SlideShare a Scribd company logo

Безопасность облачной платформы: теория и практика.

Cisco Russia
Cisco Russia
Technology
1 of 51
Download to read offline
Безопасность облачных вычислений Михаил Кадер, mkader@cisco.com security-request@cisco.com
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ОБЛАЧНЫЕ ВИРТУАЛИЗАЦИЯ СРЕДЫ ТЕНДЕНЦИИ
Уходя от традиционного периметра… Политика Периметр Приложения и данные Офис Филиал Хакеры Партнеры Заказчики
…к отсутствию контролируемой зоны… Политика Периметр Приложения и данные Офис Филиал Дом Аэропор т Мобильный Кафе пользователь Хакеры Партнеры Заказчики
…и облакам (а также XaaS)… Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропор т Мобильный Кафе пользователь Хакеры Партнеры Заказчики
…пора подумать о смене парадигмы ИБ… Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропор т Мобильный Кафе пользователь Хакеры Партнеры Заказчики
И создать новую стратегию ИБ! Политика Политика 4 (Access Control, Acceptable Use, Malware, Data Security) Data Center Borderless Периметр Platform Infrastructure Приложения и Software as a Service as a Service X 3 данные as a Service as a Service Офис Borderless Internet 2 Филиал End Zones Borderless Дом Аэропор т 1 Мобильный Кафе пользователь Хакеры Партнеры Заказчики
БЕЗОПАСНОСТЬ ОБЛАКА
Если вы решились • Стратегия безопасности облачных вычислений – Пересмотрите свой взгляд на понятие «периметра ИБ» – Оцените риски – стратегические, операционные, юридические – Сформируйте модель угроз – Сформулируйте требования по безопасности – Пересмотрите собственные процессы обеспечения ИБ – Проведите обучение пользователей – Продумайте процедуры контроля облачного провайдера – Юридическая проработка взаимодействия с облачным провайдером • Стратегия выбора аутсорсера – Чеклист оценки ИБ облачного провайдера
Cisco Cloud Risk Assessment Framework R1: Data Risk R2: User R3: Regulatory and Identity Compliance Accountability R5: User R4: Business Privacy & R6: Service & Continuity & Secondary Data Integration Resiliency Usage of Data R7: Multi- R8: Incident R9: tenancy & Analysis & Infrastructure Physical Forensics Security Security R10: Non- production Environment Exposure 10
Текущий SLA Amazon 11
ЧАСТНОЕ ИЛИ ПУБЛИЧНОЕ?
Требований даже у ФСТЭК много СТР-К РД 15408 МСЭ, Ключевые системы Персональные данные Коммерческая тайна «Служебная тайна» (СТР-К) АС СВТ… Требования по защите Требования к Требования к разных видов тайн разработке функциональности средств защиты средств защиты
А еще есть требования СТО Банка России, 382-П и т.д. СТО РС Отраслевая Рекомендации Руководство по Общие Методика частная Аудит ИБ по самооценке Методика Требования по положения оценки модель угроз 1.1-2007 документации в соответствия оценки рисков ИБ ПДн 1.0-2010 соответствия безопасности области ИБ ИБ 2.2-2009 2.3-2010 v1 1.2-2010 ПДн v4 2.0-2007 2.1-2007 v1 v1 v3 2.4-2010 v1 v1 v1 • Применяются не только к банкам • Планируется накрытие этими требованиями всех участников Национальной платежной системы (НПС)
Требования многих НПА по ИБ во многом схожи •Разграничение доступа (+ управление потоками) •Идентификация / аутентификация •Межсетевое взаимодействие •Регистрация действий •Учет и маркировка носителей (+ очистка памяти) •Документальное сопровождение •Физический доступ •Контроль целостности Общие •Тестирование безопасности •Сигнализация и реагирование •Контроль целостности •Защита каналов связи •Обнаружение вторжений •Антивирусная защита •BCP •Защита от утечки по техническим каналам •Защита специфичных процессов (биллинг, АБС, PCI…) Специфичные •Защита приложений (Web, СУБД…) •Нестандартные механизмы (ловушки, стеганография)
Основные функции защиты по мнению отечественных регуляторов • Управление доступом • Регистрация и учет • Обеспечение целостности • Анализ защищенности • Обеспечение безопасного межсетевого взаимодействия • Обнаружение вторжений • Антивирусная защита • Обеспечение конфиденциальности
3 ключевых модели доступа с точки зрения ИБ Доступ к частному облаку отовсюду Доступ к публичному облаку из информационной системы Доступ к публичному облаку из-за пределов информационной системы
Типы облаков с точки зрения ИБ и compliance Публичное Публичное Частное (локальное) (глобальное) • Управляется • Управляется одним • Управляется организацией или юридическим множеством третьим лицом лицом юридических лиц • Обеспечение • Обеспечение • Требования по безопасности легко безопасности безопасности реализуемо реализуемо различаются в • Вопросы средними разных странах законодательного усилиями • Законодательные регулирования • Вопросы требования легко решаемы законодательного различаются в регулирования разных странах решаемы средними усилиями
Частное облако vs центр обработки данных – есть ли разница? Application Virtual Storage Aggregation IP-NGN VSwitch Compute Access Core Edge Software Machine & SAN and Services Backbone App App OS App OS OS Virtual Device Fabric-Hosted Contexts Storage App Virtualization App OS Firewall Virtual Device Internet App OS Services Contexts OS Storage Media Secure App App Encryption Domain App OS OS Routing OS IP-NGN Service Profiles Port Profiles & Virtual VN-Link Machine Line-Rate Optimization NetFlow Fibre Channel Forwarding Partners Port Profiles & VN-Link Fabric App Extension App OS Application App OS Control OS (SLB+) Service Control App App OS Virtual App OS Contexts for OS FW & SLB
