Cloud security cisco

Как выбрать провайдера

облачных услуг с точки зрения ИБ?

Павел Антонов Инженер консультант paantono@cisco.com

Миграция на “облако” Стимулы и препятствия

Препятствия на пути к облакам

Источник: IDC, Апрель 2009

Миграция на “облако” Кто и что контролирует?

?Контроль у нас Ресурс расположен в X Хранится на серверах Y, Z Мы выполняем резервное копирование Наши администраторы контролируют доступ Мы отвечаем за работоспособность Мы проводим/участвуем в аудитах Наши специалисты ИБ выполняют мониторинг

Кто контролирует? Где расположен ресурс? Где хранится? Как выполняется резервное копирование? Кто имеет доступ? Как гарантируется работоспособность? Кто проводит аудит? Как наши специалисты по ИБ будут вовлечены?

До После

Уровни потери контроля

Своя ИТ-служба

Хостинг-провайдер IaaS PaaS SaaS

Данные Данные Данные Данные Данные

Приложения Приложения Приложения Приложения Приложения

ОС/VM OC/VM OC/VM OC/VM OC/VM

Сервер Сервер Сервер Сервер Сервер

Хранение Хранение Хранение Хранение Хранение

Сеть Сеть Сеть Сеть Сеть

- Контроль у заказчика

- Контроль распределяется между заказчиком и cloud провайдером

- Контроль у cloud провайдера

Сложности обеспечения ИБ в облаке § Технические:

Виртуализация и синхронизация данных размывают периметр

Разделяемые между всеми клиентами ресурсы

§ Организационные: Какие у клиента есть возможности контролировать обеспечение ИБ?

Как проверить то, что написано на бумаге?

Что cloud сам провайдер отдает на аутсорсинг?

§ Юридические: Соответствие законодательству(ам)

§ Специфические: Как на счет защиты от DDoS?

Если вы решились

§ Стратегия безопасности Определите активы и наложите их на модель облачных услуг Сформируйте модель угроз Оцените риски Сформулируйте требования по безопасности Пересмотрите свой взгляд на понятие «периметра ИБ» Пересмотрите собственные процессы обеспечения ИБ Проведите обучение пользователей Продумайте процедуры контроля провайдера Юридическая проработка взаимодействия с провайдером

§ Выбор cloud провайдера Чеклист оценки ИБ cloud провайдера

Предложения рынка SaaS

§ Управление бизнесом (ERP, CRM, Service Desk, etc.) § Унифицированные коммуникации (телефония, видеоконференции)

§ Средства совместной работы § Информационная безопасность § … и т.д. вплоть до офиса из облака

Активы

§ Информационные Конф. данные, записи VoIP/Video, учетные записи и пароли, статистика о поведении компании/сотрудников

§ Организационные Взаимодействие с клиентами и партнерами, удобство пользования, др. процессы и обязательства

§ Репутационные Надежность, инновационность, мнение клиентов о cloud провайдере(ах)

§ Стратегические На сколько критична для бизнеса передаваемая провайдеру функция? На сколько развита конкуренция на рынке таких услуг?

Риски § Технические

Потеря данных, отказ сервиса, недостаток ресурсов, перехват/подмена данных в процессе передачи, ненадежное удаление данных, DDoS атака

§ Организационные Разглашение, соответствие законодательству/стандартам, инсайд, закрытие компании провайдера

§ Юридические Особенности законодательства других стран, смена юрисдикции, претензии третьих сторон к провайдеру, сублицензирование

Выбор cloud провайдера с точки зрения ИБ Чек лист оценки ИБ cloud провайдера

§  Защита данных §  Управление уязвимостями §  Управление идентификацией §  Физическая безопасность и персонал §  Доступность и производительность

§  Безопасность приложений §  Управление инцидентами §  Privacy §  Непрерывность бизнеса и восстановление после катастроф §  Мониторинг и журналы регистрации §  Соответствие §  Завершение контракта

§  Интеллектуальная собственность

Защита данных §  Где хранятся мои данные? §  Как мои данные отделены от данных других клиентов? §  Кому еще доступны мои данные? §  Как обеспечивается конфиденциальность и целостности моих данных?

