SlideShare ist ein Scribd-Unternehmen logo
1 von 15
Downloaden Sie, um offline zu lesen
Департамент Информационной безопасности


Проблемы информационной безопасности
при использовании облачных вычислений




  Олег Кузьмин, директор департамента ИБ ЗАО «Ай-Теко»
                         2011 г.
Что такое облачные вычисления
  Облачные вычисления – это вычисления проводимые в готовой инфраструктуре к
  которой есть доступ через сеть. Инфраструктура может состоять из тысяч, сотен тысяч
  вычислительных узлов, дисковых массивов. Все это соединено в единую сеть и
  функционирует как один большой вычислительный комплекс.

  Классификация облаков по типам:

  Публичное – доступ к вычислительным ресурсам предоставляется через интернет
               широкому кругу клиентов. Клиент арендует доступ к ресурсам по мере
               необходимости, оплачивая только те ресурсы, которые использует. Доступ
               через веб-интерфейс.
  Частное -     доступ к вычислительным ресурсам располагающимся в инфраструктуре
               одной (своей) организации. Пользователи обслуживаются самостоятельно
               и определяют набор ресурсов из предлагаемых частным облаком . Доступ
               как правило осуществляется также через веб-интерфейс. Облако развора-
               чивается в собственном ЦОД.
  Гибридное - сочетает ресурсы отобранные из публичных и частных облаков

                                                                                    2
Облачные вычисления

                        Выделение ресурсов
                       пользователю в режиме                             Основные модели услуг:
                         самообслуживания

                                                                         1. ПО как услуга (Software
                                                                         аs a Service, SaaS)
                                               Широкополосный доступ к
  Измеряемый уровень
                                               ресурсам из любой точки
       сервиса
                                                         сети            2. Платформа как услуга
                                                                         (Platform as a service, PaaS)
                   Основное отличие: Наличие
                 следующих пяти составляющих
                                                                         3. Инфраструктура как
                                                                         Услуга (infastructure as a
                                    Организация ресурсов в
                                                                         Service, IaaS)
           Быстрая адаптация к
                                    пулы, которые не зависят
             увеличению или
                                      от местонахождения
          уменьшению нагрузки
                                         самих ресурсов




                                                                                                      3
Развитие технологий
                                                    Облачные вычисления


                       Виртуальный ЦОД



Традиционный ЦОД


                                                    Множество логических
                                                        платформ


                       Логическая платформа   Преимущества:
                                              масштабируемость, надежность,оптимизация,
                                              доступность, и пр.

Аппаратная платформа
                                                                                          4
Кто и чем управляет

В обычном ЦОД управление всем в ИТ идет собственными силами компании:
приложениями, данными, вычислениями, межплатформенным ПО, Операционной
системой, виртуализацией, серверами, хранилищами, сетью.
                  При использовании моделей услуг:
Облачное приложение в виде сервисов, SaaS. Клиент получает доступ к нужным ему
приложениям, имеющимся в облачной инфраструктуре. Где и на каком оборудовании
выполняется приложение клиент как правило не знает.

Платформа как сервис, PaaS. Клиент может устанавливать и разрабатывать свои
приложения на предоставленной ему платформе. Но контролирует только приложения,
может иметь частичный контроль над платформой, но не может контролировать
инфраструктуру.

Облачная инфраструктура как сервис, IaaS. Клиенту предоставляется виртуальная
архитектура, состоящая из серверов, рабочих станций и сетевого оборудования, где
клиент сам может разворачивать свои собственные операционные системы, базы
данных и приложения.
                                                                                   5
Что рекомендуется
При обеспечении безопасности облака                           Желательно включить в соглашение об уровне
необходимо учитывать как различия                             сервиса (SLA) требование к провайдеру - уведомлять
между тремя видами облачных моделей,                          вас об обнаружении любых уязвимостей, которые
так и их общие черты.                                         могут затронуть ваши данные

SaaS                                 PaaS                                         IaaS
       •Данная модель                       •модель ориентирована на                     •модель ориентирована на
        ориентирована на                     защиту данных, что особенно                  управление виртуальными
        управление доступом к                важно в случае хранения,                     машинами. Основная задача
        приложениям. Например, в             предоставляемого в виде                      — внедрить систему
        политиках доступа может              сервиса. Для PaaS                            руководства, которая
        быть определено, что агент           обязательно следует                          позволит организации
        по продажам имеет                    учитывать вероятность                        регулировать создание и
        возможность загружать из             временного выхода                            удаление виртуальных
        приложения для управления            провайдера из строя. С точки                 машин и тем самым избегать
        отношениями с клиентами              зрения безопасности важно                    неконтролируемого доступа
        целеуказания на заказчиков           обеспечить балансировку                      к ним .
        лишь по определенной                 нагрузки между
        местности или только в               провайдерами, чтобы
        рабочее время.                       перераспределить ее в
                                             случае отказа основного. Еще
       • Необходимо подготовить              один ключевой момент —
        набор ограничений, которые           возможность шифрования
        будут регулировать доступ            данных при их хранении на
        пользователя к                       сторонней платформе и
        приложениям.                         знание нормативных актов,
                                             применимых к хранению
                                             данных в
                                             разных странах.