Безопасное межсетевое взаимодействие Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем Сегментация с помощью Сегментация с помощью межсетевого экрана матрицы коммутации Динамический UCS Fabric Interconnect аварийный/рефлективный список ACL Мультиконтекстная сеть VPN TrustSec Сегментация с учетом контекста Сегментация сети Метки для групп безопасности (SGT) Физическая среда Протокол безопасной передачи (SXP) Виртуальная среда (VLAN, VRF) ACL-списки для групп безопасности Виртуализованная среда (зоны)
Сегментация Сегментация с помощью межсетевого экрана Трафик «север - юг». Проверка всего входящего и исходящего трафика центра обработки данных Физическая среда Устройство • Проверка всего трафика центра обработки данных в устройстве обеспечения безопасности периметра сети • Высокая скорость для всех сервисов, включая всю систему предотвращения вторжений (IPS), благодаря единой среде Модуль для передачи данных между зонами доверия коммутатора • Разделение внешних и внутренних объектов сети (трафик «север-юг») Трафик «восток-запад». Создание безопасных зон доверия многопользовательская между приложениями и пользователями в центре обработки данных Виртуальная / Виртуальный межсетевой экран Виртуальный межсетевой экран контролирует границы сети среда • Разделение пользователей в многопользовательских средах Среда виртуализации (VMware, Hyper-V) контролирует зоны Среда виртуализации • Разделяет приложения или виртуальные машины у одного пользователя
Особенности возникают при виртуализации 1. VMware и аналоги позволяют перемещать виртуальные машины между физическими серверами  Политика безопасности должна соответствовать этому процессу 2. Администраторам необходима возможность обзора и применения политики безопасности к локально коммутируемому трафику Группа 3. Администраторам необходимо портов поддерживать разделение обязанностей, одновременно обеспечивая бесперебойную эксплуатацию Администрирование Безопасности Администрирование 4. Правильная модель угроз позволяет серверов уйти от применения только сертифицированных средств защиты Сетевое администрирование
А если у вас не VMware? И не Hyper-V (в ближайшем будущем)? А если у вас KVM? Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина Nexus Nexus 1000V 1000V VEM VEM Nexus 1000V VMware vSphere Nexus 1000V Windows 8 Hyper-V VSM VSM VMware vCenter SCVMM • Вам нужно сертифицированное решение по защите виртуализированной среды или нет?
А что если нельзя защитить виртуализированную среду на базе сертифицированных решений • Не имея возможности решить задачу на уровне виртуализации можно опуститься на уровень сети, где есть все необходимые решения • Дизайн сети станет сложнее • Надо искать компромисс между требованиями регуляторов и предоставлением сервиса
ПУБЛИЧНОЕ ЛОКАЛЬНОЕ ОБЛАКО
6 новых задач ИБ для публичных облаков Изоляция Регистрация Multi-tenancy потребителей изменений Криптография Контроль Доступность (в России) провайдера!!!
Изменение парадигмы ИБ регуляторов при переходе в публичное облако Один объект = один Один объект = субъект множество субъектов • Защищать надо не только отдельных субъектов, но и взаимодействие между ними • С учетом отсутствия контролируемой зоны и динамической модели предоставления сервиса
МСЭ с виртуальными контекстами могут решить задачу (один заказчик = один контекст) Компания X Компания Y Виртуальна Виртуальна Виртуальна я машина 1 я машина 2 я машина 4 Виртуальна Виртуальна я машина 3 я машина 5 МСЭ Виртуализованные web-серверы МСЭ Физическое устройство Сеть IPsec VPN для связи между объектами Cisco ASA Пример использования: физическая среда компании X • Компания X намерена развернуть свои web-серверы в облаке, web- • Компания X также располагает локально размещенными физическими серверами Физический Физический • Разработчикам компании X необходим доступ к web-серверам в web- сервер 1 сервер 1 виртуализованной среде. • В процессе настройки устанавливается VPN-туннель между объектами. VPN-
Разная ответственность за защиту для разных архитектур облаков Провайдер Данные Заказчик Данные Заказчик ОС/Приложения Приложения VMs/Containers Провайдер Провайдер IaaS PaaS SaaS • В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно
Типы архитектур облака и средства защиты IaaS PaaS SaaS • Заказчик облачных • Заказчик облачных • Заказчик облачных услуг может услуг привязан к услуг не имеет использовать любые предоставляемой возможности по средства защиты, платформе выбору средств и устанавливаемые на • Выбор СЗИ (особенно механизмов защиты предоставляемую сертифицированных) облака аппаратную ограничен и, как • Выбор лежит на платформу правило, лежит на облачном провайдере облачном провайдере • Заказчик может настраивать функции защиты приложений • Компромисс между средствами защиты и облачными услугами
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ
Законодательный compliance: пока есть вопросы • Защита конфиденциальной информации – Обеспечение конфиденциальности – Уведомление о фактах утечки – Оказание услуг в области шифрования – Деятельность по технической защите конфиденциальной информации – Обеспечение безопасности • Местоположение данных • Защита прав субъектов персональных данных • Защита интеллектуальной собственности • Обеспечение СОРМ • Сбор и хранение данных для судебных разбирательств (eDiscovery) • Юрисдикция и ответственность
Рост нормативных требований в зависимости от «типа» облака Облако само по себе Облако обрабатывает информацию ограниченного доступа Облако предоставляет услуги по защите
ОБЛАКО САМО ПО СЕБЕ
