Cloud security

512 views

Published on

Моя презентация по безопасности облачных вычислений с мероприятия Positive Hack Days 2011.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
512
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Cloud security

  1. 1. Безопасность   «Безоблачная»  в  «облаках»   безопасность  Михаил  Ванин  mvanin@gmail.com  
  2. 2. !   Облачные  вычисления  –  это  модель   предоставления  по  потребности  удобного  сетевого   доступа  к  разделяемому  пулу  конфигурируемых   ресурсов  обработки  данных  (таких  как  сети,   серверы,  ресурсы  хранения,  приложения  и   сервисы).  !   Подобный  доступ  может  быть  оперативно  получен   и  освобожден  с  минимальными  действиями  по   администрированию  или  с  минимальным   взаимодействием  с  поставщиком  услуг.  
  3. 3. Отсутствие  четкого  периметра  безопасности  
  4. 4. Смещение  фокуса  с  обеспечения  безопасности   к  обеспечению  доверия    
  5. 5. Совместное  использование  ресурсов  потребителями  из  разных  организаций    
  6. 6. Существенная  зависимость  от  поставщика   облачных  сервисов  
  7. 7. Традиционная   («безоблачная»)   Модель  угроз   модель  угроз   «аутсорсинга»)   Модель    угроз  Модель  угроз   «общежития»   Модель  угроз  совместного  использования   использования  ресурсов  сторонних  услуг     потребителями  разных   организаций    
  8. 8. Зависимость  от   Нарушение   конкретного   изолированности  от   Неполный  контроль    ИБ   поставщика  облачных   других  потребителей   сервисов   облачных  сервисов   Нарушение   Несоответствие   безопасности   поставщика  облачных     Нарушение   интерфейсов   сервисов  требованиям   безопасности  данных   управления  облачными   регуляторов   сервисами   Действия  внутренних   Незаконная   Неполное  удаление   нарушителей   деятельность  с   данных   поставщика  облачных   применением   сервисов   облачных  сервисов  Источник:  Benefits,  risks  and  recommendacons  for  Informacon  security,  ноябрь  2009  hlp://www.enisa.europa.eu  
  9. 9. Управленческие  мероприятия   Юридические    аспекты   Стратегическое   взаимодействия  с   Соответствие   Управление   руководство  и   законодательству  и   жизненным  циклом   Переносимость   поставщиком   решения  управление  рисками   аудит   данных   облачных  услуг   Обеспечение   Деятельность   Традиционные  меры   непрерывности   поставщиков   Обработка   Обеспечение  ИБ   обеспечения  ИБ   инцидентов  ИБ   приложений   бизнеса   облачных  услуг   Управление   Обеспечение   идентификацией,   Обеспечение  ИБ   криптографической   механизмов   аутентификацией  и   защиты  информации   виртуализации   авторизацией   Операционные  мероприятия   Источник:  Security  Guidance  for  Criccal  Areas  of  Focus  in  Cloud  Compucng,  декабрь  2009   hlps://cloudsecurityalliance.org/csaguide.pdf  
  10. 10. Информационная   Поставки  /   Стандартизация   Управление   безопасность   снабжение  • Централизация   • Создание  и  развитие   • Создание  площадок   • Установка  политик  и   сертификации  и   стандартов,   поставки  облачных   приоритетов   авторизации  облачных   обеспечивающих   решений   финансирования   решений   возможности  к   • Увеличение   • Приведение  в  • Приоритезация   взаимодействию,   стратегических  выгод   соответствие  нормам   мероприятий  по   портативность,   от  покупки  облачных   регулирования  и   защите  от  наиболее   безопасность,   решений   законодательству   серьезных  угроз   • Апробация   • Устранение  устаревших   • Стимулирование  • Непрерывный   существующих   и  неэффективных   массового   мониторинг  состояния   (промежуточных)   сертификаций   государственного   ИБ   стандартов   производителей  ПО   развертывания  • Интегрированное   • Публикация    бизнес  и     • Интеграция  нужд   • Сотрудничество  с   управление   технических  сценариев   федеральных  и   международными   идентификационными   использования     региональных   организациями   данными   облачных  вычислений,   правительств   эталонной  архитектуры   и  таксономии   Источник:  Federal  Cloud  Compucng  Strategy,  февраль  2011   hlp://www.cio.gov/documents/Federal-­‐Cloud-­‐Compucng-­‐Strategy.pdf  
  11. 11. Интерпретация  требований  NIST  Special  Publicacon  800-­‐53R3  к  облачным  вычислениям  Требования  к  непрерывному  мониторингу  состояния  ИБ  поставщиком  облачных  сервисов,  предоставления  им  отчетности,  порядок  обработки  инцидентов  ИБ,  независимый  аудит  Процесс  авторизации  поставщика  облачных  сервисов  государственным  заказчикам   Источник:  Proposed  Security  Assessment  &  Authorizacon  for  U.S.  Government  Cloud  Compucng,  ноябрь  2010   hlp://www.fedramp.gov    
  12. 12. «Облака»  могут  быть  безопасны   •  Экономический  эффект  масштаба  благодаря  централизации  и  консолидации  –   потенциально  более  защищенная  платформа   •  Высокая  доступность  ресурсов   •  Возможность  использования  альтернативных  облачных  сервисов  с  лучшими   свойствами  по  безопасности  Мировым  сообществом  наработана  значительная  методологическая  база  обеспечения  безопасности  «облаков»     •  Правительственные  инициативы  ряда  государств  (например,  CIO.gov  –  FedRAMP)   •  Международные  сообщества  по  безопасности  облачных  вычислений   и  другие  …  Существующая  нормативная  база  РФ  не  готова  к  вызовам  со  стороны  облачных  вычислений  
  13. 13. Спасибо  за  внимание!   Вопросы?  Михаил  Ванин  mvanin@gmail.com  

×