Aleksey Lukatskiy, profile picture
Uploaded byAleksey Lukatskiy
2,656 views

Безопасность различных архитектур облачных вычислений

Документ обсуждает необходимость пересмотра стратегий безопасности в облачных вычислениях, акцентируя внимание на изменении парадигмы управления инцидентами, управлении данными и соблюдении нормативных требований. Он предлагает создание новой модели угроз и показывает, как облачные провайдеры должны обеспечивать безопасность и контроль доступа к данным клиентов. Также приводится подробный анализ методов защиты, управления уязвимостями и соблюдения требований по безопасности в контексте облачного сервиса.

Embed presentation

Downloaded 167 times
Безопасность облачных вычислений: хватит болтать, пора действовать! Лукацкий Алексей, бизнес-консультант по ИБ security-request@cisco.com
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ОБЛАЧНЫЕ ВИРТУАЛИЗАЦИЯ СРЕДЫ ТЕНДЕНЦИИ
Уходя от традиционного периметра… Политика Периметр Приложения и данные Офис Филиал Хакеры Партнеры Заказчики
…к отсутствию контролируемой зоны… Политика Периметр Приложения и данные Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
…и облакам (а также XaaS)… Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
…пора подумать о смене парадигмы ИБ… Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
И создать новую стратегию ИБ! Политика Политика 4 (Access Control, Acceptable Use, Malware, Data Security) Data Center Borderless Периметр Platform Infrastructure Приложения и Software as a Service as a Service X 3 данные as a Service as a Service Офис Borderless Internet 2 Филиал End Zones Borderless Дом Аэропорт 1 Мобильный Кафе пользователь Хакеры Партнеры Заказчики
Почему Cisco говорит об облачной безопасности?! Число CSP (400+) Sales Finance Manfacturing C&C Platform CDO Consumer IT Customer Service HR Acquisitions 8
БЕЗОПАСНОСТЬ ОБЛАКА
Если вы решились • Стратегия безопасности облачных вычислений – Пересмотрите свой взгляд на понятие «периметра ИБ» – Оцените риски – стратегические, операционные, юридические – Сформируйте модель угроз – Сформулируйте требования по безопасности – Пересмотрите собственные процессы обеспечения ИБ – Проведите обучение пользователей – Продумайте процедуры контроля облачного провайдера – Юридическая проработка взаимодействия с облачным провайдером • Стратегия выбора аутсорсера – Чеклист оценки ИБ облачного провайдера
Выбор облачного провайдера с точки зрения ИБ • Защита данных и обеспечение privacy • Управление уязвимостями • Управление identity • Объектовая охрана и персонал • Доступность и производительность • Безопасность приложений • Управление инцидентами • Непрерывность бизнеса и восстановление после катастроф • Ведение журналов регистрации (eDiscovery) • Сompliance • Финансовые гарантии • Завершение контракта • Интеллектуальная собственность
Cisco Cloud Risk Assessment Framework R1: Data Risk R2: User R3: Regulatory and Identity Compliance Accountability R5: User R4: Business Privacy & R6: Service & Continuity & Secondary Data Integration Resiliency Usage of Data R7: Multi- R8: Incident R9: tenancy & Analysis & Infrastructure Physical Forensics Security Security R10: Non- production Environment Exposure 12
Защита данных • Как мои данные отделены от данных других клиентов? • Где хранятся мои данные? • Как обеспечивается конфиденциальность и целостность моих данных? • Как осуществляется контроль доступа к моим данным? • Как данные защищаются при передаче от меня к облачному провайдеру? • Как данные защищаются при передаче от одной площадки облачного провайдера до другой? • Реализованы ли меры по контролю утечек данных? • Может ли третья сторона получить доступ к моим данным? Как? – Оператор связи, аутсорсер облачного провайдера, силовики • Все ли мои данные удаляются по завершении предоставления сервиса?
Пример Cisco: Какие данные и куда вы хотите передавать? Чьи данные передаются? Cisco или Cisco/Customer Data клиентов/партнеров? Данные какой классификации (грифов) Классификация данных будут отдаваться в облако? Где физически/географически будут Размещение данных размещены данные в облаке? Использование схем потоков данных (если Потоки данных нужно) Передаваемые данные (например, ПДн) Регуляторика подпадают под регуляторные требования? Данные клиентов Тоже самое для данных клиентов 14
Управление уязвимостями • Как часто сканируется сеть и приложения? – Попадает ли облачный провайдер под требования PCI DSS и ежеквартального сканирования со стороны ASV? • Может ли заказчик осуществить внешнее сканирование сети облачного провайдера с целью контроля его защищенности? На каких условиях? • Каков процесс устранения уязвимостей?
Управление identity • Возможна ли интеграция с моим каталогом учетных записей? Каким образом? • Если у облачного провайдера собственная база учетных записей, то – Как она защищается? – Как осуществляется управление учетными записями? • Поддерживается ли SSO? Какой стандарт? • Поддерживается ли федеративная система аутентификации? Какой стандарт?
Пример Cisco: идентификация и аутентификация пользователей Решение 1. Federated Identity 2. OAuth для интеграции с SAML backend API Identity Federation 17
Объектовая охрана и персонал • Контроль доступа на территорию облачного провайдера осуществляется в режиме 24х7? • Выделенная инфраструктура или разделяемая с другими компаниями? • Регистрируется ли доступ персонала к данным клиентов? • Есть ли результаты оценки внешнего аудита? • Какова процедура набора персонала?
Доступность • Обеспечиваемый уровень доступности в SLA (сколько девяток) • Какие меры обеспечения доступности используются для защиты от угроз и ошибок? – Резервный оператор связи – Защита от DDoS • Доказательства высокой доступности облачного провайдера • План действия во время простоя • Пиковые нагрузки и возможность облачного провайдера справляться с ними • Уровень сертификации ЦОД облачного провайдера
Текущий SLA Amazon 20
Пример Cisco: уровни критичности сервисов C-Level Term Impact Description C1 Mission Imperative Any outage results in immediate cessation of a primary function, equivalent to immediate and critical impact to revenue generation, brand name and/or customer satisfaction; no downtime is acceptable under any circumstances C2 Mission Critical Any outage results in immediate cessation of a primary function, equivalent to major impact to revenue generation, brand name and/or customer satisfaction C3 Business Critical Any outage results in cessation over time or an immediate reduction of a primary function, equivalent to minor impact to revenue generation, brand name and/or customer satisfaction C4 Business Operational A sustained outage results in cessation or reduction of a primary function C5 Business A sustained outage has little to no impact on a primary function Administrative 21
Пример Cisco: матрица доступности сервисов по уровням критичности Criticality Classification Matrix v3.0 Operational Continuity Disaster Recovery (Planned and Unplanned Downtime) Acceptable Reduced Recovery Recovery Reduced Planned Recovery Acceptable Performance Time Point Performance Adjusted Downtime Time Data Loss Acceptable Objective Objective Acceptable Availabilit Acceptabl (ART, (ADL, (Single DC (RTO, in (RPO, in (Large-Scale Criticalit Distrib y Ceiling e? hours) Hours) Loss)? Hours) Hours) Disaster)? y Level -ution Up to 99.999% N ~0 ~0 N n/a** n/a n/a C1 < 5% Up to 99.995% N 1 0 N 4 1 N C2 Up to 99.99% Y 4 0 N 24 1 Y C3 ~10% Up to 99.9% Y 24 1 Y 48 24 Y C4 > 60% Up to 99.9% Y Best Effort 24 Y Best Effort 1 wk Y C5 < 25% • ART = Maximum downtime following incidents (up to and including one DC in Metro down) • ADL = Maximum data loss following incidents (up to and including one DC in Metro down) • RTO = Maximum downtime for applications following large-scale disaster (multiple Tier-III DCs in Metro down, highly unlikely) • RPO = Maximum data loss following large-scale disaster (multiple Tier-III DCs in Metro down, highly unlikely) ** Targeting distributed architectures (active/active over large distance) to meet service continuity requirements without DR invocation 22
Безопасность приложений • Исполнение рекомендаций OWASP при разработке приложений • Процедура тестирования для внешних приложений и исходного кода • Существуют ли приложения третьих фирм при оказании сервиса? • Используемые меры защиты приложений – Web Application Firewall – Database Firewall – Аудит БД
Управление инцидентами • План реагирования на инциденты – Включая метрики оценки эффективности • Взаимосвязь вашей политики управления инцидентами и облачного провайдера – Особенно для зарубежных облачных провайдеров, находящихся в другом часовом поясе • Сотрудники облачного провайдера говорят на вашем родном языке? – При оперативном реагировании на инциденты времени искать переводчика не будет
Privacy • Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу • Какие данные собираются о заказчике? – Где хранятся? Как? Как долго? • Какие условия передачи данныех клиента третьим лицам? – Законодательство о правоохранительных органах, адвокатские запросы и т.п. • Гарантии нераскрытия информации третьим лицам и третьими лицами?
Непрерывность бизнеса • План обеспечения непрерывности бизнеса и восстановления после катастроф • Есть ли у вас резервный ЦОД, если облачный провайдер уйдет в небытие? – Или вы решите не продлевать с ним договор на оказание облачных услуг • Проходил ли облачный провайдер внешний аудит по непрерывности бизнеса? – Есть ли сертифицированные сотрудники по непрерывности бизнеса?
