SlideShare a Scribd company logo

Шифрование данных в облачных инфраструктурах – обзор технологических подходов

Download as PPTX, PDF
Denis Bezkorovayny
Denis Bezkorovayny

РусКрипто 2012

1 of 23
Шифрование данных в облачных инфраструктурах – обзор технологических подходов РусКрипто 2012 Денис Безкоровайный, CISA, CISSP, CCSK Вице-президент RISSPA, Организатор Cloud Security Alliance Russian Chapter
Нужно ли шифровать данные в облаках? • Нужно! – говорят сами облачные провайдеры1 • Нужно! – говорит Cloud Security Alliance2 • Облако провайдера – недоверенная среда • Помним про US Patriot Act 1 http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf 2 https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
Какие риски нарушения конфиденциальности данных в облаке? • Доступ к данным со стороны провайдера (злонамеренный инсайдер) • Публичное разглашение данных (доступ неограниченного круга лиц) • Вынос/выемка данных или носителей из датацентра провайдера (органы, сотрудники) • Ошибки изоляции среды (доступ одного клиента облака к данным других клиентов) • Недостаточное уничтожение данных провайдером при уходе клиента или стирании данных
Варианты подходов к шифрованию в облачных средах 1. Программные агенты на конечных точках, обращающихся к облаку 2. Шлюз/прокси – виртуальный или физический 3. Шифрование непосредственно в самой облачной инфраструктуре
Размещение средств шифрования в облачных средах 2. Облачный брокер, посредник (шлюзы) 1. Клиент (агенты, шлюзы) Облачный провайдер 3.Облачныйпровайдер Облачный провайдер (агенты, собственные средства)
Управление ключами шифрования Где хранить ключи? Как обеспечить защиту ключей? Как обеспечить доступность ключей? Сервер управления ключами
Где может находится сервер управления ключами 3. Поставщик услуг MSSP, брокер (Key Management as a Service) 2. Клиент Облачный провайдер 1.Облачныйпровайдер Облачный провайдер
Сервер управления ключами у провайдера облачной услуги Минусы Плюсы • Нет разделения – и • Может быть данные и ключи в одних интегрировано с руках билингом и сервисами провайдера • Риск инсайдера остается • Снижаются риски НСД к • Риск выемки данных у данным со стороны провайдера остается других клиентов и риск случайного раскрытия третим лицам
Сервер управления ключами у заказчика облачной услуги Минусы Плюсы • Дорого • Снижаются все перечисленные риски потери конфиденциальности данных
Сервер управления ключами как услуга Минусы Плюсы • Опять же вопрос доверия • Разделение данных и к провайдеру услуги ключей • Дополнительные риски, • Снижение всех как и с любым сервисом перечисленных рисков • Простота • Относительная дешевизна
Пример реализации шифрования на стороне провайдера - Amazon Amazon S3 Server Side Encryption for Data at Rest И средства шифрования и система управления ключами - у провайдера
Шифрование для SaaS – реализации • Шифруются данные полей • Все или выборочно • Агенты на клиентах сервиса • Шифрующий/дешифрующий шлюз
Пример реализации шифрования для SaaS - CipherCloud
Пример реализации шифрования для SaaS - CipherCloud
Шифрование для SaaS – сложности • Обработка данных в приложении (поиск, аналитика) • Не все поля шифруются • Нужно либо сохранять форматы данных, либо перестраивать приложения • Format Preserving Encryption более медленное
Шифрование для IaaS – реализации • Шифрование инстансов и виртуальных дисков • Шифрование файлов • Могут применяться стандартные средства FDE • Проблема в аутентификации запроса и получении ключа при загрузке инстанса (нет интерактивного пользователя)
Шифрование для IaaS – пример реализации Trend Micro SecureCloud
Существующие решения – для кого они? • Для домашних пользователей • Для корпоративного сектора (потребители облачных услуг) • Для облачных сервис провайдеров
Если не шифрование, то что еще? • Токенизация • Анонимизация («вырезание» или маскирование конфиденциальных данных)
Пример реализации «облачного токенизатора»
Российские криптоалгоритмы – возможно ли? • Готовых решений на рынке нет • Сделай сам – возможно, например Amazon предоставляет AWS SDK for Java
Юридические тонкости Облачный провайдер США Клиент Датацентр провайдера Россия Германия Сервис управления ключами, Япония
Вопросы? bezkod@RISSPA.ru Денис Безкоровайный www.RISSPA.ru 23

