Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
 Экономия при переходе в облака или безопасность!?<br />Михаил Козлов<br />DevBusiness / ru 2.0<br />mkozloff (@) devbusin...
Михаил Козлов<br />2<br />
Облака: Экономия vs. Рост угроз безопасности<br />3<br />
Экономия с облаками (прогноз IBM)<br />4<br />
Облака – источник эластичной мощности, а не маркетинговый треп!<br />Традиционные ИТ<br />Облачные ИТ<br />Дефицит<br />Пр...
Что сегодня сдерживает развитие облаков?<br />Зрелость технологий<br />Безопасность<br />Мало автоматизации<br />Энергоэфф...
Безопасность – опасение #1при переходе к облакам<br />Безопасность<br />Интеграция облаков с существующим ЦОД<br />Отсутст...
Катастрофа с облаком Amazon безвозвратно уничтожила данные многих клиентов<br />8<br />Um...<br />http://www.businessinsid...
Взлом Sony Playstation Network (04/2011)<br />9<br />… хакеры совершили атаку на игровую сеть PlaystationNetwork…… стало и...
Простои Microsoft BPOS<br />10<br />«Я бы хотел извинится перед вами, нашими клиентами и партнерами, за очевидный неудобст...
Какая доля ваших сервисов размещена в облаке?<br />11<br />Источник: NetIQ, 2011<br />
Полностью реализованный потенциал облака<br />Федеративныеданные и услуги свободно и безопасно мигрируют между облаками<br...
Безопасность в Облаке: критические факторы<br />13<br />
Консолидация = централизация рисков<br />«В облачной среденаименьший общий знаменатель безопасностибудет разделен со всеми...
Ключевые угрозы в облаке v1.0<br />Угроза #1: злоупотребление концепцией<br />Угроза#2: небезопасные интерфейсы иAPIs<br /...
Стоимость потери информации<br />285М взломанных записей в 2008 г. (Verizon Business RISK Team)<br />В2008 в США потеря ка...
Типы и стоимость инцидентов с ИБ<br />17<br />
Потеря данных через администратора – самый дорогой тип инцидента в ИБ <br />The Value Of Corporate Secrets<br />How Compli...
2010: рост утечек через инсайдеров на 26%<br />2010 Data Breach Investigations Report<br />Verizon RISK Team in cooperatio...
Даже «эксперты» не понимают всех проблем…<br />20<br />«Наши эксперты считают, что для защиты виртуальной ИТ-инфраструктур...
Виртуализация и риски ИБ<br />21<br />Большинство облаков используют технологии виртуализации. При этом:<br />Источник: Ga...
Администраторы – самые опасныеинсайдеры<br />Администраторы приложений<br />Сетевыеадминистраторы<br />Поставщикиаутсорсин...
Максимальная зона риска<br />Администратор виртуальной среды<br />Может украсть образы ВМ<br />Администратор системы хране...
Что делать с безопасностью в облаке?<br />24<br />Фото: http://www.flickr.com/photos/kenningtonfox/2967190217/<br />
Cloud Security Alliance – лучшие практики ИБ для критически важных элементов облачных вычислений<br />http://www.cloudsecu...
Решение для облаков и виртуальных сред<br />26<br />*) Виртуальной инфраструктуры, системы (и/или сеть) хранения данных, и...
Шифрование имониторинг СХД<br />Существенно упрощает планирование мер ИБ<br />Только авторизованные сотрудники имеют досту...
Шифрование…<br />Хост / Приложение<br />СХД<br />Сеть<br />За:<br /><ul><li>Прозрачно для хостов, СХД и приложений
Быстротаработы
Хороший контроль доступа</li></ul>Против:<br /><ul><li>Может потребовать доп. оборудование</li></ul>За:<br /><ul><li>Широк...
Низкие затраты (ПО)</li></ul>Против:<br /><ul><li>Нагружает CPU
Слабое управление ключами
Upcoming SlideShare
Loading in …5
×

Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?

