SlideShare ist ein Scribd-Unternehmen logo

Cloud computing security

Andriy Lysyuk
Andriy Lysyuk

Доклад в Киево-Могилянской Академии

1 von 37
Downloaden Sie, um offline zu lesen
Обзор облачных вычислений и вопросы безопасности, связанные с ними Андрей Лысюк, CCIE, CISSP, CISM, CISA, ITILF Консультант по информационной безопасности 04/02/2012, НАУКМА Облачные вычисления. Безопасность
Содержание • Основы облачных вычислений – Введение – Модели внедрения облачных вычислений – История и эволюция облачных вычислений – Техническая архитектура облачных систем и основные характеристики – Основные движущие силы перехода на облачные системы – Потенциальные проблемы при переходе на облачные вычисления Облачные вычисления. Безопасность 2
Содержание • Вопросы безопасности и аудит – Готовность бизнеса к переходу на облачные системы – Оценка рисков – Распределение ответственности за риски – Основные проблемы информационной безопасности, связанные с облачными вычислениями » Управление доступом и учетными записями » Физическая безопасность » Неправильное использование облачных систем » Небезопасный API » Инсайдеры » Технологические уязвимости » Потеря данных » Перехват сессий – Аудит облачных систем Облачные вычисления. Безопасность 3
Основы облачных вычислений Облачные вычисления. Безопасность
Введение • Суть облачных вычислений – Смещение парадигмы Облачные вычисления. Безопасность 5
Введение. Определения • Несколько определений облачных вычислений • Определение NIST: – Удобный, организованный по требованию удаленный доступ по сети к общему пулу ресурсов, которые конфигурируются (например, сетей, серверов, приложений, хранилищ данных и сервисов), который может быть быстро предоставлен и изъят с минимальными усилиями со стороны руководства или взаимодействием с сервис-провайдером – “Model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.” Облачные вычисления. Безопасность 6
Введение. Преимущества • Преимущества использования – Стоимость – Масштабируемость – Сокращение жизненного цикла – Виртуализация (уменьшение стоимости, упрощение поддержки, уменьшение потребления энергии) • История возникновения • Рынок Украины – Слабо развитый – SAAS решения – CRM, Marketing Облачные вычисления. Безопасность 7
Введение. Оценка рисков • Стоит ли внедрять облачные вычисления? – Новое всегда связано с рисками – Взвесить риски – Цель оправдывает средства? • Оценка рисков – Методологические материалы от международных организаций в области ИБ (ISACA, ENISA – European Network and Information Security Agency) – Метрики измерения рисков – Мониторинг, выбор мероприятий по уменьшению рисков – Риск аппетит руководства компаний – Стоимость данных на “черном рынке” влияет на мотивацию злоумышленников Облачные вычисления. Безопасность 8
Введение. Факторы перехода • Выбор модели облачных вычислений: SAAS, PAAS, IAAS • Зрелость существующих бизнес процессов и процессов в ІТ (В соответствии с CoBIT или ITIL) • Классификация данных компании • Обязательства перед клиентами (например, обработка персональной информации) • Риски провайдера. Стандартов аудита провайдеров пока нет. Due diligence Облачные вычисления. Безопасность 9
Модели облачных вычислений • Механизмы предоставления услуг – SAAS – PAAS – IAAS • Механизмы реализации – Private (IT Outsourcing) – Public – Community – Hybrid (Some data in private, some in public) • Диапазон применений от Private IAAS до Public SAAS (Threats, Cost) • Модели предоставления услуг новые, мало стандартизованные Облачные вычисления. Безопасность 10
Модели облачных вычислений • Классификация облачных вычислений Облачные вычисления. Безопасность 11
История и эволюция • Вначале были созданы для внутреннего применения (Google, Amazon) • Модель аналогичная 1960-1970 (развитие по спирали) • Новые «мейнфреймы». Разница в: – Продуктивности – Протоколах Облачные вычисления. Безопасность 12
Обратно к централизации • Системы возвращаются к централизации после очередного оборота спирали развития Облачные вычисления. Безопасность 13
Эволюция онлайн доступа Облачные вычисления. Безопасность 14
