Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ЗИ в ЦОД

543 views

Published on

data center

Published in: Technology
  • Be the first to comment

  • Be the first to like this

ЗИ в ЦОД

  1. 1. Вопросы создания и аттестации/сертификации системы защиты информации ЦОД
  2. 2. Согласно классификации по СТБ 34.101.30-2007 ЦОД относится к объектам информатизации класса В2 – технические средства ОИ находятся в одной контролируемой зоне (КЗ), обработка информации осуществляется в пределах КЗ, каналы связи выходят за пределы КЗ Инженерная инфраструктура ЦОД : помещения, , энергообеспечение, , кондиционирование, , защита физического доступа Вычислительная инфраструктура ЦОД: физические серверы, накопители данных, сетевое оборудование и пр. Средства телекоммуникационного взаимодействия субъектов с ресурсам и сервисам ЦОД Пользователи- потребители сервисов ЦОД Доступ с любого места Доступ из ЛВС организации Сети общего пользования Системное ПО и системные сервисы,(виртуализация и контроль ресурсов вычислительной инфраструктуры ЦОД ) Виртуальные ресурсы ЦОД (Сервис Colocation) (Сервис PaaS) (СервисSaaS) Границы ЦОД Физические серверы пользователя Виртуальные ресурсы ЦОД,, выделяемые клиенту Приложения пользователя Приложения ЦОД (Сервис IaaS ) Структура ЦОД и предоставляемые сервисы
  3. 3. Требования нормативных документов к информационной безопасности сервисов ЦОД 2. Приказ ОАЦ от 30.08.2013 г. №62 в редакции приказа ОАЦ от 16.01.2015 № 3 О некоторых вопросах технической и криптографической защиты информации 3. Требования и рекомендации международных стандартов: СТБ ISO/IEC 27001; ISO/IEC 27017 и ISO/IEC 27018 (последние два - адаптация рекомендаций ISO/IEC 27002 к облачным сервисам) 4. Другие требования и рекомендации: а) Cloud Controls Matrix (CCM) –рекомендации международной организации Cloud Security Alliance; Security Recommendations for Cloud Computing Providers – рекомендации German Federal Office for Information Security (BSI) б) рекомендации по обеспечению надежности и отказоустойчивости ЦОД организации Uptime Institute 1. Указ Президента РБ от 16.04.2013 №196 О некоторых мерах по совершенствованию защиты информации.
  4. 4. Структура системы обеспечения безопасности Политика СМИБ Процессы процедуры и инструкции СМИБ Документы СМИБ Инфраструктура и сервисы ЦОД Активы Клиента ЦОД Угрозы СЗИ Механизмы защиты Реализация плана обработки рисков СМИР По ISO/IEC 27005Учет и категорирование активов Учет и категорирование механизмов защиты Учет и категорирование угроз Оценка рисков План обработки рисков Мониторинг и переоценка риска СМИБ Организа- ционные меры Технические средства Базы данных Приложения По ISO/IEC 27001 Приказ ОАЦ №62/№3 Рекомендации: ISO/IEC 27002, 27017; ССМ v3; TIER
  5. 5. Уровни обеспечения безопасности в ЦОД Физическая инфраструктура Вычислительная и сетевая инфраструктура Среда виртуализации Системная платформа приложения Прикладное ПО и БД Задачи безопасности для СЗИ ЦОД Защита физического доступа Обеспечение условий для нормального функционирования оборудования и работы персонала Энергообеспечение Противопожарная защита Защита сетевого доступа к ресурсам ЦОД и защита от сетевых атак Организация защищенного информационного взаимодействия с пользователями и смежными системами Резервирование вычислительных средств и средств передачи данных Защита носителей информации от НСД Защита конфигурации оборудования от несанкционированного внесения изменений Обеспечение доступности вычислительных и сетевых ресурсов, необходимых для сервисов ЦОД Управление жизненным циклом ВМ (создание, функционирование, миграция, хранение, утилизация) Защита ресурсов ВМ от НСД и их изоляция от других МВ Контроль информационных потоков ВМ Контроль доступа ВМ к вычислительным и сетевым ресурсам ЦОД Обеспечение достаточности вычислительных и сетевых ресурсов, необходимых для функционирования ВМ Резервное копирование и восстановление ВМ. Контроль целостности ВМ Управление доступом к ресурсам, находящимся под управлением гостевой ОС Антивирусная защита файловой системы ОС, приложений и БД Контроль целостности файловой системы ОС Управление доступом к функциям приложения и БД ЭЦП документов и шифрование данных (при необходимости) Контроль форматов и целостности данных