Recommended

Clouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN
 
Безопасность гибридных облаков
Безопасность гибридных облаковБезопасность гибридных облаков
Безопасность гибридных облаков
Andrey Beshkov
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9UISGCON
 
денис аникин
денис аникинденис аникин
денис аникинkuchinskaya
 
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Denis Bezkorovayny
 
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
Clouds NN
 
Виктор Подкорытов, Cisco: "EnterpriseCloudSuite: задачи и примеры использован...
Виктор Подкорытов, Cisco: "EnterpriseCloudSuite: задачи и примеры использован...Виктор Подкорытов, Cisco: "EnterpriseCloudSuite: задачи и примеры использован...
Виктор Подкорытов, Cisco: "EnterpriseCloudSuite: задачи и примеры использован...
De Novo
 
Презентация компании УКРИНДЕКС
Презентация компании УКРИНДЕКСПрезентация компании УКРИНДЕКС
Презентация компании УКРИНДЕКС
Roman Khlon
 

Recommended

Clouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN
 
Безопасность гибридных облаков
Безопасность гибридных облаковБезопасность гибридных облаков
Безопасность гибридных облаков
Andrey Beshkov
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9UISGCON
 
денис аникин
денис аникинденис аникин
денис аникинkuchinskaya
 
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Denis Bezkorovayny
 
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
Clouds NN
 
Виктор Подкорытов, Cisco: "EnterpriseCloudSuite: задачи и примеры использован...
Виктор Подкорытов, Cisco: "EnterpriseCloudSuite: задачи и примеры использован...Виктор Подкорытов, Cisco: "EnterpriseCloudSuite: задачи и примеры использован...
Виктор Подкорытов, Cisco: "EnterpriseCloudSuite: задачи и примеры использован...
De Novo
 
Презентация компании УКРИНДЕКС
Презентация компании УКРИНДЕКСПрезентация компании УКРИНДЕКС
Презентация компании УКРИНДЕКС
Roman Khlon
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
Denis Bezkorovayny
 
ИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеров
Denis Bezkorovayny
 
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Denis Bezkorovayny
 
QA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, KyivQA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, Kyiv
Sergey Kochergan
 
RCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarRCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarDenis Bezkorovayny
 
DDoS for banks
DDoS for banksDDoS for banks
DDoS for banks
Vladimir Guk
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Denis Bezkorovayny
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Vlad Styran
 
Obserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobileObserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobile
Michał Olczak
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfDenis Bezkorovayny
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установах
Dmytro Petrashchuk
 
Rai
RaiRai
RaiAngelaromero21
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
Vlad Styran
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
Denis Bezkorovayny
 
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїПуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїgarasym
 
Smartphone that enables you to hear the world
Smartphone that enables you to hear the worldSmartphone that enables you to hear the world
Smartphone that enables you to hear the world
Dmytro Petrashchuk
 
ІКТА
ІКТАІКТА
ІКТАgarasym
 
Untitled 1
Untitled 1Untitled 1
Untitled 1Sergey Kochergan
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
Мобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной средеМобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной среде
Denis Bezkorovayny
 
Как защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдераКак защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдераDenis Bezkorovayny
 
Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Aleksey Lukatskiy
 

More Related Content

Viewers also liked

Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
Denis Bezkorovayny
 
ИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеров
Denis Bezkorovayny
 
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Denis Bezkorovayny
 
QA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, KyivQA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, Kyiv
Sergey Kochergan
 
RCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarRCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarDenis Bezkorovayny
 
DDoS for banks
DDoS for banksDDoS for banks
DDoS for banks
Vladimir Guk
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Denis Bezkorovayny
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Vlad Styran
 
Obserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobileObserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobile
Michał Olczak
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfDenis Bezkorovayny
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установах
Dmytro Petrashchuk
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
Vlad Styran
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
Denis Bezkorovayny
 