                                                                                                                       6
Основные риски безопасности

                    • При использовании инфраструктуры облака       Обеспечение
                      клиент обязательно уступает функции           безопасности
Потеря управления     контроля управления инфраструктурой
                      поставщику услуг                              виртуализации
                                                                    осложняется двумя
                                                                    факторами:
                    • У клиента нет возможности проверить
                      эффективность защиты своих данных             -рисками,
  Защита данных       предлагаемую поставщиком услуг                присутствующими в
                                                                    физическом центре
                                                                    данных
Неполное удаление   • Невозможность проверить насколько             - рисками, которые
                      качественно были удалены поставщиком
    данных по         услуг ненужные для дальнейшей работы          присущи
   требованию         данные                                        виртуализованным
                                                                    средам:
                    • Злонамеренные действия со стороны          1.Бреши в защите в момент
                      сотрудников поставщика услуг, отвечающих
   Инсайдеры          за администрирование и безопасность
                                                                 включения ВМ
                                                                 2. Конфликт ресурсов
                                                                 3. Соответствие нормативам/
                                                                 нехватка аудиторской отчетности

                                                                                               7
Проблемы ИБ, классификация
                                                                         Понимание                           Использова
                                                                            всех                                 ние
                                                                         возможных                           необходим
                                                                           рисков                            ых средств
    Четкое                                                                                   Разработка        защиты
  разделение                                                                                 концепции
 обязанностей                                        Технические                                 ИБ
                                                                              Настройка
                     Закрепление зон                                           средств                       Решение
                     ответственности                                           защиты                     противоречив
    Вопросы                                                                                               ых требований
 интеллектуальн                                                                                              клиентов
       ой
 собственности и
   авторского                                                                              Аварийное
      права                                                                               восстановлен
                                                                                               ие
 Правовое поле
    страны в
    которой
                                       Юридические             Психологические
  расположен
      ЦОД
                                                                                        Сложно               Неясные
                                                                                      решиться на          перспективы
                                                                                        полное               в случае
     Взаимоотноше                                                                       доверие            инцидентов
     ния с другими           Отсутствие                                               провайдеру
       клиентами            юридической                                  Отстствие
      провайдера            практики по                                  культуры
                             облачным                                   аутсорсинга
                             вопросам


                                                                                                                          8
Проблемы ИБ, описание
Технологические                            Юридические
Статистики по инцидентам почти нет,        Затруднено разграничение зон
уровень угроз еще непонятен и в полном     ответственности и выполнение
объеме неизвестен. Недостаточно            различных требований по
проработаны или отсутствуют стандарты по   безопасности в инфраструктуре, у
безопасности, существующие методы          которой динамически меняется
защиты физической инфраструктуры           размер, структура и периметр.
неприменимы в полной мере , так как в      Государственные регуляторы еще
облачном сервисе само понятие              не имеют единого представления
инфраструктуры четко не определено.        и опыта оценки соответствия
Психологические                            своим требованиям к
в России практически отсутствует           технологиям облачных
культура аутсорсинга, использования        вычислений.
сервис провайдеров. Кроме того,            Отсутствуют внятные соглашения
технология новая, сложна и ее              о предоставлении услуг и какого-
использование достаточно рискованно.       либо гарантии возмещения
Наконец присутствует банальное             возможного ущерба
недоверие провайдеру
                                                                              9
Список актуальных вопросов
растет
• Как глобально разделить ответственность между клиентами и провайдером?

• Каким будет размер возможного ущерба в случае нарушения работы подключенного
сервиса?

• Возможно ли шифрование данных в облаке?

• Кто и как будет расследовать инциденты безопасности, затронувшие данные клиента?

• Гарантированно ли удаляются данные клиента, и как это проверить?

• Где хранятся данные клиента и их резервные копии, кто имеет к ним доступ и с какими
правами?

• Как выполнять требования регуляторов, и кто за это отвечает?

• Как разграничен доступ между клиентами в облаке?

• Вопросы можно продолжить…

                                                                                        10
Необходимо учитывать, что

1. Государство, на территории которого размещен дата-центр, может получить
доступ к любой информации, которая в нем хранится. Например, по законам
США, где находится самое большое количество дата-центров, в этом случае
компания-провайдер даже не имеет права разглашать факт передачи
конфиденциальной информации кому-либо, кроме своих адвокатов.

Т.е. возникает вопрос о необходимости шифрования всей информации
помещаемой в облако. Однако многие облачные приложения не
предусматривают шифрования данных внутри облака. В некоторых случаях
невозможно даже хранить данные в зашифрованном виде. Решение этого
вопроса нужно требовать от провайдера.
2. Облачные вычисления практически всегда требуют соединения с сетью
(Интернет). Если нет доступа в сеть - нет работы, программ, документов.
3. Некоторые провайдеры облачных сервисов пытаются стереть грань между
безопасностью, надежностью и необходимостью восстановления после сбоев и
обеспечения непрерывности ведения бизнеса

                                                                             11
Плюсы и минусы ИБ в облаке


          Плюсы         Минусы




                                 12
Вопросы безопасной работы с
информационными ресурсами в облаке

         Вопросы, требующие изучения при выборе провайдера облачных услуг

                                       1   Как сервис-провайдер обеспечивает
                                           сохранность хранимых данных?

