Embed Size (px)
DESCRIPTION
Добрица И. В., ФСБ России 23 марта 2012 г. Вопросы безопасности обработки информации в корпоративных облачных системах. 11- я конференция «Обеспечение доверия и безопасности при использовании ИКТ» 22 — 23 марта 2012 г., г. Москва. 1. Корпоративные облачные системы (КОС). - PowerPoint PPT Presentation
Citation preview
Вопросы безопасности Вопросы безопасности обработки информации обработки информации
в корпоративных облачных в корпоративных облачных системахсистемах
Добрица И. В., ФСБ РоссииДобрица И. В., ФСБ России23 марта 2012 г.23 марта 2012 г.
11-я конференция«Обеспечение доверия и безопасности при использовании ИКТ»
22 — 23 марта 2012 г., г. Москва
1. Корпоративные облачные 1. Корпоративные облачные системы (КОС)системы (КОС)
Основной отличительной особенностью КОС является полный контроль над облаком подразделений ИБ и ИТ организации. Частное облако может быть развернуто либо на площадке организации, либо на площадке у провайдера облачных услуг.
Условно КОС можно разделить на три компонента:облачную среду;клиентскую составляющую;среду доступа.
2. Особенности безопасной 2. Особенности безопасной обработки информации в КОСобработки информации в КОС
Безопасность обработки информации в КОС - обеспечение целостности, доступности и конфиденциальности информации.
Необходимо:учесть особенности реализованной в среде
модели обслуживания (SaaS, PaaS, IaaS);обеспечить безопасность информации при ее
обработке на стороне клиентской составляющей;обеспечить безопасность взаимодействия
клиентской составляющей с облачной средой.
3. Угрозы безопасности3. Угрозы безопасности в облачной среде в облачной среде
1. Несанкционированное взаимодействие между виртуальными машинами и хостами.
2. «Побег» виртуальной машины.
3. Слежение со стороны хоста.
4. Слежение со стороны виртуальной машины.
5. Атаки в облаке.
6. Внешние модификации.
7. «Закисшие» виртуальные машины.
4. Механизмы обеспечения 4. Механизмы обеспечения целостности и доступностицелостности и доступности
В облачных платформах разработчиками реализуются следующие механизмы защиты:
идентификация и аутентификация пользователей;
разграничение прав доступа и контроль доступа пользователей к ресурсам;
защищённое управление виртуальной инфраструктурой;
защищённый доступ к платформе виртуализации;
функции журналирования событий безопасности;
управление хранением данных и их аварийное восстановление.
5. Механизмы обеспечения 5. Механизмы обеспечения конфиденциальностиконфиденциальности
Криптографическая защита информации в КОС - единственная гарантия ее безопасности. Объектами криптографической защиты КОС являются:
1. Виртуальные диски.
2. Записи баз данных.
3. Виртуальные машины.
4. Каналы связи (среда доступа).
5. Данные на клиентской составляющей.
5.1. Шифрование виртуальных дисков5.1. Шифрование виртуальных дисков
В облачной среде виртуальные диски монтируются к ВМ. Шифрование виртуальных дисков может быть реализовано посредством использования:
средств шифрования серверных дисков (для этого могут использоваться существующие решения);
специализированных средств криптографической защиты, функционирующих в составе каждой пользовательской ВМ (для этого могут использоваться существующие решения);
механизмов криптографической защиты, реализованных в составе облачных платформ (таких решений ещё нет).
5.2. Шифрование записей БД5.2. Шифрование записей БД
Шифрование записей БД может быть реализовано:
на уровне СУБД, функционирующей в составе отдельной ВМ или сервера (для этого могут использоваться существующие решения);
сервером приложений, который непосредственно работает с БД (для этого могут использоваться существующие решения);
механизмами криптографической защиты, реализованных в составе облачных платформ (таких решений ещё нет).
5.3. Шифрование виртуальных машин5.3. Шифрование виртуальных машин
Виртуальная машина – файл с образом памяти и процессов (иногда и с данными). Шифрование виртуальных машин при их передаче между узлами и при их хранении в неактивном состоянии – важнейшая составляющая безопасности облачной среды. Однако в этом случае механизм шифрования также должен быть реализован на уровне облачной платформы (пока таких решений нет).
5.4. Шифрование каналов связи5.4. Шифрование каналов связи
Шифрование каналов связи может быть реализовано с использованием:
специализированных программно-аппаратных средств (криптомаршрутизаторов или ip-шифраторов);
криптографических сетевых протоколов, обеспечивающих защищённую идентификацию/аутентификацию между клиентом и облаком, а также защищённый канал передачи данных между клиентом и облаком.
5.5. Шифрование данных на клиенте5.5. Шифрование данных на клиенте
Данные шифруются на клиенте и в облако передаются уже в зашифрованном виде. В этом случае сводятся на нет преимущества облачных сервисов, поскольку всю обработку данных необходимо будет выполнять на клиенте. Облачный сервис фактически превращается в систему хранения данных в зашифрованном виде.
Использовать потенциал облачных сервисов в полном объёме возможно, если взаимодействие клиента с облачной средой осуществлять с использованием сквозного шифрования, однако в настоящее время сквозное шифрования в облачных системах не реализовано.
6. Выводы и предложения6. Выводы и предложенияI. Безопасность обработки информации в КОС –
комплексная проблема, для которой в настоящее время не существует коробочного решения.
II. Наиболее перспективным подходом по реализации в КОС сервиса криптографической защиты является встраивание криптографических механизмов (с отечественными криптографическими алгоритмами) в состав облачных сред и программ-клиентов.
III. В качестве прототипов можно выбрать облачные платформы и программы-клиенты с открытым исходным кодом, доработанные в рамках мероприятий по созданию Национальной программной платформы.
7. Источники информации7. Источники информации1. Орлов С. От ЦОД к частному облаку. Журнал сетевых решений/LAN № 2, 2011.
http://www.osp.ru/lan/2011/02/13006944/.
2. О’Нил Марк. Контрольный список мер безопасности для облаков. Облачные вычисления № 0311, 2011. http://www.osp.ru/cloud/2011/0311/13007696/.
3. Черняк Л. Безопасность: облако или болото? Открытые системы № 01, 2010. http://www.osp.ru/os/2010/01/13000673/.
4. Самойленко А. Реальная проблема виртуализации – безопасность. http://www.vmgu.ru/articles/virtualization-security-lacks-cons.
5. Защита частного облака. http://www.crossbeam-rt.ru/solution/private-clouds/.
6. Cloud Security. http://www.mcafee.com/solutions/cloud-security/cloud-security.aspx.
7. Управление хранением данных и обеспечение высокой готовности в облаке. Материалы с сайта http://www.symantec.ru/.
8. Шифрование в облаках. http://www.anti-malware.ru/node/3489/.
9. Шифрование в облаках 2. http://www.anti-malware.ru/node/3837/.
10. Частное облако – правильный выбор. Открытые системы № 10, 2011. http://www.osp.ru/os/2011/10/13012197/.
11. Яремчук Сергей. Защищаем данные в «облаке». Хакер № 1/156/2012.
БЛАГОДАРЮ ЗА ВНИМАНИЕ!БЛАГОДАРЮ ЗА ВНИМАНИЕ!
Вопросы безопасности обработки информации Вопросы безопасности обработки информации в корпоративных облачных системахв корпоративных облачных системах
Добрица И. В., ФСБ РоссииДобрица И. В., ФСБ России23 марта 2012 г.23 марта 2012 г.
11-я конференция«Обеспечение доверия и безопасности при использовании ИКТ»
22 — 23 марта 2012 г., г. Москва