§  Как осуществляется контроль доступа к моим данным? Сотрудников клиента? Сотрудников провайдера? Субподрядчиков провайдера?

§  Как данные защищаются при передаче от меня к провайдеру?

От одной площадки провайдера к другой? От провайдера к его субподрядчикам?

§  Как данные удаляются?

Управление уязвимостями

§  Как часто сканируется сеть и приложения? § Можно ли осуществить внешнее сканирование сети провайдера?

§  Каков процесс устранения уязвимостей?

Управление идентификацией

§ Возможна ли интеграция с моим каталогом учетных записей?

§ Если у провайдера собственная база учетных записей, то: Как она защищается? Как осуществляется управление учетными записями?

§ Поддерживается ли SSO? Какой стандарт? § Поддерживается ли федеративная система аутентификации? Какой стандарт?

§ Поддерживается ли ролевая модель доступа?

Физическая безопасность и персонал

§  Контроль доступа осуществляется в режиме 24х7? § Выделенная инфраструктура или разделяемая с другими компаниями?

§ Регистрируется ли доступ персонала к данным клиентов?

§ Есть ли результаты оценки внешнего аудита? §  Какова процедура набора персонала?

Доступность

§ Уровень доступности в SLA (сколько девяток?) §  Какие меры обеспечения доступности используются для защиты от угроз и ошибок? Резервный оператор связи Защита от DDoS

§ Доказательства высокой доступности провайдера § План действия во время простоя § Пиковые нагрузки и возможность провайдера справляться с ними

Безопасность приложений

§ Исполнение рекомендаций и стандартов при разработке приложений

§ Процедура тестирования для внешних приложений и исходного кода

§ Существуют ли приложения третьих фирм при оказании сервиса?

§ Используемые меры защиты приложений Web Application Firewall Аудит БД

Управление инцидентами

§ План реагирования на инциденты Включая метрики оценки эффективности

§ Взаимосвязь вашей политики управления инцидентами и провайдера

Privacy

§ Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу

§  Какие данные собираются о заказчике? Где хранятся? Как? Как долго?

§  Какие условия передачи данных клиента третьим лицам? Законодательство о правоохранительных органах, адвокатские запросы и т.п.

§  Гарантии нераскрытия информации третьим лицам и третьими лицами?

Непрерывность бизнеса

§ План обеспечения непрерывности бизнеса и восстановления после катастроф

§  Где находится резервный(е) ЦОД? § Проходил ли провайдер внешний аудит по непрерывности бизнеса? Есть ли сертифицированные сотрудники по непррывности бизнеса?

Мониторинг и журналы регистрации

§ Выполняется ли мониторинг действий клиентов? § … сотрудников провайдера? § … субподрядчиков провайдера? §  Как вы обеспечиваете сбор доказательств несанкционированной деятельности?

§  Как долго вы храните логи? Возможно ли увеличение этого срока?

§ Можно ли организовать хранение логов во внешнем хранилище?

§ Возможна ли интеграция с клиентской системой SIEM?

Соответствие

§ Подчиняется ли провайдер локальным нормативным требованиям? Каким? Как локальные нормативные требования соотносятся с требованиями клиента?

§ Проходил ли провайдер внешний аудит соответствия? ISO 27001 PCI DSS SAS Аттестация во ФСТЭК

Интеллектуальная собственность

§  Кому принадлежат права на информацию, переданную провайдеру? А на резервные копии? А на реплицированные данные? А на логи?

Завершение контракта

§ Процедура завершения контракта? Возврат данных? В каком формате? Как скоро я получу мои данные обратно? Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии?

§  Какие дополнительные затраты на завершение контракта?

