Облачные вычисления. Безопасность

Обзор облачных вычислений и вопросы безопасности, связанные с ними

Андрей Лысюк, CCIE, CISSP, CISM, CISA, ITILFКонсультант по информационной безопасности04/02/2012, НАУКМА

2Облачные вычисления. Безопасность

Содержание

• Основы облачных вычислений– Введение– Модели внедрения облачных вычислений– История и эволюция облачных вычислений– Техническая архитектура облачных систем и основные характеристики

– Основные движущие силы перехода на облачные системы

– Потенциальные проблемы при переходе на облачные вычисления

3Облачные вычисления. Безопасность

Содержание

• Вопросы безопасности и аудит– Готовность бизнеса к переходу на облачные системы– Оценка рисков– Распределение ответственности за риски– Основные проблемы информационной безопасности, связанные с облачными вычислениями

» Управление доступом и учетными записями» Физическая безопасность» Неправильное использование облачных систем» Небезопасный API» Инсайдеры» Технологические уязвимости» Потеря данных» Перехват сессий

– Аудит облачных систем

Облачные вычисления. Безопасность

Основы облачных вычислений

5Облачные вычисления. Безопасность

Введение

• Суть облачных вычислений– Смещение парадигмы

6Облачные вычисления. Безопасность

Введение. Определения

• Несколько определений облачных вычислений• Определение NIST:

– Удобный, организованный по требованию удаленный доступ по сети к общему пулу ресурсов, которые конфигурируются (например, сетей, серверов, приложений, хранилищ данных и сервисов), который может быть быстро предоставлен и изъят с минимальными усилиями со стороны руководства или взаимодействием с сервис-провайдером

– “Model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.”

7Облачные вычисления. Безопасность

Введение. Преимущества

• Преимущества использования– Стоимость– Масштабируемость– Сокращение жизненного цикла– Виртуализация (уменьшение стоимости, упрощение поддержки, уменьшение потребления энергии)

• История возникновения• Рынок Украины

– Слабо развитый– SAAS решения– CRM, Marketing

8Облачные вычисления. Безопасность

Введение. Оценка рисков

• Стоит ли внедрять облачные вычисления?– Новое всегда связано с рисками– Взвесить риски– Цель оправдывает средства?

• Оценка рисков– Методологические материалы от международных организаций в области ИБ (ISACA, ENISA – European Network and Information Security Agency)

– Метрики измерения рисков– Мониторинг, выбор мероприятий по уменьшению рисков

– Риск аппетит руководства компаний– Стоимость данных на “черном рынке” влияет на мотивацию злоумышленников

9Облачные вычисления. Безопасность

Введение. Факторы перехода

• Выбор модели облачных вычислений: SAAS, PAAS, IAAS

• Зрелость существующих бизнес процессов и процессов в ІТ (В соответствии с CoBIT или ITIL)

• Классификация данных компании• Обязательства перед клиентами (например, обработка персональной информации)

• Риски провайдера. Стандартов аудита провайдеров пока нет. Due diligence

10Облачные вычисления. Безопасность

Модели облачных вычислений

• Механизмы предоставления услуг– SAAS– PAAS– IAAS

• Механизмы реализации– Private (IT Outsourcing)– Public– Community– Hybrid (Some data in private, some in public)

• Диапазон применений от Private IAAS до Public SAAS (Threats, Cost)

• Модели предоставления услуг новые, мало стандартизованные

11Облачные вычисления. Безопасность

Модели облачных вычислений

• Классификация облачных вычислений

12Облачные вычисления. Безопасность

История и эволюция

• Вначале были созданы для внутреннего применения (Google, Amazon)

• Модель аналогичная 1960-1970 (развитие по спирали)

• Новые «мейнфреймы». Разница в:– Продуктивности– Протоколах

13Облачные вычисления. Безопасность

Обратно к централизации

• Системы возвращаются к централизации после очередного оборота спирали развития

14Облачные вычисления. Безопасность

Эволюция онлайн доступа

15Облачные вычисления. Безопасность

Эволюция онлайн доступа

• SOA – библиотека аплетов, которые могут быть использованы для создания приложения

