19
Александр Бондаренко, CISA, CISSP Директор департамента консалтинга LETA IT Риски использования облачных технологий Риски использования облачных технологий

Риски использования облачных технологий

Embed Size (px)

DESCRIPTION

Презентация к семинару RISSPA по безопасности облачных технологий

Citation preview

Page 1: Риски использования облачных технологий

Александр Бондаренко, CISA, CISSP

Директор департамента консалтинга LETA IT

Риски использования облачных технологий Риски использования облачных технологий

Page 2: Риски использования облачных технологий

Что такое Cloud Computing ?!

это не новая технология, а новый способ предоставления ИТ-сервисов

это понятная для бизнеса модель

растущая и пока не устоявшаяся отрасль

Page 3: Риски использования облачных технологий

Page 3

Формы использования облачных технологий

Platform as a Service (PaaS)

Software as a Service (SaaS)

Infrastructure as a Service (IaaS)

Public Cloud

Private Cloud

Hybrid Cloud

Page 4: Риски использования облачных технологий

Page 4

Последствия: невозможность/сложность миграции от одного провайдера к другому или в собственное приватное облако

Примеры:--

Контрмеры:тщательный подход к выбору провайдера

выбор провайдера, использующего открытые стандарты

закладка возможности портирования в программный код

Риск - «Привязка» к провайдеру

Page 5: Риски использования облачных технологий

Page 5

Риск – Банкротство или поглощение провайдера

Последствия: остановка предоставления сервиса, изменение предоставляемых услуг

Примеры:Июнь 4, 2009, Cassatt, the San Jose, Calif.-based provider of cloud computing environments, has sold its assets to public IT management firm CA for an undisclosed sum

Февраль 25, 2009, Coghead customers have two months to save their data SAP buys the cloud app hosting service's technology but has no plans to keep the platform going

Контрмеры:тщательный подход к выбору провайдера

работа с несколькими провайдерами

наличие плана действий по смене провайдера

Page 6: Риски использования облачных технологий

Page 6

Последствия: приостановка предоставления сервиса, потеря информации

Примеры:Декабрь 6, 2010, The Tumblr blog-hosting platform has been down for more than 17 hours, in what appears to be the longest outage in the company’s history

Октябрь 12, 2010, Heroku experienced an unplanned maintenance outage. The outage was the result of a hardware issue with a misbehaving database.

Август 25, 2010, A number of businesses suffered "intermittent access" to their web-based Microsoft applications this week following a fault at the software giant's US datacentre

Контрмеры:

тщательный подход к выбору провайдера

определение требований и санкций в SLA

Риск – Сбои на стороне провайдера

Page 7: Риски использования облачных технологий

Page 7

Риск – Потеря связи с провайдером

Последствия: невозможность получить доступ к сервисам, остановка бизнес-процессов

Примеры:Январь 2011, В Египте произошло полное отключение Интернета крупными провайдерами (Etisalat Misr, Link Egypt, Telecom Egypt и Vodafone/Raya), а также частичное отключение мобильной связи

Июль 2009, Власти Китая подтвердили факт блокирования доступа в интернет в городе Урумчи Синьцзян-Уйгурского автономного района, в котором развернулись народные волнения на межнациональной почве.

Январь 2008, В результате разрыва оптоволоконных магистралей на дне Средиземного моря, соединяющих Ближний Восток и Южную Азию с Европой и Северной Америкой, миллионы пользователей оказались отрезаны от интернета и фиксированной телефонной связи. На восстановление работы сети в штатном режиме потребуется до двух недель, заявляют официальные лица.

Page 8: Риски использования облачных технологий

Page 8

Риск – Потеря связи с провайдером

Последствия: невозможность получить доступ к сервисам, остановка бизнес-процессов

Контрмеры:выбор провайдера, имеющего датацентры в нескольких

странах

спутниковая интернет-связь

наличие резервной копии критичных систем в частном облаке

Page 9: Риски использования облачных технологий

Page 9

Риск – Перехват информации при передаче

Последствия: несанкционированный доступ и (при необходимости) изменение информации

Примеры:--

Контрмеры:Использование криптографии при передаче информации

Обучение пользователей правилам безопасности

Page 10: Риски использования облачных технологий

Page 10

Риск - Утрата соответствия требованиям

Последствия: штрафы и иные санкции со стороны регуляторов

Примеры:Amazon, 2009, From a compliance and risk management perspective, we (Amazon) recommend customers not to store sensitive credit card payment information on EC2/S3 systems as they are not inherently PCI level 1 compliant.