Журналы регистрации • Как облачный провайдер обеспечивает сбор доказательств несанкционированной деятельности? • Как долго облачный провайдер хранит логи? Возможно ли увеличение этого срока? • Можно ли организовать хранение логов во внешнем хранилище? Как?
Compliance Рассмотрим дальше!
Финансовые гарантии • Какая компенсация подразумевается в случае инцидента безопасности или нарушения SLA? – Процент от упущенной выгоды – Процент от заработка за время простоя – Процент от стоимости утекшей информации – Процент от суммы договора на оказание облачных услуг
Интеллектуальная собственность • Кому принадлежат права на информацию, переданную облачному провайдеру? – А на резервные копии? – А на реплицированные данные? – А на логи? – А на приложения? • Удостоверьтесь, что ваш контракт не приводит к потере прав на информацию и иные ресурсы, переданные облачному провайдеру
Завершение контракта • Процедура завершения контракта? – Возврат данных? В каком формате? – Как скоро я получу мои данные обратно? – Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии? • Какие дополнительные затраты на завершение контракта?
ЧАСТНОЕ ИЛИ ПУБЛИЧНОЕ?
Требований даже у ФСТЭК много СТР-К РД 15408 МСЭ, Ключевые Персональные Коммерческая «Служебная АС СВТ… системы данные тайна тайна» (СТР-К) Требования по защите Требования к Требования к разных видов тайн разработке функциональности средств защиты средств защиты
А еще есть требования СТО Банка России, 382-П и т.д. СТО РС Отраслевая Рекомендации Руководство по Общие Методика частная Аудит ИБ по самооценке Методика Требования по положения оценки модель угроз 1.1-2007 документации в соответствия оценки рисков ИБ ПДн 1.0-2010 соответствия безопасности области ИБ ИБ 2.2-2009 2.3-2010 v1 1.2-2010 ПДн v4 2.0-2007 2.1-2007 v1 v1 v3 2.4-2010 v1 v1 v1 • Применяются не только к банкам • Планируется накрытие этими требованиями всех участников Национальной платежной системы (НПС)
Требования многих НПА по ИБ во многом схожи •Разграничение доступа (+ управление потоками) •Идентификация / аутентификация •Межсетевое взаимодействие •Регистрация действий •Учет и маркировка носителей (+ очистка памяти) •Документальное сопровождение •Физический доступ Общие •Контроль целостности •Тестирование безопасности •Сигнализация и реагирование •Контроль целостности •Защита каналов связи •Обнаружение вторжений •Антивирусная защита •BCP •Защита от утечки по техническим каналам •Защита специфичных процессов (биллинг, АБС, PCI…) Специфичные •Защита приложений (Web, СУБД…) •Нестандартные механизмы (ловушки, стеганография)
Основные функции защиты по мнению отечественных регуляторов • Управление доступом • Регистрация и учет • Обеспечение целостности • Анализ защищенности • Обеспечение безопасного межсетевого взаимодействия • Обнаружение вторжений • Антивирусная защита • Обеспечение конфиденциальности
3 ключевых модели доступа с точки зрения ИБ Доступ к частному облаку отовсюду Доступ к публичному облаку из информационной системы Доступ к публичному облаку из-за пределов информационной системы
Типы облаков с точки зрения ИБ и compliance Публичное Публичное Частное (локальное) (глобальное) • Управляется • Управляется одним • Управляется организацией или юридическим множеством третьим лицом лицом юридических лиц • Обеспечение • Обеспечение • Требования по безопасности легко безопасности безопасности реализуемо реализуемо различаются в • Вопросы средними разных странах законодательного усилиями • Законодательные регулирования • Вопросы требования легко решаемы законодательного различаются в регулирования разных странах решаемы средними усилиями
Частное облако vs центр обработки данных – есть ли разница? Aggregation Application Virtual Storage IP-NGN VSwitch Compute Access and Core Edge Software Machine & SAN Backbone Services App App OS App OS OS Virtual Device Fabric-Hosted Contexts Storage App Virtualization App OS Firewall Virtual Device Internet App OS Services Contexts OS Storage Media Secure App App Encryption Domain App OS OS Routing OS IP-NGN Service Profiles Port Profiles & Virtual VN-Link Machine Line-Rate Optimization NetFlow Fibre Channel Forwarding Partners Port Profiles & VN-Link Fabric App Extension App OS Application App OS Control OS (SLB+) Service Control App App OS Virtual App OS Contexts for OS FW & SLB
Функции защиты для частного облака Функция защиты Особенности реализации Управление доступом Отсутствуют Регистрация и учет Отсутствуют Обеспечение целостности Отсутствуют Анализ защищенности Отсутствуют Обеспечение безопасного Отсутствуют межсетевого взаимодействия Обнаружение вторжений Отсутствуют Антивирусная защита Отсутствуют Обеспечение конфиденциальности Для доступа из ИС – отсутствуют Для доступа с мобильной платформы – зависит от обрабатываемых данных
Безопасное межсетевое взаимодействие Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем Сегментация с помощью Сегментация с помощью межсетевого экрана матрицы коммутации Динамический UCS Fabric Interconnect аварийный/рефлективный список ACL Мультиконтекстная сеть VPN TrustSec Сегментация с учетом контекста Сегментация сети Метки для групп безопасности (SGT) Физическая среда Протокол безопасной передачи (SXP) Виртуальная среда (VLAN, VRF) ACL-списки для групп безопасности Виртуализованная среда (зоны)
Сегментация Сегментация с помощью межсетевого экрана Трафик «север - юг». Проверка всего входящего и исходящего трафика центра обработки данных Физическая среда Устройство • Проверка всего трафика центра обработки данных в устройстве обеспечения безопасности периметра сети • Высокая скорость для всех сервисов, включая всю систему предотвращения вторжений (IPS), благодаря единой среде Модуль для передачи данных между зонами доверия коммутатора • Разделение внешних и внутренних объектов сети (трафик «север-юг») Трафик «восток-запад». Создание безопасных зон доверия многопользовательская между приложениями и пользователями в центре обработки данных Виртуальная / Виртуальный межсетевой экран Виртуальный межсетевой экран контролирует границы сети среда • Разделение пользователей в многопользовательских средах Среда виртуализации (VMware, Hyper-V) контролирует зоны Среда виртуализации • Разделяет приложения или виртуальные машины у одного пользователя
Особенности возникают при виртуализации 1. VMware и аналоги позволяют перемещать виртуальные машины между физическими серверами  Политика безопасности должна соответствовать этому процессу 2. Администраторам необходима возможность обзора и применения политики безопасности к локально коммутируемому трафику Группа портов 3. Администраторам необходимо поддерживать разделение обязанностей, одновременно обеспечивая бесперебойную эксплуатацию Администрирование Безопасности Администрирование 4. Правильная модель угроз позволяет серверов уйти от применения только сертифицированных средств защиты Сетевое администрирование
А если у вас не VMware? И не Hyper-V (в ближайшем будущем)? А если у вас KVM? Вирт. Вирт. Вирт. Вирт. Вирт. Вирт. Вирт. Вирт. машина машина машина машина машина машина машина машина Nexus Nexus 1000V 1000V VEM VEM Nexus 1000V VMware vSphere Nexus 1000V Windows 8 Hyper-V VSM VSM VMware vCenter SCVMM • Вам нужно сертифицированное решение по защите виртуализированной среды или нет?
А что если нельзя защитить виртуализированную среду на базе сертифицированных решений • Не имея возможности решить задачу на уровне виртуализации можно опуститься на уровень сети, где есть все необходимые решения • Дизайн сети станет сложнее • Надо искать компромисс между требованиями регуляторов и предоставлением сервиса
ПУБЛИЧНОЕ ЛОКАЛЬНОЕ ОБЛАКО
6 новых задач ИБ для публичных облаков Изоляция Регистрация Multi-tenancy потребителей изменений Криптография Контроль Доступность (в России) провайдера!!!
Изменение парадигмы ИБ регуляторов при переходе в публичное облако Один объект = один Один объект = субъект множество субъектов • Защищать надо не только отдельных субъектов, но и взаимодействие между ними • С учетом отсутствия контролируемой зоны и динамической модели предоставления сервиса
Функции защиты для публичного локального облака Функция защиты Особенности реализации Управление доступом Отсутствуют Регистрация и учет Отсутствуют Обеспечение целостности Отсутствуют Анализ защищенности Отсутствуют Обеспечение безопасного Отсутствуют межсетевого взаимодействия Обнаружение вторжений Отсутствуют Антивирусная защита Отсутствуют Обеспечение Для доступа из ИС – зависит от договора конфиденциальности с провайдером (унификация СКЗИ) Для доступа с мобильной платформы – зависит от обрабатываемых данных
МСЭ с виртуальными контекстами могут решить задачу (один заказчик = один контекст) Компания X Компания Y Виртуальная Виртуальная Виртуальная машина 1 машина 2 машина 4 Виртуальная Виртуальная машина 3 машина 5 МСЭ Виртуализованные web-серверы МСЭ Физическое устройство Сеть IPsec VPN для связи между объектами Cisco ASA Пример использования: физическая среда компании X • Компания X намерена развернуть свои web-серверы в облаке, • Компания X также располагает локально размещенными физическими серверами Физический Физический • Разработчикам компании X необходим доступ к web-серверам в сервер 1 сервер 1 виртуализованной среде. • В процессе настройки устанавливается VPN-туннель между объектами.