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїПуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїgarasym
 
Smartphone that enables you to hear the world
Smartphone that enables you to hear the worldSmartphone that enables you to hear the world
Smartphone that enables you to hear the world
Dmytro Petrashchuk
 
ІКТА
ІКТАІКТА
ІКТАgarasym
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
Мобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной средеМобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной среде
Denis Bezkorovayny
 

Viewers also liked (20)

Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
ИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеров
 
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
 
QA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, KyivQA Automation course 2014 - DIO-soft, Kyiv
QA Automation course 2014 - DIO-soft, Kyiv
 
RCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarRCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminar
 
DDoS for banks
DDoS for banksDDoS for banks
DDoS for banks
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
 
Obserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobileObserwatorium.biz - Prezentacja e tożsamość na mobile
Obserwatorium.biz - Prezentacja e tożsamość na mobile
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установах
 
Rai
RaiRai
Rai
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
 
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїПуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
 
Smartphone that enables you to hear the world
Smartphone that enables you to hear the worldSmartphone that enables you to hear the world
Smartphone that enables you to hear the world
 
ІКТА
ІКТАІКТА
ІКТА
 
Untitled 1
Untitled 1Untitled 1
Untitled 1
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013
 
Мобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной средеМобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной среде
 

Similar to Шифрование данных в облачных инфраструктурах – обзор технологических подходов

Как защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдераКак защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдераDenis Bezkorovayny
 
Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Aleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
Clouds NN
 
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...Positive Hack Days
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
DialogueScience
 
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...Cisco Russia
 
Безопасность Cisco Spark
Безопасность Cisco SparkБезопасность Cisco Spark
Безопасность Cisco Spark
Cisco Russia
 
Cloud computing security
Cloud computing securityCloud computing security
Cloud computing security
Andriy Lysyuk
 
Безопасность сессий в веб-приложениях
Безопасность сессий в веб-приложенияхБезопасность сессий в веб-приложениях
Безопасность сессий в веб-приложениях
Kateryna Ovechenko
 
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Yandex
 
Построение облачного сервиса на практике: как мы сделали Cloud-V
Построение облачного сервиса на практике: как мы сделали Cloud-VПостроение облачного сервиса на практике: как мы сделали Cloud-V
Построение облачного сервиса на практике: как мы сделали Cloud-V
Михаил Соловьев
 
Nf ref pr
Nf ref prNf ref pr
Nf ref prrr55
 
Аналитика в ЦОД
Аналитика в ЦОДАналитика в ЦОД
Аналитика в ЦОД
Cisco Russia
 
InfoSecurity 2014 - Cloud Trust
InfoSecurity 2014 - Cloud TrustInfoSecurity 2014 - Cloud Trust
InfoSecurity 2014 - Cloud Trust
Anton Zhbankov
 
Cloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPACloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPADenis Bezkorovayny
 
Риски использования облачных технологий
Риски использования облачных технологийРиски использования облачных технологий
Риски использования облачных технологий
abondarenko
 
Коваленко Дарья - Secret Disk Enterprise - webinar
Коваленко Дарья - Secret Disk Enterprise - webinarКоваленко Дарья - Secret Disk Enterprise - webinar
Коваленко Дарья - Secret Disk Enterprise - webinar
Daria Kovalenko
 
Три облака для бизнеса
Три облака для бизнесаТри облака для бизнеса
Три облака для бизнеса
Cisco Russia
 
Information protection and control with RSA and Microsoft joint solution
Information protection and control with RSA and Microsoft joint solutionInformation protection and control with RSA and Microsoft joint solution
Information protection and control with RSA and Microsoft joint solution
Aleksei Goldbergs
 

Similar to Шифрование данных в облачных инфраструктурах – обзор технологических подходов (20)

Как защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдераКак защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдера
 
Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
 
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
 
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
 
Безопасность Cisco Spark
Безопасность Cisco SparkБезопасность Cisco Spark
Безопасность Cisco Spark
 
Cloud computing security
Cloud computing securityCloud computing security
Cloud computing security
 
