Weitere ähnliche Inhalte
Ähnlich wie Mobility and cloud security
Ähnlich wie Mobility and cloud security (20)
Mehr von Aleksey Lukatskiy
Mehr von Aleksey Lukatskiy (20)
Mobility and cloud security
- 2. Быть свободным от границ рабочего стола, рабочего
телефона, персонального компьютера и переговорных
© Cisco, 2010. Все права защищены. 2/55
- 3. Чтобы рабочее место следовало за работником, а не наоборот
– к заказчикам, к партнерам, в пути
© Cisco, 2010. Все права защищены. 3/55
- 4. Работать вместе с тем, кто нужен, не взирая на Маша Петрова
его местонахождение и часовой пояс ЗАЩИЩЕНО
Наставник Организатор
Директор Сын (в школе)
Технолог Мама
Исследователь Дизайнер
Ася Букина
Статус:
Предпочтение: Вася Пупкин
Статус:
Предпочтение:
© Cisco, 2010. Все права защищены. 4/55
- 5. Когда все что нужно, это защищенное подключение
к сети, какое бы подключение вы не использовали
© Cisco, 2010. Все права защищены. 5/55
- 6. Любой пользователь С любого устройства
Сотрудники, iPhone, Смартфон,
Партнеры, IP-телефон,
Заказчики, Лэптоп
Сообщества
Сеть без
границ
Всегда на связи,
На работе, дома,
Мгновенный доступ,
в кафе, в аэропорту
Мгновенная реакция
на ходу…
Отовсюду В любое время
© Cisco, 2010. Все права защищены. 6/55
- 7. 66% 45% 59% 45% 57%
Согласятся на Готовы Хотят ИТ- ИТ-специалистов
снижение поработать на использовать специалистов утверждают, что
компенсации 2-3 часа в день на работе не готовы основной задачей
(10%), если больше, если личные обеспечить при повышении
смогут работать смогут сделать устройства бóльшую мобильности
из любой точки это удаленно мобильность сотрудников
мира сотрудников является
обеспечение
безопасности
© Cisco, 2010. Все права защищены. 7/55
- 10. Мир ПК Эра пост-ПК
z
Приложения
ОС
пользователя
ОС
Сервера
Клиентские
устройства
© Cisco, 2010. Все права защищены. 10/55
- 11. 2010
iPad + Mac = 12% рынка
ПК
3.6Млрд 100+
Мобильных
устройств*
миллионов
планшетников
300,000 1.8Млрд
Ежедневных … имеют
активаций web-доступ* 70%
Android студентов США
используют Mac
**Gartner research prediction; Gartner Forecast: Tablet PCs, Worldwide, November, 2010
© Cisco, 2010. Все права защищены. 11/55
- 12. 2013
Скоро будет
Один триллион
устройств подключенных к сети,
по сравнению с 3.6 МЛРД в 2010
Cisco IBSG
© Cisco, 2010. Все права защищены. 12/55
- 13. 3,600,000 4% Mobile VoIP
5% Mobile Gaming
8% Mobile P2P
39x 17% Mobile Web/Data
TB/mo
1,800,000
66% Mobile Video
0
2009 2010 2011 2012 2013 2014
Source: Cisco Visual Networking Index (VNI) Global Mobile Data Forecast, 2009–2014
© Cisco, 2010. Все права защищены. 13/55
- 15. Мобильника Интернет Автомобиля Партнера
97% 84% 64% 43%
© Cisco, 2010. Все права защищены. 15/55
- 16. Новый опыт ИТ-службы Cisco
Консьюмеризация Непрерывное Распространение Мобильность
соединение устройств
Любое устройство, Везде, Всегда, Защищенно....
2,454 iPads
70% рост
Планшетники
11,762 1,164 15,403 3,289
iPhones Android BlackBerry Другие устройства
20% рост 76% рост 0% рост -18% рост
© Cisco, 2010. Все права защищены. Смартфоны (КПК) 16/55
- 18. • Не игнорируйте вопрос применения мобильных устройств
Да или нет?!
