Безопасность облачной платформы: теория и практика
TRANSCRIPT
Безопасность облачных вычисленийМихаил Кадер, [email protected]@cisco.com
ТЕНДЕНЦИИ
ОБЛАЧНЫЕ ОБЛАЧНЫЕ СРЕДЫСРЕДЫ
ОБЛАЧНЫЕ ОБЛАЧНЫЕ СРЕДЫСРЕДЫВИРТУАЛИЗАЦИЯВИРТУАЛИЗАЦИЯВИРТУАЛИЗАЦИЯВИРТУАЛИЗАЦИЯ
СООТВЕТСТВИЕ СООТВЕТСТВИЕ ТРЕБОВАНИЯМТРЕБОВАНИЯМСООТВЕТСТВИЕ СООТВЕТСТВИЕ ТРЕБОВАНИЯМТРЕБОВАНИЯМ
Уходя от традиционного периметра…
Периметр
Филиал
Приложения и данные
Офис
Политика
Хакеры ЗаказчикиПартнеры
…к отсутствию контролируемой зоны…
Периметр
Филиал
Приложения и данные
Офис
Политика
Хакеры Заказчики
Дом
Кафе
Аэропорт
Мобильныйпользователь Партнеры
…и облакам (а также XaaS)…
Периметр
Филиал
Приложения и данные
Офис
Политика
Хакеры
Дом
КафеЗаказчики
Аэропорт
Мобильный пользователь Партнеры
Platformas a Service
Infrastructureas a Service
Xas a Service
Softwareas a Service
…пора подумать о смене парадигмы ИБ…
Периметр
Филиал
Приложения и данные
Офис
Политика
Хакеры
Дом
КафеЗаказчики
Аэропорт
Мобильный пользователь Партнеры
Platformas a Service
Infrastructureas a Service
Xas a Service
Softwareas a Service
Borderless
Data C
enter
3
BorderlessInternet
2
Borderless
End Zones
1
И создать новую стратегию ИБ!
Политика
Периметр
Филиал
Приложения и данные
Офис
Политика(Access Control, Acceptable Use, Malware, Data Security)4
Дом
ХакерыКафе
Заказчики
Аэропорт
Мобильный пользователь Партнеры
Platformas a Service
Infrastructureas a Service
Xas a Service
Softwareas a Service
БЕЗОПАСНОСТЬ ОБЛАКА
Если вы решились
• Стратегия безопасности облачных вычислений– Пересмотрите свой взгляд на понятие «периметра ИБ»– Оцените риски – стратегические, операционные, юридические– Сформируйте модель угроз– Сформулируйте требования по безопасности– Пересмотрите собственные процессы обеспечения ИБ– Проведите обучение пользователей– Продумайте процедуры контроля облачного провайдера– Юридическая проработка взаимодействия с облачным
провайдером• Стратегия выбора аутсорсера
– Чеклист оценки ИБ облачного провайдера
Cisco Cloud Risk Assessment Framework
10
R1: Data Risk and
AccountabilityR2: User Identity
R3: Regulatory Compliance
R4: Business Continuity & Resiliency
R5: User Privacy &
Secondary Usage of Data
R6: Service & Data Integration
R7: Multi-tenancy & Physical Security
R8: Incident Analysis & Forensics
R9: Infrastructure
Security
R10: Non-production
Environment Exposure
Текущий SLA Amazon
11
ЧАСТНОЕ ИЛИ ПУБЛИЧНОЕ?
Требований даже у ФСТЭК много
СТР-К
Ключевые системы
Персональные данные
Коммерческая тайна
«Служебная тайна» (СТР-К)
РД
МСЭ, СВТ… АС
15408
Требования по защитеразных видов тайн
Требования кразработке
средств защиты
Требования кфункциональности
средств защиты
А еще есть требования СТО Банка России, 382-П и т.д.
