2. Что такое облачные вычисления
Облачные вычисления – это вычисления проводимые в готовой инфраструктуре к
которой есть доступ через сеть. Инфраструктура может состоять из тысяч, сотен тысяч
вычислительных узлов, дисковых массивов. Все это соединено в единую сеть и
функционирует как один большой вычислительный комплекс.
Классификация облаков по типам:
Публичное – доступ к вычислительным ресурсам предоставляется через интернет
широкому кругу клиентов. Клиент арендует доступ к ресурсам по мере
необходимости, оплачивая только те ресурсы, которые использует. Доступ
через веб-интерфейс.
Частное - доступ к вычислительным ресурсам располагающимся в инфраструктуре
одной (своей) организации. Пользователи обслуживаются самостоятельно
и определяют набор ресурсов из предлагаемых частным облаком . Доступ
как правило осуществляется также через веб-интерфейс. Облако развора-
чивается в собственном ЦОД.
Гибридное - сочетает ресурсы отобранные из публичных и частных облаков
2
3. Облачные вычисления
Выделение ресурсов
пользователю в режиме Основные модели услуг:
самообслуживания
1. ПО как услуга (Software
аs a Service, SaaS)
Широкополосный доступ к
Измеряемый уровень
ресурсам из любой точки
сервиса
сети 2. Платформа как услуга
(Platform as a service, PaaS)
Основное отличие: Наличие
следующих пяти составляющих
3. Инфраструктура как
Услуга (infastructure as a
Организация ресурсов в
Service, IaaS)
Быстрая адаптация к
пулы, которые не зависят
увеличению или
от местонахождения
уменьшению нагрузки
самих ресурсов
3
4. Развитие технологий
Облачные вычисления
Виртуальный ЦОД
Традиционный ЦОД
Множество логических
платформ
Логическая платформа Преимущества:
масштабируемость, надежность,оптимизация,
доступность, и пр.
Аппаратная платформа
4
5. Кто и чем управляет
В обычном ЦОД управление всем в ИТ идет собственными силами компании:
приложениями, данными, вычислениями, межплатформенным ПО, Операционной
системой, виртуализацией, серверами, хранилищами, сетью.
При использовании моделей услуг:
Облачное приложение в виде сервисов, SaaS. Клиент получает доступ к нужным ему
приложениям, имеющимся в облачной инфраструктуре. Где и на каком оборудовании
выполняется приложение клиент как правило не знает.
Платформа как сервис, PaaS. Клиент может устанавливать и разрабатывать свои
приложения на предоставленной ему платформе. Но контролирует только приложения,
может иметь частичный контроль над платформой, но не может контролировать
инфраструктуру.
Облачная инфраструктура как сервис, IaaS. Клиенту предоставляется виртуальная
архитектура, состоящая из серверов, рабочих станций и сетевого оборудования, где
клиент сам может разворачивать свои собственные операционные системы, базы
данных и приложения.
5
6. Что рекомендуется
При обеспечении безопасности облака Желательно включить в соглашение об уровне
необходимо учитывать как различия сервиса (SLA) требование к провайдеру - уведомлять
между тремя видами облачных моделей, вас об обнаружении любых уязвимостей, которые
так и их общие черты. могут затронуть ваши данные
SaaS PaaS IaaS
•Данная модель •модель ориентирована на •модель ориентирована на
ориентирована на защиту данных, что особенно управление виртуальными
управление доступом к важно в случае хранения, машинами. Основная задача
приложениям. Например, в предоставляемого в виде — внедрить систему
политиках доступа может сервиса. Для PaaS руководства, которая
быть определено, что агент обязательно следует позволит организации
по продажам имеет учитывать вероятность регулировать создание и
возможность загружать из временного выхода удаление виртуальных
приложения для управления провайдера из строя. С точки машин и тем самым избегать
отношениями с клиентами зрения безопасности важно неконтролируемого доступа
целеуказания на заказчиков обеспечить балансировку к ним .
лишь по определенной нагрузки между
местности или только в провайдерами, чтобы
рабочее время. перераспределить ее в
случае отказа основного. Еще
• Необходимо подготовить один ключевой момент —
набор ограничений, которые возможность шифрования
будут регулировать доступ данных при их хранении на
пользователя к сторонней платформе и
приложениям. знание нормативных актов,
применимых к хранению
данных в
разных странах.