Эволюция онлайн доступа • SOA – библиотека аплетов, которые могут быть использованы для создания приложения • Application Programming Interfaces (APIs) – механизм меток для объединения аплетов в сети Интернет • XML – механизм добавления тегов к информации (данным, страницам, картинкам, файлам, полям), который позволяет передавать ее любому приложению, размещенному в сети Интернет • API и XML используются для объединения SOA, размещенных в сети Облачные вычисления. Безопасность 15
Движущие силы перехода • Оптимизация использования серверов • Уменьшение затрат • Динамическая масштабируемость • Сокращение жизненного цикла • Уменьшение времени на внедрение Облачные вычисления. Безопасность 16
Потенциальные проблемы • Размещение данных • Смешанные данные разных клиентов • Прозрачность политик / процедур информационной безопасности • Права собственности на данные • Использование собственных закрытых API усложняет миграцию • Продолжение бизнеса CSP (Cloud Service Provider) • Защита данных в случае судового аудита (forensic audits) • Управление правами доступа Облачные вычисления. Безопасность 17
Потенциальные проблемы • Выявление атак • Анализ репутации других клиентов • Соответствие требованиям регуляторов (защита персональных данных, PCI DSS, и т.д.) • Предварительный анализ собственников провайдеров облачных сервисов (due diligence) • Безопасное уничтожение конфиденциальной информации • Возобновление работы после катастроф На данный момент ответственность за оценку рисков и внедрение соответствующих контролей возложена целиком на клиентов CSP Облачные вычисления. Безопасность 18
Вопросы безопасности и аудит облачный систем Облачные вычисления. Безопасность
Готовность бизнеса к переходу • Бизнес старается сократить затраты • Если бизнесу не подходит уровень риска, который возникает в связи с переходом, нужно отказаться от перехода • Лучший подход – взвесить риск при переходе на облачную инфраструктуру в сравнении с внутренними рисками Облачные вычисления. Безопасность 20
Вопросы для оценки перехода • На какую доступность рассчитывает бизнес? • Як организовано управление доступом в облачной инфраструктуре? • Где будут размещены данные компании? • Какие возможности по восстановлению работы CSP при катастрофах? • Как будет обеспечиваться безопасность данных компании? • Как будет выполнено управление привилегированным доступом к данным? • Как данные будут защищены от неправильного поведения пользователей? Облачные вычисления. Безопасность 21
Вопросы для оценки перехода • На какой уровень изоляции рассчитывает компания? • Как безопасность информации будет обеспечена в среде виртуализации? • Как вся система защищена от угроз в сети Интернет? • Каким образом будет реализован мониторинг и аудит? • Как компания может обеспечить контроль того, что данные не были модифицированы другой стороной? • Какие типы сертификатов или гарантии компания может получить от провайдера? Облачные вычисления. Безопасность 22
Оценка рисков • Любое техническое решение несет в себе возможности и риски • Для риска должны присутствовать несколько факторов: – Угроза использования уязвимости – Вероятность – Последствия • Много угроз и уязвимостей не есть специфическими для облачной инфраструктуры • Но, кроме классических есть и угрозы, которые специфические как раз для облачной инфраструктуры Облачные вычисления. Безопасность 23
Оценка рисков • С точки зрения бизнес процессов переход на облачную инфраструктуру может быть выполнен с обычным подходом • С точки зрения управления рисками есть много новых вопросов: – Определение зон ответственности – Логическое, а не физическое разграничение данных – Повышение требований к безопасности компьютерной сети – Увеличение рисков, связанных с приложениями Облачные вычисления. Безопасность 24
Распределение ответственностей • Риски, связанные с облачной инфраструктурой зависят от модели предоставления сервиса (SAAS, IAAS, PAAS) и модели реализации инфраструктуры (private, public, hybrid) • Например, модель построения облака с использованием вирутализированных приложений на инфраструктуре компании очень похожа на традиционную среду ИТ • Использование публичных сервисов по модели SAAS включает совместное использование файлов разными пользователями, миграцию данных между серверами, динамическое изменение объема данных Облачные вычисления. Безопасность 25