3,122 views

Published on

Преимущества, которые несут в себе облачная и виртуальная инфраструктура очевидны. Также очевидны и дополнительные риски. На семинаре будут обсуждаться следующие вопросы: какие проблемы связаны с обеспечением ИБ инфраструктур виртуализации; что перевешивает, экономика или безопасность; в чем ограничения средств защиты для виртуальных инфраструктур; взлом облака и взлом из облака.

Published in: Business
  • Be the first to comment

  • Be the first to like this

Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?

  1. 1.  Экономия при переходе в облака или безопасность!?<br />Михаил Козлов<br />DevBusiness / ru 2.0<br />mkozloff (@) devbusiness.ru <br />http://devbusiness.ru/mkozloff<br />
  2. 2. Михаил Козлов<br />2<br />
  3. 3. Облака: Экономия vs. Рост угроз безопасности<br />3<br />
  4. 4. Экономия с облаками (прогноз IBM)<br />4<br />
  5. 5. Облака – источник эластичной мощности, а не маркетинговый треп!<br />Традиционные ИТ<br />Облачные ИТ<br />Дефицит<br />Предложение мощности<br />ИТ мощности<br />Спрос на загрузку<br />Простой<br />ИТ мощности<br />Время<br />Мощность = загрузка<br />Время<br />Источник: Microsoft<br />5<br />
  6. 6. Что сегодня сдерживает развитие облаков?<br />Зрелость технологий<br />Безопасность<br />Мало автоматизации<br />Энергоэффективность<br />Стандарты<br />Аппетит к риску<br />Защита IP<br />Совместимость<br />Регуляторы и аудит<br />Гарантии качества услуг<br />Необходим культурный сдвиг и новые технологии<br />Источник: Intel<br />
  7. 7. Безопасность – опасение #1при переходе к облакам<br />Безопасность<br />Интеграция облаков с существующим ЦОД<br />Отсутствие стандартов<br />Source: Saugatuck Technology Inc., 2009 Cloud Infrastructure Survey (Julne09), WW N=670<br />7<br />
  8. 8. Катастрофа с облаком Amazon безвозвратно уничтожила данные многих клиентов<br />8<br />Um...<br />http://www.businessinsider.com/amazon-lost-data-2011-4<br />
  9. 9. Взлом Sony Playstation Network (04/2011)<br />9<br />… хакеры совершили атаку на игровую сеть PlaystationNetwork…… стало известно, что взломщики получили доступ к 77 миллионам записей игроков в PSN, а также предположительно к 10 миллионам кредитных карт, с помощью которых оплачивались те или иные игры…<br />http://www.mobile-review.com/articles/2011/birulki-117.shtml#4<br />
  10. 10. Простои Microsoft BPOS<br />10<br />«Я бы хотел извинится перед вами, нашими клиентами и партнерами, за очевидный неудобства, вызванные этими проблемами».  <br />Dave Thompson<br />Corporate Vice-President, Microsoft Online Services<br />12 May 2011 5:47 PM<br />
  11. 11. Какая доля ваших сервисов размещена в облаке?<br />11<br />Источник: NetIQ, 2011<br />
  12. 12. Полностью реализованный потенциал облака<br />Федеративныеданные и услуги свободно и безопасно мигрируют между облаками<br />АвтоматическиеДинамическое выделение ресурсов для поддержки SLA и оптимального энергопотребления<br />КлиентоориентированныеБезопасный и удобный доступ с множества форм-факторов<br />Встроенныетехнологии<br />Лэптопы<br />Мобильныеустр-ва<br />ПК<br />Смартфоны<br />Нетбуки<br />Умные ТВ<br />Источник: Intel<br />
  13. 13. Безопасность в Облаке: критические факторы<br />13<br />
  14. 14. Консолидация = централизация рисков<br />«В облачной среденаименьший общий знаменатель безопасностибудет разделен со всеми арендаторамивиртуального ЦОД.»<br />14<br />http://www.cloudsecurityalliance.org/csaguide.pdf<br />credit: Lawrence Berkeley Nat'l Lab - Roy Kaltschmidt, photographer<br />