• Анализ рисков и модель угроз
Вредоносный код? Утечки? Посещение ненужных сайтов? Потеря
устройства?
• Отношение у BYOD (Buy Your Own Device)
Если да, то какие требования надо соблюдать пользователям
• Мобильные платформы
• Доступ изнутри сети
• Доступ извне сети
Только через VPN? Применяется NAC? Доступ только к отдельным
приложениям?
© Cisco, 2010. Все права защищены. 18/55
- 19. • Отношение к Jailbrake
Взломанное устройство – угроза ИБ
• Приложения
Есть ограничения? Собственная разработка? Контроль магазинов
приложений? Собственные корпоративные магазины приложений?
Процедура установки приложений?
• Антивор
Как искать украденное/потерянное устройство? Как дистанционно
заблокировать устройство или удалить данные? Как защититься при
смене SIM-карты?
• Слежение за устройствами
Контроль местонахождения устройства? Как? GPS?
© Cisco, 2010. Все права защищены. 19/55
- 20. • Аутентификация • Разрешенное
пользователя использование
• Защищенное • Контроль
соединение доступа
• VPN-туннели • Защита от
• Виртуальный вредоносного
сейф кода
• Анализ Cisco • Контроль
защищенности утечек (DLP)
• Контроль
доступа (NAC)
3rd Parties • Блокирование
устройства
• Очистка данных
• Pin enforcement
• Аудит
устройства
© Cisco, 2010. Все права защищены. 20/55
- 21. Anti-virus
Loss and theft protection
Encryption
Data-loss protection
Secure client and web-based VPN connectivity
Firewall
Back-up and restore First choice
Anti-spam for messaging content Second choice
Third choice
URL filtering
Application monitoring and control
0% 10% 20% 30% 40% 50% 60%
Source: Candefero survey results, June 2011 (87 respondents)
© Cisco, 2010. Все права защищены. © Canalys
21/55
- 22. • Удаленное управление и контроль
Как организовать? Централизованно или через пользователя? Как
отключать некоторые аппаратные элементы (Wi-Fi, Bluetooth, камера,
диктофоно и т.д.)? Как ставить патчи? Как контролировать настройки? Как
контролировать наличие нужных программ? Как удаленно «снять»
конфигурацию? Как провести инвентаризацию? Troubleshooting?
• Compliance
Есть ли требования? Обязательные?
• Аутентификация
Только PIN? Логин/пароль? Одноразовые пароли? Аппаратные токены?
Сертификаты? Аутентификация к локальным ресурсам устройствам?
Доступ администратора к устройству (а если оно BYOD)?
• Личная защита
Черные списки телефонов? Скрытие от посторонних глаз SMS/номеров?
© Cisco, 2010. Все права защищены. 22/55
- 23. • Резервирование и восстановление
• Управление инцидентами
Как осуществляется расследование? Как собираются доказательства?
Управление журналами регистрации событий?
© Cisco, 2010. Все права защищены. 23/55
- 24. • Встроенный функционал в
мобильные устройства
Например, идентификация
местоположения устройства в iPad или
встроенный VPN-клиент в Nokia e61i на
Symbian
• Функционал мобильных приложений
Например, функция удаления данных в
Good или Exchange ActiveSync
• Отдельные решения для мобильных
устройств
В рамках портфолио – Cisco, Лаборатория
Касперского, Sybase
Специализированные игроки - MobileIron,
Mobile Active Defense, AirWatch, Zenprise и
т.д.
© Cisco, 2010. Все права защищены. 24/55
- 25. Устройства Безопасность Управление
Форм
Фактор Защищенное Управление
соединение устройством
ОС
Контроль Слежение за
приложений устройством
Приложения
Внедрение
Защита Web
Голос Конференции приложений
Internal Web
Apps Apps
Видео Сообщения
Производите
Защита
льность &
устройства
Диагностика
Соединение
Управление
Шифрование
затратами на
2G/3G WiFi VPN данных
связь
© Cisco, 2010. Все права защищены. 25/55
- 27. Softwar
Google Apps,
e-as-a-
Salesforce.com
Service
MS Azure, Platform
Google App -as-a-
Engine Service
Infrastru
c-ture- Amazon EC2,
as-a- co-location
Service
© Cisco, 2010. Все права защищены. 27/55
- 28. • ERP
• Service Desk
• Управление контентом
• HRM
• Управление заказами (ORM)
• Управление затратами и поставщиками (SRM)
• Унифицированные коммуникации
• Управление проектами
• Управление цепочками поставок (SCM)
• Web 2.0
© Cisco, 2010. Все права защищены. 28/55
- 29. Почему вы не думаете об
облаке/аутсорсинге?