Распределение ответственностей Облачные вычисления. Безопасность 26
Основные проблемы ИБ • Управление доступом и учетными записями • Физическая безопасность • Неправильное использование облачных систем • Небезопасный API • Инсайдеры • Технологические уязвимости • Потеря данных • Перехват сессий Облачные вычисления. Безопасность 27
Управление доступом • Пользователи были и есть угрозой для данных. Злоумышленные действия или неумышленные ошибки угрожают целостности и доступности данных • Для контроля доступа к информации необходимо внедрить процедуры управления доступом – Классификация данных – Ролевой доступ – Контроль доступа инсайдеров – Предоставление, изменение и блокирование доступа • Для публичного доступа количество людей, которые имеют доступ увеличивается Облачные вычисления. Безопасность 28
Физическая безопасность • Для частной облачной инфраструктуры риски физической безопасности аналогичны рискам для традиционной инфраструктуры • Для публичной облачной инфраструктуры размещение серверов может отличаться от ожидаемого • Важность определения размещения оборудования: – BCP/DRP (SLA для DRP) – Соответствие требованиям регуляторов Облачные вычисления. Безопасность 29
Неправильное использование • Монополизация ресурсов • Быстрая регистрация и использование • Анонимность • Использование для неправомерных действий • Потенциальная угроза другим клиентам Облачные вычисления. Безопасность 30
Небезопасный API • API для взаимодействия с облачными сервисами • Безопасность зависит от API • Использования API компаниями для предоставления сервисов своим клиентам • Расширение атрибутов аутентификации • Требования безопасности к API – Аутентификация – Контроль доступа – Шифрование – Мониторинг действий – Контроль попыток обойти политику Облачные вычисления. Безопасность 31
Инсайдеры • Риск существует и для традиционной среды • Увеличение риска для CSP и для клиентов CSP • В традиционной среде компания имеет дело с сотрудниками, которых она: – Контролирует в рамках трудовых взаимоотношений – Проверяет перед наймом на работу • При потреблении услуг CSP традиционные контроли от инсайдеров не работают • Доступ инсайдеров, которые работают на CSP, к информации большой • Риски инсайдеров: влияние на репутацию, финансовые убытки, влияние на продуктивность Облачные вычисления. Безопасность 32
Технологические уязвимости • Провайдер IAAS предоставляет доступ к общей инфраструктуре • Часто компоненты инфраструктуры не разработаны с учетом требований по изоляции • Для изоляции используют гипервизор, который может иметь ошибки • Последние годы наблюдаются атаки на технологии совместного использования общих ресурсов Облачные вычисления. Безопасность 33
Потеря / утечка данных • Как и в традиционный инфраструктуре есть ряд атак на данные в облаке • Модификация данных без резервной копии • Удаление данных без резервной копии • Потеря ключа шифрования данных • Влияние на данные других клиентов при ошибках контроля доступа к данным Облачные вычисления. Безопасность 34
Перехват сессий • Перехват учетной записи или сессии не есть новой угрозой • Облачные вычисления добавляют новый уровень риска • Потенциальная возможность злоумышленнику: – Иметь доступ к транзакциям – Манипулировать данными – Возвращать искаженную информацию – Перенаправлять клиентов на другие сайты – Использовать как промежуточную площадку Облачные вычисления. Безопасность 35
Аудит облачных систем • Традиционная среда – аудит включал анализ исторических транзакций • Новый подход к аудиту – Реальное время – Непрерывный – Ориентация на процессы а не на фиксированные транзакции • Стандартов аудита пока еще нет Облачные вычисления. Безопасность 36
Ссылки • Каталог SaaS компаний в Росії: – http://saas4russia.wordpress.com/directory/ • ENISA Cloud Computing Information Assurance Framework – http://www.enisa.europa.eu/act/rm/files/deliverables/cloud- computing-information-assurance-framework • ENISA Cloud Computing Risk Assessment – http://www.enisa.europa.eu/act/rm/files/deliverables/cloud- computing-risk-assessment Облачные вычисления. Безопасность 37

