Your SlideShare is downloading. ×
Как защитить данные от IaaS провайдера
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Как защитить данные от IaaS провайдера

1,380

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,380
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Как защитить данныеот IaaS провайдера?Денис Безкоровайный, CISA, CISSP, CCSKТехнический консультант Trend Micro в России и СНГ Copyright 2009 Trend Micro Inc. 1
  • 2. Темы• Необходимо ли защищаться?• Какие риски наиболее актуальны для IaaS?• Шифрование данных• Как выбрать средства защиты данных в IaaS облаках? Copyright 2009 Trend Micro Inc.
  • 3. Разнообразие IaaS- технологий• Amazon EC2• VMware vCloud• Eucalyptus• OpenStack Copyright 2009 Trend Micro Inc.
  • 4. У кого контроль? Виртуализация Общие Общие ОбщиеСерверы и частные облака облака облака облака IaaS PaaS SaaS Потребитель Сервис-провайдер Copyright 2009 Trend Micro Inc. 4
  • 5. Amazon Web Services™ соглашение обиспользовании 4.2 Other Security and Backup. You are responsible for properly configuring and using the Service Offerings and taking your own steps to maintain appropriate security, protection and backup of Your Content, which may include the use of encryption technology to protect Your Content from unauthorized access and routine archiving Your Content. http://aws.amazon.com/agreement/ (09 марта 2011) Защита данных – ответственность клиента! Copyright 2009 Trend Micro Inc.
  • 6. Облака это здорово, только...• Как контролировать данные в облаке, если они хранятся в открытом виде?• Что если я захочу сменить провайдера или он закроется?• Как удостовериться, что мои данные будут уничтожены после ухода от провайдера?• Как гарантировать, что только у меня есть доступ к данным? Аудит затруднен. Copyright 2009 Trend Micro Inc.
  • 7. Риск - инсайдер у провайдера• Средняя вероятность – зависит от провайдера• Очень высокий потенциальный ущерб• Множество уязвимостей• Степень риска – Высокая Copyright 2009 Trend Micro Inc.
  • 8. Риск – ошибки изоляции• Низкая вероятность• Очень высокий потенциальный ущерб• Уязвимости в гипервизоре• Степень риска – Высокая Copyright 2009 Trend Micro Inc.
  • 9. Подход к защите• Защита от кражи всей машины или ее виртуальных дисков – Шифрование данных• Защита от традиционных атак – Удачная атака может дать доступ к данным в обход шифрования Copyright 2009 Trend Micro Inc.
  • 10. Шифрование данных• Шифрование данных в облаке – один из основных защитных механизмов, рекомендованных CSA –Что именно шифровать? –Кто будет шифровать? –Как управлять ключами шифрования? Copyright 2009 Trend Micro Inc.
  • 11. Стандарт шифрования дисков:LUKS• LUKS - Linux Unified Key Setup• Определяет структуру зашифрованного диска• Де-факто стандарт шифрования дисков• Поддерживает схему безопасной установки ключей TKS1*• Linux реализация: dm-crypt• Windows реализация: FreeOTFE * TKS1 - An anti-forensic, two level, and iterated key setup scheme Copyright 2009 Trend Micro Inc.
  • 12. Управление ключами шифрования• Где хранить ключи? – нельзя сохранять на защищаемой машине – непрактично вводить вручную• Как обеспечить защиту ключей?• Как обеспечить доступность ключей? Copyright 2009 Trend Micro Inc.
  • 13. Схема шифрования данных иуправления ключами в облаке 1. Создание vCloud зашифрованного диска Сервер шифрования 3. Шифрует Управление дисками, 2. Запрос ключами и ключа политиками Сервер Б. Монтирование управления диска ключами А. Запрос ключа Classification 3/10/2011 Copyright 2009 Trend Micro Inc. 13
  • 14. Авторизация запросов на ключи• Ручная авторизация• Кто запрашивает ключ? – имя машины – IP адрес – местоположение (какой из датацентров) – тип ОС• В каком состоянии машина? – антивирус – открытые порты – целостность файлов Copyright 2009 Trend Micro Inc.
  • 15. Криптография – правовые вопросы• Можно ли применять шифрование для защиты данных в облаках? –Нет решений с сертифицированой криптографией –Формально, данные шифруются не в России –Управление ключами – тоже сервис Copyright 2009 Trend Micro Inc.
  • 16. Выбор решения• Система шифрования и управления ключами должна: – позволять заказчику контролировать ключи и отделять эту функцию от облачного провайдера – быть масштабируемой для множества машин – позволять авторизовывать запросы на ключи вручную и автоматически на основе политик – быть независимой от технологии облачного провайдера (lock-in риск) Copyright 2009 Trend Micro Inc.
  • 17. Основные подсистемы ИБ• Шифрование данных бессмысленно если система скомпрометирована• Cloud Control Matrix v.1.1 –Управление уязвимостями / патч менеджмент –Антивирусная защита –Защита сетевых соединений (МСЭ) –Аудит журналов / обнаружение вторжений –Управление инцидентами Copyright 2009 Trend Micro Inc.
  • 18. Ваша виртуальнаямашина в облаке упровайдера Copyright 2009 Trend Micro Inc.
  • 19. Возможна ли полная безопасностьв облаке?• Всегда высокий риск инсайдера со стороны персонала• Любой внешний IaaS провайдер – недоверенный!• Гарантия защиты на 100% невозможна, особенно в облаке• Всегда необходимо проводить анализ рисков• Для обработки риска потери данных доступны: – Контрактные обязательства провайдера – Шифрование – есть готовые решения для облаков – Традиционные подсистемы ИБ, готовые к облачному сценарию Copyright 2009 Trend Micro Inc.
  • 20. Вопросы?Denis_Bezkorovayny@trendmicro.com Copyright 2009 Trend Micro Inc.

×