Мнение Минкомсвязи • «Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами» – Илья Массух, бывший советник министра связи и массовых коммуникаций на конференции «Защита персональных данных», 27 октября 2011 года • Сейчас отмечен очередной этап интереса к теме регулирования облаков – готовится новая законодательная база
ОБЛАКО ОБРАБАТЫВАЕТ ЗАЩИЩАЕМЫЕ СВЕДЕНИЯ
Виды защищаемой информации • 65 видов тайн в российском законодательстве • Персональные данные • Коммерческая тайна • Банковская тайна • Тайна переписки • Инсайдерская информация
В облака отдают конфиденциальную информацию! • Управление предприятием (ERP) • Поддержка пользователей (Service Desk) • Управление контентом • Управление персоналом (HRM) • Управление заказами (ORM) • Управление затратами и поставщиками (SRM) • Унифицированные коммуникации • Управление проектами • Управление цепочками поставок (SCM) • Управление электронной почтой и мгновенными сообщениями • Биллинг • Пользовательские приложения
Обеспечение конфиденциальности • Инфраструктура хранения данных в облаке общая • Требуется обеспечить конфиденциальность для данных каждого владельца данных, обрабатываемых в облаке, и не дать им перемешиваться с другими • Конфиденциальность достигается различными техническими и организационными мерами
Интеллектуальная собственность • Какие виды интеллектуальной собственности могут обрабатываться в облаке? – Приложения (программы для ЭВМ) и базы данных – Телевизионное вещание (IPTV) – Секреты производства (ноу-хау) – Промышленная собственность (изобретения и т.п.) – Средства индивидуализации (товарные знаки и т.п.) • Что с защитой интеллектуальной собственности? – А она у вас оценена? • Введен ли режим коммерческой тайны для секретов производства? – Если режим защиты КТ сложно ввести у себя на предприятии, то как его ввести на чужом предприятии?
Юрисдикция или кому подчиняется ваше облако? • Американские компании, действующие на территории других стран остаются подотчетными американскому законодательству и требованиям американских регуляторов – Американские регуляторы могут затребовать любые данные у американского облачного провайдера (Google, Oracle, Microsoft/Skype и т.д.) без согласования с пользователем облачных услуг
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Персональные данные • Хранение – это одна из форма обработки • Трансграничные потоки персональных данных • Адекватный уровень защиты • В разных странах Евросоюза могут быть разные требования по защите персональных данных – В целом они похожи, но могут быть исключения и отличия • Согласие на передачу ПДн клиентов/сотрудников облачного заказчика облачному провайдеру • Требования ФЗ-152 применяются, в основном, к операторам ПДн, а не к обработчикам – Облачный провайдер – это обработчик в терминологии Европейской Конвенции – По ФЗ-152 это лицо, осуществляющее обработку персональных данных по поручению оператора
Требования меняются в зависимости от статуса Субъект ПДн Оператор ПДн Обработчик ПДн Субъект ПДн Обработчик ПДн Оператор ПДн
Облачный провайдер – обработчик ПДн • Условия обработки ПДн в облаке (должны быть прописаны в договоре между облачным заказчиком и провайдером) – Указание перечня действий (операций) с ПДн, которые будут совершаться обработчиком и цели обработки – Обеспечение конфиденциальность ПДн – Обеспечение безопасности ПДн при их обработке – Требования к защите обрабатываемых ПДн в соответствие с ст.19 ФЗ-152 • Обработчик не обязан получать согласие субъекта ПДн • Ответственность перед субъектом за действия обработчика все равно несет оператор – Обработчик несет ответственность перед оператором
Трансграничная передача данных • Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных осуществляется в соответствие с ФЗ-152 – Перечень «неадекватных» определяет Роскомнадзор – Вместе с тем…одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции… • Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни – Евроконвенция
Страны, обеспечивающие адекватность • Ратифицировавшие Евроконвенцию – Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония • Страны, имеющие общенациональные нормативные правовые акты в области защиты ПДн и уполномоченный надзорный орган по защите прав субъектов ПДн – Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония • Финальный и официальный список «адекватных» стран в России отсутствует – Его должен разработать Роскомнадзор
Условия передачи в неадекватные страны • Письменное согласие на трансграничную передачу • Наличие международного договора, подписанного Россией • Наличие федеральных законов • Исполнение договора, стороной которого является субъект ПДн • Защита жизни, здоровья и иных жизненно важных интересов субъекта ПДн или других лиц
ПОДВОДЯ ИТОГИ
Что все это значит для вас?! • Технически облако может быть эффективно защищено с помощью существующих технологий • В настоящий момент вопросы законодательного регулирования облачных вычислений находятся только в начале своего развития • На законодательном уровне наиболее просто решаются вопросы регулирования частных облаков • Наиболее сложный вопрос – публичное глобальное облако – Разные юрисдикции, разные законы, разные требования по защите • Россия готовит ряд нормативных актов, регулирующих облачные вычисления – Основной акцент на национальную безопасность • Ключевой вопрос – что прописано в договоре?!
Спасибо! Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/quest Ваше мнение очень важно для нас!