Empfohlen

Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9UISGCON
 
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Cisco Russia
 
Портфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОДПортфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОДCisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамКРОК
 
Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку
Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облакуРешения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку
Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облакуCisco Russia
 
Решения Cisco Secure Data Center для защиты виртуальных и частных облачных сред
Решения Cisco Secure Data Center для защиты виртуальных и частных облачных средРешения Cisco Secure Data Center для защиты виртуальных и частных облачных сред
Решения Cisco Secure Data Center для защиты виртуальных и частных облачных средCisco Russia
 
Clouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN
 

Empfohlen

Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9UISGCON
 
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Cisco Russia
 
Портфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОДПортфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОДCisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамКРОК
 
Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку
Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облакуРешения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку
Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облакуCisco Russia
 
Решения Cisco Secure Data Center для защиты виртуальных и частных облачных сред
Решения Cisco Secure Data Center для защиты виртуальных и частных облачных средРешения Cisco Secure Data Center для защиты виртуальных и частных облачных сред
Решения Cisco Secure Data Center для защиты виртуальных и частных облачных средCisco Russia
 
Clouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN
 
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012Ken Tulegenov
 
Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Cisco Russia
 
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...Clouds NN
 
Стратегия Cisco в области информационной безопасности
Стратегия Cisco в области информационной безопасностиСтратегия Cisco в области информационной безопасности
Стратегия Cisco в области информационной безопасностиCisco Russia
 
Краткий справочник по кибербезопасности Cisco за 2016 год
Краткий справочник по кибербезопасности Cisco за 2016 годКраткий справочник по кибербезопасности Cisco за 2016 год
Краткий справочник по кибербезопасности Cisco за 2016 годCisco Russia
 
Обзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure AnalyticsОбзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure AnalyticsTERMILAB. Интернет - лаборатория
 
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...Clouds NN
 
Внедрение IDM
Внедрение IDMВнедрение IDM
Внедрение IDMАльбина Минуллина
 
Cisco Security Manager 4.2
Cisco Security Manager 4.2Cisco Security Manager 4.2
Cisco Security Manager 4.2Cisco Russia
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестExpolink
 
Сертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюСертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюКРОК
 
пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Повышение доверия и обеспечение безопасности использования облачных сервисов ...
Повышение доверия и обеспечение безопасности использования облачных сервисов ...Повышение доверия и обеспечение безопасности использования облачных сервисов ...
Повышение доверия и обеспечение безопасности использования облачных сервисов ...Positive Hack Days
 
Cisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетеньCisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетеньCisco Russia
 
Каталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнесаКаталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнесаCisco Russia
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийАльбина Минуллина
 
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераЧеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераAleksey Lukatskiy
 
Vulnerability Management
Vulnerability ManagementVulnerability Management
Vulnerability ManagementAleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Aleksey Lukatskiy
 

Weitere ähnliche Inhalte

Was ist angesagt?

SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012Ken Tulegenov
 
Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Cisco Russia
 
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...Clouds NN
 
Стратегия Cisco в области информационной безопасности
Стратегия Cisco в области информационной безопасностиСтратегия Cisco в области информационной безопасности
Стратегия Cisco в области информационной безопасностиCisco Russia
 
Краткий справочник по кибербезопасности Cisco за 2016 год
Краткий справочник по кибербезопасности Cisco за 2016 годКраткий справочник по кибербезопасности Cisco за 2016 год
Краткий справочник по кибербезопасности Cisco за 2016 годCisco Russia
 
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...Clouds NN
 
Cisco Security Manager 4.2
Cisco Security Manager 4.2Cisco Security Manager 4.2
Cisco Security Manager 4.2Cisco Russia
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестExpolink
 
Сертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюСертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюКРОК
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Повышение доверия и обеспечение безопасности использования облачных сервисов ...
Повышение доверия и обеспечение безопасности использования облачных сервисов ...Повышение доверия и обеспечение безопасности использования облачных сервисов ...
Повышение доверия и обеспечение безопасности использования облачных сервисов ...Positive Hack Days
 
Cisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетеньCisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетеньCisco Russia
 
Каталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнесаКаталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнесаCisco Russia
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийАльбина Минуллина
 
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераЧеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераAleksey Lukatskiy
 

Was ist angesagt? (20)

SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
 
Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco.
 