Контрмеры:

тщательный подход к выбору провайдера

консультации с регуляторами/аудиторами (QSA)

Page 11: Риски использования облачных технологий

Page 11

Риск - Потеря контроля над данными/инфраструктурой

Последствия: отсутствие возможности обеспечения должного уровня безопасности

Примеры:Октябрь 2010, Adam Swidler, a product marketing manager at Google speaking at the Mass Technology Leadership Council Security Summit. "We won't let you audit to the degree that you would audit your own infrastructure," Swidler says. "It's never going to be the same as auditing your own infrastructure. You'll have to extend some level of trust to third-party verification."

Контрмеры:

проведение аудитов безопасности провайдера

выбор провайдера, отвечающего требованиям по ИБ

мониторинг уровня сервиса и инцидентов ИБ

доверие

Page 12: Риски использования облачных технологий

Page 12

Риск – Невозможность уничтожения информации

Последствия: утечка информации, санкции со стороны регуляторов

Примеры: --

Контрмеры:шифрование данных в облаке

обезличивание/маскирование информации

включение требований по процедуре уничтожения информации в SLA

Page 13: Риски использования облачных технологий

Page 13

Риск – Инсайдеры на стороне провайдера

Последствия: кража и/или изменение информации

Примеры:--

Контрмеры:шифрование данных в облаке

обезличивание/маскирование информации

Page 14: Риски использования облачных технологий

Page 14

Риск – Взлом интерфейсов управления

Последствия: кража, изменение, уничтожение информации и/или прикладных систем

Примеры: Февраль 2010, US government officials have demanded an investigation into

the compromise of 52 government related websites being housed “in the cloud”.  According to an article: “the hackers may have gained access through the content management system of third-party vendor GovTrends, although it cannot confirm this until more information is made available.  It appears, however, that all the hacked websites are maintained through GovTrends.  Joomla CMS, but not all House websites managed through this service, were victims of the attack.”

Контрмеры:двухфакторная аутентификация

шифрования передаваемых данных аутентификации

обеспечение безопасности на стороне клиента

Page 15: Риски использования облачных технологий

Page 15

Риск – DDOS

Последствия: невозможность получить доступ к сервисам, остановка бизнес-процессов

Примеры:Октябрь 2009, a customer of Amazon’s cloud computing service - Bitbucket (www.bitbucket.org), a web-based code hosting service that uses both EC2 and the Amazon’s Elastic Block Storage - reported 19 hours of downtime as a result of a DDoS attack.

Апрель 2009, Hosting company GoGrid suffered a denial of service attack Monday afternoon, which affected approximately half of its thousands upon thousands of customers, said its co-founder on Tuesday.

Контрмеры:выбор ddos-устойчивого провайдера

работа с несколькими провайдерами

Page 16: Риски использования облачных технологий

Page 16

Риск – Деятельность других пользователей облака

Последствия: несанкционированный доступ к информации, невозможность получить доступ к сервисам, остановка бизнес-процессов и проч…

Примеры:Апрель 2009, The FBI raided a Dallas carrier hotel Thursday and seized equipment from data center space operated by Core IP Networks. “Many customers went to the data center to try and retrieve their equipment, but were threatened with arrest.” 

Сентябрь 2010, ATBHost.net experienced a customer attempting to hack other WordPress users on the same server and replaced their sites with malicious phishing sites.

Контрмеры:

тщательный подход к выбору провайдера

работа с несколькими провайдерами

Page 17: Риски использования облачных технологий

Page 17

Заключение

Cloud Computing – объективное ИТ-будущее, с которым не надо бороться, надо адаптироваться

Обеспечить безопасность «в облаке» в ряде случаев и проще и эффективнее

Облачные технологии в перспективе способны обеспечить более высокий уровень отказоустойчивости и надежности

Page 18: Риски использования облачных технологий

Page 18

СПРАВОЧНАЯСПРАВОЧНАЯ ИНФОРМАЦИЯИНФОРМАЦИЯ

http://www.cloudsecurityalliance.org/topthreats.html

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

http://cloutage.org/

http://cloudcomputing.sys-con.com/node/1465147

http://cloudcomputingtopics.com/2010/10/avoiding-cloud-computing-lock-in/

http://www.infoworld.com/t/platforms/coghead-customers-have-two-months-save-their-data-815

http://gigaom.com/2010/12/06/tumblr-outage-continues-can-it-pull-a-twitter-and-recover/

http://www.information-age.com/channels/security-and-continuity/news/1278058/microsoft-cloud-services-suffer-outage.thtml

Page 19: Риски использования облачных технологий

КОНТАКТНАЯКОНТАКТНАЯ ИНФОРМАЦИЯИНФОРМАЦИЯ

Бондаренко Александр Валерьевич

E-mail: [email protected]

LinkedIn: http://ru.linkedin.com/in/alexbondarenko

Blog: http://secinsight.blogspot.com