Recommended

Почему утекает конфиденциальная информация в госорганах?
Почему утекает конфиденциальная информация в госорганах?Почему утекает конфиденциальная информация в госорганах?
Почему утекает конфиденциальная информация в госорганах?Aleksey Lukatskiy
 
Hipath 3000-5000-v8-rus
Hipath 3000-5000-v8-rusHipath 3000-5000-v8-rus
Hipath 3000-5000-v8-rusГруппа компаний СИС
 
Протокол 3-D Secure
Протокол 3-D SecureПротокол 3-D Secure
Протокол 3-D SecureВиктор Носов
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийAleksey Lukatskiy
 
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceAleksey Lukatskiy
 
Why secrets leak
Why secrets leakWhy secrets leak
Why secrets leakPositive Hack Days
 
Secure Mobile Office
Secure Mobile OfficeSecure Mobile Office
Secure Mobile OfficeAleksey Lukatskiy
 
Защита центров обработки данных
Защита центров обработки данныхЗащита центров обработки данных
Защита центров обработки данныхCisco Russia
 

Recommended

Почему утекает конфиденциальная информация в госорганах?
Почему утекает конфиденциальная информация в госорганах?Почему утекает конфиденциальная информация в госорганах?
Почему утекает конфиденциальная информация в госорганах?Aleksey Lukatskiy
 
Hipath 3000-5000-v8-rus
Hipath 3000-5000-v8-rusHipath 3000-5000-v8-rus
Hipath 3000-5000-v8-rusГруппа компаний СИС
 
Протокол 3-D Secure
Протокол 3-D SecureПротокол 3-D Secure
Протокол 3-D SecureВиктор Носов
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийAleksey Lukatskiy
 
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceAleksey Lukatskiy
 
Why secrets leak
Why secrets leakWhy secrets leak
Why secrets leakPositive Hack Days
 
Secure Mobile Office
Secure Mobile OfficeSecure Mobile Office
Secure Mobile OfficeAleksey Lukatskiy
 
Защита центров обработки данных
Защита центров обработки данныхЗащита центров обработки данных
Защита центров обработки данныхCisco Russia
 
Как заработать в облаке? FAQ для реселлеров и интеграторов
Как заработать в облаке? FAQ для реселлеров и интеграторовКак заработать в облаке? FAQ для реселлеров и интеграторов
Как заработать в облаке? FAQ для реселлеров и интеграторовMichael Kozloff
 
Виртуализация рабочих мест с использованием технологий Cisco
Виртуализация рабочих мест с использованием технологий CiscoВиртуализация рабочих мест с использованием технологий Cisco
Виртуализация рабочих мест с использованием технологий CiscoMUK
 
Технический учет ресурсов и сервисов сети (Naumen Telecom, Inventory)
Технический учет ресурсов и сервисов сети (Naumen Telecom, Inventory)Технический учет ресурсов и сервисов сети (Naumen Telecom, Inventory)
Технический учет ресурсов и сервисов сети (Naumen Telecom, Inventory)NAUMEN. Информационные системы управления растущим бизнесом
 
Хостинг и аренда приложений на базе ПО Microsoft
Хостинг и аренда приложений на базе ПО MicrosoftХостинг и аренда приложений на базе ПО Microsoft
Хостинг и аренда приложений на базе ПО MicrosoftISS
 
Timur Markunin (Softlayer IBM)
Timur Markunin (Softlayer IBM)Timur Markunin (Softlayer IBM)
Timur Markunin (Softlayer IBM)White Nights Conference
 
Защита виртуализированных и облачных сред.
Защита виртуализированных и облачных сред.Защита виртуализированных и облачных сред.
Защита виртуализированных и облачных сред.Cisco Russia
 
Anisimov parallels telco-form_08.06.11
Anisimov parallels telco-form_08.06.11Anisimov parallels telco-form_08.06.11
Anisimov parallels telco-form_08.06.11Андрей Лукин
 
Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...
Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...
Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...Транслируем.бел
 
About TheCloud.ru
About TheCloud.ruAbout TheCloud.ru
About TheCloud.ruTheCloud_ru
 
Inbizzz.ru public
Inbizzz.ru publicInbizzz.ru public
Inbizzz.ru publicit-park
 
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYMAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYAnna Rastova
 
Saa s microsoft spla_kalachova
Saa s microsoft spla_kalachovaSaa s microsoft spla_kalachova
Saa s microsoft spla_kalachovaNick Turunov
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестExpolink
 
Хостинговое решение Tieto для SAP
Хостинговое решение Tieto для SAPХостинговое решение Tieto для SAP
Хостинговое решение Tieto для SAPTieto Russia
 
CISO 2010
CISO 2010CISO 2010
CISO 2010Aleksey Lukatskiy
 
Paci
PaciPaci
PaciParallels_Russia
 
Архитектура приложений для мобильных устройств на платформе Windows
Архитектура приложений для мобильных устройств на платформе WindowsАрхитектура приложений для мобильных устройств на платформе Windows
Архитектура приложений для мобильных устройств на платформе Windowsgeekfamilyrussia
 
Microsoft cloud services
Microsoft cloud servicesMicrosoft cloud services
Microsoft cloud servicesZaur Abutalimov
 
Siemens ural cio club apr-13-2013
Siemens ural cio club apr-13-2013Siemens ural cio club apr-13-2013
Siemens ural cio club apr-13-2013Expolink
 
Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...
Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...
Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...Cisco Russia
 
Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 

More Related Content

Similar to Безопасность облачной платформы: теория и практика.