СТО
Общие положения
1.0-2010v4
Аудит ИБ1.1-2007
v1
Методика оценки
соответствия1.2-2010
v3
РС
Рекомендации по
документации в области ИБ
2.0-2007v1
Руководство по самооценке
соответствия ИБ
2.1-2007v1
Методика оценки рисков
2.2-2009v1
Требования по ИБ ПДн2.3-2010
v1
Отраслевая частная
модель угроз безопасности
ПДн2.4-2010
v1
• Применяются не только к банкам• Планируется накрытие этими требованиями всех участников
Национальной платежной системы (НПС)
Требования многих НПА по ИБ во многом схожи
•Разграничение доступа (+ управление потоками)•Идентификация / аутентификация•Межсетевое взаимодействие•Регистрация действий•Учет и маркировка носителей (+ очистка памяти)•Документальное сопровождение•Физический доступ•Контроль целостности•Тестирование безопасности•Сигнализация и реагирование•Контроль целостности•Защита каналов связи•Обнаружение вторжений•Антивирусная защита•BCP•Защита от утечки по техническим каналам
Общие
•Защита специфичных процессов (биллинг, АБС, PCI…)•Защита приложений (Web, СУБД…)•Нестандартные механизмы (ловушки, стеганография)Специфичные
Основные функции защиты по мнению отечественных регуляторов
• Управление доступом• Регистрация и учет• Обеспечение целостности• Анализ защищенности• Обеспечение безопасного межсетевого взаимодействия• Обнаружение вторжений• Антивирусная защита• Обеспечение конфиденциальности
3 ключевых модели доступа с точки зрения ИБ
Доступ к частному облаку отовсюду
Доступ к публичному облаку из информационной системы
Доступ к публичному облаку из-за пределов информационной системы
Типы облаков с точки зрения ИБ и compliance
Частное
• Управляется организацией или третьим лицом
• Обеспечение безопасности легко реализуемо
• Вопросы законодательного регулирования легко решаемы
Публичное (локальное)
• Управляется одним юридическим лицом
• Обеспечение безопасности реализуемо средними усилиями
• Вопросы законодательного регулирования решаемы средними усилиями
Публичное (глобальное)
• Управляется множеством юридических лиц
• Требования по безопасности различаются в разных странах
• Законодательные требования различаются в разных странах
Internet
Partners
ApplicationSoftware
VirtualMachine VSwitch Access Aggregation
and Services Core Edge IP-NGNBackbone
Storage & SAN Compute
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
IP-NGN
Application Control (SLB+)
Service Control
Firewall Services
Virtual Device Contexts
Fibre Channel Forwarding
Fabric Extension
Fabric-Hosted Storage
Virtualization
Storage Media
Encryption
Virtual Contexts for FW & SLB
Port Profiles & VN-Link
Port Profiles & VN-Link
Line-Rate NetFlow
Virtual Device Contexts
Secure Domain Routing
Service Profiles
Virtual Machine
Optimization
Частное облако vs центр обработки данных – есть ли разница?
Безопасное межсетевое взаимодействие
Сегментация с помощью матрицы коммутации
UCS Fabric Interconnect
Сегментация сетиФизическая средаВиртуальная среда (VLAN, VRF)Виртуализованная среда (зоны)
Сегментация с помощью межсетевого экрана
Динамический аварийный/рефлективный список ACL
Мультиконтекстнаясеть VPN
Сегментация с учетомконтекста
Метки для групп безопасности (SGT) Протокол безопасной передачи (SXP)
ACL-списки для групп безопасности
TrustSec
Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем
Сегментация с помощью межсетевого экранаФ
изич
еска
я ср
еда
Устройство
Модуль для коммутатора
• Проверка всего трафика центра обработки данных в устройстве обеспечения безопасности периметра сети
• Высокая скорость для всех сервисов, включая всю систему предотвращения вторжений (IPS), благодаря единой среде передачи данных между зонами доверия
• Разделение внешних и внутренних объектов сети (трафик «север-юг»)
Трафик «север - юг». Проверка всего входящего и исходящего трафика центра обработки данных
Вир
туал
ьная
/ м
ного
поль
зова
тель
ская
ср
еда Виртуальный межсетевой экран контролирует границы сети
Среда виртуализации (VMware, Hyper-V) контролирует зоныСреда виртуализации
Виртуальный межсетевой экран
Трафик «восток-запад». Создание безопасных зон доверия между приложениями и пользователями в центре обработки данных
• Разделение пользователей в многопользовательских средах
• Разделяет приложения или виртуальные машины у одного пользователя
Сегментация
Особенности возникают при виртуализации
ГруппаГруппапортовпортовГруппаГруппапортовпортов
Администрированиесерверов
Сетевое администрирование
АдминистрированиеБезопасности
1. VMware и аналоги позволяют перемещать виртуальные машины между физическими серверами Политика безопасности должна соответствовать этому процессу
2. Администраторам необходима возможность обзора и применения политики безопасности к локально коммутируемому трафику
3. Администраторам необходимо поддерживать разделение обязанностей, одновременно обеспечивая бесперебойную эксплуатацию
4. Правильная модель угроз позволяет уйти от применения только сертифицированных средств защиты
Вирт. машина Вирт. машина Вирт. машина Вирт. машина
Nexus1000VVEM
Вирт. машина Вирт. машина Вирт. машина Вирт. машина
Nexus1000VVEM
Nexus 1000VVSM
Windows 8 Hyper-VNexus 1000VVSM
VMware vSphere
VMware vCenter SCVMM
А если у вас не VMware? И не Hyper-V (в ближайшем будущем)? А если у вас KVM?
