cloud security cisco
Post on 14-Dec-2014
1.460 Views
Preview:
DESCRIPTION
TRANSCRIPT
© 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing 1/50
Как выбрать провайдера
облачных услуг с точки зрения ИБ?
Павел Антонов Инженер консультант paantono@cisco.com
2/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
VS.
Миграция на “облако” Стимулы и препятствия
3/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Препятствия на пути к облакам
Источник: IDC, Апрель 2009
4/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Миграция на “облако” Кто и что контролирует?
?Контроль у нас Ресурс расположен в X Хранится на серверах Y, Z Мы выполняем резервное копирование Наши администраторы контролируют доступ Мы отвечаем за работоспособность Мы проводим/участвуем в аудитах Наши специалисты ИБ выполняют мониторинг
Кто контролирует? Где расположен ресурс? Где хранится? Как выполняется резервное копирование? Кто имеет доступ? Как гарантируется работоспособность? Кто проводит аудит? Как наши специалисты по ИБ будут вовлечены?
?
?
?
?
До После
5/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Уровни потери контроля
Своя ИТ-служба
Хостинг-провайдер IaaS PaaS SaaS
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
ОС/VM OC/VM OC/VM OC/VM OC/VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и cloud провайдером
- Контроль у cloud провайдера
6/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Сложности обеспечения ИБ в облаке § Технические:
Виртуализация и синхронизация данных размывают периметр
Разделяемые между всеми клиентами ресурсы
§ Организационные: Какие у клиента есть возможности контролировать обеспечение ИБ?
Как проверить то, что написано на бумаге?
Что cloud сам провайдер отдает на аутсорсинг?
§ Юридические: Соответствие законодательству(ам)
§ Специфические: Как на счет защиты от DDoS?
7/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Если вы решились
§ Стратегия безопасности Определите активы и наложите их на модель облачных услуг Сформируйте модель угроз Оцените риски Сформулируйте требования по безопасности Пересмотрите свой взгляд на понятие «периметра ИБ» Пересмотрите собственные процессы обеспечения ИБ Проведите обучение пользователей Продумайте процедуры контроля провайдера Юридическая проработка взаимодействия с провайдером
§ Выбор cloud провайдера Чеклист оценки ИБ cloud провайдера
8/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Предложения рынка SaaS
§ Управление бизнесом (ERP, CRM, Service Desk, etc.) § Унифицированные коммуникации (телефония, видеоконференции)
§ Средства совместной работы § Информационная безопасность § … и т.д. вплоть до офиса из облака
9/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Активы
§ Информационные Конф. данные, записи VoIP/Video, учетные записи и пароли, статистика о поведении компании/сотрудников
§ Организационные Взаимодействие с клиентами и партнерами, удобство пользования, др. процессы и обязательства
§ Репутационные Надежность, инновационность, мнение клиентов о cloud провайдере(ах)
§ Стратегические На сколько критична для бизнеса передаваемая провайдеру функция? На сколько развита конкуренция на рынке таких услуг?
10/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Риски § Технические
Потеря данных, отказ сервиса, недостаток ресурсов, перехват/подмена данных в процессе передачи, ненадежное удаление данных, DDoS атака
§ Организационные Разглашение, соответствие законодательству/стандартам, инсайд, закрытие компании провайдера
§ Юридические Особенности законодательства других стран, смена юрисдикции, претензии третьих сторон к провайдеру, сублицензирование
11/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Выбор cloud провайдера с точки зрения ИБ Чек лист оценки ИБ cloud провайдера
§ Защита данных § Управление уязвимостями § Управление идентификацией § Физическая безопасность и персонал § Доступность и производительность
§ Безопасность приложений § Управление инцидентами § Privacy § Непрерывность бизнеса и восстановление после катастроф § Мониторинг и журналы регистрации § Соответствие § Завершение контракта
§ Интеллектуальная собственность
12/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Защита данных § Где хранятся мои данные? § Как мои данные отделены от данных других клиентов? § Кому еще доступны мои данные? § Как обеспечивается конфиденциальность и целостности моих данных?
§ Как осуществляется контроль доступа к моим данным? Сотрудников клиента? Сотрудников провайдера? Субподрядчиков провайдера?
§ Как данные защищаются при передаче от меня к провайдеру?
От одной площадки провайдера к другой? От провайдера к его субподрядчикам?
§ Как данные удаляются?
13/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Управление уязвимостями
§ Как часто сканируется сеть и приложения? § Можно ли осуществить внешнее сканирование сети провайдера?