Как заработать в облаке? FAQ для реселлеров и интеграторов
Как заработать в облаке? FAQ для реселлеров и интеграторовКак заработать в облаке? FAQ для реселлеров и интеграторов
Как заработать в облаке? FAQ для реселлеров и интеграторовMichael Kozloff
 
Виртуализация рабочих мест с использованием технологий Cisco
Виртуализация рабочих мест с использованием технологий CiscoВиртуализация рабочих мест с использованием технологий Cisco
Виртуализация рабочих мест с использованием технологий CiscoMUK
 
Хостинг и аренда приложений на базе ПО Microsoft
Хостинг и аренда приложений на базе ПО MicrosoftХостинг и аренда приложений на базе ПО Microsoft
Хостинг и аренда приложений на базе ПО MicrosoftISS
 
Защита виртуализированных и облачных сред.
Защита виртуализированных и облачных сред.Защита виртуализированных и облачных сред.
Защита виртуализированных и облачных сред.Cisco Russia
 
Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...
Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...
Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...Транслируем.бел
 
About TheCloud.ru
About TheCloud.ruAbout TheCloud.ru
About TheCloud.ruTheCloud_ru
 
Inbizzz.ru public
Inbizzz.ru publicInbizzz.ru public
Inbizzz.ru publicit-park
 
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYMAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYAnna Rastova
 
Saa s microsoft spla_kalachova
Saa s microsoft spla_kalachovaSaa s microsoft spla_kalachova
Saa s microsoft spla_kalachovaNick Turunov
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестExpolink
 
Хостинговое решение Tieto для SAP
Хостинговое решение Tieto для SAPХостинговое решение Tieto для SAP
Хостинговое решение Tieto для SAPTieto Russia
 
Архитектура приложений для мобильных устройств на платформе Windows
Архитектура приложений для мобильных устройств на платформе WindowsАрхитектура приложений для мобильных устройств на платформе Windows
Архитектура приложений для мобильных устройств на платформе Windowsgeekfamilyrussia
 
Microsoft cloud services
Microsoft cloud servicesMicrosoft cloud services
Microsoft cloud servicesZaur Abutalimov
 
Siemens ural cio club apr-13-2013
Siemens ural cio club apr-13-2013Siemens ural cio club apr-13-2013
Siemens ural cio club apr-13-2013Expolink
 
Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...
Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...
Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...Cisco Russia
 

Similar to Безопасность облачной платформы: теория и практика. (20)

Как заработать в облаке? FAQ для реселлеров и интеграторов
Как заработать в облаке? FAQ для реселлеров и интеграторовКак заработать в облаке? FAQ для реселлеров и интеграторов
Как заработать в облаке? FAQ для реселлеров и интеграторов
 
Виртуализация рабочих мест с использованием технологий Cisco
Виртуализация рабочих мест с использованием технологий CiscoВиртуализация рабочих мест с использованием технологий Cisco
Виртуализация рабочих мест с использованием технологий Cisco
 
Технический учет ресурсов и сервисов сети (Naumen Telecom, Inventory)
Технический учет ресурсов и сервисов сети (Naumen Telecom, Inventory)Технический учет ресурсов и сервисов сети (Naumen Telecom, Inventory)
Технический учет ресурсов и сервисов сети (Naumen Telecom, Inventory)
 
Хостинг и аренда приложений на базе ПО Microsoft
Хостинг и аренда приложений на базе ПО MicrosoftХостинг и аренда приложений на базе ПО Microsoft
Хостинг и аренда приложений на базе ПО Microsoft
 
Timur Markunin (Softlayer IBM)
Timur Markunin (Softlayer IBM)Timur Markunin (Softlayer IBM)
Timur Markunin (Softlayer IBM)
 
Защита виртуализированных и облачных сред.
Защита виртуализированных и облачных сред.Защита виртуализированных и облачных сред.
Защита виртуализированных и облачных сред.
 
Anisimov parallels telco-form_08.06.11
Anisimov parallels telco-form_08.06.11Anisimov parallels telco-form_08.06.11
Anisimov parallels telco-form_08.06.11
 
Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...
Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...
Константин Жуков Инновации SAP в области технологий NetWeaver, мобильная плат...
 
About TheCloud.ru
About TheCloud.ruAbout TheCloud.ru
About TheCloud.ru
 
Inbizzz.ru public
Inbizzz.ru publicInbizzz.ru public
Inbizzz.ru public
 
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYMAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
 
Saa s microsoft spla_kalachova
Saa s microsoft spla_kalachovaSaa s microsoft spla_kalachova
Saa s microsoft spla_kalachova
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
 
Хостинговое решение Tieto для SAP
Хостинговое решение Tieto для SAPХостинговое решение Tieto для SAP
Хостинговое решение Tieto для SAP
 
CISO 2010
CISO 2010CISO 2010
CISO 2010
 
Paci
PaciPaci
Paci
 
Архитектура приложений для мобильных устройств на платформе Windows
Архитектура приложений для мобильных устройств на платформе WindowsАрхитектура приложений для мобильных устройств на платформе Windows
Архитектура приложений для мобильных устройств на платформе Windows
 
Microsoft cloud services
Microsoft cloud servicesMicrosoft cloud services
Microsoft cloud services
 
Siemens ural cio club apr-13-2013
Siemens ural cio club apr-13-2013Siemens ural cio club apr-13-2013
Siemens ural cio club apr-13-2013
 
Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...
Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...
Архитектура и особенности Cisco Quantum Policy Suite , или PCRF для мульти-се...
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Безопасность облачной платформы: теория и практика.

