1. Что требовать от облачного
провайдера с точки зрения
информационной
безопасности!
Лукацкий Алексей, бизнес-консультант по ИБ
security-request@cisco.com
3. Уходя от традиционного периметра…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры ЗаказчикиПартнеры
4. …к отсутствию контролируемой зоны…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры Заказчики
Дом
Кафе
Аэропорт
Мобильный
пользователь Партнеры
6. …пора подумать о смене парадигмы ИБ…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
Кафе
Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service
X
as a Service
Software
as a Service
7. Почему Cisco говорит об облачной безопасности?!
7
Число CSP (400+)
Sales
Finance
Manfacturing
C&C Platform
CDO
Consumer IT
Customer Service
HR
Acquisitions
9. Если вы решились (или решили за вас)
• Стратегия безопасности облачных вычислений
– Пересмотрите свой взгляд на понятие «периметра ИБ»
– Оцените риски – стратегические, операционные, юридические
– Сформируйте модель угроз
– Сформулируйте требования по безопасности
– Пересмотрите собственные процессы обеспечения ИБ
– Проведите обучение пользователей
– Продумайте процедуры контроля облачного провайдера
– Юридическая проработка взаимодействия с облачным
провайдером
• Стратегия выбора аутсорсера
– Чеклист оценки ИБ облачного провайдера
10. Чеклист выбора облачного провайдера с точки зрения ИБ
• Защита данных и обеспечение privacy
• Управление уязвимостями
• Управление identity
• Объектовая охрана и персонал
• Доступность и производительность
• Безопасность приложений
• Управление инцидентами
• Непрерывность бизнеса и восстановление после катастроф
• Ведение журналов регистрации (eDiscovery)
• Сompliance
• Финансовые гарантии
• Завершение контракта
• Интеллектуальная собственность
11. Cisco Cloud Risk Assessment Framework
11
R1: Data Risk
and
Accountability
R2: User Identity
R3: Regulatory
Compliance
R4: Business
Continuity &
Resiliency
R5: User Privacy
& Secondary
Usage of Data
R6: Service &
Data Integration
R7: Multi-
tenancy &
Physical
Security
R8: Incident
Analysis &
Forensics
R9:
Infrastructure
Security
R10: Non-
production
Environment
Exposure
12. Защита данных: вопрос №1
• Как мои данные отделены от данных других клиентов?
• Где хранятся мои данные?
• Как обеспечивается конфиденциальность и целостность моих
данных?
• Как осуществляется контроль доступа к моим данным?
• Как данные защищаются при передаче от меня к облачному
провайдеру?
• Как данные защищаются при передаче от одной площадки
облачного провайдера до другой?
• Реализованы ли меры по контролю утечек данных?
• Может ли третья сторона получить доступ к моим данным? Как?
– Оператор связи, аутсорсер облачного провайдера, силовики
• Все ли мои данные удаляются по завершении предоставления
сервиса?
13. Данные Cisco или
клиентов?
Чьи данные передаются? Cisco или
клиентов/партнеров?
Классификация данных
Данные какой классификации (грифов)
будут отдаваться в облако?
Размещение данных
Где физически/географически будут
размещены данные в облаке?
Потоки данных
Использование схем потоков данных (если
нужно)
Регуляторика
Передаваемые данные (например, ПДн)
подпадают под регуляторные требования?
Данные клиентов Тоже самое для данных клиентов
Пример Cisco: Какие данные и куда вы хотите
передавать?
13
14. Privacy
• Обезличивание критичных данных и предоставление к ним
доступа только авторизованному персоналу
• Какие данные собираются о заказчике?
– Где хранятся? Как? Как долго?
• Какие условия передачи данных клиента третьим лицам?
– Законодательство о правоохранительных органах, адвокатские
запросы и т.п.
• Гарантии нераскрытия информации третьим лицам и третьими
лицами?
15. Доступность
• Обеспечиваемый уровень доступности в SLA
– Сколько девяток?
• Какие меры обеспечения доступности используются для защиты
от угроз и ошибок?
– Резервный оператор связи
– Резервная площадка
– Защита от DDoS
• Какие доказательства высокой доступности облачного
провайдера могут быть представлены?
– Результаты независимого аудита
• План действий во время простоя
• Пиковые нагрузки и возможность облачного провайдера
справляться с ними
• Уровень сертификации ЦОД облачного провайдера
17. Что такое 99,95% доступности?
• 365 дней = 8760 часов
• 100% = 0 часов простоя
• 99,999% ≈ 7 минут простоя
• 99,99% ≈ 55 минут простоя
• 99,95% ≈ 4,4 часа простоя
• 99,9% ≈ 9 часов простоя
• 99% ≈ 87 часов простоя
• Просто умножьте время простоя на ваши доходы
– Это приемлемо?
