Кращі практики керування ризиками хмарних технологій

DIGITAL SPACE 2016Гліб Пахаренко, CISA, CISSP

Визначення хмарних технологій:• максимальна автоматизація керування ресурсами• доступ до послуги з різних платформ та з усіх точок світу• швидка зміна конфігурації• сплата лише за спожиті ресурси• та ін. (згідно NIST)

Для чого ми запроваджуємо хмарні технології:• оптимізувати споживання ресурсів• зберегти кошти організації• отримати більш швидкі послуги (• і більш якісні?!)• отримати інноваційні послуги які не доступні нам • в стандартній моделі • ІТ• знизити час на впровадження послуг• забезпечити відмовостійкість

Головне: Перехід у хмару не дозволить навести лад в ІТ, якщо його нема наразі!

Успадковані ризики в залежності від моделі хмарної послуги:

Розділення відповідальності в залежності від типу хмарної послуги

Ризик №1: Публічні хмари (спільний хостінг, віртуальні сервери, і т.д.)• Має низький рівень безпеки;• Перше, що атакують хакери якщо не вийшло зламати Ваш сайт чи

облікові записи розробників;

Ризик №2: Анті-ДОС сервіси не завжди працюють• легко знайти реальний ІР сайту (чи Вашого офісу)• не захищає від ДОС на рівні додатку (важкі запити)

Ризик №3: Доступність сервісу може бажати кращого• регулярно отримуємо новини про недоступність відомих хмарних

сервісів

Ризик №4: Різні агенства з 3-х літер, та їх кооперація• регулярно отримуємо новини про доступ спецслужб до хмар

Ризик №5: Важкість міграції• Не всі сервіси можна взяти і просто мігрувати у хмару• Велике число проектів з міграції не виправдали початкові бізнес-кейси• Потенційні причини змін у проектах:

• на старому залізі та зі старим адміністратором може бути трохи дешевше ніж хмарі

• зміни в недокументованій мережевій адресацій між системами• затримки в мережі• апаратні токени• зміна звичного програмного забезпечення користувачів• сервіс-деск для хмарних сервісів

Ризик №6: Важкість компьютерної криміналістики • В хмарі може бути не просто провести власне розслідування

компьютерного злочину

Ризик №7: Важкість керування доступом• Інтеграція корпоративного процесу керування доступом (Identity

Management) може бути дорогою та складною процедурою

Ризик №8: Важкість тестів на проникнення• Хмарний провайдер може обмежити Ваші можливості по незалежному

аудиту безпеки

Ризик №9: Міграція між хмарними провайдерами• Міграція між хмарними провайдерами може бути не продумана та не

закладена в бізнес кейс початкового переходу на хмарні технології

Ризик №10: Фізична безпека • В хмарі дуже важко організувати контроль за фізичною безпекою, і це

дуже великий виклик моделі безпеки для традиційної інфраструктури

Ризик №11: Персональні дані Хмарні технології потребують більше уваги щодо додержання

законодавства про персональні дані

Дія №1: Закласти витрати на безпеку в бізнес-кейсах при міграції• Частина зекономлених коштів має йти на зниження хмарних ризиків,

аудити, навчання тощо.

Дія №2: Поєднати перехід на хмарні технології із підвищенням зрілості процесів керування ІТ та ІБ• Без підвищення зрілості та якості керування ІТ старі ризики можуть

додатися із новими – хмарними.

Дія №3: Залучити службу ІБ на всі етапи життєвого циклу хмарних ІТ послуг• Фахівці ІБ мають брати участь в усіх ключових процесах пов'язаних із

використанням хмарних технологій (від ідеї до відмови від сервісу).

Дія №4: Відобразити хмарні технології в усіх політиках• Адаптувати ключові документи до використання хмарних технологій:

план безперервної діяльності, політику класифікації активів, і т.д.

Дія №5: Відпрацювати аудити безпеки та розслідування • Оновити процедури проведення аудитів безпеки та компьютерної

криміналістики для хмарних активів

Дія №6: Закласти суворі угоди щодо налаштувань безпеки у хмарного провайдера • Хмарний провайдер має застосовувати кращі практики безпеки в зоні

його відповідальності

Корисні посилання:• http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pa

ges/Security-Considerations-for-Cloud-Computing.aspx

• http://www.isaca.org/knowledge-center/research/pages/cloud.aspx

• http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Controls-and-Assurance-in-the-Cloud-Using-COBIT-5.aspx

• https://cloudsecurityalliance.org/

А які ризики та заходи безпеки бачите Ви?

Дякую за увагу. Гліб Пахаренко, CISA, CISSP.