  • 2. СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ОБЛАЧНЫЕ ВИРТУАЛИЗАЦИЯ СРЕДЫ ТЕНДЕНЦИИ
  • 3. Уходя от традиционного периметра… Политика Периметр Приложения и данные Офис Филиал Хакеры Партнеры Заказчики
  • 4. …к отсутствию контролируемой зоны… Политика Периметр Приложения и данные Офис Филиал Дом Аэропор т Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 5. …и облакам (а также XaaS)… Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропор т Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 6. …пора подумать о смене парадигмы ИБ… Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропор т Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 7. И создать новую стратегию ИБ! Политика Политика 4 (Access Control, Acceptable Use, Malware, Data Security) Data Center Borderless Периметр Platform Infrastructure Приложения и Software as a Service as a Service X 3 данные as a Service as a Service Офис Borderless Internet 2 Филиал End Zones Borderless Дом Аэропор т 1 Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 9. Если вы решились • Стратегия безопасности облачных вычислений – Пересмотрите свой взгляд на понятие «периметра ИБ» – Оцените риски – стратегические, операционные, юридические – Сформируйте модель угроз – Сформулируйте требования по безопасности – Пересмотрите собственные процессы обеспечения ИБ – Проведите обучение пользователей – Продумайте процедуры контроля облачного провайдера – Юридическая проработка взаимодействия с облачным провайдером • Стратегия выбора аутсорсера – Чеклист оценки ИБ облачного провайдера
  • 10. Cisco Cloud Risk Assessment Framework R1: Data Risk R2: User R3: Regulatory and Identity Compliance Accountability R5: User R4: Business Privacy & R6: Service & Continuity & Secondary Data Integration Resiliency Usage of Data R7: Multi- R8: Incident R9: tenancy & Analysis & Infrastructure Physical Forensics Security Security R10: Non- production Environment Exposure 10
  • 13. Требований даже у ФСТЭК много СТР-К РД 15408 МСЭ, Ключевые системы Персональные данные Коммерческая тайна «Служебная тайна» (СТР-К) АС СВТ… Требования по защите Требования к Требования к разных видов тайн разработке функциональности средств защиты средств защиты
  • 14. А еще есть требования СТО Банка России, 382-П и т.д. СТО РС Отраслевая Рекомендации Руководство по Общие Методика частная Аудит ИБ по самооценке Методика Требования по положения оценки модель угроз 1.1-2007 документации в соответствия оценки рисков ИБ ПДн 1.0-2010 соответствия безопасности области ИБ ИБ 2.2-2009 2.3-2010 v1 1.2-2010 ПДн v4 2.0-2007 2.1-2007 v1 v1 v3 2.4-2010 v1 v1 v1 • Применяются не только к банкам • Планируется накрытие этими требованиями всех участников Национальной платежной системы (НПС)
  • 15. Требования многих НПА по ИБ во многом схожи •Разграничение доступа (+ управление потоками) •Идентификация / аутентификация •Межсетевое взаимодействие •Регистрация действий •Учет и маркировка носителей (+ очистка памяти) •Документальное сопровождение •Физический доступ •Контроль целостности Общие •Тестирование безопасности •Сигнализация и реагирование •Контроль целостности •Защита каналов связи •Обнаружение вторжений •Антивирусная защита •BCP •Защита от утечки по техническим каналам •Защита специфичных процессов (биллинг, АБС, PCI…) Специфичные •Защита приложений (Web, СУБД…) •Нестандартные механизмы (ловушки, стеганография)
  • 16. Основные функции защиты по мнению отечественных регуляторов • Управление доступом • Регистрация и учет • Обеспечение целостности • Анализ защищенности • Обеспечение безопасного межсетевого взаимодействия • Обнаружение вторжений • Антивирусная защита • Обеспечение конфиденциальности
  • 17. 3 ключевых модели доступа с точки зрения ИБ Доступ к частному облаку отовсюду Доступ к публичному облаку из информационной системы Доступ к публичному облаку из-за пределов информационной системы
  • 18. Типы облаков с точки зрения ИБ и compliance Публичное Публичное Частное (локальное) (глобальное) • Управляется • Управляется одним • Управляется организацией или юридическим множеством третьим лицом лицом юридических лиц • Обеспечение • Обеспечение • Требования по безопасности легко безопасности безопасности реализуемо реализуемо различаются в • Вопросы средними разных странах законодательного усилиями • Законодательные регулирования • Вопросы требования легко решаемы законодательного различаются в регулирования разных странах решаемы средними усилиями
  • 19. Частное облако vs центр обработки данных – есть ли разница? Application Virtual Storage Aggregation IP-NGN VSwitch Compute Access Core Edge Software Machine & SAN and Services Backbone App App OS App OS OS Virtual Device Fabric-Hosted Contexts Storage App Virtualization App OS Firewall Virtual Device Internet App OS Services Contexts OS Storage Media Secure App App Encryption Domain App OS OS Routing OS IP-NGN Service Profiles Port Profiles & Virtual VN-Link Machine Line-Rate Optimization NetFlow Fibre Channel Forwarding Partners Port Profiles & VN-Link Fabric App Extension App OS Application App OS Control OS (SLB+) Service Control App App OS Virtual App OS Contexts for OS FW & SLB
