Александр Бондаренко, CISA, CISSP

Директор департамента консалтинга LETA IT

Риски использования облачных технологий

Что такое Cloud Computing ?!

это не новая технология, а новый способ предоставления ИТ-сервисов

это понятная для бизнеса модель

растущая и пока не устоявшаяся отрасль

Page § 3

Формы использования облачных технологий

Platform as a Service (PaaS)

Software as a Service (SaaS)

Infrastructure as a Service (IaaS)

Public Cloud

Private Cloud

Hybrid Cloud

Page § 4

Последствия: невозможность/сложность миграции от одного провайдера к другому или в собственное приватное облако Примеры: § --

Контрмеры:

тщательный подход к выбору провайдера

выбор провайдера, использующего открытые стандарты

закладка возможности портирования в программный код

Риск - «Привязка» к провайдеру

Page § 5

Риск – Банкротство или поглощение провайдера

Последствия: остановка предоставления сервиса, изменение предоставляемых услуг

Примеры: Июнь 4, 2009, Cassatt, the San Jose, Calif.-based provider of cloud computing environments, has sold its assets to public IT management firm CA for an undisclosed sum

Февраль 25, 2009, Coghead customers have two months to save their data SAP buys the cloud app hosting service's technology but has no plans to keep the platform going

Контрмеры: тщательный подход к выбору провайдера

работа с несколькими провайдерами

наличие плана действий по смене провайдера

Page § 6

Последствия: приостановка предоставления сервиса, потеря информации

Примеры: Декабрь 6, 2010, The Tumblr blog-hosting platform has been down for more than 17 hours, in what appears to be the longest outage in the company’s history

Октябрь 12, 2010, Heroku experienced an unplanned maintenance outage. The outage was the result of a hardware issue with a misbehaving database.

Август 25, 2010, A number of businesses suffered "intermittent access" to their web-based Microsoft applications this week following a fault at the software giant's US datacentre

Контрмеры: тщательный подход к выбору провайдера

определение требований и санкций в SLA

Риск – Сбои на стороне провайдера

Page § 7

Риск – Потеря связи с провайдером

Последствия: невозможность получить доступ к сервисам, остановка бизнес-процессов

Примеры: Январь 2011, В Египте произошло полное отключение Интернета крупными провайдерами (Etisalat Misr, Link Egypt, Telecom Egypt и Vodafone/Raya), а также частичное отключение мобильной связи

Июль 2009, Власти Китая подтвердили факт блокирования доступа в интернет в городе Урумчи Синьцзян-Уйгурского автономного района, в котором развернулись народные волнения на межнациональной почве.

Январь 2008, В результате разрыва оптоволоконных магистралей на дне Средиземного моря, соединяющих Ближний Восток и Южную Азию с Европой и Северной Америкой, миллионы пользователей оказались отрезаны от интернета и фиксированной телефонной связи. На восстановление работы сети в штатном режиме потребуется до двух недель, заявляют официальные лица.

Page § 8

Риск – Потеря связи с провайдером

Последствия: невозможность получить доступ к сервисам, остановка бизнес-процессов

Контрмеры: выбор провайдера, имеющего датацентры в нескольких странах

спутниковая интернет-связь

наличие резервной копии критичных систем в частном облаке

Page § 9

Риск – Перехват информации при передаче

Последствия: несанкционированный доступ и (при необходимости) изменение информации Примеры: § -- Контрмеры:

Использование криптографии при передаче информации

Обучение пользователей правилам безопасности

Page § 10

Риск - Утрата соответствия требованиям

Последствия: штрафы и иные санкции со стороны регуляторов

Примеры: Amazon, 2009, From a compliance and risk management perspective, we (Amazon) recommend customers not to store sensitive credit card payment information on EC2/S3 systems as they are not inherently PCI level 1 compliant.