                                       2   Как провайдер обеспечивает сохранность
                                           данных при их передаче (внутри и на пути от/к
                                           облаку)?

                                       3   Как провайдер аутентифицирует клиента?


                                       4   Каким образом данные и приложения одного
                                           клиента отделены от данных и приложений
                                           других клиентов?

                                       5   Насколько провайдер следует законам и
                                           правилам, применимым к сфере облачных
                                           вычислений?

                                       6   Как провайдер реагирует на происшествия, и
                                           насколько могут быть вовлечены его клиенты
                                           в инцидент?
                                                                                      13
Вопросы безопасной работы с информационными
ресурсами в облаке


 Практические рекомендации по безопасности облачных вычислений.
 Экспертные организации:
 1. Cloud Security Alliance (CSA)
 2. National Institute of Standards and Technology (NIST)

 CSA
 1. Security Guidance for Critical Areas of Focus in Cloud Computing V2.1. CSA, December 2009
 2. Top Threats to Cloud Computing V1.0. CSA, March 2010
 3. Cloud Security Alliance GRC (Achieving Governance, Risk Management and Compliance) Stack. CSA, November
     2010

 NIST
 1.   The NIST Definition of Cloud Computing. DRAFT SP 800-145, Jan. 2011
 2. Guidelines on Security and Privacy in Public Cloud Computing. DRAFT SP 800-144, Jan. 2011
 3. Guide to Security for Full Virtualization Technologies. DRAFT SP 800-125, July 2010


 Нормативные документы многих стран требуют, чтобы потребитель облачных ресурсов знал, где находятся его
    данные, кто может получать к ним доступ и как они защищены




                                                                                                          14
Олег Кузьмин директор Департамента ИБ
8(495)777-10-95 доб. 36-50
okuzmin@i-teco.ru

Weitere ähnliche Inhalte

Was ist angesagt?

VMware vCloud Director Overview in Russian
VMware vCloud Director Overview in RussianVMware vCloud Director Overview in Russian
VMware vCloud Director Overview in Russianareconster
 
Proventia Virtual Server Protection for VMware_Конкурс VirtualizationSecurity...
Proventia Virtual Server Protection for VMware_Конкурс VirtualizationSecurity...Proventia Virtual Server Protection for VMware_Конкурс VirtualizationSecurity...
Proventia Virtual Server Protection for VMware_Конкурс VirtualizationSecurity...VirtSGR
 
Обеспечение безопасности для виртуальных серверов и приложений
Обеспечение безопасности для виртуальных серверов и приложенийОбеспечение безопасности для виртуальных серверов и приложений
Обеспечение безопасности для виртуальных серверов и приложенийCisco Russia
 
Каталог облачных услуг КРОК
Каталог облачных услуг КРОККаталог облачных услуг КРОК
Каталог облачных услуг КРОККРОК
 
Russian CSO Summit 2011 - 2 - RUSSIAN
Russian CSO Summit 2011 - 2 - RUSSIANRussian CSO Summit 2011 - 2 - RUSSIAN
Russian CSO Summit 2011 - 2 - RUSSIANKirill Kertsenbaum
 
TippingPoint Virtual Controller +Virtual Firewall_Конкурс продуктов портала V...
TippingPoint Virtual Controller +Virtual Firewall_Конкурс продуктов портала V...TippingPoint Virtual Controller +Virtual Firewall_Конкурс продуктов портала V...
TippingPoint Virtual Controller +Virtual Firewall_Конкурс продуктов портала V...VirtSGR
 
стэн шнайдер Датацентризм и месседжсентризм
стэн шнайдер Датацентризм и месседжсентризмстэн шнайдер Датацентризм и месседжсентризм
стэн шнайдер Датацентризм и месседжсентризмSergei Seleznev
 
Телекоммуникационная инфраструктура для ЦОД
Телекоммуникационная инфраструктура для ЦОДТелекоммуникационная инфраструктура для ЦОД
Телекоммуникационная инфраструктура для ЦОДКРОК
 
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыОблака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыDe Novo
 
Symantec Endpoint Protection_Конкурс продуктов портала VirtualizationSecurity...
Symantec Endpoint Protection_Конкурс продуктов портала VirtualizationSecurity...Symantec Endpoint Protection_Конкурс продуктов портала VirtualizationSecurity...
Symantec Endpoint Protection_Конкурс продуктов портала VirtualizationSecurity...VirtSGR
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Russia
 
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.RuMcAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.RuVirtSGR
 
Риски использования облачных технологий
Риски использования облачных технологийРиски использования облачных технологий
Риски использования облачных технологийabondarenko
 
перспективные решения от софтпром
перспективные решения от софтпромперспективные решения от софтпром
перспективные решения от софтпромПавел Жданович
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеCisco Russia
 
Как Облачные вычисления изменят мир Информационных Технологий (ИТ)
Как Облачные вычисления изменят мир Информационных Технологий (ИТ)Как Облачные вычисления изменят мир Информационных Технологий (ИТ)
Как Облачные вычисления изменят мир Информационных Технологий (ИТ)Michael Kozloff
 
