Your SlideShare is downloading. ×
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Cloud computing security
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Cloud computing security

1,005

Published on

Доклад в Киево-Могилянской Академии

Доклад в Киево-Могилянской Академии

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,005
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Обзор облачных вычислений ивопросы безопасности, связанныес нимиАндрей Лысюк, CCIE, CISSP, CISM, CISA, ITILFКонсультант по информационной безопасности04/02/2012, НАУКМАОблачные вычисления. Безопасность
  • 2. Содержание• Основы облачных вычислений – Введение – Модели внедрения облачных вычислений – История и эволюция облачных вычислений – Техническая архитектура облачных систем и основные характеристики – Основные движущие силы перехода на облачные системы – Потенциальные проблемы при переходе на облачные вычисленияОблачные вычисления. Безопасность 2
  • 3. Содержание• Вопросы безопасности и аудит – Готовность бизнеса к переходу на облачные системы – Оценка рисков – Распределение ответственности за риски – Основные проблемы информационной безопасности, связанные с облачными вычислениями » Управление доступом и учетными записями » Физическая безопасность » Неправильное использование облачных систем » Небезопасный API » Инсайдеры » Технологические уязвимости » Потеря данных » Перехват сессий – Аудит облачных системОблачные вычисления. Безопасность 3
  • 4. Основы облачных вычисленийОблачные вычисления. Безопасность
  • 5. Введение• Суть облачных вычислений – Смещение парадигмыОблачные вычисления. Безопасность 5
  • 6. Введение. Определения• Несколько определений облачных вычислений• Определение NIST: – Удобный, организованный по требованию удаленный доступ по сети к общему пулу ресурсов, которые конфигурируются (например, сетей, серверов, приложений, хранилищ данных и сервисов), который может быть быстро предоставлен и изъят с минимальными усилиями со стороны руководства или взаимодействием с сервис-провайдером – “Model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.”Облачные вычисления. Безопасность 6
  • 7. Введение. Преимущества• Преимущества использования – Стоимость – Масштабируемость – Сокращение жизненного цикла – Виртуализация (уменьшение стоимости, упрощение поддержки, уменьшение потребления энергии)• История возникновения• Рынок Украины – Слабо развитый – SAAS решения – CRM, MarketingОблачные вычисления. Безопасность 7
  • 8. Введение. Оценка рисков• Стоит ли внедрять облачные вычисления? – Новое всегда связано с рисками – Взвесить риски – Цель оправдывает средства?• Оценка рисков – Методологические материалы от международных организаций в области ИБ (ISACA, ENISA – European Network and Information Security Agency) – Метрики измерения рисков – Мониторинг, выбор мероприятий по уменьшению рисков – Риск аппетит руководства компаний – Стоимость данных на “черном рынке” влияет на мотивацию злоумышленниковОблачные вычисления. Безопасность 8
  • 9. Введение. Факторы перехода• Выбор модели облачных вычислений: SAAS, PAAS, IAAS• Зрелость существующих бизнес процессов и процессов в ІТ (В соответствии с CoBIT или ITIL)• Классификация данных компании• Обязательства перед клиентами (например, обработка персональной информации)• Риски провайдера. Стандартов аудита провайдеров пока нет. Due diligenceОблачные вычисления. Безопасность 9
  • 10. Модели облачных вычислений• Механизмы предоставления услуг – SAAS – PAAS – IAAS• Механизмы реализации – Private (IT Outsourcing) – Public – Community – Hybrid (Some data in private, some in public)• Диапазон применений от Private IAAS до Public SAAS (Threats, Cost)• Модели предоставления услуг новые, мало стандартизованныеОблачные вычисления. Безопасность 10
  • 11. Модели облачных вычислений• Классификация облачных вычисленийОблачные вычисления. Безопасность 11
  • 12. История и эволюция• Вначале были созданы для внутреннего применения (Google, Amazon)• Модель аналогичная 1960-1970 (развитие по спирали)• Новые «мейнфреймы». Разница в: – Продуктивности – ПротоколахОблачные вычисления. Безопасность 12
  • 13. Обратно к централизации• Системы возвращаются к централизации после очередного оборота спирали развитияОблачные вычисления. Безопасность 13