• Вам нужно сертифицированное решение по защите виртуализированной среды или нет?
А что если нельзя защитить виртуализированную среду на базе сертифицированных решений
• Не имея возможности решить задачу на уровне виртуализации можно опуститься на уровень сети, где есть все необходимые решения
• Дизайн сети станет сложнее• Надо искать компромисс между требованиями регуляторов и
предоставлением сервиса
ПУБЛИЧНОЕ ЛОКАЛЬНОЕ ОБЛАКО
6 новых задач ИБ для публичных облаков
Изоляция потребителей Multi-tenancy Регистрация
изменений
Криптография (в России)
Контроль провайдера!!! Доступность
Изменение парадигмы ИБ регуляторов при переходе в публичное облако
Один объект = один
субъект
Один объект = один
субъектОдин объект =
множество субъектов
Один объект = множество субъектов
• Защищать надо не только отдельных субъектов, но и взаимодействие между ними
• С учетом отсутствия контролируемой зоны и динамической модели предоставления сервиса
МСЭ с виртуальными контекстами могут решить задачу (один заказчик = один контекст)
Компания XКомпания X Компания YКомпания YВиртуальнаВиртуальная машина 1я машина 1
ВиртуальнаВиртуальная машина 2я машина 2
ВиртуальнаВиртуальная машина 3я машина 3
МСЭ МСЭВиртуализованные web-серверы
физическая среда компании Xфизическая среда компании X
Физический сервер 1
Физический сервер 1
ВиртуальнаВиртуальная машина 4я машина 4
ВиртуальнаВиртуальная машина 5я машина 5
Физическое устройство Cisco ASA Сеть IPsec VPN для связи между объектами
•• Компания X намерена развернуть свои Компания X намерена развернуть свои webweb--серверы в облаке, серверы в облаке,
•• Компания X также располагает локально размещенными физическими Компания X также располагает локально размещенными физическими серверамисерверами
•• Разработчикам компании X необходим доступ к Разработчикам компании X необходим доступ к webweb--серверам в серверам в виртуализованнойвиртуализованной среде.среде.
•• В процессе настройки устанавливается VPNВ процессе настройки устанавливается VPN--туннель между объектами.туннель между объектами.
Пример использования:Пример использования:
Разная ответственность за защиту для разных архитектур облаков
• В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно
IaaS
Провайдер
Заказчик
VMs/Containers
ОС/Приложения
Данные
PaaS
Приложения
Провайдер
ЗаказчикДанные
SaaS
Провайдер
Типы архитектур облака и средства защиты
IaaS
• Заказчик облачных услуг может использовать любые средства защиты, устанавливаемые на предоставляемую аппаратную платформу
PaaS
• Заказчик облачных услуг привязан к предоставляемой платформе
• Выбор СЗИ (особенно сертифицированных) ограничен и, как правило, лежит на облачном провайдере
• Заказчик может настраивать функции защиты приложений
• Компромисс между средствами защиты и облачными услугами
SaaS
• Заказчик облачных услуг не имеет возможности по выбору средств и механизмов защиты облака
• Выбор лежит на облачном провайдере
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ
Законодательный compliance: пока есть вопросы
• Защита конфиденциальной информации– Обеспечение конфиденциальности– Уведомление о фактах утечки– Оказание услуг в области шифрования– Деятельность по технической защите конфиденциальной
информации– Обеспечение безопасности
• Местоположение данных• Защита прав субъектов персональных данных• Защита интеллектуальной собственности• Обеспечение СОРМ• Сбор и хранение данных для судебных разбирательств
(eDiscovery)• Юрисдикция и ответственность
Рост нормативных требований в зависимости от «типа» облака
Облако само по себе
Облако обрабатывает информацию ограниченного доступа
Облако предоставляет услуги по защите
ОБЛАКО САМО ПО СЕБЕ
Мнение Минкомсвязи
• «Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами»– Илья Массух, бывший советник министра связи и массовых
коммуникаций на конференции «Защита персональных данных», 27 октября 2011 года
• Сейчас отмечен очередной этап интереса к теме регулирования облаков – готовится новая законодательная база
ОБЛАКО ОБРАБАТЫВАЕТ ЗАЩИЩАЕМЫЕ СВЕДЕНИЯ
Виды защищаемой информации
• 65 видов тайн в российском законодательстве
• Персональные данные
• Коммерческая тайна• Банковская тайна• Тайна переписки• Инсайдерская
информация
В облака отдают конфиденциальную информацию!