Разная ответственность за защиту для разных архитектур облаков Провайдер Данные Заказчик Данные Заказчик ОС/Приложения Приложения VMs/Containers Провайдер Провайдер IaaS PaaS SaaS • В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно
Типы архитектур облака и средства защиты IaaS PaaS SaaS • Заказчик облачных • Заказчик облачных • Заказчик облачных услуг может услуг привязан к услуг не имеет использовать любые предоставляемой возможности по средства защиты, платформе выбору средств и устанавливаемые на • Выбор СЗИ (особенно механизмов защиты предоставляемую сертифицированных) облака аппаратную ограничен и, как • Выбор лежит на платформу правило, лежит на облачном провайдере облачном провайдере • Заказчик может настраивать функции защиты приложений • Компромисс между средствами защиты и облачными услугами
ПУБЛИЧНОЕ ГЛОБАЛЬНОЕ ОБЛАКО
Функции защиты для публичного глобального облака Функция защиты Особенности реализации Управление доступом Отсутствуют Регистрация и учет Отсутствуют Обеспечение целостности Отсутствуют Анализ защищенности Отсутствуют Обеспечение безопасного Отсутствуют межсетевого взаимодействия Обнаружение вторжений Отсутствуют Антивирусная защита Отсутствуют Обеспечение конфиденциальности Для трансграничной передачи возможно (с оговорками) использование СКЗИ иностранного производства
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ
Технический compliance: требований много
Законодательный compliance: пока есть вопросы • Защита конфиденциальной информации – Обеспечение конфиденциальности – Уведомление о фактах утечки – Оказание услуг в области шифрования – Деятельность по технической защите конфиденциальной информации – Обеспечение безопасности • Местоположение данных • Защита прав субъектов персональных данных • Защита интеллектуальной собственности • Обеспечение СОРМ • Сбор и хранение данных для судебных разбирательств (eDiscovery) • Юрисдикция и ответственность
Рост нормативных требований в зависимости от «типа» облака Облако само по себе Облако обрабатывает информацию ограниченного доступа Облако предоставляет услуги по защите
ОБЛАКО САМО ПО СЕБЕ
Мнение Минкомсвязи • «Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами» – Илья Массух, бывший советник министра связи и массовых коммуникаций на конференции «Защита персональных данных», 27 октября 2011 года • Сейчас отмечен очередной этап интереса к теме регулирования облаков – готовится новая законодательная база
ОБЛАКО ОБРАБАТЫВАЕТ ЗАЩИЩАЕМЫЕ СВЕДЕНИЯ
Виды защищаемой информации • 65 видов тайн в российском законодательстве • Персональные данные • Коммерческая тайна • Банковская тайна • Тайна переписки • Инсайдерская информация
В облака отдают конфиденциальную информацию! • Управление предприятием (ERP) • Поддержка пользователей (Service Desk) • Управление контентом • Управление персоналом (HRM) • Управление заказами (ORM) • Управление затратами и поставщиками (SRM) • Унифицированные коммуникации • Управление проектами • Управление цепочками поставок (SCM) • Управление электронной почтой и мгновенными сообщениями • Биллинг • Пользовательские приложения
Обеспечение конфиденциальности • Инфраструктура хранения данных в облаке общая • Требуется обеспечить конфиденциальность для данных каждого владельца данных, обрабатываемых в облаке, и не дать им перемешиваться с другими • Конфиденциальность достигается различными техническими и организационными мерами
Интеллектуальная собственность • Какие виды интеллектуальной собственности могут обрабатываться в облаке? – Приложения (программы для ЭВМ) и базы данных – Телевизионное вещание (IPTV) – Секреты производства (ноу-хау) – Промышленная собственность (изобретения и т.п.) – Средства индивидуализации (товарные знаки и т.п.) • Что с защитой интеллектуальной собственности? – А она у вас оценена? • Введен ли режим коммерческой тайны для секретов производства? – Если режим защиты КТ сложно ввести у себя на предприятии, то как его ввести на чужом предприятии?
СОРМ должен волновать провайдера, а не заказчика • Регулирование – Постановление Правительства Российской Федерации от 27 августа 2005 г. № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность» – Приказ Мининформсвязи от 16 января 2008 г. № 6 «Об утверждении требований к сетям электросвязи для проведения оперативно- разыскных мероприятий. Часть I. Общие требования» – Приказ Минкомсвязи от 27.05.2010 г. № 73 «Об утверждении Требований к сетям электросвязи для проведения оперативно - разыскных мероприятий. Часть II. Требования к сетям передачи данных» • Все зависит от типа облачных вычислений – Для Webex (видео- и Web-конференции) требования СОРМ нет – Для облачной почты такие требования есть
Юрисдикция или кому подчиняется ваше облако? • Американские компании, действующие на территории других стран остаются подотчетными американскому законодательству и требованиям американских регуляторов – Американские регуляторы могут затребовать любые данные у американского облачного провайдера (Google, Oracle, Microsoft/Skype и т.д.) без согласования с пользователем облачных услуг
АКЦЕНТ СМЕЩАЕТСЯ В СТОРОНУ КОНТРОЛЯ
Как контролировать? • Как проконтролировать выполнение защитных мер в облаке? – Заказчик вынужден требовать от исполнителя некоторых гарантий, которые позволят ему выполнять свои обязанности в части внутреннего контроля над информационными потоками • Кто у заказчика будет осуществлять мониторинг и контроль облачного провайдера? • Есть ли регламенты, процедуры и инструменты? • Как получить доступ и проверить провайдера облачных услуг, находящегося заграницей?
О посредниках • Облачный провайдер становится неотъемлемой частью инфраструктуры (системы) заказчика облачных услуг • При любом аудите (PCI DSS, ISO 27001, СТО БР ИББС и т.д.) аудитор должен будет проверить выполнение требований, применимых к заказчику облачных услуг и у самого облачного провайдера – Облачный провайдер готов к этому? – В договоре с облачным провайдером это прописано? • Аудитор контролирует и подразделение облачного заказчика, ответственное за ИБ, и провайдера, оказывающего услугу – Кто-то вообще ничего не контролирует – Кому-то достаточно посмотреть, что между облаком и заказчиком ходят бумажки с заявками – Кто-то хочет детально все проверять
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Персональные данные • Хранение – это одна из форма обработки • Трансграничные потоки персональных данных • Адекватный уровень защиты • В разных странах Евросоюза могут быть разные требования по защите персональных данных – В целом они похожи, но могут быть исключения и отличия • Согласие на передачу ПДн клиентов/сотрудников облачного заказчика облачному провайдеру • Требования ФЗ-152 применяются, в основном, к операторам ПДн, а не к обработчикам – Облачный провайдер – это обработчик в терминологии Европейской Конвенции – По ФЗ-152 это лицо, осуществляющее обработку персональных данных по поручению оператора
Требования меняются в зависимости от статуса Субъект ПДн Оператор ПДн Обработчик ПДн Субъект ПДн Обработчик ПДн Оператор ПДн
Облачный провайдер – обработчик ПДн • Условия обработки ПДн в облаке (должны быть прописаны в договоре между облачным заказчиком и провайдером) – Указание перечня действий (операций) с ПДн, которые будут совершаться обработчиком и цели обработки – Обеспечение конфиденциальность ПДн – Обеспечение безопасности ПДн при их обработке – Требования к защите обрабатываемых ПДн в соответствие с ст.19 ФЗ-152 • Обработчик не обязан получать согласие субъекта ПДн • Ответственность перед субъектом за действия обработчика все равно несет оператор – Обработчик несет ответственность перед оператором
Трансграничная передача данных • Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных осуществляется в соответствие с ФЗ-152 – Перечень «неадекватных» определяет Роскомнадзор – Вместе с тем…одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции… • Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни – Евроконвенция
Страны, обеспечивающие адекватность • Ратифицировавшие Евроконвенцию – Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония • Страны, имеющие общенациональные нормативные правовые акты в области защиты ПДн и уполномоченный надзорный орган по защите прав субъектов ПДн – Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония • Финальный и официальный список «адекватных» стран в России отсутствует – Его должен разработать Роскомнадзор
Условия передачи в неадекватные страны • Письменное согласие на трансграничную передачу • Наличие международного договора, подписанного Россией • Наличие федеральных законов • Исполнение договора, стороной которого является субъект ПДн • Защита жизни, здоровья и иных жизненно важных интересов субъекта ПДн или других лиц
Как облачные провайдеры поступают в России
ПОДВОДЯ ИТОГИ
Что все это значит для вас?! • Технически облако может быть эффективно защищено с помощью существующих технологий • В настоящий момент вопросы законодательного регулирования облачных вычислений находятся только в начале своего развития • На законодательном уровне наиболее просто решаются вопросы регулирования частных облаков • Наиболее сложный вопрос – публичное глобальное облако – Разные юрисдикции, разные законы, разные требования по защите • Россия готовит ряд нормативных актов, регулирующих облачные вычисления – Основной акцент на национальную безопасность • Ключевой вопрос – что прописано в договоре?!
Завершу анонсом
Спасибо!