  • 14. Эволюция онлайн доступаОблачные вычисления. Безопасность 14
  • 15. Эволюция онлайн доступа• SOA – библиотека аплетов, которые могут быть использованы для создания приложения• Application Programming Interfaces (APIs) – механизм меток для объединения аплетов в сети Интернет• XML – механизм добавления тегов к информации (данным, страницам, картинкам, файлам, полям), который позволяет передавать ее любому приложению, размещенному в сети Интернет• API и XML используются для объединения SOA, размещенных в сетиОблачные вычисления. Безопасность 15
  • 16. Движущие силы перехода• Оптимизация использования серверов• Уменьшение затрат• Динамическая масштабируемость• Сокращение жизненного цикла• Уменьшение времени на внедрениеОблачные вычисления. Безопасность 16
  • 17. Потенциальные проблемы• Размещение данных• Смешанные данные разных клиентов• Прозрачность политик / процедур информационной безопасности• Права собственности на данные• Использование собственных закрытых API усложняет миграцию• Продолжение бизнеса CSP (Cloud Service Provider)• Защита данных в случае судового аудита (forensic audits)• Управление правами доступаОблачные вычисления. Безопасность 17
  • 18. Потенциальные проблемы• Выявление атак• Анализ репутации других клиентов• Соответствие требованиям регуляторов (защита персональных данных, PCI DSS, и т.д.)• Предварительный анализ собственников провайдеров облачных сервисов (due diligence)• Безопасное уничтожение конфиденциальной информации• Возобновление работы после катастроф На данный момент ответственность за оценку рисков и внедрение соответствующих контролей возложена целиком на клиентов CSPОблачные вычисления. Безопасность 18
  • 19. Вопросы безопасности и аудитоблачный системОблачные вычисления. Безопасность
  • 20. Готовность бизнеса к переходу• Бизнес старается сократить затраты• Если бизнесу не подходит уровень риска, который возникает в связи с переходом, нужно отказаться от перехода• Лучший подход – взвесить риск при переходе на облачную инфраструктуру в сравнении с внутренними рискамиОблачные вычисления. Безопасность 20
  • 21. Вопросы для оценки перехода• На какую доступность рассчитывает бизнес?• Як организовано управление доступом в облачной инфраструктуре?• Где будут размещены данные компании?• Какие возможности по восстановлению работы CSP при катастрофах?• Как будет обеспечиваться безопасность данных компании?• Как будет выполнено управление привилегированным доступом к данным?• Как данные будут защищены от неправильного поведения пользователей?Облачные вычисления. Безопасность 21
  • 22. Вопросы для оценки перехода• На какой уровень изоляции рассчитывает компания?• Как безопасность информации будет обеспечена в среде виртуализации?• Как вся система защищена от угроз в сети Интернет?• Каким образом будет реализован мониторинг и аудит?• Как компания может обеспечить контроль того, что данные не были модифицированы другой стороной?• Какие типы сертификатов или гарантии компания может получить от провайдера?Облачные вычисления. Безопасность 22
  • 23. Оценка рисков• Любое техническое решение несет в себе возможности и риски• Для риска должны присутствовать несколько факторов: – Угроза использования уязвимости – Вероятность – Последствия• Много угроз и уязвимостей не есть специфическими для облачной инфраструктуры• Но, кроме классических есть и угрозы, которые специфические как раз для облачной инфраструктурыОблачные вычисления. Безопасность 23
  • 24. Оценка рисков• С точки зрения бизнес процессов переход на облачную инфраструктуру может быть выполнен с обычным подходом• С точки зрения управления рисками есть много новых вопросов: – Определение зон ответственности – Логическое, а не физическое разграничение данных – Повышение требований к безопасности компьютерной сети – Увеличение рисков, связанных с приложениямиОблачные вычисления. Безопасность 24
  • 25. Распределение ответственностей• Риски, связанные с облачной инфраструктурой зависят от модели предоставления сервиса (SAAS, IAAS, PAAS) и модели реализации инфраструктуры (private, public, hybrid)• Например, модель построения облака с использованием вирутализированных приложений на инфраструктуре компании очень похожа на традиционную среду ИТ• Использование публичных сервисов по модели SAAS включает совместное использование файлов разными пользователями, миграцию данных между серверами, динамическое изменение объема данныхОблачные вычисления. Безопасность 25