• Управление предприятием (ERP)• Поддержка пользователей (Service Desk)• Управление контентом• Управление персоналом (HRM)• Управление заказами (ORM)• Управление затратами и поставщиками (SRM)• Унифицированные коммуникации• Управление проектами• Управление цепочками поставок (SCM)• Управление электронной почтой и мгновенными сообщениями• Биллинг• Пользовательские приложения
Обеспечение конфиденциальности
• Инфраструктура хранения данных в облаке общая• Требуется обеспечить конфиденциальность для данных каждого
владельца данных, обрабатываемых в облаке, и не дать им перемешиваться с другими
• Конфиденциальность достигается различными техническими и организационными мерами
Интеллектуальная собственность
• Какие виды интеллектуальной собственности могут обрабатываться в облаке?– Приложения (программы для ЭВМ) и базы данных– Телевизионное вещание (IPTV)– Секреты производства (ноу-хау)– Промышленная собственность (изобретения и т.п.)– Средства индивидуализации (товарные знаки и т.п.)
• Что с защитой интеллектуальной собственности?– А она у вас оценена?
• Введен ли режим коммерческой тайны для секретов производства?– Если режим защиты КТ сложно ввести у себя на предприятии,
то как его ввести на чужом предприятии?
Юрисдикция или кому подчиняется ваше облако?
• Американские компании, действующие на территории других стран остаются подотчетными американскому законодательству и требованиям американских регуляторов– Американские регуляторы могут затребовать любые данные у
американского облачного провайдера (Google, Oracle, Microsoft/Skype и т.д.) без согласования с пользователем облачных услуг
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Персональные данные
• Хранение – это одна из форма обработки• Трансграничные потоки персональных данных• Адекватный уровень защиты• В разных странах Евросоюза могут быть разные требования по
защите персональных данных– В целом они похожи, но могут быть исключения и отличия
• Согласие на передачу ПДн клиентов/сотрудников облачного заказчика облачному провайдеру
• Требования ФЗ-152 применяются, в основном, к операторам ПДн, а не к обработчикам– Облачный провайдер – это обработчик в терминологии
Европейской Конвенции– По ФЗ-152 это лицо, осуществляющее обработку персональных
данных по поручению оператора
Субъект ПДн
Требования меняются в зависимости от статуса
Оператор ПДн Обработчик ПДн
Субъект ПДн Обработчик ПДн Оператор ПДн
Облачный провайдер – обработчик ПДн
• Условия обработки ПДн в облаке (должны быть прописаны в договоре между облачным заказчиком и провайдером)– Указание перечня действий (операций) с ПДн, которые будут
совершаться обработчиком и цели обработки – Обеспечение конфиденциальность ПДн– Обеспечение безопасности ПДн при их обработке– Требования к защите обрабатываемых ПДн в соответствие с
ст.19 ФЗ-152• Обработчик не обязан получать согласие субъекта ПДн• Ответственность перед субъектом за действия обработчика все
равно несет оператор– Обработчик несет ответственность перед оператором
Трансграничная передача данных
• Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных осуществляется в соответствие с ФЗ-152– Перечень «неадекватных» определяет Роскомнадзор– Вместе с тем…одним из критериев оценки государства в
данном аспекте может выступать факт ратификации им Конвенции…
• Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни– Евроконвенция
Страны, обеспечивающие адекватность
• Ратифицировавшие Евроконвенцию– Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия,
Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония
• Страны, имеющие общенациональные нормативные правовые акты в области защиты ПДн и уполномоченный надзорный орган по защите прав субъектов ПДн– Андорра, Аргентина, Израиль, Исландия, Канада,
Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония
• Финальный и официальный список «адекватных» стран в России отсутствует– Его должен разработать Роскомнадзор
Условия передачи в неадекватные страны
• Письменное согласие на трансграничную передачу• Наличие международного договора, подписанного Россией• Наличие федеральных законов• Исполнение договора, стороной которого является субъект ПДн• Защита жизни, здоровья и иных жизненно важных интересов
субъекта ПДн или других лиц
ПОДВОДЯ ИТОГИ
Что все это значит для вас?!
• Технически облако может быть эффективно защищено с помощью существующих технологий
• В настоящий момент вопросы законодательного регулирования облачных вычислений находятся только в начале своего развития
• На законодательном уровне наиболее просто решаются вопросы регулирования частных облаков
• Наиболее сложный вопрос – публичное глобальное облако– Разные юрисдикции, разные законы, разные требования по
защите• Россия готовит ряд нормативных актов, регулирующих облачные
вычисления– Основной акцент на национальную безопасность
• Ключевой вопрос – что прописано в договоре?!
Спасибо!
Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!