Сетевые решения и продукты Cisco для построения интеллектуальных облачных сетей
Сетевые решения и продукты Cisco для построения интеллектуальных облачных сетейСетевые решения и продукты Cisco для построения интеллектуальных облачных сетей
Сетевые решения и продукты Cisco для построения интеллектуальных облачных сетейCisco Russia
 

Was ist angesagt? (20)

VMware vCloud Director Overview in Russian
VMware vCloud Director Overview in RussianVMware vCloud Director Overview in Russian
VMware vCloud Director Overview in Russian
 
Vision solutions 2013
Vision solutions 2013Vision solutions 2013
Vision solutions 2013
 
Proventia Virtual Server Protection for VMware_Конкурс VirtualizationSecurity...
Proventia Virtual Server Protection for VMware_Конкурс VirtualizationSecurity...Proventia Virtual Server Protection for VMware_Конкурс VirtualizationSecurity...
Proventia Virtual Server Protection for VMware_Конкурс VirtualizationSecurity...
 
Обеспечение безопасности для виртуальных серверов и приложений
Обеспечение безопасности для виртуальных серверов и приложенийОбеспечение безопасности для виртуальных серверов и приложений
Обеспечение безопасности для виртуальных серверов и приложений
 
Data Centers Security
Data Centers SecurityData Centers Security
Data Centers Security
 
Каталог облачных услуг КРОК
Каталог облачных услуг КРОККаталог облачных услуг КРОК
Каталог облачных услуг КРОК
 
SBE-Group - Data Center Forum 2010
SBE-Group - Data Center Forum 2010SBE-Group - Data Center Forum 2010
SBE-Group - Data Center Forum 2010
 
Russian CSO Summit 2011 - 2 - RUSSIAN
Russian CSO Summit 2011 - 2 - RUSSIANRussian CSO Summit 2011 - 2 - RUSSIAN
Russian CSO Summit 2011 - 2 - RUSSIAN
 
TippingPoint Virtual Controller +Virtual Firewall_Конкурс продуктов портала V...
TippingPoint Virtual Controller +Virtual Firewall_Конкурс продуктов портала V...TippingPoint Virtual Controller +Virtual Firewall_Конкурс продуктов портала V...
TippingPoint Virtual Controller +Virtual Firewall_Конкурс продуктов портала V...
 
стэн шнайдер Датацентризм и месседжсентризм
стэн шнайдер Датацентризм и месседжсентризмстэн шнайдер Датацентризм и месседжсентризм
стэн шнайдер Датацентризм и месседжсентризм
 
Телекоммуникационная инфраструктура для ЦОД
Телекоммуникационная инфраструктура для ЦОДТелекоммуникационная инфраструктура для ЦОД
Телекоммуникационная инфраструктура для ЦОД
 
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыОблака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
 
Symantec Endpoint Protection_Конкурс продуктов портала VirtualizationSecurity...
Symantec Endpoint Protection_Конкурс продуктов портала VirtualizationSecurity...Symantec Endpoint Protection_Конкурс продуктов портала VirtualizationSecurity...
Symantec Endpoint Protection_Конкурс продуктов портала VirtualizationSecurity...
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)
 
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.RuMcAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
 
Риски использования облачных технологий
Риски использования облачных технологийРиски использования облачных технологий
Риски использования облачных технологий
 
перспективные решения от софтпром
перспективные решения от софтпромперспективные решения от софтпром
перспективные решения от софтпром
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
 
Как Облачные вычисления изменят мир Информационных Технологий (ИТ)
Как Облачные вычисления изменят мир Информационных Технологий (ИТ)Как Облачные вычисления изменят мир Информационных Технологий (ИТ)
Как Облачные вычисления изменят мир Информационных Технологий (ИТ)
 
Сетевые решения и продукты Cisco для построения интеллектуальных облачных сетей
Сетевые решения и продукты Cisco для построения интеллектуальных облачных сетейСетевые решения и продукты Cisco для построения интеллектуальных облачных сетей
Сетевые решения и продукты Cisco для построения интеллектуальных облачных сетей
 

Andere mochten auch

Pdhpe rationale power point
Pdhpe rationale power pointPdhpe rationale power point
Pdhpe rationale power pointrobertlenard
 
5 conseils pour cibler les consommateurs en 2016
5 conseils pour cibler les consommateurs en 20165 conseils pour cibler les consommateurs en 2016
5 conseils pour cibler les consommateurs en 2016Black Angus
 
資訊科技報告 自由軟體與資訊產業的未來
資訊科技報告 自由軟體與資訊產業的未來資訊科技報告 自由軟體與資訊產業的未來
資訊科技報告 自由軟體與資訊產業的未來p085158
 
PDHPE Presentation 17184872
PDHPE Presentation 17184872PDHPE Presentation 17184872
PDHPE Presentation 17184872Mollcuddles
 
Dingo’s in the wild!
Dingo’s in the wild!Dingo’s in the wild!
Dingo’s in the wild!spear135
 
Dalila y noemi
Dalila y noemiDalila y noemi
Dalila y noemidalylita
 
La bella roma1._tno
La bella roma1._tnoLa bella roma1._tno
La bella roma1._tnocrostolo
 
Chapter 2 -PowerPoint
Chapter 2 -PowerPointChapter 2 -PowerPoint
Chapter 2 -PowerPointcmaull
 