  • 26. Распределение ответственностейОблачные вычисления. Безопасность 26
  • 27. Основные проблемы ИБ• Управление доступом и учетными записями• Физическая безопасность• Неправильное использование облачных систем• Небезопасный API• Инсайдеры• Технологические уязвимости• Потеря данных• Перехват сессийОблачные вычисления. Безопасность 27
  • 28. Управление доступом• Пользователи были и есть угрозой для данных. Злоумышленные действия или неумышленные ошибки угрожают целостности и доступности данных• Для контроля доступа к информации необходимо внедрить процедуры управления доступом – Классификация данных – Ролевой доступ – Контроль доступа инсайдеров – Предоставление, изменение и блокирование доступа• Для публичного доступа количество людей, которые имеют доступ увеличиваетсяОблачные вычисления. Безопасность 28
  • 29. Физическая безопасность• Для частной облачной инфраструктуры риски физической безопасности аналогичны рискам для традиционной инфраструктуры• Для публичной облачной инфраструктуры размещение серверов может отличаться от ожидаемого• Важность определения размещения оборудования: – BCP/DRP (SLA для DRP) – Соответствие требованиям регуляторовОблачные вычисления. Безопасность 29
  • 30. Неправильное использование• Монополизация ресурсов• Быстрая регистрация и использование• Анонимность• Использование для неправомерных действий• Потенциальная угроза другим клиентамОблачные вычисления. Безопасность 30
  • 31. Небезопасный API• API для взаимодействия с облачными сервисами• Безопасность зависит от API• Использования API компаниями для предоставления сервисов своим клиентам• Расширение атрибутов аутентификации• Требования безопасности к API – Аутентификация – Контроль доступа – Шифрование – Мониторинг действий – Контроль попыток обойти политикуОблачные вычисления. Безопасность 31
  • 32. Инсайдеры• Риск существует и для традиционной среды• Увеличение риска для CSP и для клиентов CSP• В традиционной среде компания имеет дело с сотрудниками, которых она: – Контролирует в рамках трудовых взаимоотношений – Проверяет перед наймом на работу• При потреблении услуг CSP традиционные контроли от инсайдеров не работают• Доступ инсайдеров, которые работают на CSP, к информации большой• Риски инсайдеров: влияние на репутацию, финансовые убытки, влияние на продуктивностьОблачные вычисления. Безопасность 32
  • 33. Технологические уязвимости• Провайдер IAAS предоставляет доступ к общей инфраструктуре• Часто компоненты инфраструктуры не разработаны с учетом требований по изоляции• Для изоляции используют гипервизор, который может иметь ошибки• Последние годы наблюдаются атаки на технологии совместного использования общих ресурсовОблачные вычисления. Безопасность 33
  • 34. Потеря / утечка данных• Как и в традиционный инфраструктуре есть ряд атак на данные в облаке• Модификация данных без резервной копии• Удаление данных без резервной копии• Потеря ключа шифрования данных• Влияние на данные других клиентов при ошибках контроля доступа к даннымОблачные вычисления. Безопасность 34
  • 35. Перехват сессий• Перехват учетной записи или сессии не есть новой угрозой• Облачные вычисления добавляют новый уровень риска• Потенциальная возможность злоумышленнику: – Иметь доступ к транзакциям – Манипулировать данными – Возвращать искаженную информацию – Перенаправлять клиентов на другие сайты – Использовать как промежуточную площадкуОблачные вычисления. Безопасность 35
  • 36. Аудит облачных систем• Традиционная среда – аудит включал анализ исторических транзакций• Новый подход к аудиту – Реальное время – Непрерывный – Ориентация на процессы а не на фиксированные транзакции• Стандартов аудита пока еще нетОблачные вычисления. Безопасность 36
  • 37. Ссылки• Каталог SaaS компаний в Росії: – http://saas4russia.wordpress.com/directory/• ENISA Cloud Computing Information Assurance Framework – http://www.enisa.europa.eu/act/rm/files/deliverables/cloud- computing-information-assurance-framework• ENISA Cloud Computing Risk Assessment – http://www.enisa.europa.eu/act/rm/files/deliverables/cloud- computing-risk-assessmentОблачные вычисления. Безопасность 37

×