• Application Programming Interfaces (APIs) –механизм меток для объединения аплетов в сети Интернет

• XML – механизм добавления тегов к информации (данным, страницам, картинкам, файлам, полям), который позволяет передавать ее любому приложению, размещенному в сети Интернет

• API и XML используются для объединения SOA, размещенных в сети

16Облачные вычисления. Безопасность

Движущие силы перехода

• Оптимизация использования серверов• Уменьшение затрат• Динамическая масштабируемость• Сокращение жизненного цикла• Уменьшение времени на внедрение

17Облачные вычисления. Безопасность

Потенциальные проблемы

• Размещение данных• Смешанные данные разных клиентов• Прозрачность политик / процедур информационной безопасности

• Права собственности на данные• Использование собственных закрытых API усложняет миграцию

• Продолжение бизнеса CSP (Cloud Service Provider)

• Защита данных в случае судового аудита (forensic audits)

• Управление правами доступа

18Облачные вычисления. Безопасность

Потенциальные проблемы

• Выявление атак• Анализ репутации других клиентов• Соответствие требованиям регуляторов

(защита персональных данных, PCI DSS, и т.д.)• Предварительный анализ собственников провайдеров облачных сервисов (due diligence)

• Безопасное уничтожение конфиденциальной информации

• Возобновление работы после катастрофНа данный момент ответственность за оценку рисков и внедрение соответствующих контролей возложена целиком на клиентов CSP

Облачные вычисления. Безопасность

Вопросы безопасности и аудит облачный систем

20Облачные вычисления. Безопасность

Готовность бизнеса к переходу

• Бизнес старается сократить затраты• Если бизнесу не подходит уровень риска, который возникает в связи с переходом, нужно отказаться от перехода

• Лучший подход – взвесить риск при переходе на облачную инфраструктуру в сравнении с внутренними рисками

21Облачные вычисления. Безопасность

Вопросы для оценки перехода

• На какую доступность рассчитывает бизнес?• Як организовано управление доступом в облачной инфраструктуре?

• Где будут размещены данные компании?• Какие возможности по восстановлению работы

CSP при катастрофах?• Как будет обеспечиваться безопасность данных компании?

• Как будет выполнено управление привилегированным доступом к данным?

• Как данные будут защищены от неправильного поведения пользователей?

22Облачные вычисления. Безопасность

Вопросы для оценки перехода

• На какой уровень изоляции рассчитывает компания?

• Как безопасность информации будет обеспечена в среде виртуализации?

• Как вся система защищена от угроз в сети Интернет?

• Каким образом будет реализован мониторинг и аудит?

• Как компания может обеспечить контроль того, что данные не были модифицированы другой стороной?

• Какие типы сертификатов или гарантии компания может получить от провайдера?

23Облачные вычисления. Безопасность

Оценка рисков

• Любое техническое решение несет в себе возможности и риски

• Для риска должны присутствовать несколько факторов:– Угроза использования уязвимости– Вероятность– Последствия

• Много угроз и уязвимостей не есть специфическими для облачной инфраструктуры

• Но, кроме классических есть и угрозы, которые специфические как раз для облачной инфраструктуры

24Облачные вычисления. Безопасность

Оценка рисков

• С точки зрения бизнес процессов переход на облачную инфраструктуру может быть выполнен с обычным подходом

• С точки зрения управления рисками есть много новых вопросов:– Определение зон ответственности– Логическое, а не физическое разграничение данных– Повышение требований к безопасности компьютерной сети

– Увеличение рисков, связанных с приложениями

25Облачные вычисления. Безопасность

Распределение ответственностей

• Риски, связанные с облачной инфраструктурой зависят от модели предоставления сервиса (SAAS, IAAS, PAAS) и модели реализации инфраструктуры (private, public, hybrid)

• Например, модель построения облака с использованием вирутализированных приложений на инфраструктуре компании очень похожа на традиционную среду ИТ

• Использование публичных сервисов по модели SAAS включает совместное использование файлов разными пользователями, миграцию данных между серверами, динамическое изменение объема данных