Dingo’s in the wild!
Dingo’s in the wild!Dingo’s in the wild!
Dingo’s in the wild!spear135
 
Bob Such Memorial Lecture (Treenet), 2016: Forests, nature and the interactin...
Bob Such Memorial Lecture (Treenet), 2016: Forests, nature and the interactin...Bob Such Memorial Lecture (Treenet), 2016: Forests, nature and the interactin...
Bob Such Memorial Lecture (Treenet), 2016: Forests, nature and the interactin...Australian National University
 
Personal data in the Russian Federation
Personal data in the Russian FederationPersonal data in the Russian Federation
Personal data in the Russian FederationOleg Kuzmin
 
Pdhpe zoo photo slide
Pdhpe zoo photo slidePdhpe zoo photo slide
Pdhpe zoo photo sliderobertlenard
 
Blood diamonds
Blood diamondsBlood diamonds
Blood diamondsalemak89
 

Andere mochten auch (19)

Pdhpe rationale power point
Pdhpe rationale power pointPdhpe rationale power point
Pdhpe rationale power point
 
5 conseils pour cibler les consommateurs en 2016
5 conseils pour cibler les consommateurs en 20165 conseils pour cibler les consommateurs en 2016
5 conseils pour cibler les consommateurs en 2016
 
資訊科技報告 自由軟體與資訊產業的未來
資訊科技報告 自由軟體與資訊產業的未來資訊科技報告 自由軟體與資訊產業的未來
資訊科技報告 自由軟體與資訊產業的未來
 
PDHPE Presentation 17184872
PDHPE Presentation 17184872PDHPE Presentation 17184872
PDHPE Presentation 17184872
 
Dingo’s in the wild!
Dingo’s in the wild!Dingo’s in the wild!
Dingo’s in the wild!
 
Dalila y noemi
Dalila y noemiDalila y noemi
Dalila y noemi
 
La bella roma1._tno
La bella roma1._tnoLa bella roma1._tno
La bella roma1._tno
 
Brodor
Brodor Brodor
Brodor
 
Chapter 2 -PowerPoint
Chapter 2 -PowerPointChapter 2 -PowerPoint
Chapter 2 -PowerPoint
 
Dingo’s in the wild!
Dingo’s in the wild!Dingo’s in the wild!
Dingo’s in the wild!
 
Bob Such Memorial Lecture (Treenet), 2016: Forests, nature and the interactin...
Bob Such Memorial Lecture (Treenet), 2016: Forests, nature and the interactin...Bob Such Memorial Lecture (Treenet), 2016: Forests, nature and the interactin...
Bob Such Memorial Lecture (Treenet), 2016: Forests, nature and the interactin...
 
1 crise cardiaque-
1 crise cardiaque-1 crise cardiaque-
1 crise cardiaque-
 
Bidochons
BidochonsBidochons
Bidochons
 
Personal data in the Russian Federation
Personal data in the Russian FederationPersonal data in the Russian Federation
Personal data in the Russian Federation
 
Pdhpe zoo photo slide
Pdhpe zoo photo slidePdhpe zoo photo slide
Pdhpe zoo photo slide
 
Climate change: “empirical data”.. and more!
Climate change: “empirical data”..  and more!Climate change: “empirical data”..  and more!
Climate change: “empirical data”.. and more!
 
Building Blocks: Speech to Print Webinar
Building Blocks: Speech to Print WebinarBuilding Blocks: Speech to Print Webinar
Building Blocks: Speech to Print Webinar
 
Writing, Dysgraphia and the Human Brain
Writing, Dysgraphia and the Human BrainWriting, Dysgraphia and the Human Brain
Writing, Dysgraphia and the Human Brain
 
Blood diamonds
Blood diamondsBlood diamonds
Blood diamonds
 

Ähnlich wie Проблемы иб в облаках

Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку
Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облакуРешения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку
Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облакуCisco Russia
 
Стратегия реализации облачных вычислений предприятия. На что нужно обратить в...
Стратегия реализации облачных вычислений предприятия. На что нужно обратить в...Стратегия реализации облачных вычислений предприятия. На что нужно обратить в...
Стратегия реализации облачных вычислений предприятия. На что нужно обратить в...Cisco Russia
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco Russia
 
VMware - коротко о продуктах, технологиях и сложностях перевода
VMware - коротко о продуктах, технологиях и сложностях переводаVMware - коротко о продуктах, технологиях и сложностях перевода
VMware - коротко о продуктах, технологиях и сложностях переводаMUK
 
Cloud. Business-model-innovation
Cloud. Business-model-innovationCloud. Business-model-innovation
Cloud. Business-model-innovationRuslanKorotaev
 
Андрей Купченко - Active.by Облачные технологии в Беларуси
Андрей Купченко - Active.by Облачные технологии в БеларусиАндрей Купченко - Active.by Облачные технологии в Беларуси
Андрей Купченко - Active.by Облачные технологии в БеларусиSergey Polazhenko
 
Cisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДаCisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДаExpolink
 
Доступность приложений в гибридных ЦОД
Доступность приложений в гибридных ЦОДДоступность приложений в гибридных ЦОД
Доступность приложений в гибридных ЦОДDmitry Tikhovich
 
