Mobility and cloud security

7,259 views
7,198 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
7,259
On SlideShare
0
From Embeds
0
Number of Embeds
6,170
Actions
Shares
0
Downloads
85
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Mobility and cloud security

  1. 1. О двух аспектахреальной безопасности© Cisco, 2010. Все права защищены. 1/55
  2. 2. Быть свободным от границ рабочего стола, рабочего телефона, персонального компьютера и переговорных© Cisco, 2010. Все права защищены. 2/55
  3. 3. Чтобы рабочее место следовало за работником, а не наоборот – к заказчикам, к партнерам, в пути© Cisco, 2010. Все права защищены. 3/55
  4. 4. Работать вместе с тем, кто нужен, не взирая на Маша Петрова его местонахождение и часовой пояс ЗАЩИЩЕНО Наставник Организатор Директор Сын (в школе) Технолог Мама Исследователь Дизайнер Ася Букина Статус: Предпочтение: Вася Пупкин Статус: Предпочтение:© Cisco, 2010. Все права защищены. 4/55
  5. 5. Когда все что нужно, это защищенное подключение к сети, какое бы подключение вы не использовали© Cisco, 2010. Все права защищены. 5/55
  6. 6. Любой пользователь С любого устройства Сотрудники, iPhone, Смартфон, Партнеры, IP-телефон, Заказчики, Лэптоп Сообщества Сеть без границ Всегда на связи, На работе, дома, Мгновенный доступ, в кафе, в аэропорту Мгновенная реакция на ходу… Отовсюду В любое время© Cisco, 2010. Все права защищены. 6/55
  7. 7. 66% 45% 59% 45% 57% Согласятся на Готовы Хотят ИТ- ИТ-специалистов снижение поработать на использовать специалистов утверждают, что компенсации 2-3 часа в день на работе не готовы основной задачей (10%), если больше, если личные обеспечить при повышении смогут работать смогут сделать устройства бóльшую мобильности из любой точки это удаленно мобильность сотрудников мира сотрудников является обеспечение безопасности© Cisco, 2010. Все права защищены. 7/55
  8. 8. © Cisco, 2010. Все права защищены. 8
  9. 9. © Cisco, 2010. Все права защищены. 9/55
  10. 10. Мир ПК Эра пост-ПКz Приложения ОС пользователя ОС Сервера Клиентские устройства © Cisco, 2010. Все права защищены. 10/55
  11. 11. 2010 iPad + Mac = 12% рынка ПК 3.6Млрд 100+ Мобильных устройств* миллионов планшетников 300,000 1.8Млрд Ежедневных … имеют активаций web-доступ* 70% Android студентов США используют Mac**Gartner research prediction; Gartner Forecast: Tablet PCs, Worldwide, November, 2010© Cisco, 2010. Все права защищены. 11/55
  12. 12. 2013 Скоро будетОдин триллион устройств подключенных к сети, по сравнению с 3.6 МЛРД в 2010 Cisco IBSG© Cisco, 2010. Все права защищены. 12/55
  13. 13. 3,600,000 4% Mobile VoIP 5% Mobile Gaming 8% Mobile P2P 39x 17% Mobile Web/DataTB/mo 1,800,000 66% Mobile Video 0 2009 2010 2011 2012 2013 2014 Source: Cisco Visual Networking Index (VNI) Global Mobile Data Forecast, 2009–2014 © Cisco, 2010. Все права защищены. 13/55
  14. 14. Бизнес вышел за рамки ПК© Cisco, 2010. Все права защищены. 14/55
  15. 15. Мобильника Интернет Автомобиля Партнера 97% 84% 64% 43%© Cisco, 2010. Все права защищены. 15/55
  16. 16. Новый опыт ИТ-службы Cisco Консьюмеризация Непрерывное Распространение Мобильность соединение устройств Любое устройство, Везде, Всегда, Защищенно.... 2,454 iPads 70% рост Планшетники 11,762 1,164 15,403 3,289 iPhones Android BlackBerry Другие устройства 20% рост 76% рост 0% рост -18% рост© Cisco, 2010. Все права защищены. Смартфоны (КПК) 16/55
  17. 17. © Cisco, 2010. Все права защищены. 17
  18. 18. • Не игнорируйте вопрос применения мобильных устройств Да или нет?!• Анализ рисков и модель угроз Вредоносный код? Утечки? Посещение ненужных сайтов? Потеря устройства?• Отношение у BYOD (Buy Your Own Device) Если да, то какие требования надо соблюдать пользователям• Мобильные платформы• Доступ изнутри сети• Доступ извне сети Только через VPN? Применяется NAC? Доступ только к отдельным приложениям?© Cisco, 2010. Все права защищены. 18/55
