Your SlideShare is downloading. ×
0
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Bondarenko csa risspa20110309
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Bondarenko csa risspa20110309

1,168

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,168
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
19
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Риски использования облачных технологий Александр Бондаренко, CISA, CISSP Директор департамента консалтинга LETA IT
  • 2. Что такое Cloud Computing ?! это не новая технология, а новый способ предоставления ИТ-сервисов это понятная для бизнеса модель растущая и пока не устоявшаяся отрасль
  • 3. Формы использования облачных технологий Platform as a Service (PaaS) Software as a Service (SaaS) Infrastructure as a Service (IaaS) Public Cloud Private Cloud Hybrid CloudPage § 3
  • 4. Риск - «Привязка» к провайдеруПоследствия: невозможность/сложность миграции отодного провайдера к другому или в собственное приватноеоблакоПримеры:§ --Контрмеры: тщательный подход к выбору провайдера выбор провайдера, использующего открытые стандарты закладка возможности портирования в программный кодPage § 4
  • 5. Риск – Банкротство или поглощение провайдера Последствия: остановка предоставления сервиса, изменение предоставляемых услуг Примеры: Июнь 4, 2009, Cassatt, the San Jose, Calif.-based provider of cloud computing environments, has sold its assets to public IT management firm CA for an undisclosed sum Февраль 25, 2009, Coghead customers have two months to save their data SAP buys the cloud app hosting services technology but has no plans to keep the platform going Контрмеры: тщательный подход к выбору провайдера работа с несколькими провайдерами наличие плана действий по смене провайдера Page § 5
  • 6. Риск – Сбои на стороне провайдера Последствия: приостановка предоставления сервиса, потеря информации Примеры: Декабрь 6, 2010, The Tumblr blog-hosting platform has been down for more than 17 hours, in what appears to be the longest outage in the company’s history Октябрь 12, 2010, Heroku experienced an unplanned maintenance outage. The outage was the result of a hardware issue with a misbehaving database. Август 25, 2010, A number of businesses suffered "intermittent access" to their web-based Microsoft applications this week following a fault at the software giants US datacentre Контрмеры: тщательный подход к выбору провайдера определение требований и санкций в SLA Page § 6
  • 7. Риск – Потеря связи с провайдером Последствия: невозможность получить доступ к сервисам, остановка бизнес-процессов Примеры: Январь 2011, В Египте произошло полное отключение Интернета крупными провайдерами (Etisalat Misr, Link Egypt, Telecom Egypt и Vodafone/Raya), а также частичное отключение мобильной связи Июль 2009, Власти Китая подтвердили факт блокирования доступа в интернет в городе Урумчи Синьцзян-Уйгурского автономного района, в котором развернулись народные волнения на межнациональной почве. Январь 2008, В результате разрыва оптоволоконных магистралей на дне Средиземного моря, соединяющих Ближний Восток и Южную Азию с Европой и Северной Америкой, миллионы пользователей оказались отрезаны от интернета и фиксированной телефонной связи. На восстановление работы сети в штатном режиме потребуется до двух недель, заявляют официальные лица. Page § 7
  • 8. Риск – Потеря связи с провайдером Последствия: невозможность получить доступ к сервисам, остановка бизнес-процессов Контрмеры: выбор провайдера, имеющего датацентры в нескольких странах спутниковая интернет-связь наличие резервной копии критичных систем в частном облаке Page § 8
  • 9. Риск – Перехват информации при передаче Последствия: несанкционированный доступ и (при необходимости) изменение информации Примеры: § -- Контрмеры: Использование криптографии при передаче информации Обучение пользователей правилам безопасности Page § 9
