1. Почему в России нельзя обеспечить
безопасность облачных вычислений
Лукацкий Алексей, консультант по безопасности
2. У меня нет задачи остановить переход к облачным
облакам – мы сами их используем повсеместно
2
Число CSP (400+)
Sales
Finance
Manfacturing
C&C Platform
CDO
Consumer IT
Customer Service
HR
Acquisitions
Cisco является одним из крупнейших в мире пользователей облачных услуг
5. Составные части любого типа облака
5
Виртуализция Железо ПО
Согласование
(orchestration)
Хранение Сервисы
IaaS PaaS SaaS
Сервисы Сервисы Сервисы
Арендаторы Потребители
Сеть
Облачные
сервисы
Облачные
вычисления
Энерго-
снабжение
6. SaaS - наиболее популярная облачная модель
IaaS
• Хранение
• Вычисления
• Управление
сервисами
• Сеть, безопасность…
PaaS
• Бизнес-аналитика
• Интеграция
• Разработка и
тестирование
• Базы данных
SaaS
• Биллинг
• Финансы
• Продажи
• CRM
• Продуктивность
сотрудников
• HRM
• Управление
контентом
• Унифицированные
коммуникации
• Социальные сети
• Резервные копии
• Управление
документами
7. Ключевые риски при переходе к облакам
• Сетевая доступность
• Жизнеспособность (устойчивость)
• Непрерывность бизнеса и восстановление после сбоев
• Инциденты безопасности
• Прозрачность облачного провайдера
• Потеря физического контроля
• Новые риски и уязвимости
• Соответствие требованиям
9. Что такое информационная безопасность?
• Сохранение конфиденциальности, целостности и доступности
информации. Кроме того, также могут быть включены другие
свойства, такие как аутентичность, подотчетность,
неотказуемость и надежность
– ГОСТ Р ИСО/МЭК 27002
• Цель информационной безопасности заключается в защите
информации и информационных систем от
несанкционированного доступа, использования, раскрытия,
перебоев, изменения или уничтожения
10. За счет чего достигается информационная безопасность?
• Информационная безопасность включает в себя
– Политика в области защиты
– Организация защиты информации
– Менеджмент активов
– Защита человеческих ресурсов
– Физическая безопасность и безопасность окружения
– Управление средствами связи и операциями
– Управление доступом
– Приобретение, разработка и поддержание в рабочем состоянии ИС
– Управление инцидентами
– Менеджмент непрерывности
– Соответствие требованиям
12. На каком уровне вы способны обеспечивать
безопасность в своей корпоративной сети уже сейчас?
• Вы можете гарантировать отсутствие
закладок на аппаратном уровне?
• Вы защищаете и внутреннюю сеть
или только периметр?
• Как у вас обстоит дело с защитой
виртуализации? А SDN вы не
внедряли еще?
• Вы знаете механизмы защиты своих
операционных систем? А вы их
используете?
• А механизмы защиты своих
приложений вы знаете? А
используете?
• А данные у вас классифицированы?
13. Разные возможности по реализации системы защиты для
разных сервисных моделей
• В зависимости от архитектуры облака часть функций защиты
может решать сам потребитель самостоятельно
IaaS
Провайдер
Заказчик
VMs/Containers
ОС/Приложения
Данные
PaaS
Приложения
Провайдер
Заказчик
Данные
SaaS
Провайдер
14. Типы облачных моделей и средства защиты
IaaS
• Заказчик облачных
услуг может
использовать любые
средства защиты,
устанавливаемые на
предоставляемую
аппаратную
платформу
PaaS
• Заказчик облачных
услуг привязан к
предоставляемой
платформе
• Выбор СЗИ (особенно
сертифицированных)
ограничен и, как
правило, лежит на
облачном провайдере
• Заказчик может
настраивать функции
защиты приложений
• Компромисс между
средствами защиты и
облачными услугами
SaaS
• Заказчик облачных
услуг не имеет
возможности по
выбору средств и
механизмов защиты
облака
• Выбор лежит на
облачном провайдере
15. Особенности защиты IaaS
Защитная мера
Нюансы
реализации (з / о)
Политика в области защиты 50 / 50
Организация защиты информации 50 / 50
Менеджмент активов 50 / 50
Защита человеческих ресурсов 30 / 70
Физическая безопасность и безопасность окружения 0 / 100
Управление средствами связи и операциями 35 / 65
Управление доступом 60 / 40
Приобретение, разработка и поддержание в рабочем
состоянии ИС
60 / 40
Управление инцидентами 60 / 40
Менеджмент непрерывности 30 / 70
Соответствие требованиям 70 / 30
16. Защита IaaS: обратите внимание
• Ограничения на установку определенных средств защиты в
инфраструктуру облачного провайдера
• Возможность установки собственных средств шифрования
• Экспорт из России средств шифрования
– На все площадки облачного провайдера в разных странах мира
• Обслуживание (замена) вышедших из строя средств защиты,
особенно средств шифрования
• Защита данных при доступе с мобильных устройств
– Особенно в контексте шифрования трафика
17. Особенности защиты PaaS
Защитная мера
Нюансы
реализации (з / о)
Политика в области защиты 30 / 70
Организация защиты информации 30 / 70
Менеджмент активов 30 / 70
Защита человеческих ресурсов 20 / 80
Физическая безопасность и безопасность окружения 0 / 100
Управление средствами связи и операциями 20 / 80
Управление доступом 30 / 70
Приобретение, разработка и поддержание в рабочем
состоянии ИС
50 / 50
Управление инцидентами 45 / 55
Менеджмент непрерывности 20 / 80
Соответствие требованиям 55 / 45
18. Защита PaaS: обратите внимание
• Насколько модель угроз и стандарты защиты облачного
провайдера соответствуют вашим?
