2. СООТВЕТСТВИЕ
ТРЕБОВАНИЯМ
ОБЛАЧНЫЕ
ВИРТУАЛИЗАЦИЯ СРЕДЫ
ТЕНДЕНЦИИ
3. Уходя от традиционного периметра…
Политика
Периметр
Приложения и
данные
Офис
Филиал
Хакеры Партнеры Заказчики
4. …к отсутствию контролируемой зоны…
Политика
Периметр
Приложения и
данные
Офис
Филиал
Дом
Аэропор
т
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
5. …и облакам (а также XaaS)…
Политика
Периметр Platform Infrastructure
Приложения и as a Service as a Service
Software X
данные as a Service
as a Service
Офис
Филиал
Дом
Аэропор
т
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
6. …пора подумать о смене парадигмы ИБ…
Политика
Периметр Platform Infrastructure
Приложения и as a Service as a Service
Software X
данные as a Service
as a Service
Офис
Филиал
Дом
Аэропор
т
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
7. И создать новую стратегию ИБ!
Политика
Политика 4 (Access Control, Acceptable Use, Malware, Data Security)
Data Center
Borderless
Периметр Platform Infrastructure
Приложения и
Software
as a Service as a Service
X
3
данные as a Service
as a Service
Офис
Borderless
Internet
2
Филиал
End Zones
Borderless
Дом
Аэропор
т 1
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
9. Если вы решились
• Стратегия безопасности облачных вычислений
– Пересмотрите свой взгляд на понятие «периметра ИБ»
– Оцените риски – стратегические, операционные, юридические
– Сформируйте модель угроз
– Сформулируйте требования по безопасности
– Пересмотрите собственные процессы обеспечения ИБ
– Проведите обучение пользователей
– Продумайте процедуры контроля облачного провайдера
– Юридическая проработка взаимодействия с облачным
провайдером
• Стратегия выбора аутсорсера
– Чеклист оценки ИБ облачного провайдера
10. Cisco Cloud Risk Assessment Framework
R1: Data Risk
R2: User R3: Regulatory
and
Identity Compliance
Accountability
R5: User
R4: Business
Privacy & R6: Service &
Continuity &
Secondary Data Integration
Resiliency
Usage of Data
R7: Multi-
R8: Incident R9:
tenancy &
Analysis & Infrastructure
Physical
Forensics Security
Security
R10: Non-
production
Environment
Exposure
10
13. Требований даже у ФСТЭК много
СТР-К РД
15408
МСЭ,
Ключевые
системы
Персональные
данные
Коммерческая
тайна
«Служебная
тайна» (СТР-К) АС
СВТ…
Требования по защите Требования к Требования к
разных видов тайн разработке функциональности
средств защиты средств защиты
14. А еще есть требования СТО Банка России, 382-П и т.д.
СТО РС
Отраслевая
Рекомендации Руководство по
Общие Методика частная
Аудит ИБ по самооценке Методика Требования по
положения оценки модель угроз
1.1-2007 документации в соответствия оценки рисков ИБ ПДн
1.0-2010 соответствия безопасности
области ИБ ИБ 2.2-2009 2.3-2010
v1 1.2-2010 ПДн
v4 2.0-2007 2.1-2007 v1 v1
v3 2.4-2010
v1 v1
v1
• Применяются не только к банкам
• Планируется накрытие этими требованиями всех участников
Национальной платежной системы (НПС)
15. Требования многих НПА по ИБ во многом схожи
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
•Контроль целостности
Общие •Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
•Защита специфичных процессов (биллинг, АБС, PCI…)
Специфичные •Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография)
16. Основные функции защиты по мнению отечественных
регуляторов
• Управление доступом
• Регистрация и учет
• Обеспечение целостности
• Анализ защищенности
• Обеспечение безопасного межсетевого взаимодействия
• Обнаружение вторжений
• Антивирусная защита
• Обеспечение конфиденциальности
17. 3 ключевых модели доступа с точки зрения ИБ
Доступ к частному облаку
отовсюду
Доступ к публичному
облаку из информационной
системы
Доступ к публичному
облаку из-за пределов
информационной системы
18. Типы облаков с точки зрения ИБ и compliance
Публичное Публичное
Частное
(локальное) (глобальное)
• Управляется • Управляется одним • Управляется
организацией или юридическим множеством
третьим лицом лицом юридических лиц
• Обеспечение • Обеспечение • Требования по
безопасности легко безопасности безопасности
реализуемо реализуемо различаются в
• Вопросы средними разных странах
законодательного усилиями • Законодательные
регулирования • Вопросы требования
легко решаемы законодательного различаются в
регулирования разных странах
решаемы
средними
усилиями
19. Частное облако vs центр обработки данных – есть ли
разница?