More Related Content

PDF
Network Behaviour Analysis — новый подход к защите корпоративных сетей
byЭЛВИС-ПЛЮС
 
PDF
рынок иб вчера и сегодня рекомендации и практика микротест
byExpolink
 
PDF
Чеклист по безопасности облачного провайдера
byAleksey Lukatskiy
 
PDF
Новая платформа IBM для энергетических компаний
byАльбина Минуллина
 
PPTX
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
byUISGCON
 
PDF
Почему в России нельзя обеспечить ИБ облаков?
byAleksey Lukatskiy
 
PDF
Как правильно сделать SOC на базе SIEM
byDenis Batrankov, CISSP
 
PDF
Как компания Cisco защищает сама себя
byCisco Russia
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
byЭЛВИС-ПЛЮС
 
рынок иб вчера и сегодня рекомендации и практика микротест
byExpolink
 
Чеклист по безопасности облачного провайдера
byAleksey Lukatskiy
 
Новая платформа IBM для энергетических компаний
byАльбина Минуллина
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
byUISGCON
 
Почему в России нельзя обеспечить ИБ облаков?
byAleksey Lukatskiy
 
Как правильно сделать SOC на базе SIEM
byDenis Batrankov, CISSP
 
Как компания Cisco защищает сама себя
byCisco Russia
 

What's hot

PDF
Cisco FirePower
byCisco Russia
 
PDF
Подход CTI к информационной безопасности бизнеса, Максим Лукин
byYulia Sedova
 
PPTX
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
byМихаил Новиков
 
PPTX
Подробный обзор Cisco ASA with FirePOWER Services
byCisco Russia
 
PDF
Углубленное изучение Security Group Tags: Детальный обзор
byCisco Russia
 
PDF
Обзор решения по управлению унифицированными коммуникациями Cisco
byCisco Russia
 
PPTX
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
byClouds NN
 
PDF
Сокращаем затраты на обслуживание клиентов
byАльбина Минуллина
 
PDF
SAFE упрощает обеспечение безопасности
byCisco Russia
 
PDF
Listovka cyren2-web
byAnna Selivanova
 
PDF
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
byExpolink
 
PPTX
Анонс новых решений по безопасности Cisco с выставки Interop 2014
byCisco Russia
 
PDF
Услуги информационной безопасности
byCTI2014
 
PDF
Защита корпоративных и персональных мобильных устройств в сети
byCisco Russia
 
PDF
Radware ams
byAlexander Kravchenko
 
PDF
Обзор новой версии Cisco Identity Service Engine 2.0
byCisco Russia
 
PDF
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
byCisco Russia
 
PDF
Обеспечение защиты корпоративных ресурсов от DDoS-атак
byКРОК
 
PPTX
ЗАСТАВА — Презентация решения
byЭЛВИС-ПЛЮС
 
PDF
Обзор портфолио технических сервисов Cisco - часть 2
byCisco Russia
 
Cisco FirePower
byCisco Russia
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
byYulia Sedova
 
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
byМихаил Новиков
 
Подробный обзор Cisco ASA with FirePOWER Services
byCisco Russia
 
Углубленное изучение Security Group Tags: Детальный обзор
byCisco Russia
 
Обзор решения по управлению унифицированными коммуникациями Cisco
byCisco Russia
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
byClouds NN
 
Сокращаем затраты на обслуживание клиентов
byАльбина Минуллина
 
SAFE упрощает обеспечение безопасности
byCisco Russia
 
Listovka cyren2-web
byAnna Selivanova
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
byExpolink
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
byCisco Russia
 
Услуги информационной безопасности
byCTI2014
 
Защита корпоративных и персональных мобильных устройств в сети
byCisco Russia
 
Radware ams
byAlexander Kravchenko
 
Обзор новой версии Cisco Identity Service Engine 2.0
byCisco Russia
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
byCisco Russia
 
Обеспечение защиты корпоративных ресурсов от DDoS-атак
byКРОК
 
ЗАСТАВА — Презентация решения
byЭЛВИС-ПЛЮС
 
Обзор портфолио технических сервисов Cisco - часть 2
byCisco Russia
 

Viewers also liked

PPTX
FortiGate – устройство комплексной сетевой безопасности
bySergey Malchikov
 
PPT
Риски использования облачных технологий
byabondarenko
 
PDF
Модель зрелости процесса (мониторинг и оценка ИБ)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
byAleksey Lukatskiy
 
PDF
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
byExpolink
 
PDF
Финансовое обоснование инвестиций в ИБ банка
byAleksey Lukatskiy
 
PDF
Проблемы безопасной разработки и поддержки импортных средств защиты информации
byAleksey Lukatskiy
 
PDF
Что движет кибербезопасностью на вашем предприятии?
byAleksey Lukatskiy
 
PDF
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
byExpolink
 
PDF
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
byExpolink
 
PDF
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
byExpolink
 
PDF
пр Спроси эксперта про прогнозы ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Artem ITEA-2015
byВиктор Артеменко
 
PDF
Как обосновать затраты на ИБ?
byAleksey Lukatskiy
 
PPT
moodle
byКонстантин Бугайчук
 
FortiGate – устройство комплексной сетевой безопасности
bySergey Malchikov
 
Риски использования облачных технологий
byabondarenko
 
Модель зрелости процесса (мониторинг и оценка ИБ)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
byAleksey Lukatskiy
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
byExpolink
 
Финансовое обоснование инвестиций в ИБ банка
byAleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
byAleksey Lukatskiy
 
Что движет кибербезопасностью на вашем предприятии?
byAleksey Lukatskiy
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
byExpolink
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
byExpolink
 