Другое 19
Производительность 16
Слабая кастомизация 18
Слабый каналы связи 18
Зависимость от текущего… 19
Сложное ценообразование 20
Вопросы интеграции 23
Нет нужных приложений 23
Безопасность и privacy 30
Вопросы цены 36
0 5 10 15 20 25 30 35 40
© Cisco, 2010. Все права защищены.
Источник: Forrester Research 29/55
- 30. Своя ИТ- Хостинг-
IaaS PaaS SaaS
служба провайдер
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
VM VM VM VM VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и аутсорсером
- Контроль у аутсорсера
© Cisco, 2010. Все права защищены. 30/55
- 31. • Стратегия безопасности аутсорсинга
Пересмотрите свой взгляд на понятие «периметра ИБ»
Оцените риски – стратегические, операционные, юридические
Сформируйте модель угроз
Сформулируйте требования по безопасности
Пересмотрите собственные процессы обеспечения ИБ
Проведите обучение пользователей
Продумайте процедуры контроля аутсорсера
Юридическая проработка взаимодействия с аутсорсером
• Стратегия выбора аутсорсера
Чеклист оценки ИБ аутсорсера
© Cisco, 2010. Все права защищены. 31/55
- 32. • Финансовая устойчивость аутсорсера
• Схема аутсорсинга
SaaS, hosted service, MSS
• Клиентская база
• Архитектура
• Безопасность и privacy
• Отказоустойчивость и резервирование
• Планы развития новых функций
© Cisco, 2010. Все права защищены. 32/55
- 33. • Защита данных
• Управление уязвимостями
• Управление identity
• Объектовая охрана и персонал
• Доступность и производительность
• Безопасность приложений
• Управление инцидентами
• Privacy
© Cisco, 2010. Все права защищены. 33/55
- 34. • Непрерывность бизнеса и восстановление после катастроф
• Журналы регистрации
• Сompliance
• Финансовые гарантии
• Завершение контракта
• Интеллектуальная собственность
© Cisco, 2010. Все права защищены. 34/55
- 35. • Как мои данные отделены от данных других клиентов?
• Где хранятся мои данные?
• Как обеспечивается конфиденциальность и целостности моих
данных?
• Как осуществляется контроль доступа к моим данным?
• Как данные защищаются при передаче от меня к аутсорсеру?
• Как данные защищаются при передаче от одной площадки
аутсорсера до другой?
• Релизованы ли меры по контролю утечек данных?
• Может ли третья сторона получить доступ к моим данным? Как?
Оператор связи, аутсорсер аутсорсера
• Все ли мои данные удаляются по завершении предоставления
сервиса?
© Cisco, 2010. Все права защищены. 35/55
- 36. • Как часто сканируется сеть и приложения?
• Можно ли осуществить внешнее сканирование сети
аутсорсера? Как?
• Каков процесс устранения уязвимостей?
© Cisco, 2010. Все права защищены. 36/55
- 37. • Возможна ли интеграция с моим каталогом учетных записей?
Как?
• Если у аутсорсера собственная база учетных записей, то
Как она защищается?
Как осуществляется управление учетными записями?
• Поддерживается ли SSO? Какой стандарт?
• Поддерживается ли федеративная система аутентификации?
Какой стандарт?
© Cisco, 2010. Все права защищены. 37/55
- 38. • Контроль доступа осуществляется в режиме 24х7?
• Выделенная инфраструктура или разделяемая с другими
компаниями?
• Регистрируется ли доступ персонала к данным клиентов?
• Есть ли результаты оценки внешнего аудита?
