Почему в России нельзя обеспечить ИБ облаков?

Почему в России нельзя обеспечить
безопасность облачных вычислений
Лукацкий Алексей, консультант по безопасности

У меня нет задачи остановить переход к облачным
облакам – мы сами их используем повсеместно
2
Число CSP (400+)
Sales
Finance
Manfacturing
C&C Platform
CDO
Consumer IT
Customer Service
HR
Acquisitions
Cisco является одним из крупнейших в мире пользователей облачных услуг

ЧТО ТАКОЕ ОБЛАКА?

Три основных типа облака
Публичное
Гибридное
Частное

Составные части любого типа облака
5
Виртуализция Железо ПО
Согласование
(orchestration)
Хранение Сервисы
IaaS PaaS SaaS
Сервисы Сервисы Сервисы
Арендаторы Потребители
Сеть
Облачные
сервисы
Облачные
вычисления
Энерго-
снабжение

SaaS - наиболее популярная облачная модель
IaaS
•  Хранение
•  Вычисления
•  Управление
сервисами
•  Сеть, безопасность…
PaaS
•  Бизнес-аналитика
•  Интеграция
•  Разработка и
тестирование
•  Базы данных
SaaS
•  Биллинг
•  Финансы
•  Продажи
•  CRM
•  Продуктивность
сотрудников
•  HRM
контентом
•  Унифицированные
коммуникации
•  Социальные сети
•  Резервные копии
документами

Ключевые риски при переходе к облакам
•  Сетевая доступность
•  Жизнеспособность (устойчивость)
•  Непрерывность бизнеса и восстановление после сбоев
•  Инциденты безопасности
•  Прозрачность облачного провайдера
•  Потеря физического контроля
•  Новые риски и уязвимости
•  Соответствие требованиям

ЧТО ТАКОЕ
БЕЗОПАСНОСТЬ?

Что такое информационная безопасность?
•  Сохранение конфиденциальности, целостности и доступности
информации. Кроме того, также могут быть включены другие
свойства, такие как аутентичность, подотчетность,
неотказуемость и надежность
–  ГОСТ Р ИСО/МЭК 27002
•  Цель информационной безопасности заключается в защите
информации и информационных систем от
несанкционированного доступа, использования, раскрытия,
перебоев, изменения или уничтожения

За счет чего достигается информационная безопасность?
•  Информационная безопасность включает в себя
–  Политика в области защиты
–  Организация защиты информации
–  Менеджмент активов
–  Защита человеческих ресурсов
–  Физическая безопасность и безопасность окружения
–  Управление средствами связи и операциями
–  Управление доступом
–  Приобретение, разработка и поддержание в рабочем состоянии ИС
–  Управление инцидентами
–  Менеджмент непрерывности
–  Соответствие требованиям

БЕЗОПАСНОСТЬ ОБЛАКА

На каком уровне вы способны обеспечивать
безопасность в своей корпоративной сети уже сейчас?
•  Вы можете гарантировать отсутствие
закладок на аппаратном уровне?
•  Вы защищаете и внутреннюю сеть
или только периметр?
•  Как у вас обстоит дело с защитой
виртуализации? А SDN вы не
внедряли еще?
•  Вы знаете механизмы защиты своих
операционных систем? А вы их
используете?
•  А механизмы защиты своих
приложений вы знаете? А
используете?
•  А данные у вас классифицированы?

Разные возможности по реализации системы защиты для
разных сервисных моделей
•  В зависимости от архитектуры облака часть функций защиты
может решать сам потребитель самостоятельно
IaaS
Провайдер
Заказчик
VMs/Containers
ОС/Приложения
Данные
PaaS
Приложения
Провайдер
Заказчик
Данные
SaaS
Провайдер

Типы облачных моделей и средства защиты
IaaS
•  Заказчик облачных
услуг может
использовать любые
средства защиты,
устанавливаемые на
предоставляемую
аппаратную
платформу
PaaS
услуг привязан к
предоставляемой
платформе
•  Выбор СЗИ (особенно
сертифицированных)
ограничен и, как
правило, лежит на
облачном провайдере
•  Заказчик может
настраивать функции
защиты приложений
•  Компромисс между
средствами защиты и
облачными услугами
SaaS
услуг не имеет
возможности по
выбору средств и
механизмов защиты
облака
•  Выбор лежит на
облачном провайдере

Особенности защиты IaaS
Защитная мера
Нюансы
реализации (з / о)
Политика в области защиты 50 / 50
Организация защиты информации 50 / 50
Менеджмент активов 50 / 50
Защита человеческих ресурсов 30 / 70
Физическая безопасность и безопасность окружения 0 / 100
Управление средствами связи и операциями 35 / 65
Управление доступом 60 / 40
Приобретение, разработка и поддержание в рабочем
состоянии ИС
60 / 40
Управление инцидентами 60 / 40
Менеджмент непрерывности 30 / 70
Соответствие требованиям 70 / 30

Защита IaaS: обратите внимание
•  Ограничения на установку определенных средств защиты в
инфраструктуру облачного провайдера
•  Возможность установки собственных средств шифрования
•  Экспорт из России средств шифрования
–  На все площадки облачного провайдера в разных странах мира
•  Обслуживание (замена) вышедших из строя средств защиты,
особенно средств шифрования
•  Защита данных при доступе с мобильных устройств
–  Особенно в контексте шифрования трафика

Особенности защиты PaaS
Нюансы
50 / 50

Защита PaaS: обратите внимание
•  Насколько модель угроз и стандарты защиты облачного
провайдера соответствуют вашим?
–  Возможно ли привести их к общему знаменателю?