  15. 15. Ключевые угрозы в облаке v1.0<br />Угроза #1: злоупотребление концепцией<br />Угроза#2: небезопасные интерфейсы иAPIs<br />Угроза#3: вредоносные инсайдеры<br />Угроза#4: общее использование старых технологий<br />Угроза#5: утечки и потери данных<br />Угроза#6: взлом учетных записей и сервисов<br />Угроза#7: неизвестные характеристики рисков<br />Источник: Top Threats to Cloud Computing<br />15<br />
  16. 16. Стоимость потери информации<br />285М взломанных записей в 2008 г. (Verizon Business RISK Team)<br />В2008 в США потеря каждой записи стоила $202, включая $152 косвенного ущерба (Ponemon Institute)<br />True Cost of Compliance Report, Ponemon Institute LLC, January 2011<br />16<br />
  17. 17. Типы и стоимость инцидентов с ИБ<br />17<br />
  18. 18. Потеря данных через администратора – самый дорогой тип инцидента в ИБ <br />The Value Of Corporate Secrets<br />How Compliance And Collaboration Affect Enterprise Perceptions Of Risk<br />March 2010, Forrester<br />18<br />
  19. 19. 2010: рост утечек через инсайдеров на 26%<br />2010 Data Breach Investigations Report<br />Verizon RISK Team in cooperation with the United States Secret Service<br />
  20. 20. Даже «эксперты» не понимают всех проблем…<br />20<br />«Наши эксперты считают, что для защиты виртуальной ИТ-инфраструктуры можно использовать традиционные подходы и средства. … Применение традиционных антивирусных продуктов и межсетевых экранов пригодно, с его [эксперта] точки зрения, для защиты как “родительского” раздела, так и “гостевых”».<br />Безопасность виртуализированныхИТ-сред. PC Week/RE, 15.04.2011<br />http://www.pcweek.ru/security/article/detail.php?ID=130756<br />
  21. 21. Виртуализация и риски ИБ<br />21<br />Большинство облаков используют технологии виртуализации. При этом:<br />Источник: Gartner, 2010<br />
  22. 22. Администраторы – самые опасныеинсайдеры<br />Администраторы приложений<br />Сетевыеадминистраторы<br />Поставщикиаутсорсинга<br />Администраторы СХД<br />CEO<br />Данные о клиентах<br />СХД<br />IP<br />CFO<br />Персо-нальныеданные<br />Администратор ВИ<br />Администраторысистем резервноговосстановления<br />Ремонтныйперсонал<br />ДСП<br />CxO<br />Курьеры(ленты…)<br />Системныеадминистраторы<br />Администраторырезервного копирования<br />Источник: NetApp<br />
  23. 23. Максимальная зона риска<br />Администратор виртуальной среды<br />Может украсть образы ВМ<br />Администратор системы хранения данных (СХД)<br />Может украсть копию диска<br />Администратор облака имеет доступ к данным множества клиентов!<br />23<br />
  24. 24. Что делать с безопасностью в облаке?<br />24<br />Фото: http://www.flickr.com/photos/kenningtonfox/2967190217/<br />
  25. 25. Cloud Security Alliance – лучшие практики ИБ для критически важных элементов облачных вычислений<br />http://www.cloudsecurityalliance.org/<br />25<br />
  26. 26. Решение для облаков и виртуальных сред<br />26<br />*) Виртуальной инфраструктуры, системы (и/или сеть) хранения данных, информационной безопасности<br />
  27. 27. Шифрование имониторинг СХД<br />Существенно упрощает планирование мер ИБ<br />Только авторизованные сотрудники имеют доступ к данным и настройкам<br />Аудит и протоколы доступа к данным<br />Автоматическая защита копий<br />Потеря носителя не является угрозой<br />
  28. 28. Шифрование…<br />Хост / Приложение<br />СХД<br />Сеть<br />За:<br /><ul><li>Прозрачно для хостов, СХД и приложений