• Уточните, провайдер учитывает только простой или еще время
восстановления
18. Пример Cisco: уровни критичности сервисов
18
C-Level Term Impact Description
C1 Mission Imperative Any outage results in immediate cessation of a primary function,
equivalent to immediate and critical impact to revenue
generation, brand name and/or customer satisfaction; no
downtime is acceptable under any circumstances
C2 Mission Critical Any outage results in immediate cessation of a primary function,
equivalent to major impact to revenue generation, brand name
and/or customer satisfaction
C3 Business Critical Any outage results in cessation over time or an immediate
reduction of a primary function, equivalent to minor impact to
revenue generation, brand name and/or customer satisfaction
C4 Business Operational A sustained outage results in cessation or reduction of a primary
function
C5 Business
Administrative
A sustained outage has little to no impact on a primary function
19. Пример Cisco: матрица доступности сервисов по уровням
критичности
19
Criticality Classification Matrix v3.0
Operational Continuity
(Planned and Unplanned Downtime)
Disaster Recovery
Adjusted
Availability
Ceiling
Planned
Downtime
Acceptabl
e?
Acceptable
Recovery
Time
(ART, hours)
Acceptable
Data Loss
(ADL,
Hours)
Reduced
Performance
Acceptable
(Single DC
Loss)?
Recovery
Time
Objective
(RTO, in
Hours)
Recovery
Point
Objective
(RPO, in
Hours)
Reduced
Performance
Acceptable
(Large-Scale
Disaster)?
Criticalit
y Level
Distrib
-ution
Up to
99.999% N ~0 ~0 N n/a** n/a n/a C1
< 5%
Up to
99.995% N 1 0 N 4 1 N C2
Up to
99.99% Y 4 0 N 24 1 Y C3 ~10%
Up to
99.9% Y 24 1 Y 48 24 Y C4 > 60%
Up to
99.9% Y Best Effort 24 Y Best Effort 1 wk Y C5 < 25%
• ART = Maximum downtime following incidents (up to and including one DC in Metro down)
• ADL = Maximum data loss following incidents (up to and including one DC in Metro down)
• RTO = Maximum downtime for applications following large-scale disaster (multiple Tier-III DCs in Metro down, highly
unlikely)
• RPO = Maximum data loss following large-scale disaster (multiple Tier-III DCs in Metro down, highly unlikely)
** Targeting distributed architectures (active/active over large distance) to meet service continuity requirements without DR
invocation
20. Непрерывность бизнеса
• План обеспечения непрерывности бизнеса и восстановления
после катастроф
• Есть ли у вас резервный ЦОД, если облачный провайдер уйдет в
небытие?
– Или вы решите не продлевать с ним договор на оказание
облачных услуг
– Или к облачному провайдеру нагрянут «маски-шоу»
• Проходил ли облачный провайдер внешний аудит по
непрерывности бизнеса?
– Есть ли сертифицированные сотрудники по непрерывности
бизнеса?
21. Управление identity
• Возможна ли интеграция с моим каталогом учетных записей?
Каким образом?
• Если у облачного провайдера собственная база учетных записей,
то
– Как она защищается?
– Как осуществляется управление учетными записями?
• Поддерживается ли SSO? Какой стандарт?
• Поддерживается ли федеративная система аутентификации?
Какой стандарт?
22. Пример Cisco: идентификация и аутентификация
пользователей
Identity Federation
SAML
Решение
1. Federated
Identity
2. OAuth для
интеграции с
backend API
22
23. Безопасность приложений
• Исполнение рекомендаций OWASP при разработке приложений
• Процедура тестирования для внешних приложений и исходного
кода
– По ряду нормативных актов России это может стать
обязательной нормой
• Существуют ли приложения третьих фирм при оказании сервиса?
• Используемые меры защиты приложений
– Web Application Firewall
– Database Firewall
– Аудит БД
24. Управление уязвимостями
• Как часто сканируется сеть и приложения?
– Попадает ли облачный провайдер под требования PCI DSS и
ежеквартального сканирования со стороны ASV?
• Может ли заказчик осуществить внешнее сканирование сети
облачного провайдера с целью контроля его защищенности? На
каких условиях?
• Каков процесс (и SLA) устранения уязвимостей?
25. Управление инцидентами
• План реагирования на инциденты
– Включая метрики оценки эффективности
• Взаимосвязь вашей политики управления инцидентами и
облачного провайдера
– Особенно для зарубежных облачных провайдеров, находящихся
в другом часовом поясе
• Сотрудники облачного провайдера говорят на вашем родном
языке?