6
7. Основные риски безопасности
• При использовании инфраструктуры облака Обеспечение
клиент обязательно уступает функции безопасности
Потеря управления контроля управления инфраструктурой
поставщику услуг виртуализации
осложняется двумя
факторами:
• У клиента нет возможности проверить
эффективность защиты своих данных -рисками,
Защита данных предлагаемую поставщиком услуг присутствующими в
физическом центре
данных
Неполное удаление • Невозможность проверить насколько - рисками, которые
качественно были удалены поставщиком
данных по услуг ненужные для дальнейшей работы присущи
требованию данные виртуализованным
средам:
• Злонамеренные действия со стороны 1.Бреши в защите в момент
сотрудников поставщика услуг, отвечающих
Инсайдеры за администрирование и безопасность
включения ВМ
2. Конфликт ресурсов
3. Соответствие нормативам/
нехватка аудиторской отчетности
7
8. Проблемы ИБ, классификация
Понимание Использова
всех ние
возможных необходим
рисков ых средств
Четкое Разработка защиты
разделение концепции
обязанностей Технические ИБ
Настройка
Закрепление зон средств Решение
ответственности защиты противоречив
Вопросы ых требований
интеллектуальн клиентов
ой
собственности и
авторского Аварийное
права восстановлен
ие
Правовое поле
страны в
которой
Юридические Психологические
расположен
ЦОД
Сложно Неясные
решиться на перспективы
полное в случае
Взаимоотноше доверие инцидентов
ния с другими Отсутствие провайдеру
клиентами юридической Отстствие
провайдера практики по культуры
облачным аутсорсинга
вопросам
8
9. Проблемы ИБ, описание
Технологические Юридические
Статистики по инцидентам почти нет, Затруднено разграничение зон
уровень угроз еще непонятен и в полном ответственности и выполнение
объеме неизвестен. Недостаточно различных требований по
проработаны или отсутствуют стандарты по безопасности в инфраструктуре, у
безопасности, существующие методы которой динамически меняется
защиты физической инфраструктуры размер, структура и периметр.
неприменимы в полной мере , так как в Государственные регуляторы еще
облачном сервисе само понятие не имеют единого представления
инфраструктуры четко не определено. и опыта оценки соответствия
Психологические своим требованиям к
в России практически отсутствует технологиям облачных
культура аутсорсинга, использования вычислений.
сервис провайдеров. Кроме того, Отсутствуют внятные соглашения
технология новая, сложна и ее о предоставлении услуг и какого-
использование достаточно рискованно. либо гарантии возмещения
Наконец присутствует банальное возможного ущерба
недоверие провайдеру
9
10. Список актуальных вопросов
растет
• Как глобально разделить ответственность между клиентами и провайдером?
• Каким будет размер возможного ущерба в случае нарушения работы подключенного
сервиса?
• Возможно ли шифрование данных в облаке?
• Кто и как будет расследовать инциденты безопасности, затронувшие данные клиента?
• Гарантированно ли удаляются данные клиента, и как это проверить?
• Где хранятся данные клиента и их резервные копии, кто имеет к ним доступ и с какими
правами?
• Как выполнять требования регуляторов, и кто за это отвечает?
• Как разграничен доступ между клиентами в облаке?
• Вопросы можно продолжить…
10
11. Необходимо учитывать, что
1. Государство, на территории которого размещен дата-центр, может получить
доступ к любой информации, которая в нем хранится. Например, по законам
США, где находится самое большое количество дата-центров, в этом случае
компания-провайдер даже не имеет права разглашать факт передачи
конфиденциальной информации кому-либо, кроме своих адвокатов.
Т.е. возникает вопрос о необходимости шифрования всей информации
помещаемой в облако. Однако многие облачные приложения не
предусматривают шифрования данных внутри облака. В некоторых случаях
невозможно даже хранить данные в зашифрованном виде. Решение этого
вопроса нужно требовать от провайдера.
2. Облачные вычисления практически всегда требуют соединения с сетью
(Интернет). Если нет доступа в сеть - нет работы, программ, документов.
3. Некоторые провайдеры облачных сервисов пытаются стереть грань между
безопасностью, надежностью и необходимостью восстановления после сбоев и
обеспечения непрерывности ведения бизнеса
11
13. Вопросы безопасной работы с
информационными ресурсами в облаке
Вопросы, требующие изучения при выборе провайдера облачных услуг
1 Как сервис-провайдер обеспечивает
сохранность хранимых данных?
2 Как провайдер обеспечивает сохранность
данных при их передаче (внутри и на пути от/к
облаку)?
3 Как провайдер аутентифицирует клиента?
4 Каким образом данные и приложения одного
клиента отделены от данных и приложений
других клиентов?
5 Насколько провайдер следует законам и
правилам, применимым к сфере облачных
вычислений?
6 Как провайдер реагирует на происшествия, и
насколько могут быть вовлечены его клиенты
в инцидент?
13
14. Вопросы безопасной работы с информационными
ресурсами в облаке
Практические рекомендации по безопасности облачных вычислений.
Экспертные организации:
1. Cloud Security Alliance (CSA)
2. National Institute of Standards and Technology (NIST)
CSA
1. Security Guidance for Critical Areas of Focus in Cloud Computing V2.1. CSA, December 2009
2. Top Threats to Cloud Computing V1.0. CSA, March 2010
3. Cloud Security Alliance GRC (Achieving Governance, Risk Management and Compliance) Stack. CSA, November
2010
NIST
1. The NIST Definition of Cloud Computing. DRAFT SP 800-145, Jan. 2011
2. Guidelines on Security and Privacy in Public Cloud Computing. DRAFT SP 800-144, Jan. 2011
3. Guide to Security for Full Virtualization Technologies. DRAFT SP 800-125, July 2010
Нормативные документы многих стран требуют, чтобы потребитель облачных ресурсов знал, где находятся его
данные, кто может получать к ним доступ и как они защищены
14