Безопасность сессий в веб-приложениях
Безопасность сессий в веб-приложенияхБезопасность сессий в веб-приложениях
Безопасность сессий в веб-приложениях
 
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
 
Построение облачного сервиса на практике: как мы сделали Cloud-V
Построение облачного сервиса на практике: как мы сделали Cloud-VПостроение облачного сервиса на практике: как мы сделали Cloud-V
Построение облачного сервиса на практике: как мы сделали Cloud-V
 
Nf ref pr
Nf ref prNf ref pr
Nf ref pr
 
Аналитика в ЦОД
Аналитика в ЦОДАналитика в ЦОД
Аналитика в ЦОД
 
InfoSecurity 2014 - Cloud Trust
InfoSecurity 2014 - Cloud TrustInfoSecurity 2014 - Cloud Trust
InfoSecurity 2014 - Cloud Trust
 
Cloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPACloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPA
 
Риски использования облачных технологий
Риски использования облачных технологийРиски использования облачных технологий
Риски использования облачных технологий
 
Коваленко Дарья - Secret Disk Enterprise - webinar
Коваленко Дарья - Secret Disk Enterprise - webinarКоваленко Дарья - Secret Disk Enterprise - webinar
Коваленко Дарья - Secret Disk Enterprise - webinar
 
Три облака для бизнеса
Три облака для бизнесаТри облака для бизнеса
Три облака для бизнеса
 
Information protection and control with RSA and Microsoft joint solution
Information protection and control with RSA and Microsoft joint solutionInformation protection and control with RSA and Microsoft joint solution
Information protection and control with RSA and Microsoft joint solution
 

More from Denis Bezkorovayny

ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
Denis Bezkorovayny
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Denis Bezkorovayny
 
стандарт №4 (135) 04.2014 неуязвимые xaas
стандарт №4 (135) 04.2014 неуязвимые xaasстандарт №4 (135) 04.2014 неуязвимые xaas
стандарт №4 (135) 04.2014 неуязвимые xaasDenis Bezkorovayny
 
стандарт №1 (132) 01.2014 свои или чужие
стандарт №1 (132) 01.2014 свои или чужиестандарт №1 (132) 01.2014 свои или чужие
стандарт №1 (132) 01.2014 свои или чужиеDenis Bezkorovayny
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройств
Denis Bezkorovayny
 
Что должен уметь облачный провайдер
Что должен уметь облачный провайдерЧто должен уметь облачный провайдер
Что должен уметь облачный провайдер
Denis Bezkorovayny
 
New Technologies and New Risks
New Technologies and New RisksNew Technologies and New Risks
New Technologies and New Risks
Denis Bezkorovayny
 
Комплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угрозКомплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угрозDenis Bezkorovayny
 

More from Denis Bezkorovayny (8)

ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
 
стандарт №4 (135) 04.2014 неуязвимые xaas
стандарт №4 (135) 04.2014 неуязвимые xaasстандарт №4 (135) 04.2014 неуязвимые xaas
стандарт №4 (135) 04.2014 неуязвимые xaas
 
стандарт №1 (132) 01.2014 свои или чужие
стандарт №1 (132) 01.2014 свои или чужиестандарт №1 (132) 01.2014 свои или чужие
стандарт №1 (132) 01.2014 свои или чужие
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройств
 
Что должен уметь облачный провайдер
Что должен уметь облачный провайдерЧто должен уметь облачный провайдер
Что должен уметь облачный провайдер
 
New Technologies and New Risks
New Technologies and New RisksNew Technologies and New Risks
New Technologies and New Risks
 
Комплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угрозКомплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угроз
 