  19. 19. • Отношение к Jailbrake Взломанное устройство – угроза ИБ• Приложения Есть ограничения? Собственная разработка? Контроль магазинов приложений? Собственные корпоративные магазины приложений? Процедура установки приложений?• Антивор Как искать украденное/потерянное устройство? Как дистанционно заблокировать устройство или удалить данные? Как защититься при смене SIM-карты?• Слежение за устройствами Контроль местонахождения устройства? Как? GPS?© Cisco, 2010. Все права защищены. 19/55
  20. 20. • Аутентификация • Разрешенное пользователя использование• Защищенное • Контроль соединение доступа• VPN-туннели • Защита от• Виртуальный вредоносного сейф кода• Анализ Cisco • Контроль защищенности утечек (DLP)• Контроль доступа (NAC) 3rd Parties • Блокирование устройства • Очистка данных • Pin enforcement • Аудит устройства © Cisco, 2010. Все права защищены. 20/55
  21. 21. Anti-virus Loss and theft protection Encryption Data-loss protectionSecure client and web-based VPN connectivity Firewall Back-up and restore First choice Anti-spam for messaging content Second choice Third choice URL filtering Application monitoring and control 0% 10% 20% 30% 40% 50% 60% Source: Candefero survey results, June 2011 (87 respondents) © Cisco, 2010. Все права защищены. © Canalys 21/55
  22. 22. • Удаленное управление и контроль Как организовать? Централизованно или через пользователя? Как отключать некоторые аппаратные элементы (Wi-Fi, Bluetooth, камера, диктофоно и т.д.)? Как ставить патчи? Как контролировать настройки? Как контролировать наличие нужных программ? Как удаленно «снять» конфигурацию? Как провести инвентаризацию? Troubleshooting?• Compliance Есть ли требования? Обязательные?• Аутентификация Только PIN? Логин/пароль? Одноразовые пароли? Аппаратные токены? Сертификаты? Аутентификация к локальным ресурсам устройствам? Доступ администратора к устройству (а если оно BYOD)?• Личная защита Черные списки телефонов? Скрытие от посторонних глаз SMS/номеров?© Cisco, 2010. Все права защищены. 22/55
  23. 23. • Резервирование и восстановление• Управление инцидентами Как осуществляется расследование? Как собираются доказательства? Управление журналами регистрации событий?© Cisco, 2010. Все права защищены. 23/55
  24. 24. • Встроенный функционал в мобильные устройства Например, идентификация местоположения устройства в iPad или встроенный VPN-клиент в Nokia e61i на Symbian• Функционал мобильных приложений Например, функция удаления данных в Good или Exchange ActiveSync• Отдельные решения для мобильных устройств В рамках портфолио – Cisco, Лаборатория Касперского, Sybase Специализированные игроки - MobileIron, Mobile Active Defense, AirWatch, Zenprise и т.д.© Cisco, 2010. Все права защищены. 24/55
  25. 25. Устройства Безопасность Управление Форм Фактор Защищенное Управление соединение устройством ОС Контроль Слежение за приложений устройством Приложения Внедрение Защита Web Голос Конференции приложений Internal Web Apps Apps Видео Сообщения Производите Защита льность & устройства Диагностика Соединение Управление Шифрование затратами на 2G/3G WiFi VPN данных связь© Cisco, 2010. Все права защищены. 25/55
  26. 26. © Cisco, 2010. Все права защищены. 26
  27. 27. Softwar Google Apps, e-as-a- Salesforce.com Service MS Azure, Platform Google App -as-a- Engine Service Infrastru c-ture- Amazon EC2, as-a- co-location Service© Cisco, 2010. Все права защищены. 27/55