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
 
Стратегия Cisco в области информационной безопасности
Стратегия Cisco в области информационной безопасностиСтратегия Cisco в области информационной безопасности
Стратегия Cisco в области информационной безопасности
 
Краткий справочник по кибербезопасности Cisco за 2016 год
Краткий справочник по кибербезопасности Cisco за 2016 годКраткий справочник по кибербезопасности Cisco за 2016 год
Краткий справочник по кибербезопасности Cisco за 2016 год
 
Обзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure AnalyticsОбзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure Analytics
 
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
 
Внедрение IDM
Внедрение IDMВнедрение IDM
Внедрение IDM
 
Cisco Security Manager 4.2
Cisco Security Manager 4.2Cisco Security Manager 4.2
Cisco Security Manager 4.2
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
 
Сертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюСертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностью
 
пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Повышение доверия и обеспечение безопасности использования облачных сервисов ...
Повышение доверия и обеспечение безопасности использования облачных сервисов ...Повышение доверия и обеспечение безопасности использования облачных сервисов ...
Повышение доверия и обеспечение безопасности использования облачных сервисов ...
 
Cisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетеньCisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетень
 
Каталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнесаКаталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнеса
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
 
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераЧеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдера
 
Vulnerability Management
Vulnerability ManagementVulnerability Management
Vulnerability Management
 

Ähnlich wie Cloud computing security

Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Aleksey Lukatskiy
 
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.Cisco Russia
 
SDN в корпоративных сетях
SDN в корпоративных сетяхSDN в корпоративных сетях
SDN в корпоративных сетяхCisco Russia
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfDenis Bezkorovayny
 
Аналитика в ЦОД
Аналитика в ЦОДАналитика в ЦОД
Аналитика в ЦОДCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Cloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPACloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPADenis Bezkorovayny
 
Развитие решений Cisco для ЦОД глазами специалиста по серверам и приложениям...
Развитие решений Cisco для ЦОД глазами специалиста по серверам и приложениям...Развитие решений Cisco для ЦОД глазами специалиста по серверам и приложениям...
Развитие решений Cisco для ЦОД глазами специалиста по серверам и приложениям...Cisco Russia
 
Презентация Cisco Tetration Analytics в России
Презентация Cisco Tetration Analytics в России Презентация Cisco Tetration Analytics в России
Презентация Cisco Tetration Analytics в России Cisco Russia
 
Обеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийОбеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийAleksei Goldbergs
 
Nf ref pr
Nf ref prNf ref pr
Nf ref prrr55
 
Rus ibm cloud computing
Rus ibm cloud computingRus ibm cloud computing
Rus ibm cloud computingAlexey Ivlev
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
Как использовать расходы на ИТ за счет использования облачных сервисов
Как использовать расходы на ИТ за счет использования облачных сервисовКак использовать расходы на ИТ за счет использования облачных сервисов
Как использовать расходы на ИТ за счет использования облачных сервисовCisco Russia
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Cisco Russia
 
Особенности тестирования сloud-приложений
Особенности тестирования сloud-приложенийОсобенности тестирования сloud-приложений
Особенности тестирования сloud-приложенийSQALab
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsCisco Russia
 
Облачная стратегия Cisco
Облачная стратегия CiscoОблачная стратегия Cisco
Облачная стратегия CiscoCisco Russia
 

Ähnlich wie Cloud computing security (20)

Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?
 
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
 
SDN в корпоративных сетях
SDN в корпоративных сетяхSDN в корпоративных сетях
SDN в корпоративных сетях
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
 
Аналитика в ЦОД
Аналитика в ЦОДАналитика в ЦОД
Аналитика в ЦОД
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Cloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPACloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPA
 
Развитие решений Cisco для ЦОД глазами специалиста по серверам и приложениям...
Развитие решений Cisco для ЦОД глазами специалиста по серверам и приложениям...Развитие решений Cisco для ЦОД глазами специалиста по серверам и приложениям...
Развитие решений Cisco для ЦОД глазами специалиста по серверам и приложениям...
 
Презентация Cisco Tetration Analytics в России
Презентация Cisco Tetration Analytics в России Презентация Cisco Tetration Analytics в России
Презентация Cisco Tetration Analytics в России
 
Обеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийОбеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычислений
 
Nf ref pr
Nf ref prNf ref pr
Nf ref pr
 
Rus ibm cloud computing
Rus ibm cloud computingRus ibm cloud computing
Rus ibm cloud computing
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
 
Как использовать расходы на ИТ за счет использования облачных сервисов
Как использовать расходы на ИТ за счет использования облачных сервисовКак использовать расходы на ИТ за счет использования облачных сервисов
Как использовать расходы на ИТ за счет использования облачных сервисов
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2
 
