Upload
michael-kozloff
View
1.736
Download
2
Embed Size (px)
DESCRIPTION
Облака снижают затраты на информационные технологии и дают эластичную масштабируемостьУтечка данных через администраторов – самый дорогой вид угроз нарушения ИБОблакам нужны крепкие засовы в виде лучших практик ИБ
Citation preview
…
Экономия при переходе в облака
или безопасность!?
Михаил Козлов
DevBusiness / ru 2.0
mkozloff (@) devbusiness.ru
http://devbusiness.ru/mkozloff
…
Sator Arepo Tenet Opera Rotas
Михаил Козлов
Консультант по развитию бизнеса и продаже решений на основе бизнес-ценности (ROI)
20 лет в ИТ и консалтинге
VDEL, Trend Micro, VMware, Microsoft, V6, CARANA, Cognitive Technologies…
2
…
Sator Arepo Tenet Opera Rotas
Облака: Экономия vs. Рост угроз безопасности
Ситуация
Облака снижают стоимость ИТ и дают эластичную
мощность
Администраторы обладают полным
доступом к данным
Последствия
Утечка секретов через
администраторов – самый дорогой тип
нарушения информационной
безопасности
Решение
Разделяйте ответственность
между администраторами
Снижайте риски с лучшими
практиками ИБ
3
…
Sator Arepo Tenet Opera Rotas Экономия с облаками (прогноз IBM)
4
…
Sator Arepo Tenet Opera Rotas
Облака – источник эластичной мощности,
а не маркетинговый треп!
Время
ИТ
мо
щн
ост
и
Спрос на загрузку Простой
Дефицит
Традиционные ИТ
Мощность = загрузка
Время
ИТ
мо
щн
ост
и
Облачные ИТ
Источник: Microsoft
Предложение мощности
5
…
Sator Arepo Tenet Opera Rotas
Что сегодня сдерживает развитие облаков?
Зрелость технологий
Безопасность
Мало автоматизации
Энергоэффективность
Стандарты
Аппетит к риску
Защита IP
Совместимость
Регуляторы и аудит
Гарантии качества
услуг
Необходим культурный сдвиг и новые технологии
Источник: Intel
…
Sator Arepo Tenet Opera Rotas
Безопасность – опасение #1
при переходе к облакам
1. Безопасность
2. Интеграция
облаков с
существующим
ЦОД
3. Отсутствие
стандартов
7
Source: Saugatuck Technology Inc., 2009 Cloud Infrastructure Survey (Julne09),
WW N=670
…
Sator Arepo Tenet Opera Rotas
Катастрофа с облаком Amazon безвозвратно
уничтожила данные многих клиентов
8
http://www.businessinsider.com/amazon-lost-data-2011-4
Um...
…
Sator Arepo Tenet Opera Rotas
Взлом Sony Playstation Network (04/2011)
9
http://www.mobile-review.com/articles/2011/birulki-117.shtml#4
…
Sator Arepo Tenet Opera Rotas
Простои Microsoft BPOS
10
…
Sator Arepo Tenet Opera Rotas
Какая доля ваших сервисов размещена в облаке?
11 Источник: NetIQ, 2011
…
Sator Arepo Tenet Opera Rotas
Клиентоориентированные Безопасный и удобный доступ с
множества форм-факторов
Полностью реализованный потенциал облака
Автоматические Динамическое
выделение ресурсов
для поддержки SLA и
оптимального
энергопотребления
Федеративные данные и услуги
свободно и
безопасно
мигрируют между
облаками
ПК Лэптопы Встроенные
технологии Смартфоны Нетбуки Мобильные
устр-ва Умные ТВ
Источник: Intel
Безопасность в Облаке:
критические факторы
13
…
Sator Arepo Tenet Opera Rotas
Консолидация = централизация рисков
«В облачной среде
наименьший общий
знаменатель
безопасности будет
разделен со всеми
арендаторами
виртуального ЦОД.»
14
http://www.cloudsecurityalliance.org/csaguide.pdf
credit: Lawrence Berkeley Nat'l Lab - Roy Kaltschmidt, photographer
…
Sator Arepo Tenet Opera Rotas
Ключевые угрозы в облаке v1.0
Угроза #1: злоупотребление концепцией
Угроза #2: небезопасные интерфейсы и APIs
Угроза #3: вредоносные инсайдеры
Угроза #4: общее использование старых технологий
Угроза #5: утечки и потери данных
Угроза #6: взлом учетных записей и сервисов
Угроза #7: неизвестные характеристики рисков
Источник: Top Threats to Cloud Computing
15
…
Sator Arepo Tenet Opera Rotas
Стоимость потери информации
285М взломанных записей в 2008 г. (Verizon Business
RISK Team)
В 2008 в США потеря каждой записи стоила $202,
включая $152 косвенного ущерба (Ponemon Institute)
True Cost of Compliance Report, Ponemon Institute LLC, January 2011 16
…
Sator Arepo Tenet Opera Rotas
Типы и стоимость инцидентов с ИБ
17
…
Sator Arepo Tenet Opera Rotas
Потеря данных через администратора – самый
дорогой тип инцидента в ИБ
The Value Of Corporate Secrets How Compliance And Collaboration Affect Enterprise Perceptions Of Risk
March 2010, Forrester
18
Тип инцидента Стоимость инцидента
ИТ администратор
нарушил привилегии и
похитил данные
$452 238
…
Sator Arepo Tenet Opera Rotas
2010: рост утечек через инсайдеров на 26%
2010 Data Breach Investigations Report
Verizon RISK Team in cooperation with the
United States Secret Service
…
Sator Arepo Tenet Opera Rotas
Даже «эксперты» не понимают всех
проблем…
20
«Наши эксперты считают, что для защиты виртуальной ИТ-
инфраструктуры можно использовать традиционные подходы и
средства. … Применение традиционных антивирусных продуктов
и межсетевых экранов пригодно, с его [эксперта] точки зрения,
для защиты как “родительского” раздела, так и “гостевых”».