Безопасность современного ЦОДа
Безопасность современного ЦОДаБезопасность современного ЦОДа
Безопасность современного ЦОДаAleksey Lukatskiy
 
Денис Емельяненко, De Novo: "Managed Services: новые возможности для IT"
Денис Емельяненко, De Novo: "Managed Services: новые возможности для IT"Денис Емельяненко, De Novo: "Managed Services: новые возможности для IT"
Денис Емельяненко, De Novo: "Managed Services: новые возможности для IT"De Novo
 
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...Clouds NN
 
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...ARCCN
 
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Cisco Russia
 
SDN в корпоративных сетях
SDN в корпоративных сетяхSDN в корпоративных сетях
SDN в корпоративных сетяхCisco Russia
 
Clouds NN 2012 Марк Ривкин "Практика облачных вычислений на базе продуктов Or...
Clouds NN 2012 Марк Ривкин "Практика облачных вычислений на базе продуктов Or...Clouds NN 2012 Марк Ривкин "Практика облачных вычислений на базе продуктов Or...
Clouds NN 2012 Марк Ривкин "Практика облачных вычислений на базе продуктов Or...Clouds NN
 
Безопасная сегментация в унифицированной архитектуре центров обработки данных...
Безопасная сегментация в унифицированной архитектуре центров обработки данных...Безопасная сегментация в унифицированной архитектуре центров обработки данных...
Безопасная сегментация в унифицированной архитектуре центров обработки данных...Cisco Russia
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9UISGCON
 
презентация облачной 1с
презентация облачной 1спрезентация облачной 1с
презентация облачной 1сNatalya Cheychenets
 
Консолидация вычислительных мощностей и схд — первый шаг на пути к облаку
Консолидация вычислительных мощностей и схд — первый шаг на пути к облакуКонсолидация вычислительных мощностей и схд — первый шаг на пути к облаку
Консолидация вычислительных мощностей и схд — первый шаг на пути к облакуКРОК
 

Ähnlich wie Проблемы иб в облаках (20)

Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку
Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облакуРешения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку
Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку
 
Стратегия реализации облачных вычислений предприятия. На что нужно обратить в...
Стратегия реализации облачных вычислений предприятия. На что нужно обратить в...Стратегия реализации облачных вычислений предприятия. На что нужно обратить в...
Стратегия реализации облачных вычислений предприятия. На что нужно обратить в...
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
 
VMware - коротко о продуктах, технологиях и сложностях перевода
VMware - коротко о продуктах, технологиях и сложностях переводаVMware - коротко о продуктах, технологиях и сложностях перевода
VMware - коротко о продуктах, технологиях и сложностях перевода
 
Cloud. Business-model-innovation
Cloud. Business-model-innovationCloud. Business-model-innovation
Cloud. Business-model-innovation
 
PMIufa 2011-03-24
PMIufa 2011-03-24PMIufa 2011-03-24
PMIufa 2011-03-24
 
Андрей Купченко - Active.by Облачные технологии в Беларуси
Андрей Купченко - Active.by Облачные технологии в БеларусиАндрей Купченко - Active.by Облачные технологии в Беларуси
Андрей Купченко - Active.by Облачные технологии в Беларуси
 
Cisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДаCisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДа
 
Доступность приложений в гибридных ЦОД
Доступность приложений в гибридных ЦОДДоступность приложений в гибридных ЦОД
Доступность приложений в гибридных ЦОД
 
Безопасность современного ЦОДа
Безопасность современного ЦОДаБезопасность современного ЦОДа
Безопасность современного ЦОДа
 
Денис Емельяненко, De Novo: "Managed Services: новые возможности для IT"
Денис Емельяненко, De Novo: "Managed Services: новые возможности для IT"Денис Емельяненко, De Novo: "Managed Services: новые возможности для IT"
Денис Емельяненко, De Novo: "Managed Services: новые возможности для IT"
 
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
CloudsNN 2014. Денис Безкоровайный. SecaaS или безопасность из облака — как з...
 
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
 
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
 
SDN в корпоративных сетях
SDN в корпоративных сетяхSDN в корпоративных сетях
SDN в корпоративных сетях
 
Clouds NN 2012 Марк Ривкин "Практика облачных вычислений на базе продуктов Or...
Clouds NN 2012 Марк Ривкин "Практика облачных вычислений на базе продуктов Or...Clouds NN 2012 Марк Ривкин "Практика облачных вычислений на базе продуктов Or...
Clouds NN 2012 Марк Ривкин "Практика облачных вычислений на базе продуктов Or...
 
