатацию системы ИБ у облачного провайдера?
  21. 21. Типы облаков с точки зрения ИБ и compliance Частное •  Управляется организацией или третьим лицом •  Обеспечение безопасности легко реализуемо •  Вопросы законодательного регулирования легко решаемы Публичное (локальное) •  Управляется одним юридическим лицом •  Обеспечение безопасности реализуемо средними усилиями •  Вопросы законодательного регулирования решаемы средними усилиями Публичное (глобальное) •  Управляется множеством юридических лиц •  Требования по безопасности различаются в разных странах •  Законодательные требования различаются в разных странах
  22. 22. ОБЛАКА = ПОТЕРЯ КОНТРОЛЯ
  23. 23. Возможности по контролю изменчивы 23 Публичное Гибридное Сообщество Частное Аутсорсинг Инсорсинг Внешнее Внутреннее Возможности по контролю меняются в зависимости от вида эксплуатации, расположения и типа облака
  24. 24. В публичном облаке меньше контроля Частное облако Публичное облако Соответствие Предприятие Облачный провайдер Governance Предприятие Облачный провайдер Безопасность Предприятие Облачный провайдер Эксплуатация Предприятие Облачный провайдер Риски Предприятие Распределены между предприятием и облачным провайдером Владелец облака Предприятие или арендодатель Облачный провайдер Использование ограничено Предприятием Ничем 24
  25. 25. НЕ ЗАБУДЬТЕ И ПРО ДРУГИЕ ВОПРОСЫ
  26. 26. Обратите внимание и на другие вопросы •  Трансграничная передача персональных данных –  Потребует от заказчика облачных услуг получить письменное согласие субъекта персональных данных –  Реализация легального шифрования на площадках в разных странах мира –  Реализация легального шифрования на мобильных платформах •  Обработка государственных информационных ресурсов –  Облачный провайдер не может передавать ГИР за пределы России согласно 351-му Указу Президента –  Облачный провайдер должен соответствовать требованиям 17-го приказа ФСТЭК от 2013-го года –  Облачный провайдер должен использовать только сертифицированные средства защиты и аттестовать свои ИС –  Новый законопроект по облачным вычислениям
  27. 27. Обратите внимание и на другие вопросы •  Облачный провайдер обязан предоставить доступ спецслужбам, правоохранительным и судебным органам по мотивированному (или немотивированному) запросу –  А иногда облачный провайдер и не будет знать, что такой доступ имеется –  А вас он не обязан ставить в известность о таком доступе •  Контроль облачного провайдера –  Вам придется переориентироваться с собственной защиты на контроль чужой защиты –  На каком языке вы будете общаться с зарубежным облачным провайдером? •  Предоставление услуг по защите информации – это лицензируемый вид деятельности –  У облачного провайдера есть лицензии ФСТЭК и ФСБ?
  28. 28. КАК КОМБИНИРОВАТЬ ЧАСТНОЕ И ПУБЛИЧНОЕ?
  29. 29. 6 новых задач ИБ для публичных облаков Изоляция потребителей Multi-tenancy Регистрация изменений Криптография (в России) Контроль провайдера!!! Доступность
  30. 30. Изменение парадигмы ИБ регуляторов при переходе в публичное облако Один объект = один субъект Один объект = множество субъектов •  Защищать надо не только отдельных субъектов, но и взаимодействие между ними •  С учетом отсутствия контролируемой зоны и динамической модели предоставления сервиса •  В зависимости от модели (IaaS, PaaS, SaaS) это может быть непросто
  31. 31. МСЭ с виртуальными контекстами могут решить задачу (один заказчик = один контекст) Компания X Компания Y Виртуальная машина 1 Виртуальная машина 2 Виртуальная машина 3 МСЭ МСЭВиртуализованные web-серверы физическая среда компании X Физический сервер 1 Физический сервер 1 Виртуальная машина 4 Виртуальная машина 5 Физическое устройство Cisco ASA Сеть IPsec VPN для связи между объектами •  Компания X намерена развернуть свои web-серверы в облаке, •  Компания X также располагает локально размещенными физическими серверами •  Разработчикам компании X необходим доступ к web-серверам в виртуализованной среде. •  В процессе настройки устанавливается VPN-туннель между объектами. Пример использования:
  32. 32. Виртуализация сетевых функций (NFV) LAN Switch (vSwitch) Security Gateway (VSG) Identity Services (vISE) Adaptive Security (vASA) WAN Acceleration (vWAAS) Mobility Services (vMSE) Wireless LAN Control (vWLC) Cloud Services Router (vCE) Network Analysis (vNAM) Video Cache Network Management (PRIME NCS) Network Analytics (vDNA) .. Многие известные сетевые сервисы уже оптимизированы или разработаны заново для виртуальной реализации
  33. 33. Гибридное решение Корпоративное облако Private/Hosted/Managed Cisco Nexus1000V vSwitch Облако провайдера Public/Utility/Community N1KV InterCloud Другие потребите ли L2 Virtual Private Cloud Nexus 1000V InterCloud Коммутация Nexus | Маршрутизация IOS | Сетевые сервисы Интеграция VM Manager API интеграции с облаком ASP VNMC InterCloud Сценарии •  Всплески (события, сезонность, вывод на рынок…) •  Обновление/миграция •  Непрерывность/избежание катастроф •  Защита от «наездов» Преимущества •  Согласованность сети/сервисов/политик •  Защита и шифрование •  Единая точка управления •  Выбор между провайдерами Защищенное гибридное облако = Защищенное расширение частного облака в публичное
  34. 34. ТАК ЧТО ЖЕ ВСЕ-ТАКИ ДЕЛАТЬ?
  35. 35. Если вы все-таки решились •  Стратегия безопасности облачных вычислений –  Пересмотрите свой взгляд на понятие «периметра ИБ» –  Оцените риски – стратегические, операционные, юридические –  Сформируйте модель угроз –  Сформулируйте требования по безопасности –  Пересмотрите собственные процессы обеспечения ИБ –  Проведите обучение пользователей –  Продумайте процедуры контроля облачного провайдера –  Юридическая проработка взаимодействия с облачным провайдером •  Стратегия выбора аутсорсера –  Чеклист оценки ИБ облачного провайдера
  36. 36. Cisco Cloud Risk Assessment Framework 36 R1: Data Risk and Accountability R2: User Identity R3: Regulatory Compliance R4: Business Continuity & Resiliency R5: User Privacy & Secondary Usage of Data R6: Service & Data Integration R7: Multi- tenancy & Physical Security R8: Incident Analysis & Forensics R9: Infrastructure Security R10: Non- production Environment Exposure
  37. 37. Выбор облачного провайдера с точки зрения ИБ •  Защита данных и обеспечение privacy •  Управление уязвимостями •  Управление identity •  Объектовая охрана и персонал •  Доступность и производительность •  Безопасность приложений •  Управление инцидентами •  Непрерывность бизнеса и восстановление после катастроф •  Ведение журналов регистрации (eDiscovery) •  Сompliance •  Финансовые гарантии •  Завершение контракта •  Интеллектуальная собственность
  38. 38. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 38 Благодарю вас за внимание security-request@cisco.com

×