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
byExpolink
 
пр Спроси эксперта про прогнозы ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Artem ITEA-2015
byВиктор Артеменко
 
Как обосновать затраты на ИБ?
byAleksey Lukatskiy
 
moodle
byКонстантин Бугайчук
 

Similar to Безопасность различных архитектур облачных вычислений

PPTX
Data Centers Security
byAleksey Lukatskiy
 
PDF
Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудовани...
byCisco Russia
 
PDF
Безопасность облачной платформы: теория и практика.
byCisco Russia
 
PDF
Cisco ScanSafe Cloud SecurityService
byAleksey Lukatskiy
 
PPTX
Почему утекает конфиденциальная информация в госорганах?
byAleksey Lukatskiy
 
PPTX
Why secrets leak
byPositive Hack Days
 
PDF
Secure Mobile Office
byAleksey Lukatskiy
 
PPTX
Защита центров обработки данных
byCisco Russia
 
PDF
CISO 2010
byAleksey Lukatskiy
 
PDF
Защита виртуализированных и облачных сред.
byCisco Russia
 
PDF
Облачные технологии: определение и терминология
byMichael Kozloff
 
PDF
Проблема защиты информации в современном ЦОДе. Способы ее решения
byCisco Russia
 
PDF
Cisco Services Ready Engine. Виртуализация сервисов.
byCisco Russia
 
PDF
Обзор продуктов в области информационной безопасности.
byCisco Russia
 
PDF
Центр обработки данных в Мегафон
byExpolink
 
PDF
Эволюция информационной безопасности в виртуализированных и облачных средах
byMichael Kozloff
 
PDF
Public Cloud: основные этапы создания облачного сервис-провайдера.
byCisco Russia
 
PDF
Data Centric Security Strategy
byAleksey Lukatskiy
 
PDF
Архитектура сети без границ
byCisco Russia
 
PDF
Решения Cisco в области ИБ для центров обработки данных
byCisco Russia
 
Data Centers Security
byAleksey Lukatskiy
 
Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудовани...
byCisco Russia
 
Безопасность облачной платформы: теория и практика.
byCisco Russia
 
Cisco ScanSafe Cloud SecurityService
byAleksey Lukatskiy
 
Почему утекает конфиденциальная информация в госорганах?
byAleksey Lukatskiy
 
Why secrets leak
byPositive Hack Days
 
Secure Mobile Office
byAleksey Lukatskiy
 
Защита центров обработки данных
byCisco Russia
 
CISO 2010
byAleksey Lukatskiy
 
Защита виртуализированных и облачных сред.
byCisco Russia
 
Облачные технологии: определение и терминология
byMichael Kozloff
 
Проблема защиты информации в современном ЦОДе. Способы ее решения
byCisco Russia
 
Cisco Services Ready Engine. Виртуализация сервисов.
byCisco Russia
 
Обзор продуктов в области информационной безопасности.
byCisco Russia
 
Центр обработки данных в Мегафон
byExpolink
 
Эволюция информационной безопасности в виртуализированных и облачных средах
byMichael Kozloff
 
Public Cloud: основные этапы создания облачного сервис-провайдера.
byCisco Russia
 
Data Centric Security Strategy
byAleksey Lukatskiy
 
Архитектура сети без границ
byCisco Russia
 
Решения Cisco в области ИБ для центров обработки данных
byCisco Russia
 

More from Aleksey Lukatskiy

PDF
Новая концепция кибербезопасности Zero Trust
byAleksey Lukatskiy
 
PDF
ICS Cyber Security Effectiveness Measurement
byAleksey Lukatskiy
 
PDF
Презентация по ИБ для руководства компании
byAleksey Lukatskiy
 
PDF
От разрозненных фидов к целостной программе Threat intelligence
byAleksey Lukatskiy
 
PDF
Как правильно выборать аутсорсингового партнера
byAleksey Lukatskiy
 
PDF
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
byAleksey Lukatskiy
 
PDF
Кибербезопасность прорывных технологий
byAleksey Lukatskiy
 
PDF
Аутсорсинг. Управление рисками информационной безопасности
byAleksey Lukatskiy
 
PDF
13 советов, от которых зависит успешность вашего SOC
byAleksey Lukatskiy
 
PDF
Уральский форум 2020 за 15 минут
byAleksey Lukatskiy
 
PDF
Измерение эффективности ИБ промышленных систем
byAleksey Lukatskiy
 
PDF
17 способов проникновения во внутреннюю сеть компании
byAleksey Lukatskiy
 
PDF
Дашборды по ИБ АСУ ТП
byAleksey Lukatskiy
 
PDF
4 сценария мониторинга ИБ изолированных промышленных площадок
byAleksey Lukatskiy
 
PDF
Измерение эффективности SOC. 3 года спустя
byAleksey Lukatskiy
 
PDF
Один зеродей и тысяча ночей без сна
byAleksey Lukatskiy
 
PDF
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
byAleksey Lukatskiy
 
PDF
Тенденции киберугроз. Что необходимо знать?
byAleksey Lukatskiy
 
PDF
Бизнес-метрики ИБ для руководства финансовой организации
byAleksey Lukatskiy
 
PDF
Как ловить кибермафию с помощью DNS
byAleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
byAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
byAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
byAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
byAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
byAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
byAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
byAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
byAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
byAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
byAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
byAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
byAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
byAleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
byAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
byAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
byAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
byAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
byAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
byAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
byAleksey Lukatskiy
 