  29. 29. Быстротаработы
  30. 30. Хороший контроль доступа</li></ul>Против:<br /><ul><li>Может потребовать доп. оборудование</li></ul>За:<br /><ul><li>Широкие возможности
  31. 31. Низкие затраты (ПО)</li></ul>Против:<br /><ul><li>Нагружает CPU
  32. 32. Слабое управление ключами
  33. 33. Ключи доступны через ОС
  34. 34. Сложные внедрение и управление(особенно в гетерогенной среде)</li></ul>За:<br /><ul><li>Прозрачно для хостов
  35. 35. Обычно часть АО</li></ul>Против:<br /><ul><li>Слабое управление ключами
  36. 36. Нет поддержки гетерогенной мультивендорной среды
  37. 37. Привязка к поставщику СХД
  38. 38. М.б. полное обновление системы</li></ul>Нотификация и сертификация ФСБ!?<br />Источник: NetApp<br />
  39. 39. Способы снижения рисков Облаков…<br />Планируйте сбои<br />Поддерживайте собственную экспертизу<br />Тестируйте сбои в облаке<br />Поддерживаете собственные резервные мощности<br />Проверьте свою стратегию соурсинга<br />Отказоустойчивость не бывает бесплатной<br />Поставщик услуг должен отвечать за сбои<br />29<br />Источник: CIO.com<br />
  40. 40. Лучшие практики: облака и ИБ<br />Cloud Security Alliance<br />http://www.cloudsecurityalliance.org/<br />Open Data Center Alliance<br />http://www.opendatacenteralliance.org/<br />Storage Security Industry Forum<br />http://www.snia.org/forums/ssif/<br />Open Cloud Consortium (OCC)<br />http://opencloudconsortium.org/<br />+ перечень облачных стандартов в обзоре CNews:<br />http://cloud.cnews.ru/reviews/index.shtml?2011/04/26/438141_4<br />30<br />
  41. 41. Заключение<br />31<br />Облака снижают затраты и дают эластичную масштабируемость<br />Утечка данных через администраторов – самый дорогой вид угроз нарушения ИБ<br />Облакам нужны крепкие засовы в виде лучших практик ИБ<br />
  42. 42. The Journey to the Cloud and its Security Implications <br />New attack surfaces needs to be locked down<br />Virtualize non critical systems<br /><ul><li>Introduce new platform and management components in IT ecosystem</li></ul>Security policies need to centered on identity and information, not infrastructure<br />Compliance and security need visibility into the virtual infrastructure<br />Virtualize mission critical applications<br /><ul><li>Dissociate application from IT physical infrastructure</li></ul>Need new perimeters enforced within the virtual infrastructure aligned with policies<br />Security management is converging with Virtual infrastructure management<br />Create internal clouds<br /><ul><li>Make IT available as a service
  43. 43. Convergence of IT admin roles (storage, network, system, V.I.)</li></ul>Need evidence of compliance from cloud providers<br />Need multi-tenancy and isolation built in the cloud infrastructure<br />Expand to external clouds<br /><ul><li>Externalize IT physical infrastructure</li></ul>Information in physical infrastructure needs to be isolated from service providers admins<br />Need to federate identity and policies across clouds<br />Источник: RSA<br />Journey to the Cloud  Security Journey<br />
  44. 44. Заключение<br />Облака снижают TCO и дают эластичную масштабируемость<br />Утечка данных через администраторов – самый дорогой вид угроз нарушения ИБ<br />Используйте лучшие практики ИБ<br />Разделяйте ответственность администраторов<br />33<br />
  45. 45. 34<br />(c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.<br />

×