– При оперативном реагировании на инциденты времени искать
переводчика не будет
26. Журналы регистрации
• Как облачный провайдер обеспечивает сбор доказательств
несанкционированной деятельности?
• Как долго облачный провайдер хранит логи? Возможно ли
увеличение этого срока?
• Можно ли организовать хранение логов во внешнем хранилище?
Как?
27. Объектовая охрана и персонал
• Контроль доступа на территорию облачного провайдера
осуществляется в режиме 24х7?
• Выделенная инфраструктура или разделяемая с другими
компаниями?
• Регистрируется ли доступ персонала к данным клиентов?
• Есть ли результаты оценки внешнего аудита?
• Какова процедура набора персонала?
28. Законодательный compliance: пока есть вопросы
• Защита конфиденциальной информации
– Обеспечение конфиденциальности
– Уведомление о фактах утечки
– Оказание услуг в области шифрования
– Деятельность по технической защите конфиденциальной
информации
– Обеспечение безопасности
• Защита прав субъектов персональных данных
• Защита государственных информационных ресурсов
• Защита банковской тайны
• Обеспечение СОРМ
• Сбор и хранение данных для судебных разбирательств
(eDiscovery)
• Юрисдикция и ответственность
29. Виды защищаемой информации
• 65 видов тайн в
российском
законодательстве
• Персональные
данные
• Коммерческая тайна
• Банковская тайна
• Тайна переписки
• Инсайдерская
информация
• …
30. Юрисдикция или кому подчиняется ваше облако?
• Американские компании, действующие на территории других стран
остаются подотчетными американскому законодательству и
требованиям американских регуляторов
– Американские регуляторы могут затребовать любые данные у
американского облачного провайдера (Google, Oracle, Microsoft/
Skype и т.д.) без согласования с пользователем облачных услуг
31. Кому будут принадлежать права на информационные
ресурсы?
• Кому принадлежат права на информацию, переданную
облачному провайдеру?
– А на резервные копии?
– А на реплицированные данные?
– А на логи?
– А на приложения?
• Удостоверьтесь, что ваш контракт не приводит к потере прав на
информацию и иные ресурсы, переданные облачному
провайдеру
32. Интеллектуальная собственность
• Какие виды интеллектуальной собственности могут
обрабатываться в облаке?
– Приложения (программы для ЭВМ) и базы данных
– Телевизионное вещание (IPTV)
– Секреты производства (ноу-хау)
– Промышленная собственность (изобретения и т.п.)
– Средства индивидуализации (товарные знаки и т.п.)
• Что с защитой интеллектуальной собственности?
– А она у вас оценена?
• Введен ли режим коммерческой тайны для секретов
производства?
– Если режим защиты КТ сложно ввести у себя на предприятии, то
как его ввести на чужом предприятии?
33. Финансовые гарантии
• Какая компенсация подразумевается в случае инцидента
безопасности или нарушения SLA?
– Процент от упущенной выгоды
– Процент от заработка за время простоя
– Процент от стоимости утекшей информации
– Процент от суммы договора на оказание облачных услуг
34. Завершение контракта
• Процедура завершения контракта?
– Возврат данных? В каком формате?
– Как скоро я получу мои данные обратно?
– Как будут уничтожены все резервные и иные копии моих данных?
Как скоро? Какие гарантии?
• Какие дополнительные затраты на завершение контракта?
35. Ключевой вопрос: как контролировать облачного
провайдера?
• Как проконтролировать выполнение защитных мер в облаке?
– Заказчик вынужден требовать от исполнителя некоторых гарантий,
которые позволят ему выполнять свои обязанности в части
внутреннего контроля над информационными потоками
• Кто у заказчика будет осуществлять мониторинг и контроль
облачного провайдера?
• Есть ли регламенты, процедуры и инструменты?
• Как получить доступ и проверить провайдера облачных услуг,
находящегося заграницей?
37. Что все это значит для вас?!
• Технически облако может быть эффективно защищено с
помощью существующих технологий
– Если вы знаете, что требовать
• В настоящий момент вопросы законодательного регулирования
облачных вычислений находятся только в начале своего
развития
– Если для вас это риски, то не закрывайте на них глаза – роль
регуляторики в области ИБ возрастает очень сильно
• Россия готовит ряд нормативных актов, регулирующих облачные
вычисления
– Основной акцент на национальную безопасность
• При переходе в облака важна не сама защита (ее обеспечиваете
не вы), а контроль
• Ключевой вопрос – что прописано в договоре?!