Безопасность различных архитектур облачных вычислений

  • 1.
    Безопасность облачных вычислений: хватитболтать, пора действовать! Лукацкий Алексей, бизнес-консультант по ИБ security-request@cisco.com
  • 2.
    СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ОБЛАЧНЫЕ ВИРТУАЛИЗАЦИЯ СРЕДЫ ТЕНДЕНЦИИ
  • 3.
    Уходя от традиционногопериметра… Политика Периметр Приложения и данные Офис Филиал Хакеры Партнеры Заказчики
  • 4.
    …к отсутствию контролируемойзоны… Политика Периметр Приложения и данные Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 5.
    …и облакам (атакже XaaS)… Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 6.
    …пора подумать осмене парадигмы ИБ… Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 7.
    И создать новуюстратегию ИБ! Политика Политика 4 (Access Control, Acceptable Use, Malware, Data Security) Data Center Borderless Периметр Platform Infrastructure Приложения и Software as a Service as a Service X 3 данные as a Service as a Service Офис Borderless Internet 2 Филиал End Zones Borderless Дом Аэропорт 1 Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 8.
    Почему Cisco говоритоб облачной безопасности?! Число CSP (400+) Sales Finance Manfacturing C&C Platform CDO Consumer IT Customer Service HR Acquisitions 8
  • 9.
  • 10.
    Если вы решились •Стратегия безопасности облачных вычислений – Пересмотрите свой взгляд на понятие «периметра ИБ» – Оцените риски – стратегические, операционные, юридические – Сформируйте модель угроз – Сформулируйте требования по безопасности – Пересмотрите собственные процессы обеспечения ИБ – Проведите обучение пользователей – Продумайте процедуры контроля облачного провайдера – Юридическая проработка взаимодействия с облачным провайдером • Стратегия выбора аутсорсера – Чеклист оценки ИБ облачного провайдера
  • 11.
    Выбор облачного провайдерас точки зрения ИБ • Защита данных и обеспечение privacy • Управление уязвимостями • Управление identity • Объектовая охрана и персонал • Доступность и производительность • Безопасность приложений • Управление инцидентами • Непрерывность бизнеса и восстановление после катастроф • Ведение журналов регистрации (eDiscovery) • Сompliance • Финансовые гарантии • Завершение контракта • Интеллектуальная собственность
  • 12.
    Cisco Cloud RiskAssessment Framework R1: Data Risk R2: User R3: Regulatory and Identity Compliance Accountability R5: User R4: Business Privacy & R6: Service & Continuity & Secondary Data Integration Resiliency Usage of Data R7: Multi- R8: Incident R9: tenancy & Analysis & Infrastructure Physical Forensics Security Security R10: Non- production Environment Exposure 12
  • 13.
    Защита данных • Какмои данные отделены от данных других клиентов? • Где хранятся мои данные? • Как обеспечивается конфиденциальность и целостность моих данных? • Как осуществляется контроль доступа к моим данным? • Как данные защищаются при передаче от меня к облачному провайдеру? • Как данные защищаются при передаче от одной площадки облачного провайдера до другой? • Реализованы ли меры по контролю утечек данных? • Может ли третья сторона получить доступ к моим данным? Как? – Оператор связи, аутсорсер облачного провайдера, силовики • Все ли мои данные удаляются по завершении предоставления сервиса?
  • 14.
    Пример Cisco: Какиеданные и куда вы хотите передавать? Чьи данные передаются? Cisco или Cisco/Customer Data клиентов/партнеров? Данные какой классификации (грифов) Классификация данных будут отдаваться в облако? Где физически/географически будут Размещение данных размещены данные в облаке? Использование схем потоков данных (если Потоки данных нужно) Передаваемые данные (например, ПДн) Регуляторика подпадают под регуляторные требования? Данные клиентов Тоже самое для данных клиентов 14
  • 15.
    Управление уязвимостями • Какчасто сканируется сеть и приложения? – Попадает ли облачный провайдер под требования PCI DSS и ежеквартального сканирования со стороны ASV? • Может ли заказчик осуществить внешнее сканирование сети облачного провайдера с целью контроля его защищенности? На каких условиях? • Каков процесс устранения уязвимостей?
  • 16.
    Управление identity • Возможнали интеграция с моим каталогом учетных записей? Каким образом? • Если у облачного провайдера собственная база учетных записей, то – Как она защищается? – Как осуществляется управление учетными записями? • Поддерживается ли SSO? Какой стандарт? • Поддерживается ли федеративная система аутентификации? Какой стандарт?
  • 17.
    Пример Cisco: идентификацияи аутентификация пользователей Решение 1. Federated Identity 2. OAuth для интеграции с SAML backend API Identity Federation 17
  • 18.
    Объектовая охрана иперсонал • Контроль доступа на территорию облачного провайдера осуществляется в режиме 24х7? • Выделенная инфраструктура или разделяемая с другими компаниями? • Регистрируется ли доступ персонала к данным клиентов? • Есть ли результаты оценки внешнего аудита? • Какова процедура набора персонала?
  • 19.
    Доступность • Обеспечиваемый уровеньдоступности в SLA (сколько девяток) • Какие меры обеспечения доступности используются для защиты от угроз и ошибок? – Резервный оператор связи – Защита от DDoS • Доказательства высокой доступности облачного провайдера • План действия во время простоя • Пиковые нагрузки и возможность облачного провайдера справляться с ними • Уровень сертификации ЦОД облачного провайдера
  • 20.
  • 21.
    Пример Cisco: уровникритичности сервисов C-Level Term Impact Description C1 Mission Imperative Any outage results in immediate cessation of a primary function, equivalent to immediate and critical impact to revenue generation, brand name and/or customer satisfaction; no downtime is acceptable under any circumstances C2 Mission Critical Any outage results in immediate cessation of a primary function, equivalent to major impact to revenue generation, brand name and/or customer satisfaction C3 Business Critical Any outage results in cessation over time or an immediate reduction of a primary function, equivalent to minor impact to revenue generation, brand name and/or customer satisfaction C4 Business Operational A sustained outage results in cessation or reduction of a primary function C5 Business A sustained outage has little to no impact on a primary function Administrative 21
  • 22.
    Пример Cisco: матрицадоступности сервисов по уровням критичности Criticality Classification Matrix v3.0 Operational Continuity Disaster Recovery (Planned and Unplanned Downtime) Acceptable Reduced Recovery Recovery Reduced Planned Recovery Acceptable Performance Time Point Performance Adjusted Downtime Time Data Loss Acceptable Objective Objective Acceptable Availabilit Acceptabl (ART, (ADL, (Single DC (RTO, in (RPO, in (Large-Scale Criticalit Distrib y Ceiling e? hours) Hours) Loss)? Hours) Hours) Disaster)? y Level -ution Up to 99.999% N ~0 ~0 N n/a** n/a n/a C1 < 5% Up to 99.995% N 1 0 N 4 1 N C2 Up to 99.99% Y 4 0 N 24 1 Y C3 ~10% Up to 99.9% Y 24 1 Y 48 24 Y C4 > 60% Up to 99.9% Y Best Effort 24 Y Best Effort 1 wk Y C5 < 25% • ART = Maximum downtime following incidents (up to and including one DC in Metro down) • ADL = Maximum data loss following incidents (up to and including one DC in Metro down) • RTO = Maximum downtime for applications following large-scale disaster (multiple Tier-III DCs in Metro down, highly unlikely) • RPO = Maximum data loss following large-scale disaster (multiple Tier-III DCs in Metro down, highly unlikely) ** Targeting distributed architectures (active/active over large distance) to meet service continuity requirements without DR invocation 22
  • 23.
    Безопасность приложений • Исполнениерекомендаций OWASP при разработке приложений • Процедура тестирования для внешних приложений и исходного кода • Существуют ли приложения третьих фирм при оказании сервиса? • Используемые меры защиты приложений – Web Application Firewall – Database Firewall – Аудит БД
  • 24.
    Управление инцидентами • Планреагирования на инциденты – Включая метрики оценки эффективности • Взаимосвязь вашей политики управления инцидентами и облачного провайдера – Особенно для зарубежных облачных провайдеров, находящихся в другом часовом поясе • Сотрудники облачного провайдера говорят на вашем родном языке? – При оперативном реагировании на инциденты времени искать переводчика не будет
  • 25.
    Privacy • Обезличивание критичныхданных и предоставление к ним доступа только авторизованному персоналу • Какие данные собираются о заказчике? – Где хранятся? Как? Как долго? • Какие условия передачи данныех клиента третьим лицам? – Законодательство о правоохранительных органах, адвокатские запросы и т.п. • Гарантии нераскрытия информации третьим лицам и третьими лицами?
  • 26.
    Непрерывность бизнеса • Планобеспечения непрерывности бизнеса и восстановления после катастроф • Есть ли у вас резервный ЦОД, если облачный провайдер уйдет в небытие? – Или вы решите не продлевать с ним договор на оказание облачных услуг • Проходил ли облачный провайдер внешний аудит по непрерывности бизнеса? – Есть ли сертифицированные сотрудники по непрерывности бизнеса?
  • 27.
    Журналы регистрации • Какоблачный провайдер обеспечивает сбор доказательств несанкционированной деятельности? • Как долго облачный провайдер хранит логи? Возможно ли увеличение этого срока? • Можно ли организовать хранение логов во внешнем хранилище? Как?
