Upload
glib-pakharenko
View
19
Download
2
Embed Size (px)
Citation preview
Кращі практики керування ризиками хмарних технологій
DIGITAL SPACE 2016Гліб Пахаренко, CISA, CISSP
Визначення хмарних технологій:• максимальна автоматизація керування ресурсами• доступ до послуги з різних платформ та з усіх точок світу• швидка зміна конфігурації• сплата лише за спожиті ресурси• та ін. (згідно NIST)
Для чого ми запроваджуємо хмарні технології:• оптимізувати споживання ресурсів• зберегти кошти організації• отримати більш швидкі послуги (• і більш якісні?!)• отримати інноваційні послуги які не доступні нам • в стандартній моделі • ІТ• знизити час на впровадження послуг• забезпечити відмовостійкість
Головне: Перехід у хмару не дозволить навести лад в ІТ, якщо його нема наразі!
Успадковані ризики в залежності від моделі хмарної послуги:
Розділення відповідальності в залежності від типу хмарної послуги
Ризик №1: Публічні хмари (спільний хостінг, віртуальні сервери, і т.д.)• Має низький рівень безпеки;• Перше, що атакують хакери якщо не вийшло зламати Ваш сайт чи
облікові записи розробників;
Ризик №2: Анті-ДОС сервіси не завжди працюють• легко знайти реальний ІР сайту (чи Вашого офісу)• не захищає від ДОС на рівні додатку (важкі запити)
Ризик №3: Доступність сервісу може бажати кращого• регулярно отримуємо новини про недоступність відомих хмарних
сервісів
Ризик №4: Різні агенства з 3-х літер, та їх кооперація• регулярно отримуємо новини про доступ спецслужб до хмар
Ризик №5: Важкість міграції• Не всі сервіси можна взяти і просто мігрувати у хмару• Велике число проектів з міграції не виправдали початкові бізнес-кейси• Потенційні причини змін у проектах:
• на старому залізі та зі старим адміністратором може бути трохи дешевше ніж хмарі
• зміни в недокументованій мережевій адресацій між системами• затримки в мережі• апаратні токени• зміна звичного програмного забезпечення користувачів• сервіс-деск для хмарних сервісів
Ризик №6: Важкість компьютерної криміналістики • В хмарі може бути не просто провести власне розслідування
компьютерного злочину
Ризик №7: Важкість керування доступом• Інтеграція корпоративного процесу керування доступом (Identity
Management) може бути дорогою та складною процедурою
Ризик №8: Важкість тестів на проникнення• Хмарний провайдер може обмежити Ваші можливості по незалежному
аудиту безпеки
Ризик №9: Міграція між хмарними провайдерами• Міграція між хмарними провайдерами може бути не продумана та не
закладена в бізнес кейс початкового переходу на хмарні технології
Ризик №10: Фізична безпека • В хмарі дуже важко організувати контроль за фізичною безпекою, і це
дуже великий виклик моделі безпеки для традиційної інфраструктури
Ризик №11: Персональні дані Хмарні технології потребують більше уваги щодо додержання
законодавства про персональні дані
Дія №1: Закласти витрати на безпеку в бізнес-кейсах при міграції• Частина зекономлених коштів має йти на зниження хмарних ризиків,
аудити, навчання тощо.
Дія №2: Поєднати перехід на хмарні технології із підвищенням зрілості процесів керування ІТ та ІБ• Без підвищення зрілості та якості керування ІТ старі ризики можуть
додатися із новими – хмарними.
Дія №3: Залучити службу ІБ на всі етапи життєвого циклу хмарних ІТ послуг• Фахівці ІБ мають брати участь в усіх ключових процесах пов'язаних із
використанням хмарних технологій (від ідеї до відмови від сервісу).
Дія №4: Відобразити хмарні технології в усіх політиках• Адаптувати ключові документи до використання хмарних технологій:
план безперервної діяльності, політику класифікації активів, і т.д.
Дія №5: Відпрацювати аудити безпеки та розслідування • Оновити процедури проведення аудитів безпеки та компьютерної
криміналістики для хмарних активів
Дія №6: Закласти суворі угоди щодо налаштувань безпеки у хмарного провайдера • Хмарний провайдер має застосовувати кращі практики безпеки в зоні
його відповідальності
Корисні посилання:• http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pa
ges/Security-Considerations-for-Cloud-Computing.aspx
• http://www.isaca.org/knowledge-center/research/pages/cloud.aspx
• http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Controls-and-Assurance-in-the-Cloud-Using-COBIT-5.aspx
• https://cloudsecurityalliance.org/
А які ризики та заходи безпеки бачите Ви?
Дякую за увагу. Гліб Пахаренко, CISA, CISSP.