26Облачные вычисления. Безопасность

Распределение ответственностей

27Облачные вычисления. Безопасность

Основные проблемы ИБ

• Управление доступом и учетными записями• Физическая безопасность• Неправильное использование облачных систем• Небезопасный API• Инсайдеры• Технологические уязвимости• Потеря данных• Перехват сессий

28Облачные вычисления. Безопасность

Управление доступом

• Пользователи были и есть угрозой для данных. Злоумышленные действия или неумышленные ошибки угрожают целостности и доступности данных

• Для контроля доступа к информации необходимо внедрить процедуры управления доступом– Классификация данных– Ролевой доступ– Контроль доступа инсайдеров– Предоставление, изменение и блокирование доступа

• Для публичного доступа количество людей, которые имеют доступ увеличивается

29Облачные вычисления. Безопасность

Физическая безопасность

• Для частной облачной инфраструктуры риски физической безопасности аналогичны рискам для традиционной инфраструктуры

• Для публичной облачной инфраструктуры размещение серверов может отличаться от ожидаемого

• Важность определения размещения оборудования:– BCP/DRP (SLA для DRP)– Соответствие требованиям регуляторов

30Облачные вычисления. Безопасность

Неправильное использование

• Монополизация ресурсов• Быстрая регистрация и использование• Анонимность• Использование для неправомерных действий• Потенциальная угроза другим клиентам

31Облачные вычисления. Безопасность

Небезопасный API

• API для взаимодействия с облачными сервисами

• Безопасность зависит от API• Использования API компаниями для предоставления сервисов своим клиентам

• Расширение атрибутов аутентификации• Требования безопасности к API

– Аутентификация– Контроль доступа– Шифрование– Мониторинг действий– Контроль попыток обойти политику

32Облачные вычисления. Безопасность

Инсайдеры

• Риск существует и для традиционной среды• Увеличение риска для CSP и для клиентов CSP• В традиционной среде компания имеет дело с сотрудниками, которых она:– Контролирует в рамках трудовых взаимоотношений– Проверяет перед наймом на работу

• При потреблении услуг CSP традиционные контроли от инсайдеров не работают

• Доступ инсайдеров, которые работают на CSP, к информации большой

• Риски инсайдеров: влияние на репутацию, финансовые убытки, влияние на продуктивность

33Облачные вычисления. Безопасность

Технологические уязвимости

• Провайдер IAAS предоставляет доступ к общей инфраструктуре

• Часто компоненты инфраструктуры не разработаны с учетом требований по изоляции

• Для изоляции используют гипервизор, который может иметь ошибки

• Последние годы наблюдаются атаки на технологии совместного использования общих ресурсов

34Облачные вычисления. Безопасность

Потеря / утечка данных

• Как и в традиционный инфраструктуре есть ряд атак на данные в облаке

• Модификация данных без резервной копии• Удаление данных без резервной копии• Потеря ключа шифрования данных• Влияние на данные других клиентов при ошибках контроля доступа к данным

35Облачные вычисления. Безопасность

Перехват сессий

• Перехват учетной записи или сессии не есть новой угрозой

• Облачные вычисления добавляют новый уровень риска

• Потенциальная возможность злоумышленнику:– Иметь доступ к транзакциям– Манипулировать данными– Возвращать искаженную информацию– Перенаправлять клиентов на другие сайты– Использовать как промежуточную площадку

36Облачные вычисления. Безопасность

Аудит облачных систем

• Традиционная среда – аудит включал анализ исторических транзакций

• Новый подход к аудиту– Реальное время– Непрерывный– Ориентация на процессы а не на фиксированные транзакции

• Стандартов аудита пока еще нет

37Облачные вычисления. Безопасность

Ссылки

• Каталог SaaS компаний в Росії: – http://saas4russia.wordpress.com/directory/

• ENISA Cloud Computing Information Assurance Framework– http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-

computing-information-assurance-framework

• ENISA Cloud Computing Risk Assessment– http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-

computing-risk-assessment