  28. 28. • ERP • Service Desk • Управление контентом • HRM • Управление заказами (ORM) • Управление затратами и поставщиками (SRM) • Унифицированные коммуникации • Управление проектами • Управление цепочками поставок (SCM) • Web 2.0© Cisco, 2010. Все права защищены. 28/55
  29. 29. Почему вы не думаете об облаке/аутсорсинге? Другое 19 Производительность 16 Слабая кастомизация 18 Слабый каналы связи 18 Зависимость от текущего… 19 Сложное ценообразование 20 Вопросы интеграции 23 Нет нужных приложений 23 Безопасность и privacy 30 Вопросы цены 36 0 5 10 15 20 25 30 35 40© Cisco, 2010. Все права защищены. Источник: Forrester Research 29/55
  30. 30. Своя ИТ- Хостинг- IaaS PaaS SaaS служба провайдер Данные Данные Данные Данные Данные Приложения Приложения Приложения Приложения Приложения VM VM VM VM VM Сервер Сервер Сервер Сервер Сервер Хранение Хранение Хранение Хранение Хранение Сеть Сеть Сеть Сеть Сеть - Контроль у заказчика - Контроль распределяется между заказчиком и аутсорсером - Контроль у аутсорсера© Cisco, 2010. Все права защищены. 30/55
  31. 31. • Стратегия безопасности аутсорсинга Пересмотрите свой взгляд на понятие «периметра ИБ» Оцените риски – стратегические, операционные, юридические Сформируйте модель угроз Сформулируйте требования по безопасности Пересмотрите собственные процессы обеспечения ИБ Проведите обучение пользователей Продумайте процедуры контроля аутсорсера Юридическая проработка взаимодействия с аутсорсером• Стратегия выбора аутсорсера Чеклист оценки ИБ аутсорсера© Cisco, 2010. Все права защищены. 31/55
  32. 32. • Финансовая устойчивость аутсорсера• Схема аутсорсинга SaaS, hosted service, MSS• Клиентская база• Архитектура• Безопасность и privacy• Отказоустойчивость и резервирование• Планы развития новых функций© Cisco, 2010. Все права защищены. 32/55
  33. 33. • Защита данных• Управление уязвимостями• Управление identity• Объектовая охрана и персонал• Доступность и производительность• Безопасность приложений• Управление инцидентами• Privacy© Cisco, 2010. Все права защищены. 33/55
  34. 34. • Непрерывность бизнеса и восстановление после катастроф• Журналы регистрации• Сompliance• Финансовые гарантии• Завершение контракта• Интеллектуальная собственность© Cisco, 2010. Все права защищены. 34/55
  35. 35. • Как мои данные отделены от данных других клиентов?• Где хранятся мои данные?• Как обеспечивается конфиденциальность и целостности моих данных?• Как осуществляется контроль доступа к моим данным?• Как данные защищаются при передаче от меня к аутсорсеру?• Как данные защищаются при передаче от одной площадки аутсорсера до другой?• Релизованы ли меры по контролю утечек данных?• Может ли третья сторона получить доступ к моим данным? Как? Оператор связи, аутсорсер аутсорсера• Все ли мои данные удаляются по завершении предоставления сервиса?© Cisco, 2010. Все права защищены. 35/55
  36. 36. • Как часто сканируется сеть и приложения?• Можно ли осуществить внешнее сканирование сети аутсорсера? Как?• Каков процесс устранения уязвимостей?© Cisco, 2010. Все права защищены. 36/55
  37. 37. • Возможна ли интеграция с моим каталогом учетных записей? Как?• Если у аутсорсера собственная база учетных записей, то Как она защищается? Как осуществляется управление учетными записями?• Поддерживается ли SSO? Какой стандарт?• Поддерживается ли федеративная система аутентификации? Какой стандарт?© Cisco, 2010. Все права защищены. 37/55
  38. 38. • Контроль доступа осуществляется в режиме 24х7?• Выделенная инфраструктура или разделяемая с другими компаниями?• Регистрируется ли доступ персонала к данным клиентов?• Есть ли результаты оценки внешнего аудита?• Какова процедура набора персонала?© Cisco, 2010. Все права защищены. 38/55