Контрмеры: тщательный подход к выбору провайдера

консультации с регуляторами/аудиторами (QSA)

Page § 11

Риск - Потеря контроля над данными/инфраструктурой

Последствия: отсутствие возможности обеспечения должного уровня безопасности

Примеры: Октябрь 2010, Adam Swidler, a product marketing manager at Google speaking at the Mass Technology Leadership Council Security Summit. "We won't let you audit to the degree that you would audit your own infrastructure," Swidler says. "It's never going to be the same as auditing your own infrastructure. You'll have to extend some level of trust to third-party verification."

Контрмеры: проведение аудитов безопасности провайдера

выбор провайдера, отвечающего требованиям по ИБ

мониторинг уровня сервиса и инцидентов ИБ

доверие J

Page § 12

Риск – Невозможность уничтожения информации

Последствия: утечка информации, санкции со стороны регуляторов Примеры: §  -- Контрмеры:

шифрование данных в облаке

обезличивание/маскирование информации

включение требований по процедуре уничтожения информации в SLA

Page § 13

Риск – Инсайдеры на стороне провайдера

Последствия: кража и/или изменение информации Примеры: § -- Контрмеры:

шифрование данных в облаке

обезличивание/маскирование информации

Page § 14

Риск – Взлом интерфейсов управления

Последствия: кража, изменение, уничтожение информации и/или прикладных систем Примеры: § -- Контрмеры:

двухфакторная аутентификация

шифрования передаваемых данных аутентификации

обеспечение безопасности на стороне клиента

Page § 15

Риск – DDOS

Последствия: невозможность получить доступ к сервисам, остановка бизнес-процессов Примеры:

Октябрь 2009, a customer of Amazon’s cloud computing service - Bitbucket (www.bitbucket.org), a web-based code hosting service that uses both EC2 and the Amazon’s Elastic Block Storage - reported 19 hours of downtime as a result of a DDoS attack.

Апрель 2009, Hosting company GoGrid suffered a denial of service attack Monday afternoon, which affected approximately half of its thousands upon thousands of customers, said its co-founder on Tuesday.

Контрмеры: выбор ddos-устойчивого провайдера

работа с несколькими провайдерами

Page § 16

Риск – Деятельность других пользователей облака

Последствия: несанкционированный доступ к информации, невозможность получить доступ к сервисам, остановка бизнес-процессов и проч…

Примеры: Апрель 2009, The FBI raided a Dallas carrier hotel Thursday and seized equipment from data center space operated by Core IP Networks. “Many customers went to the data center to try and retrieve their equipment, but were threatened with arrest.”

Сентябрь 2010, ATBHost.net experienced a customer attempting to hack other WordPress users on the same server and replaced their sites with malicious phishing sites.

Контрмеры:

тщательный подход к выбору провайдера

работа с несколькими провайдерами

Page § 17

Заключение

Cloud Computing – объективное ИТ-будущее, с которым не надо бороться, надо адаптироваться Обеспечить безопасность «в облаке» в ряде случаев и проще и эффективнее

Облачные технологии в перспективе способны обеспечить более высокий уровень отказоустойчивости и надежности

Page § 18

СПРАВОЧНАЯ  ИНФОРМАЦИЯ  

http://www.cloudsecurityalliance.org/topthreats.html

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

http://cloutage.org/

http://cloudcomputing.sys-con.com/node/1465147 http://cloudcomputingtopics.com/2010/10/avoiding-cloud-computing-lock-in/ http://www.infoworld.com/t/platforms/coghead-customers-have-two-months-save-their-

data-815 http://gigaom.com/2010/12/06/tumblr-outage-continues-can-it-pull-a-twitter-and-

recover/ http://www.information-age.com/channels/security-and-continuity/news/1278058/

microsoft-cloud-services-suffer-outage.thtml

КОНТАКТНАЯ  ИНФОРМАЦИЯ  

Бондаренко Александр Валерьевич E-mail: al.bondarenko@gmail.com LinkedIn: http://ru.linkedin.com/in/alexbondarenko Blog: http://secinsight.blogspot.com