Особенности тестирования сloud-приложений
Особенности тестирования сloud-приложенийОсобенности тестирования сloud-приложений
Особенности тестирования сloud-приложений
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
 
Облачная стратегия Cisco
Облачная стратегия CiscoОблачная стратегия Cisco
Облачная стратегия Cisco
 

Cloud computing security

  • 1. Обзор облачных вычислений и вопросы безопасности, связанные с ними Андрей Лысюк, CCIE, CISSP, CISM, CISA, ITILF Консультант по информационной безопасности 04/02/2012, НАУКМА Облачные вычисления. Безопасность
  • 2. Содержание • Основы облачных вычислений – Введение – Модели внедрения облачных вычислений – История и эволюция облачных вычислений – Техническая архитектура облачных систем и основные характеристики – Основные движущие силы перехода на облачные системы – Потенциальные проблемы при переходе на облачные вычисления Облачные вычисления. Безопасность 2
  • 3. Содержание • Вопросы безопасности и аудит – Готовность бизнеса к переходу на облачные системы – Оценка рисков – Распределение ответственности за риски – Основные проблемы информационной безопасности, связанные с облачными вычислениями » Управление доступом и учетными записями » Физическая безопасность » Неправильное использование облачных систем » Небезопасный API » Инсайдеры » Технологические уязвимости » Потеря данных » Перехват сессий – Аудит облачных систем Облачные вычисления. Безопасность 3
  • 4. Основы облачных вычислений Облачные вычисления. Безопасность
  • 5. Введение • Суть облачных вычислений – Смещение парадигмы Облачные вычисления. Безопасность 5
  • 6. Введение. Определения • Несколько определений облачных вычислений • Определение NIST: – Удобный, организованный по требованию удаленный доступ по сети к общему пулу ресурсов, которые конфигурируются (например, сетей, серверов, приложений, хранилищ данных и сервисов), который может быть быстро предоставлен и изъят с минимальными усилиями со стороны руководства или взаимодействием с сервис-провайдером – “Model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.” Облачные вычисления. Безопасность 6
  • 7. Введение. Преимущества • Преимущества использования – Стоимость – Масштабируемость – Сокращение жизненного цикла – Виртуализация (уменьшение стоимости, упрощение поддержки, уменьшение потребления энергии) • История возникновения • Рынок Украины – Слабо развитый – SAAS решения – CRM, Marketing Облачные вычисления. Безопасность 7
  • 8. Введение. Оценка рисков • Стоит ли внедрять облачные вычисления? – Новое всегда связано с рисками – Взвесить риски – Цель оправдывает средства? • Оценка рисков – Методологические материалы от международных организаций в области ИБ (ISACA, ENISA – European Network and Information Security Agency) – Метрики измерения рисков – Мониторинг, выбор мероприятий по уменьшению рисков – Риск аппетит руководства компаний – Стоимость данных на “черном рынке” влияет на мотивацию злоумышленников Облачные вычисления. Безопасность 8
  • 9. Введение. Факторы перехода • Выбор модели облачных вычислений: SAAS, PAAS, IAAS • Зрелость существующих бизнес процессов и процессов в ІТ (В соответствии с CoBIT или ITIL) • Классификация данных компании • Обязательства перед клиентами (например, обработка персональной информации) • Риски провайдера. Стандартов аудита провайдеров пока нет. Due diligence Облачные вычисления. Безопасность 9
  • 10. Модели облачных вычислений • Механизмы предоставления услуг – SAAS – PAAS – IAAS • Механизмы реализации – Private (IT Outsourcing) – Public – Community – Hybrid (Some data in private, some in public) • Диапазон применений от Private IAAS до Public SAAS (Threats, Cost) • Модели предоставления услуг новые, мало стандартизованные Облачные вычисления. Безопасность 10
  • 11. Модели облачных вычислений • Классификация облачных вычислений Облачные вычисления. Безопасность 11
  • 12. История и эволюция • Вначале были созданы для внутреннего применения (Google, Amazon) • Модель аналогичная 1960-1970 (развитие по спирали) • Новые «мейнфреймы». Разница в: – Продуктивности – Протоколах Облачные вычисления. Безопасность 12
  • 13. Обратно к централизации • Системы возвращаются к централизации после очередного оборота спирали развития Облачные вычисления. Безопасность 13