Application Virtual Storage Aggregation IP-NGN
VSwitch Compute Access Core Edge
Software Machine & SAN and Services Backbone
App
App
OS
App
OS
OS
Virtual Device
Fabric-Hosted Contexts
Storage
App Virtualization
App
OS
Firewall Virtual Device Internet
App
OS Services Contexts
OS Storage
Media Secure
App
App
Encryption Domain
App
OS
OS
Routing
OS
IP-NGN
Service
Profiles
Port Profiles &
Virtual VN-Link
Machine Line-Rate
Optimization NetFlow
Fibre Channel
Forwarding Partners
Port Profiles &
VN-Link Fabric
App
Extension
App
OS Application
App
OS Control
OS
(SLB+)
Service
Control
App
App
OS Virtual
App
OS Contexts for
OS
FW & SLB
20. Безопасное межсетевое взаимодействие
Реализация согласованных политик независимо от физических и
виртуальных границ для защиты данных стационарных и мобильных
систем
Сегментация с помощью Сегментация с помощью
межсетевого экрана матрицы коммутации
Динамический
UCS Fabric Interconnect
аварийный/рефлективный список ACL
Мультиконтекстная
сеть VPN
TrustSec
Сегментация с учетом
контекста Сегментация сети
Метки для групп безопасности (SGT) Физическая среда
Протокол безопасной передачи (SXP) Виртуальная среда (VLAN, VRF)
ACL-списки для групп безопасности Виртуализованная среда (зоны)
21. Сегментация
Сегментация с помощью межсетевого экрана
Трафик «север - юг». Проверка всего входящего и
исходящего трафика центра обработки данных
Физическая среда
Устройство • Проверка всего трафика центра обработки данных в
устройстве обеспечения безопасности периметра сети
• Высокая скорость для всех сервисов, включая всю систему
предотвращения вторжений (IPS), благодаря единой среде
Модуль для передачи данных между зонами доверия
коммутатора • Разделение внешних и внутренних объектов сети (трафик
«север-юг»)
Трафик «восток-запад». Создание безопасных зон доверия
многопользовательская
между приложениями и пользователями в центре обработки
данных
Виртуальная /
Виртуальный
межсетевой экран Виртуальный межсетевой экран контролирует границы сети
среда
• Разделение пользователей в многопользовательских средах
Среда виртуализации (VMware, Hyper-V) контролирует зоны
Среда виртуализации • Разделяет приложения или виртуальные машины у одного
пользователя
22. Особенности возникают при виртуализации
1. VMware и аналоги позволяют
перемещать виртуальные машины
между физическими серверами
Политика безопасности должна
соответствовать этому процессу
2. Администраторам необходима
возможность обзора и применения
политики безопасности к локально
коммутируемому трафику
Группа
3. Администраторам необходимо портов
поддерживать разделение
обязанностей, одновременно
обеспечивая бесперебойную
эксплуатацию Администрирование
Безопасности Администрирование
4. Правильная модель угроз позволяет серверов
уйти от применения только
сертифицированных средств защиты Сетевое администрирование
23. А если у вас не VMware? И не Hyper-V (в ближайшем
будущем)? А если у вас KVM?
Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина
Nexus Nexus
1000V 1000V
VEM VEM
Nexus 1000V
VMware vSphere Nexus 1000V Windows 8 Hyper-V
VSM VSM
VMware vCenter SCVMM
• Вам нужно сертифицированное решение по защите
виртуализированной среды или нет?
24. А что если нельзя защитить виртуализированную среду на
базе сертифицированных решений
• Не имея возможности решить задачу на уровне виртуализации
можно опуститься на уровень сети, где есть все необходимые
решения
• Дизайн сети станет сложнее
• Надо искать компромисс между требованиями регуляторов и
предоставлением сервиса
26. 6 новых задач ИБ для публичных облаков
Изоляция Регистрация
Multi-tenancy
потребителей изменений
Криптография Контроль
Доступность
(в России) провайдера!!!