  • 10. Риск - Утрата соответствия требованиям Последствия: штрафы и иные санкции со стороны регуляторов Примеры: Amazon, 2009, From a compliance and risk management perspective, we (Amazon) recommend customers not to store sensitive credit card payment information on EC2/S3 systems as they are not inherently PCI level 1 compliant. Контрмеры: тщательный подход к выбору провайдера консультации с регуляторами/аудиторами (QSA) Page § 10
  • 11. Риск - Потеря контроля над данными/инфраструктурой Последствия: отсутствие возможности обеспечения должного уровня безопасности Примеры: Октябрь 2010, Adam Swidler, a product marketing manager at Google speaking at the Mass Technology Leadership Council Security Summit. "We wont let you audit to the degree that you would audit your own infrastructure," Swidler says. "Its never going to be the same as auditing your own infrastructure. Youll have to extend some level of trust to third-party verification." Контрмеры: проведение аудитов безопасности провайдера выбор провайдера, отвечающего требованиям по ИБ мониторинг уровня сервиса и инцидентов ИБ Page § 11 доверие J
  • 12. Риск – Невозможность уничтожения информацииПоследствия: утечка информации, санкции со сторонырегуляторовПримеры:§  --Контрмеры: шифрование данных в облаке обезличивание/маскирование информации включение требований по процедуре уничтожения информации в SLA Page § 12
  • 13. Риск – Инсайдеры на стороне провайдера Последствия: кража и/или изменение информации Примеры: § -- Контрмеры: шифрование данных в облаке обезличивание/маскирование информации Page § 13
  • 14. Риск – Взлом интерфейсов управления Последствия: кража, изменение, уничтожение информации и/или прикладных систем Примеры: § -- Контрмеры: двухфакторная аутентификация шифрования передаваемых данных аутентификации обеспечение безопасности на стороне клиента Page § 14
  • 15. Риск – DDOS Последствия: невозможность получить доступ к сервисам, остановка бизнес-процессов Примеры: Октябрь 2009, a customer of Amazon’s cloud computing service - Bitbucket (www.bitbucket.org), a web-based code hosting service that uses both EC2 and the Amazon’s Elastic Block Storage - reported 19 hours of downtime as a result of a DDoS attack. Апрель 2009, Hosting company GoGrid suffered a denial of service attack Monday afternoon, which affected approximately half of its thousands upon thousands of customers, said its co-founder on Tuesday. Контрмеры: выбор ddos-устойчивого провайдера работа с несколькими провайдерами Page § 15
  • 16. Риск – Деятельность других пользователей облака Последствия: несанкционированный доступ к информации, невозможность получить доступ к сервисам, остановка бизнес-процессов и проч… Примеры: Апрель 2009, The FBI raided a Dallas carrier hotel Thursday and seized equipment from data center space operated by Core IP Networks. “Many customers went to the data center to try and retrieve their equipment, but were threatened with arrest.” Сентябрь 2010, ATBHost.net experienced a customer attempting to hack other WordPress users on the same server and replaced their sites with malicious phishing sites. Контрмеры: тщательный подход к выбору провайдера Page § 16 работа с несколькими провайдерами
  • 17. Заключение Cloud Computing – объективное ИТ-будущее, с которым не надо бороться, надо адаптироваться Обеспечить безопасность «в облаке» в ряде случаев и проще и эффективнее Облачные технологии в перспективе способны обеспечить более высокий уровень отказоустойчивости и надежности Page § 17
  • 18. СПРАВОЧНАЯ  ИНФОРМАЦИЯ   http://www.cloudsecurityalliance.org/topthreats.html http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment http://cloutage.org/ http://cloudcomputing.sys-con.com/node/1465147 http://cloudcomputingtopics.com/2010/10/avoiding-cloud-computing-lock-in/ http://www.infoworld.com/t/platforms/coghead-customers-have-two-months-save-their- data-815 http://gigaom.com/2010/12/06/tumblr-outage-continues-can-it-pull-a-twitter-and- recover/ http://www.information-age.com/channels/security-and-continuity/news/1278058/ microsoft-cloud-services-suffer-outage.thtmlPage § 18
  • 19. КОНТАКТНАЯ  ИНФОРМАЦИЯ  Бондаренко Александр ВалерьевичE-mail: al.bondarenko@gmail.comLinkedIn: http://ru.linkedin.com/in/alexbondarenkoBlog: http://secinsight.blogspot.com

×