  • 28.
    Compliance Рассмотрим дальше!
  • 29.
    Финансовые гарантии • Какаякомпенсация подразумевается в случае инцидента безопасности или нарушения SLA? – Процент от упущенной выгоды – Процент от заработка за время простоя – Процент от стоимости утекшей информации – Процент от суммы договора на оказание облачных услуг
  • 30.
    Интеллектуальная собственность • Комупринадлежат права на информацию, переданную облачному провайдеру? – А на резервные копии? – А на реплицированные данные? – А на логи? – А на приложения? • Удостоверьтесь, что ваш контракт не приводит к потере прав на информацию и иные ресурсы, переданные облачному провайдеру
  • 31.
    Завершение контракта • Процедуразавершения контракта? – Возврат данных? В каком формате? – Как скоро я получу мои данные обратно? – Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии? • Какие дополнительные затраты на завершение контракта?
  • 32.
  • 33.
    Требований даже уФСТЭК много СТР-К РД 15408 МСЭ, Ключевые Персональные Коммерческая «Служебная АС СВТ… системы данные тайна тайна» (СТР-К) Требования по защите Требования к Требования к разных видов тайн разработке функциональности средств защиты средств защиты
  • 34.
    А еще естьтребования СТО Банка России, 382-П и т.д. СТО РС Отраслевая Рекомендации Руководство по Общие Методика частная Аудит ИБ по самооценке Методика Требования по положения оценки модель угроз 1.1-2007 документации в соответствия оценки рисков ИБ ПДн 1.0-2010 соответствия безопасности области ИБ ИБ 2.2-2009 2.3-2010 v1 1.2-2010 ПДн v4 2.0-2007 2.1-2007 v1 v1 v3 2.4-2010 v1 v1 v1 • Применяются не только к банкам • Планируется накрытие этими требованиями всех участников Национальной платежной системы (НПС)
  • 35.
    Требования многих НПАпо ИБ во многом схожи •Разграничение доступа (+ управление потоками) •Идентификация / аутентификация •Межсетевое взаимодействие •Регистрация действий •Учет и маркировка носителей (+ очистка памяти) •Документальное сопровождение •Физический доступ Общие •Контроль целостности •Тестирование безопасности •Сигнализация и реагирование •Контроль целостности •Защита каналов связи •Обнаружение вторжений •Антивирусная защита •BCP •Защита от утечки по техническим каналам •Защита специфичных процессов (биллинг, АБС, PCI…) Специфичные •Защита приложений (Web, СУБД…) •Нестандартные механизмы (ловушки, стеганография)
  • 36.
    Основные функции защитыпо мнению отечественных регуляторов • Управление доступом • Регистрация и учет • Обеспечение целостности • Анализ защищенности • Обеспечение безопасного межсетевого взаимодействия • Обнаружение вторжений • Антивирусная защита • Обеспечение конфиденциальности
  • 37.
    3 ключевых моделидоступа с точки зрения ИБ Доступ к частному облаку отовсюду Доступ к публичному облаку из информационной системы Доступ к публичному облаку из-за пределов информационной системы
  • 38.
    Типы облаков сточки зрения ИБ и compliance Публичное Публичное Частное (локальное) (глобальное) • Управляется • Управляется одним • Управляется организацией или юридическим множеством третьим лицом лицом юридических лиц • Обеспечение • Обеспечение • Требования по безопасности легко безопасности безопасности реализуемо реализуемо различаются в • Вопросы средними разных странах законодательного усилиями • Законодательные регулирования • Вопросы требования легко решаемы законодательного различаются в регулирования разных странах решаемы средними усилиями
  • 39.
    Частное облако vsцентр обработки данных – есть ли разница? Aggregation Application Virtual Storage IP-NGN VSwitch Compute Access and Core Edge Software Machine & SAN Backbone Services App App OS App OS OS Virtual Device Fabric-Hosted Contexts Storage App Virtualization App OS Firewall Virtual Device Internet App OS Services Contexts OS Storage Media Secure App App Encryption Domain App OS OS Routing OS IP-NGN Service Profiles Port Profiles & Virtual VN-Link Machine Line-Rate Optimization NetFlow Fibre Channel Forwarding Partners Port Profiles & VN-Link Fabric App Extension App OS Application App OS Control OS (SLB+) Service Control App App OS Virtual App OS Contexts for OS FW & SLB
  • 40.
    Функции защиты длячастного облака Функция защиты Особенности реализации Управление доступом Отсутствуют Регистрация и учет Отсутствуют Обеспечение целостности Отсутствуют Анализ защищенности Отсутствуют Обеспечение безопасного Отсутствуют межсетевого взаимодействия Обнаружение вторжений Отсутствуют Антивирусная защита Отсутствуют Обеспечение конфиденциальности Для доступа из ИС – отсутствуют Для доступа с мобильной платформы – зависит от обрабатываемых данных
  • 41.
    Безопасное межсетевое взаимодействие Реализациясогласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем Сегментация с помощью Сегментация с помощью межсетевого экрана матрицы коммутации Динамический UCS Fabric Interconnect аварийный/рефлективный список ACL Мультиконтекстная сеть VPN TrustSec Сегментация с учетом контекста Сегментация сети Метки для групп безопасности (SGT) Физическая среда Протокол безопасной передачи (SXP) Виртуальная среда (VLAN, VRF) ACL-списки для групп безопасности Виртуализованная среда (зоны)
  • 42.
    Сегментация Сегментация с помощьюмежсетевого экрана Трафик «север - юг». Проверка всего входящего и исходящего трафика центра обработки данных Физическая среда Устройство • Проверка всего трафика центра обработки данных в устройстве обеспечения безопасности периметра сети • Высокая скорость для всех сервисов, включая всю систему предотвращения вторжений (IPS), благодаря единой среде Модуль для передачи данных между зонами доверия коммутатора • Разделение внешних и внутренних объектов сети (трафик «север-юг») Трафик «восток-запад». Создание безопасных зон доверия многопользовательская между приложениями и пользователями в центре обработки данных Виртуальная / Виртуальный межсетевой экран Виртуальный межсетевой экран контролирует границы сети среда • Разделение пользователей в многопользовательских средах Среда виртуализации (VMware, Hyper-V) контролирует зоны Среда виртуализации • Разделяет приложения или виртуальные машины у одного пользователя
  • 43.
    Особенности возникают привиртуализации 1. VMware и аналоги позволяют перемещать виртуальные машины между физическими серверами  Политика безопасности должна соответствовать этому процессу 2. Администраторам необходима возможность обзора и применения политики безопасности к локально коммутируемому трафику Группа портов 3. Администраторам необходимо поддерживать разделение обязанностей, одновременно обеспечивая бесперебойную эксплуатацию Администрирование Безопасности Администрирование 4. Правильная модель угроз позволяет серверов уйти от применения только сертифицированных средств защиты Сетевое администрирование
  • 44.
    А если увас не VMware? И не Hyper-V (в ближайшем будущем)? А если у вас KVM? Вирт. Вирт. Вирт. Вирт. Вирт. Вирт. Вирт. Вирт. машина машина машина машина машина машина машина машина Nexus Nexus 1000V 1000V VEM VEM Nexus 1000V VMware vSphere Nexus 1000V Windows 8 Hyper-V VSM VSM VMware vCenter SCVMM • Вам нужно сертифицированное решение по защите виртуализированной среды или нет?
  • 45.
    А что еслинельзя защитить виртуализированную среду на базе сертифицированных решений • Не имея возможности решить задачу на уровне виртуализации можно опуститься на уровень сети, где есть все необходимые решения • Дизайн сети станет сложнее • Надо искать компромисс между требованиями регуляторов и предоставлением сервиса
  • 46.
  • 47.
    6 новых задачИБ для публичных облаков Изоляция Регистрация Multi-tenancy потребителей изменений Криптография Контроль Доступность (в России) провайдера!!!
  • 48.
    Изменение парадигмы ИБрегуляторов при переходе в публичное облако Один объект = один Один объект = субъект множество субъектов • Защищать надо не только отдельных субъектов, но и взаимодействие между ними • С учетом отсутствия контролируемой зоны и динамической модели предоставления сервиса
  • 49.
    Функции защиты дляпубличного локального облака Функция защиты Особенности реализации Управление доступом Отсутствуют Регистрация и учет Отсутствуют Обеспечение целостности Отсутствуют Анализ защищенности Отсутствуют Обеспечение безопасного Отсутствуют межсетевого взаимодействия Обнаружение вторжений Отсутствуют Антивирусная защита Отсутствуют Обеспечение Для доступа из ИС – зависит от договора конфиденциальности с провайдером (унификация СКЗИ) Для доступа с мобильной платформы – зависит от обрабатываемых данных
  • 50.
    МСЭ с виртуальнымиконтекстами могут решить задачу (один заказчик = один контекст) Компания X Компания Y Виртуальная Виртуальная Виртуальная машина 1 машина 2 машина 4 Виртуальная Виртуальная машина 3 машина 5 МСЭ Виртуализованные web-серверы МСЭ Физическое устройство Сеть IPsec VPN для связи между объектами Cisco ASA Пример использования: физическая среда компании X • Компания X намерена развернуть свои web-серверы в облаке, • Компания X также располагает локально размещенными физическими серверами Физический Физический • Разработчикам компании X необходим доступ к web-серверам в сервер 1 сервер 1 виртуализованной среде. • В процессе настройки устанавливается VPN-туннель между объектами.
  • 51.