27. Изменение парадигмы ИБ регуляторов при переходе в
публичное облако
Один объект
= один Один объект =
субъект множество
субъектов
• Защищать надо не только отдельных субъектов, но и
взаимодействие между ними
• С учетом отсутствия контролируемой зоны и динамической
модели предоставления сервиса
28. МСЭ с виртуальными контекстами могут решить задачу
(один заказчик = один контекст)
Компания X Компания Y
Виртуальна Виртуальна Виртуальна
я машина 1 я машина 2 я машина 4
Виртуальна Виртуальна
я машина 3 я машина 5
МСЭ Виртуализованные web-серверы МСЭ
Физическое
устройство
Сеть IPsec VPN для связи между объектами
Cisco ASA
Пример использования:
физическая среда компании X
• Компания X намерена развернуть свои web-серверы в облаке,
web-
• Компания X также располагает локально размещенными физическими
серверами
Физический Физический • Разработчикам компании X необходим доступ к web-серверам в
web-
сервер 1 сервер 1 виртуализованной среде.
• В процессе настройки устанавливается VPN-туннель между объектами.
VPN-
29. Разная ответственность за защиту для разных архитектур
облаков
Провайдер
Данные Заказчик
Данные
Заказчик
ОС/Приложения Приложения
VMs/Containers
Провайдер
Провайдер
IaaS PaaS SaaS
• В зависимости от архитектуры облака часть функций защиты
может решать сам потребитель самостоятельно
30. Типы архитектур облака и средства защиты
IaaS PaaS SaaS
• Заказчик облачных • Заказчик облачных • Заказчик облачных
услуг может услуг привязан к услуг не имеет
использовать любые предоставляемой возможности по
средства защиты, платформе выбору средств и
устанавливаемые на • Выбор СЗИ (особенно механизмов защиты
предоставляемую сертифицированных) облака
аппаратную ограничен и, как • Выбор лежит на
платформу правило, лежит на облачном провайдере
облачном провайдере
• Заказчик может
настраивать функции
защиты приложений
• Компромисс между
средствами защиты и
облачными услугами
32. Законодательный compliance: пока есть вопросы
• Защита конфиденциальной информации
– Обеспечение конфиденциальности
– Уведомление о фактах утечки
– Оказание услуг в области шифрования
– Деятельность по технической защите конфиденциальной
информации
– Обеспечение безопасности
• Местоположение данных
• Защита прав субъектов персональных данных
• Защита интеллектуальной собственности
• Обеспечение СОРМ
• Сбор и хранение данных для судебных разбирательств
(eDiscovery)
• Юрисдикция и ответственность
33. Рост нормативных требований в зависимости от «типа»
облака
Облако само по себе
Облако обрабатывает
информацию
ограниченного доступа
Облако предоставляет
услуги по защите
35. Мнение Минкомсвязи
• «Помимо этого сервер, предоставляющий услугу облачных
вычислений, должен находиться в России. В какой-то
степени такие условия осложняют жизнь хостерам, потому
что придется взаимодействовать с такими службами, как
ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо
сделать, чтобы облачные платформы в будущем имели
возможность нормальной работы не только с госорганами,
но и с другими структурами»
– Илья Массух, бывший советник министра связи и массовых
коммуникаций на конференции «Защита персональных
данных», 27 октября 2011 года
• Сейчас отмечен очередной этап интереса к теме
регулирования облаков – готовится новая законодательная
база
37. Виды защищаемой информации
• 65 видов тайн в
российском
законодательстве
• Персональные
данные
• Коммерческая тайна
• Банковская тайна
• Тайна переписки
• Инсайдерская
информация
38. В облака отдают конфиденциальную информацию!
• Управление предприятием (ERP)
• Поддержка пользователей (Service Desk)
• Управление контентом
• Управление персоналом (HRM)
• Управление заказами (ORM)
• Управление затратами и поставщиками (SRM)
• Унифицированные коммуникации
• Управление проектами
• Управление цепочками поставок (SCM)
• Управление электронной почтой и мгновенными сообщениями
• Биллинг
• Пользовательские приложения
39. Обеспечение конфиденциальности
• Инфраструктура хранения данных в облаке общая
• Требуется обеспечить конфиденциальность для данных каждого
владельца данных, обрабатываемых в облаке, и не дать им
перемешиваться с другими
• Конфиденциальность достигается различными техническими и
организационными мерами
40. Интеллектуальная собственность
• Какие виды интеллектуальной собственности могут
обрабатываться в облаке?
– Приложения (программы для ЭВМ) и базы данных
– Телевизионное вещание (IPTV)
– Секреты производства (ноу-хау)
– Промышленная собственность (изобретения и т.п.)
– Средства индивидуализации (товарные знаки и т.п.)
• Что с защитой интеллектуальной собственности?
– А она у вас оценена?