• Какова процедура набора персонала?
© Cisco, 2010. Все права защищены. 38/55
- 39. • Уровень доступности в SLA (сколько девяток)
• Какие меры обеспечения доступности используются для
защиты от угроз и ошибок?
Резервный оператор связи
Защита от DDoS
• Доказательства высокой доступности аутсорсера
• План действия во время простоя
• Пиковые нагрузки и возможность аутсорсера справляться с
ними
© Cisco, 2010. Все права защищены. 39/55
- 40. • Исполнение рекомендаций OWASP при разработке
приложений
• Процедура тестирования для внешних приложений и
исходного кода
• Существубт ли приложения третьих фирм при оказании
сервиса?
• Используемые меры защиты приложений
Web Application Firewall
Аудит БД
© Cisco, 2010. Все права защищены. 40/55
- 41. • План реагирования на инциденты
Включая метрики оценки эффективности
• Взаимосвязь вашей политики управления инцидентами и
аутсорсера
© Cisco, 2010. Все права защищены. 41/55
- 42. • Обезличивание критичных данных и предоставление к ним
доступа только авторизованному персоналу
• Какие данные собираются о заказчике?
Где хранятся? Как? Как долго?
• Какие условия передачи данныех клиента третьим лицам?
Законодательство о правоохранительных органах, адвокатские запросы и
т.п.
• Гарантии нераскрытия информации третьим лицам и
третьими лицами?
© Cisco, 2010. Все права защищены. 42/55
- 43. • План обеспечения непрерывности бизнеса и восстановления
после катастроф
• Где находится резервный ЦОД?
• Проходил ли аутсорсер внешний аудит по непрерывности
бизнеса?
Есть ли сертифицированные сотрудники по непррывности бизнеса?
© Cisco, 2010. Все права защищены. 43/55
- 44. • Как вы обеспечиваете сбор доказательств
несанкционированной деятельности?
• Как долго вы храните логи? Возможно ли увеличение этого
срока?
• Можно ли организовать хранение логов во внешнем
хранилище? Как?
© Cisco, 2010. Все права защищены. 44/55
- 45. • Подчиняется ли аутсорсер локальным нормативным
требованиям? Каким?
Как локальные нормативные требования соотносятся с требованиями
клиента?
• Проходил ли аутсорсер внешний аудит соответствия?
ISO 27001
PCI DSS
Аттестация во ФСТЭК
© Cisco, 2010. Все права защищены. 45/55
- 46. • Какая компенсация подразумевается в случае инцидента
безопасности или нарушения SLA?
© Cisco, 2010. Все права защищены. 46/55
- 47. • Кому принадлежат права на информацию, переданную
аутсорсеру?
А на резервные копии?
А на реплицированные данные?
А на логи?
• Удостоверьтесь, что ваш контракт не приводит к потере прав
на информацию и иные ресурсы, переданные аутсорсеру?
© Cisco, 2010. Все права защищены. 47/55
- 48. • Процедура завершения контракта?
Возврат данных? В каком формате?
Как скоро я получу мои данные обратно?
Как будут уничтожены все резервные и иные копии моих данных? Как
скоро? Какие гарантии?
• Какие дополнительные затраты на завершение контракта?
© Cisco, 2010. Все права защищены. 48/55
- 50. Политика
Периметр
Приложения и
данные
Офис
Филиал
Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 50/55
- 51. Политика
Периметр
Приложения и
данные
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 51/55
- 52. Политика
Периметр Platform Infrastructure
Приложения и as a Service as a Service
Software X
данные as a Service
as a Service
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 52/55
- 53. Политика
Периметр Platform Infrastructure
Приложения и as a Service as a Service
Software X
данные as a Service
as a Service
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 53/55
- 54. Политика
Политика 4 (Access Control, Acceptable Use, Malware, Data Security)
Data Center
Borderless
Периметр Platform Infrastructure
Приложения и
Software
as a Service as a Service
X
3
данные as a Service
as a Service
Офис
Borderless
Internet
2
Филиал
End Zones
Borderless
Дом
Аэропорт
1
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 54/55