  • 20. Безопасное межсетевое взаимодействие Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем Сегментация с помощью Сегментация с помощью межсетевого экрана матрицы коммутации Динамический UCS Fabric Interconnect аварийный/рефлективный список ACL Мультиконтекстная сеть VPN TrustSec Сегментация с учетом контекста Сегментация сети Метки для групп безопасности (SGT) Физическая среда Протокол безопасной передачи (SXP) Виртуальная среда (VLAN, VRF) ACL-списки для групп безопасности Виртуализованная среда (зоны)
  • 21. Сегментация Сегментация с помощью межсетевого экрана Трафик «север - юг». Проверка всего входящего и исходящего трафика центра обработки данных Физическая среда Устройство • Проверка всего трафика центра обработки данных в устройстве обеспечения безопасности периметра сети • Высокая скорость для всех сервисов, включая всю систему предотвращения вторжений (IPS), благодаря единой среде Модуль для передачи данных между зонами доверия коммутатора • Разделение внешних и внутренних объектов сети (трафик «север-юг») Трафик «восток-запад». Создание безопасных зон доверия многопользовательская между приложениями и пользователями в центре обработки данных Виртуальная / Виртуальный межсетевой экран Виртуальный межсетевой экран контролирует границы сети среда • Разделение пользователей в многопользовательских средах Среда виртуализации (VMware, Hyper-V) контролирует зоны Среда виртуализации • Разделяет приложения или виртуальные машины у одного пользователя
  • 22. Особенности возникают при виртуализации 1. VMware и аналоги позволяют перемещать виртуальные машины между физическими серверами  Политика безопасности должна соответствовать этому процессу 2. Администраторам необходима возможность обзора и применения политики безопасности к локально коммутируемому трафику Группа 3. Администраторам необходимо портов поддерживать разделение обязанностей, одновременно обеспечивая бесперебойную эксплуатацию Администрирование Безопасности Администрирование 4. Правильная модель угроз позволяет серверов уйти от применения только сертифицированных средств защиты Сетевое администрирование
  • 23. А если у вас не VMware? И не Hyper-V (в ближайшем будущем)? А если у вас KVM? Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина Вирт. машина Nexus Nexus 1000V 1000V VEM VEM Nexus 1000V VMware vSphere Nexus 1000V Windows 8 Hyper-V VSM VSM VMware vCenter SCVMM • Вам нужно сертифицированное решение по защите виртуализированной среды или нет?
  • 24. А что если нельзя защитить виртуализированную среду на базе сертифицированных решений • Не имея возможности решить задачу на уровне виртуализации можно опуститься на уровень сети, где есть все необходимые решения • Дизайн сети станет сложнее • Надо искать компромисс между требованиями регуляторов и предоставлением сервиса
  • 26. 6 новых задач ИБ для публичных облаков Изоляция Регистрация Multi-tenancy потребителей изменений Криптография Контроль Доступность (в России) провайдера!!!
  • 27. Изменение парадигмы ИБ регуляторов при переходе в публичное облако Один объект = один Один объект = субъект множество субъектов • Защищать надо не только отдельных субъектов, но и взаимодействие между ними • С учетом отсутствия контролируемой зоны и динамической модели предоставления сервиса
  • 28. МСЭ с виртуальными контекстами могут решить задачу (один заказчик = один контекст) Компания X Компания Y Виртуальна Виртуальна Виртуальна я машина 1 я машина 2 я машина 4 Виртуальна Виртуальна я машина 3 я машина 5 МСЭ Виртуализованные web-серверы МСЭ Физическое устройство Сеть IPsec VPN для связи между объектами Cisco ASA Пример использования: физическая среда компании X • Компания X намерена развернуть свои web-серверы в облаке, web- • Компания X также располагает локально размещенными физическими серверами Физический Физический • Разработчикам компании X необходим доступ к web-серверам в web- сервер 1 сервер 1 виртуализованной среде. • В процессе настройки устанавливается VPN-туннель между объектами. VPN-
  • 29. Разная ответственность за защиту для разных архитектур облаков Провайдер Данные Заказчик Данные Заказчик ОС/Приложения Приложения VMs/Containers Провайдер Провайдер IaaS PaaS SaaS • В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно
  • 30. Типы архитектур облака и средства защиты IaaS PaaS SaaS • Заказчик облачных • Заказчик облачных • Заказчик облачных услуг может услуг привязан к услуг не имеет использовать любые предоставляемой возможности по средства защиты, платформе выбору средств и устанавливаемые на • Выбор СЗИ (особенно механизмов защиты предоставляемую сертифицированных) облака аппаратную ограничен и, как • Выбор лежит на платформу правило, лежит на облачном провайдере облачном провайдере • Заказчик может настраивать функции защиты приложений • Компромисс между средствами защиты и облачными услугами
  • 32. Законодательный compliance: пока есть вопросы • Защита конфиденциальной информации – Обеспечение конфиденциальности – Уведомление о фактах утечки – Оказание услуг в области шифрования – Деятельность по технической защите конфиденциальной информации – Обеспечение безопасности • Местоположение данных • Защита прав субъектов персональных данных • Защита интеллектуальной собственности • Обеспечение СОРМ • Сбор и хранение данных для судебных разбирательств (eDiscovery) • Юрисдикция и ответственность
  • 33. Рост нормативных требований в зависимости от «типа» облака Облако само по себе Облако обрабатывает информацию ограниченного доступа Облако предоставляет услуги по защите