• Введен ли режим коммерческой тайны для секретов
производства?
– Если режим защиты КТ сложно ввести у себя на предприятии,
то как его ввести на чужом предприятии?
41. Юрисдикция или кому подчиняется ваше облако?
• Американские компании, действующие на территории других стран
остаются подотчетными американскому законодательству и
требованиям американских регуляторов
– Американские регуляторы могут затребовать любые данные у
американского облачного провайдера (Google, Oracle,
Microsoft/Skype и т.д.) без согласования с пользователем
облачных услуг
43. Персональные данные
• Хранение – это одна из форма обработки
• Трансграничные потоки персональных данных
• Адекватный уровень защиты
• В разных странах Евросоюза могут быть разные требования по
защите персональных данных
– В целом они похожи, но могут быть исключения и отличия
• Согласие на передачу ПДн клиентов/сотрудников облачного
заказчика облачному провайдеру
• Требования ФЗ-152 применяются, в основном, к операторам ПДн,
а не к обработчикам
– Облачный провайдер – это обработчик в терминологии
Европейской Конвенции
– По ФЗ-152 это лицо, осуществляющее обработку персональных
данных по поручению оператора
44. Требования меняются в зависимости от статуса
Субъект ПДн Оператор ПДн Обработчик ПДн
Субъект ПДн Обработчик ПДн Оператор ПДн
45. Облачный провайдер – обработчик ПДн
• Условия обработки ПДн в облаке (должны быть прописаны в
договоре между облачным заказчиком и провайдером)
– Указание перечня действий (операций) с ПДн, которые будут
совершаться обработчиком и цели обработки
– Обеспечение конфиденциальность ПДн
– Обеспечение безопасности ПДн при их обработке
– Требования к защите обрабатываемых ПДн в соответствие с
ст.19 ФЗ-152
• Обработчик не обязан получать согласие субъекта ПДн
• Ответственность перед субъектом за действия обработчика все
равно несет оператор
– Обработчик несет ответственность перед оператором
46. Трансграничная передача данных
• Трансграничная передача персональных данных на территории
иностранных государств, являющихся сторонами Конвенции
Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных, а также иных иностранных
государств, обеспечивающих адекватную защиту прав субъектов
персональных данных осуществляется в соответствие с ФЗ-152
– Перечень «неадекватных» определяет Роскомнадзор
– Вместе с тем…одним из критериев оценки государства в
данном аспекте может выступать факт ратификации им
Конвенции…
• Сторона не должна запрещать или обусловливать специальным
разрешением трансграничные потоки персональных данных,
идущие на территорию другой Стороны, с единственной целью
защиты частной жизни
– Евроконвенция
47. Страны, обеспечивающие адекватность
• Ратифицировавшие Евроконвенцию
– Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия,
Германия, Греция, Ирландия, Испания, Италия, Латвия,
Литва, Люксембург, Мальта, Нидерланды, Польша,
Португалия, Румыния, Словакия, Словения, Финляндия,
Франция, Чехия, Швеция, Эстония
• Страны, имеющие общенациональные нормативные правовые
акты в области защиты ПДн и уполномоченный надзорный орган
по защите прав субъектов ПДн
– Андорра, Аргентина, Израиль, Исландия, Канада,
Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория,
Швейцария, Южная Корея, Япония
• Финальный и официальный список «адекватных» стран в России
отсутствует
– Его должен разработать Роскомнадзор
48. Условия передачи в неадекватные страны
• Письменное согласие на трансграничную передачу
• Наличие международного договора, подписанного Россией
• Наличие федеральных законов
• Исполнение договора, стороной которого является субъект ПДн
• Защита жизни, здоровья и иных жизненно важных интересов
субъекта ПДн или других лиц
50. Что все это значит для вас?!
• Технически облако может быть эффективно защищено с
помощью существующих технологий
• В настоящий момент вопросы законодательного регулирования
облачных вычислений находятся только в начале своего
развития
• На законодательном уровне наиболее просто решаются вопросы
регулирования частных облаков
• Наиболее сложный вопрос – публичное глобальное облако
– Разные юрисдикции, разные законы, разные требования по
защите
• Россия готовит ряд нормативных актов, регулирующих облачные
вычисления
– Основной акцент на национальную безопасность
• Ключевой вопрос – что прописано в договоре?!
51. Спасибо!
Заполняйте анкеты он-лайн и получайте подарки в
Cisco Shop: http://ciscoexpo.ru/expo2012/quest
Ваше мнение очень важно для нас!