Центр оперативного управления информационной безопасностью
Использование приватных, публичных и гибридных облаков для обеспечения информационной безопасности
1. Использование приватных,
публичных и гибридных облаков
для обеспечения информационной
безопасности
Владимир Стыран
CISSP CISA CEH ISO27001LA
BMS Consulting
2. Стандартизированные ИТ-мощности,
поставляемые в порядке самообслуживания и
оплачиваемые «по счетчику»
Облака это больше, чем виртуализация систем и
автоматизация их администрирования, хотя
многие так не считают
56% практикуют «биллинг» потребленных мощностей
45% внедрили портал самообслуживания
50% автоматизировали развертывание и обслуживание
39% компенсируют неиспользованные мощности
Что такое облачные вычисления…
…и почему никто этого не знает
3. По вертикали: инфраструктура/платформа/ПО
SaaS
PaaS
IaaS
По горизонтали: размещение, домен управления
(условно) Публичные
• Amazon, Azure, HP, Oracle, CloudSigma etc.
Приватные
• Eucalyptus, OpenStack, CloudStack etc.
Гибридные
• Уж + Ёж?
Облака по вертикали и горизонтали
4. Бизнес-анализ
Моделирование угроз
Поиск уязвимостей
Оценка рисков
Дизайн и имплементация
Архитектура, бизнес-логика (ISMS, «нормативка»)
Контроли e.g. средства защиты
Процедуры тестирования и контроля качества
Аудиты, пентесты, учения etc.
Задачи информационной безопасности
5. Анализ защищенности приложений
Моделирование угроз и инцидентов
«Абстрагирование» объектов защиты
Защита от DDoS-атак
«Зеркалирование» защищаемой инфраструктуры
Пилотное тестирование средств защиты
«Бескровные» пентесты ИТ-систем
Задачи ИБ, «переносимые» в облако
6. Сложности: нельзя обойтись услугами публичных
поставщиков
Малая доступная «глубина» стека технологий
Драконьи политики безопасности и тестирования
Широкое разнообразие юрисдикций
Игры в несовместимость
Доктор, хочу root-а…
Трудно/долго/криво делать client-side, простите, APT
Иногда нам просто нужен физический доступ
Архитектура гибридного облака
7. Решение: гибкий, гибридный подход
Все сущности, пригодные к размещению в публичных
облаках, размещаются в публичных облаках
Все сущности, требующие –
• доступа на канальном, физическом или еще каком уровне
• размещения в «родной» юрисдикции
• скрещения ежа с ужом
• глубоких, тщательных исследований
• «работы с людьми»
– размещаются в подвале приватном облаке
Архитектура гибридного облака
8. Учетные записи в нужных публичных сервисах
Постоянные (или по требованию) сетевые
подключения к публичным сервисам
«Ядро» гибридного облака на частной площадке
Унифицированный API взаимодействия с
публичной и приватной частью облака
Парк «живых» шаблонов ОС, ПО и средств защиты
Автоматизированные сценарии развертывания
типичных примеров инфраструктуры
Архитектура гибридного облака
9. «Моментальное» развертывание типичных систем и
сетей
Минимальные затраты на развертывание средств
защиты из шаблонов (забудьте о «пилотах»)
Устранение отрыва «боевых» систем и сотрудников от
производства
Возможность имитации в лабораторных условиях
атак любого уровня сложности и интенсивности
И все преимущества облачных вычислений
экономность, биллинг ресурсов, оплата за реальные
использованные мощности, простота доступа и
использования
Что нам это дает