  • 14. Эволюция онлайн доступа Облачные вычисления. Безопасность 14
  • 15. Эволюция онлайн доступа • SOA – библиотека аплетов, которые могут быть использованы для создания приложения • Application Programming Interfaces (APIs) – механизм меток для объединения аплетов в сети Интернет • XML – механизм добавления тегов к информации (данным, страницам, картинкам, файлам, полям), который позволяет передавать ее любому приложению, размещенному в сети Интернет • API и XML используются для объединения SOA, размещенных в сети Облачные вычисления. Безопасность 15
  • 16. Движущие силы перехода • Оптимизация использования серверов • Уменьшение затрат • Динамическая масштабируемость • Сокращение жизненного цикла • Уменьшение времени на внедрение Облачные вычисления. Безопасность 16
  • 17. Потенциальные проблемы • Размещение данных • Смешанные данные разных клиентов • Прозрачность политик / процедур информационной безопасности • Права собственности на данные • Использование собственных закрытых API усложняет миграцию • Продолжение бизнеса CSP (Cloud Service Provider) • Защита данных в случае судового аудита (forensic audits) • Управление правами доступа Облачные вычисления. Безопасность 17
  • 18. Потенциальные проблемы • Выявление атак • Анализ репутации других клиентов • Соответствие требованиям регуляторов (защита персональных данных, PCI DSS, и т.д.) • Предварительный анализ собственников провайдеров облачных сервисов (due diligence) • Безопасное уничтожение конфиденциальной информации • Возобновление работы после катастроф На данный момент ответственность за оценку рисков и внедрение соответствующих контролей возложена целиком на клиентов CSP Облачные вычисления. Безопасность 18
  • 19. Вопросы безопасности и аудит облачный систем Облачные вычисления. Безопасность
  • 20. Готовность бизнеса к переходу • Бизнес старается сократить затраты • Если бизнесу не подходит уровень риска, который возникает в связи с переходом, нужно отказаться от перехода • Лучший подход – взвесить риск при переходе на облачную инфраструктуру в сравнении с внутренними рисками Облачные вычисления. Безопасность 20
  • 21. Вопросы для оценки перехода • На какую доступность рассчитывает бизнес? • Як организовано управление доступом в облачной инфраструктуре? • Где будут размещены данные компании? • Какие возможности по восстановлению работы CSP при катастрофах? • Как будет обеспечиваться безопасность данных компании? • Как будет выполнено управление привилегированным доступом к данным? • Как данные будут защищены от неправильного поведения пользователей? Облачные вычисления. Безопасность 21
  • 22. Вопросы для оценки перехода • На какой уровень изоляции рассчитывает компания? • Как безопасность информации будет обеспечена в среде виртуализации? • Как вся система защищена от угроз в сети Интернет? • Каким образом будет реализован мониторинг и аудит? • Как компания может обеспечить контроль того, что данные не были модифицированы другой стороной? • Какие типы сертификатов или гарантии компания может получить от провайдера? Облачные вычисления. Безопасность 22
  • 23. Оценка рисков • Любое техническое решение несет в себе возможности и риски • Для риска должны присутствовать несколько факторов: – Угроза использования уязвимости – Вероятность – Последствия • Много угроз и уязвимостей не есть специфическими для облачной инфраструктуры • Но, кроме классических есть и угрозы, которые специфические как раз для облачной инфраструктуры Облачные вычисления. Безопасность 23
  • 24. Оценка рисков • С точки зрения бизнес процессов переход на облачную инфраструктуру может быть выполнен с обычным подходом • С точки зрения управления рисками есть много новых вопросов: – Определение зон ответственности – Логическое, а не физическое разграничение данных – Повышение требований к безопасности компьютерной сети – Увеличение рисков, связанных с приложениями Облачные вычисления. Безопасность 24
  • 25. Распределение ответственностей • Риски, связанные с облачной инфраструктурой зависят от модели предоставления сервиса (SAAS, IAAS, PAAS) и модели реализации инфраструктуры (private, public, hybrid) • Например, модель построения облака с использованием вирутализированных приложений на инфраструктуре компании очень похожа на традиционную среду ИТ • Использование публичных сервисов по модели SAAS включает совместное использование файлов разными пользователями, миграцию данных между серверами, динамическое изменение объема данных Облачные вычисления. Безопасность 25