Безопасность виртуализированных ИТ-сред. PC Week/RE, 15.04.2011
http://www.pcweek.ru/security/article/detail.php?ID=130756
…
Sator Arepo Tenet Opera Rotas
Виртуализация и риски ИБ
Специалисты ИБ не участвует в проекте по виртуализации
Взлом слоя виртуализации может привести к взлому всех ВМ
Отсутствие контроля за действиями администратора
21
Источник: Gartner, 2010
Большинство облаков используют технологии виртуализации. При этом:
…
Sator Arepo Tenet Opera Rotas
Администраторы – самые опасные
инсайдеры
Данные о
клиентах
IP
Персо-
нальные
данные
ДСП
CEO
CxO
CFO
Сетевые
администраторы
Системные
администраторы Администраторы
резервного копирования
Администраторы
систем резервного
восстановления
Курьеры
(ленты…)
СХД
Поставщики
аутсорсинга Администраторы СХД
Ремонтный
персонал
Источник: NetApp
Администратор ВИ
Администраторы
приложений
…
Sator Arepo Tenet Opera Rotas
Максимальная зона риска
Администратор
виртуальной среды
Может украсть
образы ВМ
Администратор
системы хранения
данных (СХД)
Может украсть
копию диска
23
Администратор облака имеет доступ к данным множества клиентов!
24 Фото: http://www.flickr.com/photos/kenningtonfox/2967190217/
…
Sator Arepo Tenet Opera Rotas
Cloud Security Alliance – лучшие практики
ИБ для критически важных элементов
облачных вычислений
http://www.cloudsecurityalliance.org/ 25
…
Sator Arepo Tenet Opera Rotas
Решение для облаков и виртуальных сред
Разделить полномочия и
ответственность
администраторов
ВИ, СХД, сети и ИБ*
26 *) Виртуальной инфраструктуры, системы (и/или сеть) хранения данных, информационной безопасности
…
Sator Arepo Tenet Opera Rotas
Шифрование и
мониторинг СХД
Существенно упрощает планирование мер ИБ
Только авторизованные сотрудники имеют доступ к данным и настройкам
Аудит и протоколы доступа к данным
Автоматическая защита копий
Потеря носителя не является угрозой
…
Sator Arepo Tenet Opera Rotas
Шифрование… Хост / Приложение Сеть СХД
За:
• Широкие возможности
• Низкие затраты (ПО)
Против:
• Нагружает CPU
• Слабое управление ключами
• Ключи доступны через ОС
• Сложные внедрение и
управление (особенно в
гетерогенной среде)
За:
• Прозрачно для хостов, СХД и
приложений
• Быстрота работы
• Хороший контроль доступа Против:
• Может потребовать доп.
оборудование
За:
• Прозрачно для хостов
• Обычно часть АО
Против:
• Слабое управление ключами
• Нет поддержки гетерогенной
мультивендорной среды
• Привязка к поставщику СХД
• М.б. полное обновление
системы
Нотификация и сертификация ФСБ!? Источник: NetApp
…
Sator Arepo Tenet Opera Rotas
Способы снижения рисков Облаков…
1. Планируйте сбои
2. Поддерживайте собственную экспертизу
3. Тестируйте сбои в облаке
4. Поддерживаете собственные резервные мощности
5. Проверьте свою стратегию соурсинга
6. Отказоустойчивость не бывает бесплатной
7. Поставщик услуг должен отвечать за сбои
29 Источник: CIO.com
…
Sator Arepo Tenet Opera Rotas
Лучшие практики:
облака и ИБ
Cloud Security Alliance http://www.cloudsecurityalliance.org/
Open Data Center Alliance
http://www.opendatacenteralliance.org/
Storage Security Industry Forum http://www.snia.org/forums/ssif/
Open Cloud Consortium (OCC) http://opencloudconsortium.org/
+ перечень облачных стандартов в обзоре CNews: http://cloud.cnews.ru/reviews/index.shtml?2011/04/26/438141_4
30
…
Sator Arepo Tenet Opera Rotas
31
Облака снижают затраты и дают
эластичную масштабируемость
Утечка данных через
администраторов – самый дорогой
вид угроз нарушения ИБ
Облакам нужны крепкие засовы в
виде лучших практик ИБ
…
Sator Arepo Tenet Opera Rotas
S A T O R
A R E P O
T E N E T
O P E R A
R O T A S
34
(c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.