    Разная ответственность зазащиту для разных архитектур облаков Провайдер Данные Заказчик Данные Заказчик ОС/Приложения Приложения VMs/Containers Провайдер Провайдер IaaS PaaS SaaS • В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно
  • 52.
    Типы архитектур облакаи средства защиты IaaS PaaS SaaS • Заказчик облачных • Заказчик облачных • Заказчик облачных услуг может услуг привязан к услуг не имеет использовать любые предоставляемой возможности по средства защиты, платформе выбору средств и устанавливаемые на • Выбор СЗИ (особенно механизмов защиты предоставляемую сертифицированных) облака аппаратную ограничен и, как • Выбор лежит на платформу правило, лежит на облачном провайдере облачном провайдере • Заказчик может настраивать функции защиты приложений • Компромисс между средствами защиты и облачными услугами
  • 53.
  • 54.
    Функции защиты дляпубличного глобального облака Функция защиты Особенности реализации Управление доступом Отсутствуют Регистрация и учет Отсутствуют Обеспечение целостности Отсутствуют Анализ защищенности Отсутствуют Обеспечение безопасного Отсутствуют межсетевого взаимодействия Обнаружение вторжений Отсутствуют Антивирусная защита Отсутствуют Обеспечение конфиденциальности Для трансграничной передачи возможно (с оговорками) использование СКЗИ иностранного производства
  • 55.
  • 56.
  • 57.
    Законодательный compliance: покаесть вопросы • Защита конфиденциальной информации – Обеспечение конфиденциальности – Уведомление о фактах утечки – Оказание услуг в области шифрования – Деятельность по технической защите конфиденциальной информации – Обеспечение безопасности • Местоположение данных • Защита прав субъектов персональных данных • Защита интеллектуальной собственности • Обеспечение СОРМ • Сбор и хранение данных для судебных разбирательств (eDiscovery) • Юрисдикция и ответственность
  • 58.
    Рост нормативных требованийв зависимости от «типа» облака Облако само по себе Облако обрабатывает информацию ограниченного доступа Облако предоставляет услуги по защите
  • 59.
  • 60.
    Мнение Минкомсвязи •«Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами» – Илья Массух, бывший советник министра связи и массовых коммуникаций на конференции «Защита персональных данных», 27 октября 2011 года • Сейчас отмечен очередной этап интереса к теме регулирования облаков – готовится новая законодательная база
  • 61.
  • 62.
    Виды защищаемой информации •65 видов тайн в российском законодательстве • Персональные данные • Коммерческая тайна • Банковская тайна • Тайна переписки • Инсайдерская информация
  • 63.
    В облака отдаютконфиденциальную информацию! • Управление предприятием (ERP) • Поддержка пользователей (Service Desk) • Управление контентом • Управление персоналом (HRM) • Управление заказами (ORM) • Управление затратами и поставщиками (SRM) • Унифицированные коммуникации • Управление проектами • Управление цепочками поставок (SCM) • Управление электронной почтой и мгновенными сообщениями • Биллинг • Пользовательские приложения
  • 64.
    Обеспечение конфиденциальности • Инфраструктурахранения данных в облаке общая • Требуется обеспечить конфиденциальность для данных каждого владельца данных, обрабатываемых в облаке, и не дать им перемешиваться с другими • Конфиденциальность достигается различными техническими и организационными мерами
  • 65.
    Интеллектуальная собственность • Какиевиды интеллектуальной собственности могут обрабатываться в облаке? – Приложения (программы для ЭВМ) и базы данных – Телевизионное вещание (IPTV) – Секреты производства (ноу-хау) – Промышленная собственность (изобретения и т.п.) – Средства индивидуализации (товарные знаки и т.п.) • Что с защитой интеллектуальной собственности? – А она у вас оценена? • Введен ли режим коммерческой тайны для секретов производства? – Если режим защиты КТ сложно ввести у себя на предприятии, то как его ввести на чужом предприятии?
  • 66.
    СОРМ должен волноватьпровайдера, а не заказчика • Регулирование – Постановление Правительства Российской Федерации от 27 августа 2005 г. № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность» – Приказ Мининформсвязи от 16 января 2008 г. № 6 «Об утверждении требований к сетям электросвязи для проведения оперативно- разыскных мероприятий. Часть I. Общие требования» – Приказ Минкомсвязи от 27.05.2010 г. № 73 «Об утверждении Требований к сетям электросвязи для проведения оперативно - разыскных мероприятий. Часть II. Требования к сетям передачи данных» • Все зависит от типа облачных вычислений – Для Webex (видео- и Web-конференции) требования СОРМ нет – Для облачной почты такие требования есть
  • 67.
    Юрисдикция или комуподчиняется ваше облако? • Американские компании, действующие на территории других стран остаются подотчетными американскому законодательству и требованиям американских регуляторов – Американские регуляторы могут затребовать любые данные у американского облачного провайдера (Google, Oracle, Microsoft/Skype и т.д.) без согласования с пользователем облачных услуг
  • 68.
  • 69.
    Как контролировать? • Какпроконтролировать выполнение защитных мер в облаке? – Заказчик вынужден требовать от исполнителя некоторых гарантий, которые позволят ему выполнять свои обязанности в части внутреннего контроля над информационными потоками • Кто у заказчика будет осуществлять мониторинг и контроль облачного провайдера? • Есть ли регламенты, процедуры и инструменты? • Как получить доступ и проверить провайдера облачных услуг, находящегося заграницей?
  • 70.
    О посредниках • Облачныйпровайдер становится неотъемлемой частью инфраструктуры (системы) заказчика облачных услуг • При любом аудите (PCI DSS, ISO 27001, СТО БР ИББС и т.д.) аудитор должен будет проверить выполнение требований, применимых к заказчику облачных услуг и у самого облачного провайдера – Облачный провайдер готов к этому? – В договоре с облачным провайдером это прописано? • Аудитор контролирует и подразделение облачного заказчика, ответственное за ИБ, и провайдера, оказывающего услугу – Кто-то вообще ничего не контролирует – Кому-то достаточно посмотреть, что между облаком и заказчиком ходят бумажки с заявками – Кто-то хочет детально все проверять
  • 71.
  • 72.
    Персональные данные • Хранение – это одна из форма обработки • Трансграничные потоки персональных данных • Адекватный уровень защиты • В разных странах Евросоюза могут быть разные требования по защите персональных данных – В целом они похожи, но могут быть исключения и отличия • Согласие на передачу ПДн клиентов/сотрудников облачного заказчика облачному провайдеру • Требования ФЗ-152 применяются, в основном, к операторам ПДн, а не к обработчикам – Облачный провайдер – это обработчик в терминологии Европейской Конвенции – По ФЗ-152 это лицо, осуществляющее обработку персональных данных по поручению оператора
  • 73.
    Требования меняются взависимости от статуса Субъект ПДн Оператор ПДн Обработчик ПДн Субъект ПДн Обработчик ПДн Оператор ПДн
  • 74.
    Облачный провайдер –обработчик ПДн • Условия обработки ПДн в облаке (должны быть прописаны в договоре между облачным заказчиком и провайдером) – Указание перечня действий (операций) с ПДн, которые будут совершаться обработчиком и цели обработки – Обеспечение конфиденциальность ПДн – Обеспечение безопасности ПДн при их обработке – Требования к защите обрабатываемых ПДн в соответствие с ст.19 ФЗ-152 • Обработчик не обязан получать согласие субъекта ПДн • Ответственность перед субъектом за действия обработчика все равно несет оператор – Обработчик несет ответственность перед оператором
  • 75.
    Трансграничная передача данных •Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных осуществляется в соответствие с ФЗ-152 – Перечень «неадекватных» определяет Роскомнадзор – Вместе с тем…одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции… • Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни – Евроконвенция
  • 76.
    Страны, обеспечивающие адекватность •Ратифицировавшие Евроконвенцию – Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония • Страны, имеющие общенациональные нормативные правовые акты в области защиты ПДн и уполномоченный надзорный орган по защите прав субъектов ПДн – Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония • Финальный и официальный список «адекватных» стран в России отсутствует – Его должен разработать Роскомнадзор
  • 77.
    Условия передачи внеадекватные страны • Письменное согласие на трансграничную передачу • Наличие международного договора, подписанного Россией • Наличие федеральных законов • Исполнение договора, стороной которого является субъект ПДн • Защита жизни, здоровья и иных жизненно важных интересов субъекта ПДн или других лиц
  • 78.
    Как облачные провайдерыпоступают в России
  • 79.
  • 80.
    Что все этозначит для вас?! • Технически облако может быть эффективно защищено с помощью существующих технологий • В настоящий момент вопросы законодательного регулирования облачных вычислений находятся только в начале своего развития • На законодательном уровне наиболее просто решаются вопросы регулирования частных облаков • Наиболее сложный вопрос – публичное глобальное облако – Разные юрисдикции, разные законы, разные требования по защите • Россия готовит ряд нормативных актов, регулирующих облачные вычисления – Основной акцент на национальную безопасность • Ключевой вопрос – что прописано в договоре?!
  • 81.
  • 82.