Документ представляет собой анализ проблематики защиты центров обработки данных (ЦОД) и подчеркивает важность соблюдения нормативных требований, безопасности сети и виртуализации. Он обсуждает современные тенденции, включая распределенность, оптимизацию и гибкость, а также предлагает стратегии безопасности и оценки для внешних партнеров. Основное внимание уделяется различным аспектам безопасности, таким как управление инцидентами, защита данных и доступность приложений.

1. Общая проблематика
защиты ЦОДов
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 1/22

2. Давление со всех сторон
Соответствие
нормативным
требованиям
Быстрое
Внутренние выделение
пользователи ресурсов
Мобильные Совместно
пользователи Пользователи ЦОД Доступ работающие
приложения
Внешние к сервисам Гибкость
пользователи
сервисов
Атакующие Производительность
приложений
Оптимизация
эксплуатации
Глобальная
доступность Защита
Использование окружающей
ресурсов среды
© Cisco, 2010. Все права защищены. 2/22

3. Свой Аренда
ЦОД ЦОД
Чужой
ЦОД Облако
© Cisco, 2010. Все права защищены. 3/22

4. Новые тенденции влияют на архитектуру ЦОД
Распределенность
Контроль доступа; масштабируемость
Виртуализация
Консолидация; оптимизация; гибкость
Открытость
Защищенный доступ мобильных и внешних пользователей
Масштабируемость и простота
Масштабирование емкости и производительности в соответствии с бизнес-требованиями
2000 2005 2010 2015
© Cisco, 2010. Все права защищены. 4/22

5. • Виртуализация
• Сети хранения
• Приложения
• Утечки данных
• Соответствие
• Доступность
© Cisco, 2010. Все права защищены. 5/22

6. 1 Безопасность периметра ЦОД
2 Безопасность сети хранения данных (SAN)
3 Безопасность на уровне инфраструктуры
4 Безопасность виртуализации
5 Безопасность серверов и приложений
© Cisco, 2010. Все права защищены. 6/22

7. Серверная L2/L3
Сеть хранения Frontend и приложения
ферма сеть
Clustered Servers Resilient Security Application Business
IP Networking Applications
Application
Control
VPN Engine
SAN
Основной ЦОД
Disk
SSL
Firewall
GSS
IDS
NAS
Tape
Anomaly
Detect/Guard Wide Area
Application
Services IBM
GE/
WAFS 10GE
Metro Network WAN
Optical/Ethernet WAAS
MDS Clients
ONS 15000 9216
Резервный ЦОД Филиал
© Cisco, 2010. Все права защищены. 7/22

8. • Безопасность сетей хранения
VLAN VSAN
ACL hard/soft zoning
Ethernet Port Security FC Port Security
IPSec FCSec, как часть FC-SP
• Безопасность виртуализации
VLAN виртуальные контексты (virtual device context)
ACL атрибуты виртуальных машин
Ethernet Port Virtual PortChannel
• Есть нюанс – сертифицированные СЗИ
Ориентироваться на них или нет?
© Cisco, 2010. Все права защищены. 8/22

9. • Защита данных
• Управление уязвимостями
• Управление identity
• Объектовая охрана и персонал
• Доступность и производительность
• Безопасность приложений
• Управление инцидентами
• Privacy
• Непрерывность бизнеса и восстановление после катастроф
• Журналы регистрации
• Сompliance
© Cisco, 2010. Все права защищены. 9/22

10. Управляющие
критичные сервисы
Управляющие
некритичные сервисы
Самостоятельные
некритичные сервисы
© Cisco, 2010. Все права защищены. 10/22

11. Своя ИТ- Хостинг-
IaaS PaaS SaaS
служба провайдер
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
VM VM VM VM VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и владельцем внешнего ЦОД
- Контроль у владельца внешнего ЦОД
© Cisco, 2010. Все права защищены. 11/22

12. • Стратегия безопасности во внешнем ЦОД
Пересмотрите свой взгляд на понятие «периметра ИБ»
Оцените риски – стратегические, операционные, юридические
Сформируйте модель угроз
Сформулируйте требования по безопасности
Пересмотрите собственные процессы обеспечения ИБ
Проведите обучение пользователей
Продумайте процедуры контроля аутсорсера
Юридическая проработка взаимодействия с аутсорсером
• Стратегия выбора внешнего ЦОД-партнера
Чеклист оценки ИБ для внешнего ЦОД
© Cisco, 2010. Все права защищены. 12/22

13. • Финансовая устойчивость аутсорсера
• Схема аутсорсинга
XaaS, hosted service, MSS
• Клиентская база
• Архитектура
• Безопасность и privacy
• Отказоустойчивость и резервирование
• Планы развития новых функций
© Cisco, 2010. Все права защищены. 13/22

14. • Финансовые гарантии
• Завершение контракта
• Интеллектуальная собственность
© Cisco, 2010. Все права защищены. 14/22

15. Минуя корпоративный периметр!
Формирование
доверительных отношений
SaaS PaaS
 Защищенная инфраструктура
распределенных сетевых сервисов
IaaS
Защищенные подключения и доступ
 Защищенное увеличение емкости
 Защищенный доступ для
Защищенный Защищенное пользователей, работающих
подключение в офисе, и мобильных пользователей
доступ
Мобильные
Защищенные приложения на
пользователи распределенной платформе
 Защита от угроз
Филиал  Подтверждение соответствия
нормативным требованиям
Внутренние
пользователи
© Cisco, 2010. Все права защищены. 15/22
15

16. Praemonitus praemunitus!
Спасибо
за внимание!
security-request@cisco.com