§ Каков процесс устранения уязвимостей?
14/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Управление идентификацией
§ Возможна ли интеграция с моим каталогом учетных записей?
§ Если у провайдера собственная база учетных записей, то: Как она защищается? Как осуществляется управление учетными записями?
§ Поддерживается ли SSO? Какой стандарт? § Поддерживается ли федеративная система аутентификации? Какой стандарт?
§ Поддерживается ли ролевая модель доступа?
15/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Физическая безопасность и персонал
§ Контроль доступа осуществляется в режиме 24х7? § Выделенная инфраструктура или разделяемая с другими компаниями?
§ Регистрируется ли доступ персонала к данным клиентов?
§ Есть ли результаты оценки внешнего аудита? § Какова процедура набора персонала?
16/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Доступность
§ Уровень доступности в SLA (сколько девяток?) § Какие меры обеспечения доступности используются для защиты от угроз и ошибок? Резервный оператор связи Защита от DDoS
§ Доказательства высокой доступности провайдера § План действия во время простоя § Пиковые нагрузки и возможность провайдера справляться с ними
17/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Безопасность приложений
§ Исполнение рекомендаций и стандартов при разработке приложений
§ Процедура тестирования для внешних приложений и исходного кода
§ Существуют ли приложения третьих фирм при оказании сервиса?
§ Используемые меры защиты приложений Web Application Firewall Аудит БД
18/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Управление инцидентами
§ План реагирования на инциденты Включая метрики оценки эффективности
§ Взаимосвязь вашей политики управления инцидентами и провайдера
19/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Privacy
§ Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу
§ Какие данные собираются о заказчике? Где хранятся? Как? Как долго?
§ Какие условия передачи данных клиента третьим лицам? Законодательство о правоохранительных органах, адвокатские запросы и т.п.
§ Гарантии нераскрытия информации третьим лицам и третьими лицами?
20/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Непрерывность бизнеса
§ План обеспечения непрерывности бизнеса и восстановления после катастроф
§ Где находится резервный(е) ЦОД? § Проходил ли провайдер внешний аудит по непрерывности бизнеса? Есть ли сертифицированные сотрудники по непррывности бизнеса?
21/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Мониторинг и журналы регистрации
§ Выполняется ли мониторинг действий клиентов? § … сотрудников провайдера? § … субподрядчиков провайдера? § Как вы обеспечиваете сбор доказательств несанкционированной деятельности?
§ Как долго вы храните логи? Возможно ли увеличение этого срока?
§ Можно ли организовать хранение логов во внешнем хранилище?
§ Возможна ли интеграция с клиентской системой SIEM?
22/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Соответствие
§ Подчиняется ли провайдер локальным нормативным требованиям? Каким? Как локальные нормативные требования соотносятся с требованиями клиента?
§ Проходил ли провайдер внешний аудит соответствия? ISO 27001 PCI DSS SAS Аттестация во ФСТЭК
23/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Интеллектуальная собственность
§ Кому принадлежат права на информацию, переданную провайдеру? А на резервные копии? А на реплицированные данные? А на логи?
24/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Завершение контракта
§ Процедура завершения контракта? Возврат данных? В каком формате? Как скоро я получу мои данные обратно? Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии?
§ Какие дополнительные затраты на завершение контракта?
25/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Заключение
26/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Критерии выбора cloud провайдера
§ Финансовая устойчивость cloud провайдера
§ Тип сервиса SaaS/PaaS/IaaS, Hosted service, Managed services
§ Клиентская база § Репутация § Безопасность § Отказоустойчивость и резервирование § Планы развития новых функций
27/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Справочная информация
§ NIST Guidelines on Security and Privacy in Public Cloud Computing
http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf
§ ENISA Cloud Computing Risk Assessment http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport
§ Cloud Security Alliance whitepaper http://www.cloudsecurityalliance.org/csaguide.pdf
§ Evaluating Application Service Provider Security for Enterprises http://www.cisco.com/web/about/security/intelligence/asp-eval.html
§ Compliance Checklist for Prospective Cloud Customers http://www.cisco.com/web/about/doing_business/legal/privacy_compliance/docs/CloudComplianceChecklist.pdf
28/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Пример облачного сервиса
29/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
SaaS cервис web-безопасности Cisco ScanSafe
Надежность и безопасность § 15 ЦОДов, географическая отказоустойчивость § 100% доступность сервиса за всю историю § Сертификация SAS 70 type II § SLA по непрерывности работы
30/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco
Спасибо!
top related