Security  As  A  Service,  как  механизм  снижения  рисков  

ИБ  облачных  клиентов  

Москва,  10.06.2014  

Евгений  Дружинин,    

эксперт  по  информационной  безопасности  

2  

ЭВОЛЮЦИЯ  ПОНЯТИЯ  SECAAS  

•  2011  -­‐  появление  понятия,  выделение  категорий  SecaaS  •  2012  -­‐  конкретизация  категорий  SecaaS  •  2013  –  первые  заказчики  Крок,  использующие  SecaaS  •  2014  -­‐  проект  ГОСТ  «Защита  информации  при  использовании  облачных  технологий»:  

•  SecaaS  –  Security  as  a  service  –  безопасность  как  услуга  •  п.6.2  «Защита  информации  при  оказании  услуги  SecaaS  

3  

ВЫГОДЫ  ЗАКАЗЧИКА  ОТ  SECAAS  (ПРОЕКТ  ГОСТ)  

Безопасность  как  услуга  используется  потребителями  облачных  услуг:    

•  для  обеспечения  безопасности  своей  информационной  системы  

•  для  использования  удалённых  средств  защиты  информации  •  для  использования  опыта  экспертов  в  области  защиты  информации  при  построении  (и  эксплуатации  !)  системы  защиты  своей  информационной  системы  

•  для  разделения  ответственности  вместе  с  поставщиком  облачной  услуги  SecaaS  при  инцидентах,  связанных  с  нарушением  безопасности  информации  

4  

ПРЕДПОСЫЛКИ  ВОЗНИКНОВЕНИЯ  SECAAS  В  ПОРТФЕЛЕ  РЕШЕНИЙ  КРОК  

•  Ресурсы  ЦОД  •  Coloca|on  •  Аренда  ИТ-­‐систем    

•  Публичное  облако  (IaaS)  

•  Как  безопасно  разместить  ИТ-­‐систему?  

•  Как  соблюсти  требования  регуляторов?  

•  Как  обеспечить  защиту  ИТ-­‐системы  быстро,  качественно,  конкурентоспособно,  универсально?  

Ответ:  необходимо  публичное  облако,  защищенное  в  соответствии  с  требованиями  регуляторов!  

Заказчик    

Крок    

5  

ОСОБЕННОСТИ  ИСПОЛЬЗОВАНИЯ  ЗАЩИЩЕННОГО  ОБЛАКА  

6  

АЛГОРИТМ  ВЫБОРА  МЕСТА  РАЗМЕЩЕНИЯ  ИТ-­‐СИСТЕМЫ  

Наличие  требований  регуляторов  ?  

•  Публичное  облако  •  ЦОД  

•  Облако,  построенное  с  использованием  сертифицированных  СЗИ  (защищенное  облако)  

•  ЦОД  

Нет   Да  

7  

ОСОБЕННОСТИ  ПОСТРОЕНИЯ  ЗАЩИЩЕННОГО  ПУБЛИЧНОГО  ОБЛАКА  

•  В  основе  –  сертифицированный  гипервизор  •  Основные  средства  защиты  облака  –  сертифицированные  СЗИ  •  Организационные  меры  защиты  

•  Мониторинг  событий  ИБ  •  Анализ  защищенности  •  …  

•  Физическая  безопасность  •  Охрана  •  СКУД  •  Видеонаблюдение  •  …  

8  

ОСОБЕННОСТИ  ФУНКЦИОНАЛА  ЗАЩИЩЕННОГО  ПУБЛИЧНОГО  ОБЛАКА  

•  Предоставление  сервисов  ИБ  по  модели  SecaaS:  •  Сертифицированные  ФСТЭК/ФСБ  •  Не  сертифицированные  ФСТЭК/ФСБ  

•  Размещение  ИТ-­‐систем,  предполагающих  соблюдение  требований  регуляторов  

•  Сервисы  ИБ  могут  предоставляться  универсально  для  ИТ-­‐систем,  размещаемых  в:  

•  ЦОД  •  публичном  облаке  •  защищенном  облаке  

9  

КАТАЛОГ  SECAAS  КРОК  

•  FW  –  межсетевое  экранирование  •  VPN,  SSL  VPN  –  создание  защищенных  соединений  •  IPS  –  предотвращение  сетевых  атак  •  WAF  –  фильтрация  web-­‐трафика  (Web  Applica|on  Firewall)  •  Антивирусная  защита  сетевого  трафика  •  Защита  от  DDoS  

10  

ВАРИАНТЫ  РАЗМЕЩЕНИЯ  ИТ-­‐СИСТЕМ  

•  Интеграция  корпоративной  ИТ-­‐инфраструктуры  с  арендуемой  ИТ-­‐инфраструктурой  

•  Независимое  использование  арендуемой  ИТ-­‐инфраструктуры  

11  

БИЗНЕС-­‐КЕЙС  1  

12  

БИЗНЕС-­‐КЕЙС  1.  ОБЕСПЕЧЕНИЕ  ЗАЩИТЫ  

13  

БИЗНЕС-­‐КЕЙС  2  

14  

БИЗНЕС-­‐КЕЙС  2.  СТАНДАРТНОЕ  РЕШЕНИЕ  ИБ  

15  

БИЗНЕС-­‐КЕЙС  2.  РАСШИРЕННОЕ  РЕШЕНИЕ  (FEDERATED  IDENTITY)  

16  

БИЗНЕС-­‐КЕЙС  3  

17  

БИЗНЕС-­‐КЕЙС  3.  ЗАЩИТА  WEB-­‐СЕРВИСА  

18  

СПАСИБО  ЗА  ВНИМАНИЕ!  

Евгений  Дружинин    Эксперт  по  информационной  безопасности    

111033,  Москва,  ул.  Волочаевская,  д.5,  корп.1  +7  495  974  2274,  +7  495  974  2277  (факс)  

edruzhinin@croc.ru    www.cloud.croc.ru