Безопасная сегментация в унифицированной архитектуре центров обработки данных...
Безопасная сегментация в унифицированной архитектуре центров обработки данных...Безопасная сегментация в унифицированной архитектуре центров обработки данных...
Безопасная сегментация в унифицированной архитектуре центров обработки данных...
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
 
презентация облачной 1с
презентация облачной 1спрезентация облачной 1с
презентация облачной 1с
 
Консолидация вычислительных мощностей и схд — первый шаг на пути к облаку
Консолидация вычислительных мощностей и схд — первый шаг на пути к облакуКонсолидация вычислительных мощностей и схд — первый шаг на пути к облаку
Консолидация вычислительных мощностей и схд — первый шаг на пути к облаку
 

Проблемы иб в облаках

  • 1. Департамент Информационной безопасности Проблемы информационной безопасности при использовании облачных вычислений Олег Кузьмин, директор департамента ИБ ЗАО «Ай-Теко» 2011 г.
  • 2. Что такое облачные вычисления Облачные вычисления – это вычисления проводимые в готовой инфраструктуре к которой есть доступ через сеть. Инфраструктура может состоять из тысяч, сотен тысяч вычислительных узлов, дисковых массивов. Все это соединено в единую сеть и функционирует как один большой вычислительный комплекс. Классификация облаков по типам: Публичное – доступ к вычислительным ресурсам предоставляется через интернет широкому кругу клиентов. Клиент арендует доступ к ресурсам по мере необходимости, оплачивая только те ресурсы, которые использует. Доступ через веб-интерфейс. Частное - доступ к вычислительным ресурсам располагающимся в инфраструктуре одной (своей) организации. Пользователи обслуживаются самостоятельно и определяют набор ресурсов из предлагаемых частным облаком . Доступ как правило осуществляется также через веб-интерфейс. Облако развора- чивается в собственном ЦОД. Гибридное - сочетает ресурсы отобранные из публичных и частных облаков 2
  • 3. Облачные вычисления Выделение ресурсов пользователю в режиме Основные модели услуг: самообслуживания 1. ПО как услуга (Software аs a Service, SaaS) Широкополосный доступ к Измеряемый уровень ресурсам из любой точки сервиса сети 2. Платформа как услуга (Platform as a service, PaaS) Основное отличие: Наличие следующих пяти составляющих 3. Инфраструктура как Услуга (infastructure as a Организация ресурсов в Service, IaaS) Быстрая адаптация к пулы, которые не зависят увеличению или от местонахождения уменьшению нагрузки самих ресурсов 3
  • 4. Развитие технологий Облачные вычисления Виртуальный ЦОД Традиционный ЦОД Множество логических платформ Логическая платформа Преимущества: масштабируемость, надежность,оптимизация, доступность, и пр. Аппаратная платформа 4
  • 5. Кто и чем управляет В обычном ЦОД управление всем в ИТ идет собственными силами компании: приложениями, данными, вычислениями, межплатформенным ПО, Операционной системой, виртуализацией, серверами, хранилищами, сетью. При использовании моделей услуг: Облачное приложение в виде сервисов, SaaS. Клиент получает доступ к нужным ему приложениям, имеющимся в облачной инфраструктуре. Где и на каком оборудовании выполняется приложение клиент как правило не знает. Платформа как сервис, PaaS. Клиент может устанавливать и разрабатывать свои приложения на предоставленной ему платформе. Но контролирует только приложения, может иметь частичный контроль над платформой, но не может контролировать инфраструктуру. Облачная инфраструктура как сервис, IaaS. Клиенту предоставляется виртуальная архитектура, состоящая из серверов, рабочих станций и сетевого оборудования, где клиент сам может разворачивать свои собственные операционные системы, базы данных и приложения. 5
  • 6. Что рекомендуется При обеспечении безопасности облака Желательно включить в соглашение об уровне необходимо учитывать как различия сервиса (SLA) требование к провайдеру - уведомлять между тремя видами облачных моделей, вас об обнаружении любых уязвимостей, которые так и их общие черты. могут затронуть ваши данные SaaS PaaS IaaS •Данная модель •модель ориентирована на •модель ориентирована на ориентирована на защиту данных, что особенно управление виртуальными управление доступом к важно в случае хранения, машинами. Основная задача приложениям. Например, в предоставляемого в виде — внедрить систему политиках доступа может сервиса. Для PaaS руководства, которая быть определено, что агент обязательно следует позволит организации по продажам имеет учитывать вероятность регулировать создание и возможность загружать из временного выхода удаление виртуальных приложения для управления провайдера из строя. С точки машин и тем самым избегать отношениями с клиентами зрения безопасности важно неконтролируемого доступа целеуказания на заказчиков обеспечить балансировку к ним . лишь по определенной нагрузки между местности или только в провайдерами, чтобы рабочее время. перераспределить ее в случае отказа основного. Еще • Необходимо подготовить один ключевой момент — набор ограничений, которые возможность шифрования будут регулировать доступ данных при их хранении на пользователя к сторонней платформе и приложениям. знание нормативных актов, применимых к хранению данных в разных странах. 6