  6. 6. Структура СЗИ ЦОД Физическая инфраструктура Вычислительная и сетевая инфраструктура Среда виртуализации Системная платформа приложения Прикладное ПО и БД Средства физической защиты от НСД Средства кондиционирования и коммунальных услуг Энергоснабжение. Средства пожарной и охранной сигнализации. Средства пожаротушен. Средства контроля сетевого доступа Средства защиты от сетевых атак Средства защиты сетевого взаимодействия Средства контроля конфигурации оборудования. Средства резервн. копирования Средства шифрования хранимых данных Средства виртуализации ресурсов ЦОД Средства защиты от НСД ресурсов ЦОД и ВМ Средства защиты информационного взаимодействия пользователей с активами, находящимися под управлением гипервизора Средства контроля состояния ВМ и их целостности…. Средства управления доступом к ресурсам, находящимся под управлением ОС Средства антивирусной защиты Средства управления доступом к приложениям и данным Средства ЭЦП и шифрования (при необходимости) Технические средства защиты Организационные меры Порядок доступа в контролируемые зоны Меры противопожарной защиты Порядок действий к критических ситуациях Порядок предоставления сетевого доступа План обеспечения непрерывной работы и восстановления ИТ-инфраструктуры ЦОД Порядок доступа к активному оборудованию и носителям данных Правила криптографической защиты информации Порядок администрирования ЦОД Порядок предоставления доступа к ВМ Порядок обеспечения доступности ресурсов для ВМ Инструкция по антивирусной защите ВМ Порядок загрузки гостевого ПО Правила администрирования гостевой ОС Порядок предоставления доступа к ресурсам ОС Инструкция по антивирусной защите Порядок администрирования приложения Порядок предоставления доступа к приложению Инструкция пользователю
  7. 7. Процессы создания и ввода в действие ЦОД Разработка и согласование с ОАЦ требований безопасности для ЦОД (ТЗ и ЗБ ЦОД) Строительство здания ЦОД. Монтаж инженерной инфраструктуры, монтаж кабельных сетей Монтаж и наладка вычислительных средств Реализация требования безопасности Установка и настройка системной платформы среды виртуализации ЦОД Приемочные испытания ЦОД Аттестация ЦОД по безопасности Требования к безопасности инженерной инфраструктуры Требования к безопасности ВС и сетей Требования к организационным мерам безопасности Требования безопасности к среде виртуализации Разработка требований к приложениям сервисов ЦОД (ЗБ или ТУ/СТБ) Требования к безопасности приложений Требования платформы к приложениям Приложения ЦОД Организационная структура ЦОД Разработчик ПО Клиент ЦОД Владелец ЦОД Контроль ПО на соответствие требованиям Опытная эксплуатация ЦОД Предоставление услуг ЦОД с обеспечением их соответствия региональным и международным требованиям Загрузка ПО в ЦОД
  8. 8. Пример безопасной системной платформы ЦОД Host Процессоры Память Сеть VM RHEV-H VDSM агент Мониторинг Хоста Конфигурирование сети Менеджмент устройств памяти Менеджмент политик Libvirt агент Удаленное администрирование VM c TLS шифрованием канала связи по X509 и контролем доступа (создание VM, выделение ресурсов VM, останов, удаление VM) RHEV-M Storage Domain Directory Service PAM Идентификация и аутентификация пользователей, управление учетными записями, контроль стойкости паролей доступа SELinux Управление доступом субъектов к объектам на основе мандатной политики доступа ACLs Управление доступом субъектов (пользователей, процессов) объектам, находящимся под контролем ОС (дискретационная политика доступа) Шифрование данных KVM Управление исполнением VM Linux Host Linux Host Linux Host Jboss EAP Application Администраторы ВМ Admin Portal User Portal CloudForms Контроль состояния VM Реализация политик управления VM Управление доступом пользователей с административными ролями к функциям CloudForm Средства администрирования компонентов RHEV VM VM HTTPS SOAP Защищенные каналы связи SSH/SSL Средствааудита Обозначения информационных потоков: Красные – администрирование ЦОД Синие – администрирование сервисов Серые - взаимодействие пользователей с приложениями сервисов ЦОД Зеленые – системные Коричневые – обрабатываемая информация HTTPS Администраторы ЦОД Приложение Приложение Приложение Пользователи приложений сервисов HTTP/HTTPS sVirt SPM
  9. 9. Вопросы? Валерий Козюминский начальник испытательной лаборатории информационных систем IBA Group, ктн +375 17 217 33 33 + 3190 +375 29 617 31 90 VKazjuminski@iba.by

×