Шифрование данных в облачных инфраструктурах – обзор...
DESCRIPTION
РусКрипто 2012TRANSCRIPT
![Page 1: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/1.jpg)
Шифрование данных в облачных инфраструктурах – обзор технологических подходов
РусКрипто 2012
Денис Безкоровайный, CISA, CISSP, CCSKВице-президент RISSPA,Организатор Cloud Security Alliance Russian Chapter
![Page 2: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/2.jpg)
Нужно ли шифровать данные в облаках?
• Нужно! – говорят сами облачные провайдеры1
• Нужно! – говорит Cloud Security Alliance2
• Облако провайдера – недоверенная среда
• Помним про US Patriot Act
1 http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf2 https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
![Page 3: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/3.jpg)
Какие риски нарушения конфиденциальности данных в облаке?• Доступ к данным со стороны провайдера
(злонамеренный инсайдер)
• Публичное разглашение данных (доступ неограниченного круга лиц)
• Вынос/выемка данных или носителей из датацентра провайдера (органы, сотрудники)
• Ошибки изоляции среды (доступ одного клиента облака к данным других клиентов)
• Недостаточное уничтожение данных провайдером при уходе клиента или стирании данных
![Page 4: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/4.jpg)
Варианты подходов к шифрованию в облачных средах
1. Программные агенты на конечных точках, обращающихся к облаку
2. Шлюз/прокси – виртуальный или физический
3. Шифрование непосредственно в самой облачной инфраструктуре
![Page 5: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/5.jpg)
Облачный провайдер
Облачный провайдер
Размещение средств шифрования в облачных средах
1. Клиент (агенты, шлюзы)
2. Облачный брокер, посредник(шлюзы)
3. Облачный провайдер
(агенты, собственные средства)
![Page 6: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/6.jpg)
Управление ключами шифрования
Где хранить ключи?
Как обеспечить защиту ключей?
Как обеспечить доступность ключей?
Сервер управления ключами
![Page 7: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/7.jpg)
Облачный провайдер
Облачный провайдер
Где может находится сервер управления ключами
2. Клиент
3. Поставщик услуг MSSP, брокер (Key Management as a
Service)
1. Облачный провайдер
![Page 8: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/8.jpg)
Сервер управления ключами у провайдера облачной услуги
Минусы
• Нет разделения – и данные и ключи в одних руках
• Риск инсайдера остается
• Риск выемки данных у провайдера остается
Плюсы
• Может быть интегрировано с билингом и сервисами провайдера
• Снижаются риски НСД к данным со стороны других клиентов и риск случайного раскрытия третим лицам
![Page 9: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/9.jpg)
Сервер управления ключами у заказчика облачной услуги
Минусы
• Дорого
Плюсы
• Снижаются все перечисленные риски потери конфиденциальности данных
![Page 10: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/10.jpg)
Сервер управления ключами как услуга
Минусы
• Опять же вопрос доверия к провайдеру услуги
• Дополнительные риски, как и с любым сервисом
Плюсы
• Разделение данных и ключей
• Снижение всех перечисленных рисков
• Простота
• Относительная дешевизна
![Page 11: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/11.jpg)
Пример реализации шифрования на стороне провайдера - Amazon
Amazon S3 Server Side Encryption for Data at Rest
И средства шифрования и система управления ключами - у провайдера
![Page 12: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/12.jpg)
Шифрование для SaaS – реализации
• Шифруются данные полей
• Все или выборочно
• Агенты на клиентах сервиса
• Шифрующий/дешифрующий шлюз
![Page 13: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/13.jpg)
Пример реализации шифрования для SaaS - CipherCloud
![Page 14: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/14.jpg)
Пример реализации шифрования для SaaS - CipherCloud
![Page 15: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/15.jpg)
Шифрование для SaaS – сложности
• Обработка данных в приложении(поиск, аналитика)
• Не все поля шифруются
• Нужно либо сохранять форматы данных, либо перестраивать приложения
• Format Preserving Encryption более медленное
![Page 16: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/16.jpg)
Шифрование для IaaS – реализации
• Шифрование инстансов и виртуальных дисков
• Шифрование файлов
• Могут применяться стандартные средства FDE
• Проблема в аутентификации запроса и получении ключа при загрузке инстанса (нет интерактивного пользователя)
![Page 17: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/17.jpg)
Шифрование для IaaS – пример реализации Trend Micro SecureCloud
![Page 18: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/18.jpg)
Существующие решения – для кого они?
• Для домашних пользователей
• Для корпоративного сектора (потребители облачных услуг)
• Для облачных сервис провайдеров
![Page 19: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/19.jpg)
Если не шифрование, то что еще?
• Токенизация
• Анонимизация («вырезание» или маскирование конфиденциальных данных)
![Page 20: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/20.jpg)
Пример реализации «облачного токенизатора»
![Page 21: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/21.jpg)
Российские криптоалгоритмы – возможно ли?
• Готовых решений на рынке нет
• Сделай сам – возможно, например Amazon предоставляет AWS SDK for Java
![Page 22: Шифрование данных в облачных инфраструктурах – обзор технологических подходов](https://reader036.vdocument.in/reader036/viewer/2022062319/55878d0dd8b42a3b5d8b45f9/html5/thumbnails/22.jpg)
Юридические тонкости
КлиентРоссия
Сервис управления ключами, Япония
Датацентр провайдераГермания
Облачный провайдер
США