Заключение

Критерии выбора cloud провайдера

§ Финансовая устойчивость cloud провайдера

§ Тип сервиса SaaS/PaaS/IaaS, Hosted service, Managed services

§  Клиентская база § Репутация § Безопасность § Отказоустойчивость и резервирование § Планы развития новых функций

Справочная информация

§  NIST Guidelines on Security and Privacy in Public Cloud Computing

http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf

§  ENISA Cloud Computing Risk Assessment http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport

§  Cloud Security Alliance whitepaper http://www.cloudsecurityalliance.org/csaguide.pdf

§  Evaluating Application Service Provider Security for Enterprises http://www.cisco.com/web/about/security/intelligence/asp-eval.html

§  Compliance Checklist for Prospective Cloud Customers http://www.cisco.com/web/about/doing_business/legal/privacy_compliance/docs/CloudComplianceChecklist.pdf

Пример облачного сервиса

SaaS cервис web-безопасности Cisco ScanSafe

Надежность и безопасность §  15 ЦОДов, географическая отказоустойчивость §  100% доступность сервиса за всю историю §  Сертификация SAS 70 type II §  SLA по непрерывности работы

http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco

Спасибо!

Cloud security cisco

Documents

Cisco Cloud/Hybrid Email Security の概要...1-2 Cisco Cloud/Hybrid Email Security の概要第 1 章 Cisco E メールセキュリティサービスについて Cisco クラウド

Securing the Cloud - Cisco · Access Security. Cloud Security . Network Platform . Network Visibility . Context Aware Control . Context Aware Policy . TrustSec. TrustSec. Cisco SIO

Network from the cloud with Cisco Meraki...Cisco Meraki: 100% cloud-managed networking • Cisco Meraki: a complete cloud-managed networking solution –Wireless, switching, security,

Cisco Cloud Security At-a-Glance · Cisco Cloud Security At a Glance Cisco Public What Our Customers Have to Say “Umbrella’s time-to-value was nearly immediate. Within days of

Why Cisco Cloud Email Security? - Tech Data€¦ · Cisco email security DLP, featuring integration with RSA Security. Cisco email security provides control over content, even after

Cyber Security and Cisco Security Update · •Cisco −TALOS –Threat Research Division ... Cisco Stealthwatch Enterprise offers this feature, Steathwatch Cloud in future 63% of

Cisco Cloud Web Security ASA Deployment Troubleshooting Guide · This document offers tips for resolving common errors that may occur with Cisco ® Cloud Web Security (CWS) running

Cisco Cloud Security App for IBM QRadar · 2020. 2. 21. · 1. Introduction 1.1. Overview The Cisco Cloud Security App for IBM QRadar provide insight from multiple security products

Cisco Cloud Email Security (CES)初期セットアップ …...• 本ガイドは、Office365 Online Exchange利用ユーザにおける、Cisco Cloud Email Security 初期セット

Cisco Cloud Security 1.0, Design · PDF fileCisco VMDC Cloud Security 1.0 Design Guide ... ALL FAULTS. CISCO AND THE ABOVE ... and computing and storage resources are shared among

Meraki's Cloud-Managed Networking Solution - alcatron.net Live 2014 Melbourne/Cisco Live... · Cisco Meraki: a complete cloud-managed networking solution –Wireless, switching, security

Security Services for Cloud - Cisco · new cloud service, evaluate a set of cloud providers, or assess the viability of your existing cloud strategy, Cisco Security Services can help

Contents · 2017. 11. 16. · 4. Abbreviations and Definitions Term Definition/Explanation CCWS - Cisco Cloud Web Security N4L uses the Cisco Cloud Web Security (also known as Scansafe)

OpenDNS Cloud-Security & Threat Intelligence - Cisco · OpenDNS Cloud-Security & Threat Intelligence . 2 CONFIDENTIAL AUTHORITATIVE DNS Owns and publishes ... SporB_OpenDNS_Advanced

Real, Relevant, Surprising and Fresh: Cisco Brand€¦ · •Cisco Virtual Web Security Appliance (vWSA) •Cisco Cloud Web Security UTM •Meraki MX Advanced Malware Protection •AMP

Configuring Cisco Cloud Web Security

Cognitive Threat Analytics on Cisco Cloud Web Security

Cisco Cloud Security for Public & Private Cloud Cloud Security for Public & Private Cloud ... •Training •Management • ... Splunk, ACE, NGA . ICS Nexus 1000 UCS blade chassis

Cisco Virtual Update on Cloud Security · Cisco Virtual Update on Cloud Security 25/10 –2017 Mikael Grotrian, CISSP, CISM, CCSK, GISF, ITIL, PRINCE2, TOGAF Certified Consulting

Cloud Web Security Using Cisco AnyConnect Technology Design