  • 7. Основные риски безопасности • При использовании инфраструктуры облака Обеспечение клиент обязательно уступает функции безопасности Потеря управления контроля управления инфраструктурой поставщику услуг виртуализации осложняется двумя факторами: • У клиента нет возможности проверить эффективность защиты своих данных -рисками, Защита данных предлагаемую поставщиком услуг присутствующими в физическом центре данных Неполное удаление • Невозможность проверить насколько - рисками, которые качественно были удалены поставщиком данных по услуг ненужные для дальнейшей работы присущи требованию данные виртуализованным средам: • Злонамеренные действия со стороны 1.Бреши в защите в момент сотрудников поставщика услуг, отвечающих Инсайдеры за администрирование и безопасность включения ВМ 2. Конфликт ресурсов 3. Соответствие нормативам/ нехватка аудиторской отчетности 7
  • 8. Проблемы ИБ, классификация Понимание Использова всех ние возможных необходим рисков ых средств Четкое Разработка защиты разделение концепции обязанностей Технические ИБ Настройка Закрепление зон средств Решение ответственности защиты противоречив Вопросы ых требований интеллектуальн клиентов ой собственности и авторского Аварийное права восстановлен ие Правовое поле страны в которой Юридические Психологические расположен ЦОД Сложно Неясные решиться на перспективы полное в случае Взаимоотноше доверие инцидентов ния с другими Отсутствие провайдеру клиентами юридической Отстствие провайдера практики по культуры облачным аутсорсинга вопросам 8
  • 9. Проблемы ИБ, описание Технологические Юридические Статистики по инцидентам почти нет, Затруднено разграничение зон уровень угроз еще непонятен и в полном ответственности и выполнение объеме неизвестен. Недостаточно различных требований по проработаны или отсутствуют стандарты по безопасности в инфраструктуре, у безопасности, существующие методы которой динамически меняется защиты физической инфраструктуры размер, структура и периметр. неприменимы в полной мере , так как в Государственные регуляторы еще облачном сервисе само понятие не имеют единого представления инфраструктуры четко не определено. и опыта оценки соответствия Психологические своим требованиям к в России практически отсутствует технологиям облачных культура аутсорсинга, использования вычислений. сервис провайдеров. Кроме того, Отсутствуют внятные соглашения технология новая, сложна и ее о предоставлении услуг и какого- использование достаточно рискованно. либо гарантии возмещения Наконец присутствует банальное возможного ущерба недоверие провайдеру 9
  • 10. Список актуальных вопросов растет • Как глобально разделить ответственность между клиентами и провайдером? • Каким будет размер возможного ущерба в случае нарушения работы подключенного сервиса? • Возможно ли шифрование данных в облаке? • Кто и как будет расследовать инциденты безопасности, затронувшие данные клиента? • Гарантированно ли удаляются данные клиента, и как это проверить? • Где хранятся данные клиента и их резервные копии, кто имеет к ним доступ и с какими правами? • Как выполнять требования регуляторов, и кто за это отвечает? • Как разграничен доступ между клиентами в облаке? • Вопросы можно продолжить… 10
  • 11. Необходимо учитывать, что 1. Государство, на территории которого размещен дата-центр, может получить доступ к любой информации, которая в нем хранится. Например, по законам США, где находится самое большое количество дата-центров, в этом случае компания-провайдер даже не имеет права разглашать факт передачи конфиденциальной информации кому-либо, кроме своих адвокатов. Т.е. возникает вопрос о необходимости шифрования всей информации помещаемой в облако. Однако многие облачные приложения не предусматривают шифрования данных внутри облака. В некоторых случаях невозможно даже хранить данные в зашифрованном виде. Решение этого вопроса нужно требовать от провайдера. 2. Облачные вычисления практически всегда требуют соединения с сетью (Интернет). Если нет доступа в сеть - нет работы, программ, документов. 3. Некоторые провайдеры облачных сервисов пытаются стереть грань между безопасностью, надежностью и необходимостью восстановления после сбоев и обеспечения непрерывности ведения бизнеса 11
  • 12. Плюсы и минусы ИБ в облаке Плюсы Минусы 12
  • 13. Вопросы безопасной работы с информационными ресурсами в облаке Вопросы, требующие изучения при выборе провайдера облачных услуг 1 Как сервис-провайдер обеспечивает сохранность хранимых данных? 2 Как провайдер обеспечивает сохранность данных при их передаче (внутри и на пути от/к облаку)? 3 Как провайдер аутентифицирует клиента? 4 Каким образом данные и приложения одного клиента отделены от данных и приложений других клиентов? 5 Насколько провайдер следует законам и правилам, применимым к сфере облачных вычислений? 6 Как провайдер реагирует на происшествия, и насколько могут быть вовлечены его клиенты в инцидент? 13
  • 14. Вопросы безопасной работы с информационными ресурсами в облаке Практические рекомендации по безопасности облачных вычислений. Экспертные организации: 1. Cloud Security Alliance (CSA) 2. National Institute of Standards and Technology (NIST) CSA 1. Security Guidance for Critical Areas of Focus in Cloud Computing V2.1. CSA, December 2009 2. Top Threats to Cloud Computing V1.0. CSA, March 2010 3. Cloud Security Alliance GRC (Achieving Governance, Risk Management and Compliance) Stack. CSA, November 2010 NIST 1. The NIST Definition of Cloud Computing. DRAFT SP 800-145, Jan. 2011 2. Guidelines on Security and Privacy in Public Cloud Computing. DRAFT SP 800-144, Jan. 2011 3. Guide to Security for Full Virtualization Technologies. DRAFT SP 800-125, July 2010 Нормативные документы многих стран требуют, чтобы потребитель облачных ресурсов знал, где находятся его данные, кто может получать к ним доступ и как они защищены 14
  • 15. Олег Кузьмин директор Департамента ИБ 8(495)777-10-95 доб. 36-50 okuzmin@i-teco.ru