Шифрование данных в облачных инфраструктурах – обзор технологических подходов

  • 1. Шифрование данных в облачных инфраструктурах – обзор технологических подходов РусКрипто 2012 Денис Безкоровайный, CISA, CISSP, CCSK Вице-президент RISSPA, Организатор Cloud Security Alliance Russian Chapter
  • 2. Нужно ли шифровать данные в облаках? • Нужно! – говорят сами облачные провайдеры1 • Нужно! – говорит Cloud Security Alliance2 • Облако провайдера – недоверенная среда • Помним про US Patriot Act 1 http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf 2 https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
  • 3. Какие риски нарушения конфиденциальности данных в облаке? • Доступ к данным со стороны провайдера (злонамеренный инсайдер) • Публичное разглашение данных (доступ неограниченного круга лиц) • Вынос/выемка данных или носителей из датацентра провайдера (органы, сотрудники) • Ошибки изоляции среды (доступ одного клиента облака к данным других клиентов) • Недостаточное уничтожение данных провайдером при уходе клиента или стирании данных
  • 4. Варианты подходов к шифрованию в облачных средах 1. Программные агенты на конечных точках, обращающихся к облаку 2. Шлюз/прокси – виртуальный или физический 3. Шифрование непосредственно в самой облачной инфраструктуре
  • 5. Размещение средств шифрования в облачных средах 2. Облачный брокер, посредник (шлюзы) 1. Клиент (агенты, шлюзы) Облачный провайдер 3.Облачныйпровайдер Облачный провайдер (агенты, собственные средства)
  • 6. Управление ключами шифрования Где хранить ключи? Как обеспечить защиту ключей? Как обеспечить доступность ключей? Сервер управления ключами
  • 7. Где может находится сервер управления ключами 3. Поставщик услуг MSSP, брокер (Key Management as a Service) 2. Клиент Облачный провайдер 1.Облачныйпровайдер Облачный провайдер
  • 8. Сервер управления ключами у провайдера облачной услуги Минусы Плюсы • Нет разделения – и • Может быть данные и ключи в одних интегрировано с руках билингом и сервисами провайдера • Риск инсайдера остается • Снижаются риски НСД к • Риск выемки данных у данным со стороны провайдера остается других клиентов и риск случайного раскрытия третим лицам
  • 9. Сервер управления ключами у заказчика облачной услуги Минусы Плюсы • Дорого • Снижаются все перечисленные риски потери конфиденциальности данных
  • 10. Сервер управления ключами как услуга Минусы Плюсы • Опять же вопрос доверия • Разделение данных и к провайдеру услуги ключей • Дополнительные риски, • Снижение всех как и с любым сервисом перечисленных рисков • Простота • Относительная дешевизна
  • 11. Пример реализации шифрования на стороне провайдера - Amazon Amazon S3 Server Side Encryption for Data at Rest И средства шифрования и система управления ключами - у провайдера
  • 12. Шифрование для SaaS – реализации • Шифруются данные полей • Все или выборочно • Агенты на клиентах сервиса • Шифрующий/дешифрующий шлюз
  • 15. Шифрование для SaaS – сложности • Обработка данных в приложении (поиск, аналитика) • Не все поля шифруются • Нужно либо сохранять форматы данных, либо перестраивать приложения • Format Preserving Encryption более медленное
  • 16. Шифрование для IaaS – реализации • Шифрование инстансов и виртуальных дисков • Шифрование файлов • Могут применяться стандартные средства FDE • Проблема в аутентификации запроса и получении ключа при загрузке инстанса (нет интерактивного пользователя)
  • 17. Шифрование для IaaS – пример реализации Trend Micro SecureCloud
  • 18. Существующие решения – для кого они? • Для домашних пользователей • Для корпоративного сектора (потребители облачных услуг) • Для облачных сервис провайдеров
  • 19. Если не шифрование, то что еще? • Токенизация • Анонимизация («вырезание» или маскирование конфиденциальных данных)
  • 21. Российские криптоалгоритмы – возможно ли? • Готовых решений на рынке нет • Сделай сам – возможно, например Amazon предоставляет AWS SDK for Java
  • 22. Юридические тонкости Облачный провайдер США Клиент Датацентр провайдера Россия Германия Сервис управления ключами, Япония
  • 23. Вопросы? bezkod@RISSPA.ru Денис Безкоровайный www.RISSPA.ru 23

Editor's Notes

  1. Если клиент из России использует услуги облачного провайдера из США, у которого датацентр в Германии, данные зашифрованы, сервер управления ключами расположен у другого провайдера в Японии, нужна ли клиенту лицензия ФСТЭК/ФСБ? 