  • 35. Мнение Минкомсвязи • «Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами» – Илья Массух, бывший советник министра связи и массовых коммуникаций на конференции «Защита персональных данных», 27 октября 2011 года • Сейчас отмечен очередной этап интереса к теме регулирования облаков – готовится новая законодательная база
  • 37. Виды защищаемой информации • 65 видов тайн в российском законодательстве • Персональные данные • Коммерческая тайна • Банковская тайна • Тайна переписки • Инсайдерская информация
  • 38. В облака отдают конфиденциальную информацию! • Управление предприятием (ERP) • Поддержка пользователей (Service Desk) • Управление контентом • Управление персоналом (HRM) • Управление заказами (ORM) • Управление затратами и поставщиками (SRM) • Унифицированные коммуникации • Управление проектами • Управление цепочками поставок (SCM) • Управление электронной почтой и мгновенными сообщениями • Биллинг • Пользовательские приложения
  • 39. Обеспечение конфиденциальности • Инфраструктура хранения данных в облаке общая • Требуется обеспечить конфиденциальность для данных каждого владельца данных, обрабатываемых в облаке, и не дать им перемешиваться с другими • Конфиденциальность достигается различными техническими и организационными мерами
  • 40. Интеллектуальная собственность • Какие виды интеллектуальной собственности могут обрабатываться в облаке? – Приложения (программы для ЭВМ) и базы данных – Телевизионное вещание (IPTV) – Секреты производства (ноу-хау) – Промышленная собственность (изобретения и т.п.) – Средства индивидуализации (товарные знаки и т.п.) • Что с защитой интеллектуальной собственности? – А она у вас оценена? • Введен ли режим коммерческой тайны для секретов производства? – Если режим защиты КТ сложно ввести у себя на предприятии, то как его ввести на чужом предприятии?
  • 41. Юрисдикция или кому подчиняется ваше облако? • Американские компании, действующие на территории других стран остаются подотчетными американскому законодательству и требованиям американских регуляторов – Американские регуляторы могут затребовать любые данные у американского облачного провайдера (Google, Oracle, Microsoft/Skype и т.д.) без согласования с пользователем облачных услуг
  • 43. Персональные данные • Хранение – это одна из форма обработки • Трансграничные потоки персональных данных • Адекватный уровень защиты • В разных странах Евросоюза могут быть разные требования по защите персональных данных – В целом они похожи, но могут быть исключения и отличия • Согласие на передачу ПДн клиентов/сотрудников облачного заказчика облачному провайдеру • Требования ФЗ-152 применяются, в основном, к операторам ПДн, а не к обработчикам – Облачный провайдер – это обработчик в терминологии Европейской Конвенции – По ФЗ-152 это лицо, осуществляющее обработку персональных данных по поручению оператора
  • 44. Требования меняются в зависимости от статуса Субъект ПДн Оператор ПДн Обработчик ПДн Субъект ПДн Обработчик ПДн Оператор ПДн
  • 45. Облачный провайдер – обработчик ПДн • Условия обработки ПДн в облаке (должны быть прописаны в договоре между облачным заказчиком и провайдером) – Указание перечня действий (операций) с ПДн, которые будут совершаться обработчиком и цели обработки – Обеспечение конфиденциальность ПДн – Обеспечение безопасности ПДн при их обработке – Требования к защите обрабатываемых ПДн в соответствие с ст.19 ФЗ-152 • Обработчик не обязан получать согласие субъекта ПДн • Ответственность перед субъектом за действия обработчика все равно несет оператор – Обработчик несет ответственность перед оператором
  • 46. Трансграничная передача данных • Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных осуществляется в соответствие с ФЗ-152 – Перечень «неадекватных» определяет Роскомнадзор – Вместе с тем…одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции… • Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни – Евроконвенция
  • 47. Страны, обеспечивающие адекватность • Ратифицировавшие Евроконвенцию – Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония • Страны, имеющие общенациональные нормативные правовые акты в области защиты ПДн и уполномоченный надзорный орган по защите прав субъектов ПДн – Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония • Финальный и официальный список «адекватных» стран в России отсутствует – Его должен разработать Роскомнадзор
  • 48. Условия передачи в неадекватные страны • Письменное согласие на трансграничную передачу • Наличие международного договора, подписанного Россией • Наличие федеральных законов • Исполнение договора, стороной которого является субъект ПДн • Защита жизни, здоровья и иных жизненно важных интересов субъекта ПДн или других лиц
  • 50. Что все это значит для вас?! • Технически облако может быть эффективно защищено с помощью существующих технологий • В настоящий момент вопросы законодательного регулирования облачных вычислений находятся только в начале своего развития • На законодательном уровне наиболее просто решаются вопросы регулирования частных облаков • Наиболее сложный вопрос – публичное глобальное облако – Разные юрисдикции, разные законы, разные требования по защите • Россия готовит ряд нормативных актов, регулирующих облачные вычисления – Основной акцент на национальную безопасность • Ключевой вопрос – что прописано в договоре?!
  • 51. Спасибо! Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/quest Ваше мнение очень важно для нас!