– Возможно ли привести их к общему знаменателю?
19. Особенности защиты SaaS
Защитная мера
Нюансы
реализации (з / о)
Политика в области защиты 10 / 90
Организация защиты информации 5 / 95
Менеджмент активов 5 / 95
Защита человеческих ресурсов 5 / 95
Физическая безопасность и безопасность окружения 0 / 100
Управление средствами связи и операциями 0 / 100
Управление доступом 5 / 95
Приобретение, разработка и поддержание в рабочем
состоянии ИС
0 / 100
Управление инцидентами 5 / 95
Менеджмент непрерывности 0 / 100
Соответствие требованиям 5 / 95
20. Защита SaaS: обратите внимание
• Насколько модель угроз и стандарты защиты облачного
провайдера соответствуют вашим?
– Возможно ли привести их к общему знаменателю?
• Как вообще вы можете повлиять на реализацию и эксплуатацию
системы ИБ у облачного провайдера?
21. Типы облаков с точки зрения ИБ и compliance
Частное
• Управляется
организацией или
третьим лицом
• Обеспечение
безопасности легко
реализуемо
• Вопросы
законодательного
регулирования
легко решаемы
Публичное
(локальное)
• Управляется одним
юридическим
лицом
• Обеспечение
безопасности
реализуемо
средними
усилиями
• Вопросы
законодательного
регулирования
решаемы
средними
усилиями
Публичное
(глобальное)
• Управляется
множеством
юридических лиц
• Требования по
безопасности
различаются в
разных странах
• Законодательные
требования
различаются в
разных странах
23. Возможности по контролю изменчивы
23
Публичное
Гибридное
Сообщество
Частное
Аутсорсинг
Инсорсинг
Внешнее
Внутреннее
Возможности по
контролю меняются в
зависимости от вида
эксплуатации,
расположения и типа
облака
24. В публичном облаке меньше контроля
Частное облако Публичное облако
Соответствие Предприятие Облачный провайдер
Governance Предприятие Облачный провайдер
Безопасность Предприятие Облачный провайдер
Эксплуатация Предприятие Облачный провайдер
Риски Предприятие Распределены между
предприятием и
облачным провайдером
Владелец облака Предприятие или
арендодатель
Облачный провайдер
Использование
ограничено
Предприятием Ничем
24
26. Обратите внимание и на другие вопросы
• Трансграничная передача персональных данных
– Потребует от заказчика облачных услуг получить письменное
согласие субъекта персональных данных
– Реализация легального шифрования на площадках в разных
странах мира
– Реализация легального шифрования на мобильных платформах
• Обработка государственных информационных ресурсов
– Облачный провайдер не может передавать ГИР за пределы
России согласно 351-му Указу Президента
– Облачный провайдер должен соответствовать требованиям 17-го
приказа ФСТЭК от 2013-го года
– Облачный провайдер должен использовать только
сертифицированные средства защиты и(или) аттестовать свои
ИС
27. Обратите внимание и на другие вопросы
• Облачный провайдер обязан предоставить доступ спецслужбам,
правоохранительным и судебным органам по мотивированному
(или немотивированному) запросу
– А иногда облачный провайдер и не будет знать, что такой доступ
имеется
– А вас он не обязан ставить в известность о таком доступе
• Контроль облачного провайдера
– Вам придется переориентироваться с собственной защиты на
контроль чужой защиты
– На каком языке вы будете общаться с зарубежным облачным
провайдером?
• Предоставление услуг по защите информации – это
лицензируемый вид деятельности
– У облачного провайдера есть лицензии ФСТЭК и ФСБ?
28. Изменение парадигмы ИБ регуляторов при переходе в
публичное облако
Один объект
= один
субъект
Один объект =
множество
субъектов
• Защищать надо не только отдельных субъектов, но и
взаимодействие между ними
• С учетом отсутствия контролируемой зоны и динамической
модели предоставления сервиса
30. Если вы все-таки решились
• Стратегия безопасности облачных вычислений
– Пересмотрите свой взгляд на понятие «периметра ИБ»
– Оцените риски – стратегические, операционные, юридические
– Сформируйте модель угроз
– Сформулируйте требования по безопасности
– Пересмотрите собственные процессы обеспечения ИБ
– Проведите обучение пользователей
– Продумайте процедуры контроля облачного провайдера
– Юридическая проработка взаимодействия с облачным
провайдером
• Стратегия выбора аутсорсера
– Чеклист оценки ИБ облачного провайдера
– Посмотрите мою презентацию с прошлого ИноБЕРЕГа
31. Cisco Cloud Risk Assessment Framework
31
R1: Data Risk
and
Accountability
R2: User Identity
R3: Regulatory
Compliance
R4: Business
Continuity &
Resiliency
R5: User Privacy
& Secondary
Usage of Data
R6: Service &
Data Integration
R7: Multi-
tenancy &
Physical
Security
R8: Incident
Analysis &
Forensics
R9:
Infrastructure
Security
R10: Non-
production
Environment
Exposure
32. Выбор облачного провайдера с точки зрения ИБ
• Защита данных и обеспечение privacy
• Управление уязвимостями
• Управление identity
• Объектовая охрана и персонал
• Доступность и производительность
• Безопасность приложений
• Управление инцидентами
• Непрерывность бизнеса и восстановление после катастроф
• Ведение журналов регистрации (eDiscovery)
• Сompliance
• Финансовые гарантии
• Завершение контракта
• Интеллектуальная собственность