  • 27. Основные проблемы ИБ • Управление доступом и учетными записями • Физическая безопасность • Неправильное использование облачных систем • Небезопасный API • Инсайдеры • Технологические уязвимости • Потеря данных • Перехват сессий Облачные вычисления. Безопасность 27
  • 28. Управление доступом • Пользователи были и есть угрозой для данных. Злоумышленные действия или неумышленные ошибки угрожают целостности и доступности данных • Для контроля доступа к информации необходимо внедрить процедуры управления доступом – Классификация данных – Ролевой доступ – Контроль доступа инсайдеров – Предоставление, изменение и блокирование доступа • Для публичного доступа количество людей, которые имеют доступ увеличивается Облачные вычисления. Безопасность 28
  • 29. Физическая безопасность • Для частной облачной инфраструктуры риски физической безопасности аналогичны рискам для традиционной инфраструктуры • Для публичной облачной инфраструктуры размещение серверов может отличаться от ожидаемого • Важность определения размещения оборудования: – BCP/DRP (SLA для DRP) – Соответствие требованиям регуляторов Облачные вычисления. Безопасность 29
  • 30. Неправильное использование • Монополизация ресурсов • Быстрая регистрация и использование • Анонимность • Использование для неправомерных действий • Потенциальная угроза другим клиентам Облачные вычисления. Безопасность 30
  • 31. Небезопасный API • API для взаимодействия с облачными сервисами • Безопасность зависит от API • Использования API компаниями для предоставления сервисов своим клиентам • Расширение атрибутов аутентификации • Требования безопасности к API – Аутентификация – Контроль доступа – Шифрование – Мониторинг действий – Контроль попыток обойти политику Облачные вычисления. Безопасность 31
  • 32. Инсайдеры • Риск существует и для традиционной среды • Увеличение риска для CSP и для клиентов CSP • В традиционной среде компания имеет дело с сотрудниками, которых она: – Контролирует в рамках трудовых взаимоотношений – Проверяет перед наймом на работу • При потреблении услуг CSP традиционные контроли от инсайдеров не работают • Доступ инсайдеров, которые работают на CSP, к информации большой • Риски инсайдеров: влияние на репутацию, финансовые убытки, влияние на продуктивность Облачные вычисления. Безопасность 32
  • 33. Технологические уязвимости • Провайдер IAAS предоставляет доступ к общей инфраструктуре • Часто компоненты инфраструктуры не разработаны с учетом требований по изоляции • Для изоляции используют гипервизор, который может иметь ошибки • Последние годы наблюдаются атаки на технологии совместного использования общих ресурсов Облачные вычисления. Безопасность 33
  • 34. Потеря / утечка данных • Как и в традиционный инфраструктуре есть ряд атак на данные в облаке • Модификация данных без резервной копии • Удаление данных без резервной копии • Потеря ключа шифрования данных • Влияние на данные других клиентов при ошибках контроля доступа к данным Облачные вычисления. Безопасность 34
  • 35. Перехват сессий • Перехват учетной записи или сессии не есть новой угрозой • Облачные вычисления добавляют новый уровень риска • Потенциальная возможность злоумышленнику: – Иметь доступ к транзакциям – Манипулировать данными – Возвращать искаженную информацию – Перенаправлять клиентов на другие сайты – Использовать как промежуточную площадку Облачные вычисления. Безопасность 35
  • 36. Аудит облачных систем • Традиционная среда – аудит включал анализ исторических транзакций • Новый подход к аудиту – Реальное время – Непрерывный – Ориентация на процессы а не на фиксированные транзакции • Стандартов аудита пока еще нет Облачные вычисления. Безопасность 36
  • 37. Ссылки • Каталог SaaS компаний в Росії: – http://saas4russia.wordpress.com/directory/ • ENISA Cloud Computing Information Assurance Framework – http://www.enisa.europa.eu/act/rm/files/deliverables/cloud- computing-information-assurance-framework • ENISA Cloud Computing Risk Assessment – http://www.enisa.europa.eu/act/rm/files/deliverables/cloud- computing-risk-assessment Облачные вычисления. Безопасность 37