Особенности защиты SaaS
Нюансы
0 / 100

Защита SaaS: обратите внимание
•  Насколько модель угроз и стандарты защиты облачного
провайдера соответствуют вашим?
–  Возможно ли привести их к общему знаменателю?
•  Как вообще вы можете повлиять на реализацию и эксплуатацию
системы ИБ у облачного провайдера?

Типы облаков с точки зрения ИБ и compliance
Частное
•  Управляется
организацией или
третьим лицом
•  Обеспечение
безопасности легко
реализуемо
•  Вопросы
законодательного
регулирования
легко решаемы
Публичное
(локальное)
•  Управляется одним
юридическим
лицом
•  Обеспечение
безопасности
реализуемо
средними
усилиями
•  Вопросы
законодательного
регулирования
решаемы
средними
усилиями
Публичное
(глобальное)
•  Управляется
множеством
юридических лиц
•  Требования по
безопасности
различаются в
разных странах
•  Законодательные
требования
различаются в
разных странах

ОБЛАКА = ПОТЕРЯ
КОНТРОЛЯ

Возможности по контролю изменчивы
23
Публичное
Гибридное
Сообщество
Частное
Аутсорсинг
Инсорсинг
Внешнее
Внутреннее
Возможности по
контролю меняются в
зависимости от вида
эксплуатации,
расположения и типа
облака

В публичном облаке меньше контроля
Частное облако Публичное облако
Соответствие Предприятие Облачный провайдер
Governance Предприятие Облачный провайдер
Безопасность Предприятие Облачный провайдер
Эксплуатация Предприятие Облачный провайдер
Риски Предприятие Распределены между
предприятием и
облачным провайдером
Владелец облака Предприятие или
арендодатель
Облачный провайдер
Использование
ограничено
Предприятием Ничем
24

НЕ ЗАБУДЬТЕ И ПРО ДРУГИЕ
ВОПРОСЫ

Обратите внимание и на другие вопросы
•  Трансграничная передача персональных данных
–  Потребует от заказчика облачных услуг получить письменное
согласие субъекта персональных данных
–  Реализация легального шифрования на площадках в разных
странах мира
–  Реализация легального шифрования на мобильных платформах
•  Обработка государственных информационных ресурсов
–  Облачный провайдер не может передавать ГИР за пределы
России согласно 351-му Указу Президента
–  Облачный провайдер должен соответствовать требованиям 17-го
приказа ФСТЭК от 2013-го года
–  Облачный провайдер должен использовать только
сертифицированные средства защиты и(или) аттестовать свои
ИС

Обратите внимание и на другие вопросы
•  Облачный провайдер обязан предоставить доступ спецслужбам,
правоохранительным и судебным органам по мотивированному
(или немотивированному) запросу
–  А иногда облачный провайдер и не будет знать, что такой доступ
имеется
–  А вас он не обязан ставить в известность о таком доступе
•  Контроль облачного провайдера
–  Вам придется переориентироваться с собственной защиты на
контроль чужой защиты
–  На каком языке вы будете общаться с зарубежным облачным
провайдером?
•  Предоставление услуг по защите информации – это
лицензируемый вид деятельности
–  У облачного провайдера есть лицензии ФСТЭК и ФСБ?

Изменение парадигмы ИБ регуляторов при переходе в
публичное облако
Один объект
= один
субъект
Один объект =
множество
субъектов
•  Защищать надо не только отдельных субъектов, но и
взаимодействие между ними
•  С учетом отсутствия контролируемой зоны и динамической
модели предоставления сервиса

ТАК ЧТО ЖЕ ВСЕ-ТАКИ
ДЕЛАТЬ?

Если вы все-таки решились
•  Стратегия безопасности облачных вычислений
–  Пересмотрите свой взгляд на понятие «периметра ИБ»
–  Оцените риски – стратегические, операционные, юридические
–  Сформируйте модель угроз
–  Сформулируйте требования по безопасности
–  Пересмотрите собственные процессы обеспечения ИБ
–  Проведите обучение пользователей
–  Продумайте процедуры контроля облачного провайдера
–  Юридическая проработка взаимодействия с облачным
провайдером
•  Стратегия выбора аутсорсера
–  Чеклист оценки ИБ облачного провайдера
–  Посмотрите мою презентацию с прошлого ИноБЕРЕГа

Cisco Cloud Risk Assessment Framework
31
R1: Data Risk
and
Accountability
R2: User Identity
R3: Regulatory
Compliance
R4: Business
Continuity &
Resiliency
R5: User Privacy
& Secondary
Usage of Data
R6: Service &
Data Integration
R7: Multi-
tenancy &
Physical
Security
R8: Incident
Analysis &
Forensics
R9:
Infrastructure
Security
R10: Non-
production
Environment
Exposure

Выбор облачного провайдера с точки зрения ИБ
•  Защита данных и обеспечение privacy
•  Управление уязвимостями
•  Управление identity
•  Объектовая охрана и персонал
•  Доступность и производительность
•  Безопасность приложений
•  Управление инцидентами
•  Непрерывность бизнеса и восстановление после катастроф
•  Ведение журналов регистрации (eDiscovery)
•  Сompliance
•  Финансовые гарантии
•  Завершение контракта
•  Интеллектуальная собственность

Почему в России нельзя обеспечить ИБ облаков?

More Related Content

What's hot

Viewers also liked

Similar to Почему в России нельзя обеспечить ИБ облаков?

More from Aleksey Lukatskiy

Почему в России нельзя обеспечить ИБ облаков?