  39. 39. • Уровень доступности в SLA (сколько девяток)• Какие меры обеспечения доступности используются для защиты от угроз и ошибок? Резервный оператор связи Защита от DDoS• Доказательства высокой доступности аутсорсера• План действия во время простоя• Пиковые нагрузки и возможность аутсорсера справляться с ними© Cisco, 2010. Все права защищены. 39/55
  40. 40. • Исполнение рекомендаций OWASP при разработке приложений• Процедура тестирования для внешних приложений и исходного кода• Существубт ли приложения третьих фирм при оказании сервиса?• Используемые меры защиты приложений Web Application Firewall Аудит БД© Cisco, 2010. Все права защищены. 40/55
  41. 41. • План реагирования на инциденты Включая метрики оценки эффективности• Взаимосвязь вашей политики управления инцидентами и аутсорсера© Cisco, 2010. Все права защищены. 41/55
  42. 42. • Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу• Какие данные собираются о заказчике? Где хранятся? Как? Как долго?• Какие условия передачи данныех клиента третьим лицам? Законодательство о правоохранительных органах, адвокатские запросы и т.п.• Гарантии нераскрытия информации третьим лицам и третьими лицами?© Cisco, 2010. Все права защищены. 42/55
  43. 43. • План обеспечения непрерывности бизнеса и восстановления после катастроф• Где находится резервный ЦОД?• Проходил ли аутсорсер внешний аудит по непрерывности бизнеса? Есть ли сертифицированные сотрудники по непррывности бизнеса?© Cisco, 2010. Все права защищены. 43/55
  44. 44. • Как вы обеспечиваете сбор доказательств несанкционированной деятельности?• Как долго вы храните логи? Возможно ли увеличение этого срока?• Можно ли организовать хранение логов во внешнем хранилище? Как?© Cisco, 2010. Все права защищены. 44/55
  45. 45. • Подчиняется ли аутсорсер локальным нормативным требованиям? Каким? Как локальные нормативные требования соотносятся с требованиями клиента?• Проходил ли аутсорсер внешний аудит соответствия? ISO 27001 PCI DSS Аттестация во ФСТЭК© Cisco, 2010. Все права защищены. 45/55
  46. 46. • Какая компенсация подразумевается в случае инцидента безопасности или нарушения SLA?© Cisco, 2010. Все права защищены. 46/55
  47. 47. • Кому принадлежат права на информацию, переданную аутсорсеру? А на резервные копии? А на реплицированные данные? А на логи?• Удостоверьтесь, что ваш контракт не приводит к потере прав на информацию и иные ресурсы, переданные аутсорсеру?© Cisco, 2010. Все права защищены. 47/55
  48. 48. • Процедура завершения контракта? Возврат данных? В каком формате? Как скоро я получу мои данные обратно? Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии?• Какие дополнительные затраты на завершение контракта?© Cisco, 2010. Все права защищены. 48/55
  49. 49. © Cisco, 2010. Все права защищены. 49
  50. 50. Политика Периметр Приложения и данные Офис Филиал Хакеры Партнеры Заказчики© Cisco, 2010. Все права защищены. 50/55
  51. 51. Политика Периметр Приложения и данные Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики© Cisco, 2010. Все права защищены. 51/55
  52. 52. Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики© Cisco, 2010. Все права защищены. 52/55
  53. 53. Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики© Cisco, 2010. Все права защищены. 53/55
  54. 54. Политика Политика 4 (Access Control, Acceptable Use, Malware, Data Security) Data Center Borderless Периметр Platform Infrastructure Приложения и Software as a Service as a Service X 3 данные as a Service as a Service Офис Borderless Internet 2 Филиал End Zones Borderless Дом Аэропорт 1 Мобильный Кафе пользователь Хакеры Партнеры Заказчики© Cisco, 2010. Все права защищены. 54/55
  55. 55. Praemonitus praemunitus!Спасибоза внимание! security-request@cisco.com

×