Cloud security cisco

© 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing 1/50

Как выбрать провайдера

облачных услуг с точки зрения ИБ?

Павел Антонов Инженер консультант [email protected]

2/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing

VS.

Миграция на “облако” Стимулы и препятствия


Препятствия на пути к облакам

Источник: IDC, Апрель 2009


Миграция на “облако” Кто и что контролирует?

?Контроль у нас Ресурс расположен в X Хранится на серверах Y, Z Мы выполняем резервное копирование Наши администраторы контролируют доступ Мы отвечаем за работоспособность Мы проводим/участвуем в аудитах Наши специалисты ИБ выполняют мониторинг

Кто контролирует? Где расположен ресурс? Где хранится? Как выполняется резервное копирование? Кто имеет доступ? Как гарантируется работоспособность? Кто проводит аудит? Как наши специалисты по ИБ будут вовлечены?

?

?

?

?

До После


Уровни потери контроля

Своя ИТ-служба

Хостинг-провайдер IaaS PaaS SaaS

Данные Данные Данные Данные Данные

Приложения Приложения Приложения Приложения Приложения

ОС/VM OC/VM OC/VM OC/VM OC/VM

Сервер Сервер Сервер Сервер Сервер

Хранение Хранение Хранение Хранение Хранение

Сеть Сеть Сеть Сеть Сеть

- Контроль у заказчика

- Контроль распределяется между заказчиком и cloud провайдером

- Контроль у cloud провайдера


Сложности обеспечения ИБ в облаке § Технические:

Виртуализация и синхронизация данных размывают периметр

Разделяемые между всеми клиентами ресурсы

§ Организационные: Какие у клиента есть возможности контролировать обеспечение ИБ?

Как проверить то, что написано на бумаге?

Что cloud сам провайдер отдает на аутсорсинг?

§ Юридические: Соответствие законодательству(ам)

§ Специфические: Как на счет защиты от DDoS?


Если вы решились

§ Стратегия безопасности Определите активы и наложите их на модель облачных услуг Сформируйте модель угроз Оцените риски Сформулируйте требования по безопасности Пересмотрите свой взгляд на понятие «периметра ИБ» Пересмотрите собственные процессы обеспечения ИБ Проведите обучение пользователей Продумайте процедуры контроля провайдера Юридическая проработка взаимодействия с провайдером

§ Выбор cloud провайдера Чеклист оценки ИБ cloud провайдера


Предложения рынка SaaS

§ Управление бизнесом (ERP, CRM, Service Desk, etc.) § Унифицированные коммуникации (телефония, видеоконференции)

§ Средства совместной работы § Информационная безопасность § … и т.д. вплоть до офиса из облака


Активы

§ Информационные Конф. данные, записи VoIP/Video, учетные записи и пароли, статистика о поведении компании/сотрудников

§ Организационные Взаимодействие с клиентами и партнерами, удобство пользования, др. процессы и обязательства

§ Репутационные Надежность, инновационность, мнение клиентов о cloud провайдере(ах)

§ Стратегические На сколько критична для бизнеса передаваемая провайдеру функция? На сколько развита конкуренция на рынке таких услуг?


Риски § Технические

Потеря данных, отказ сервиса, недостаток ресурсов, перехват/подмена данных в процессе передачи, ненадежное удаление данных, DDoS атака

§ Организационные Разглашение, соответствие законодательству/стандартам, инсайд, закрытие компании провайдера

§ Юридические Особенности законодательства других стран, смена юрисдикции, претензии третьих сторон к провайдеру, сублицензирование


Выбор cloud провайдера с точки зрения ИБ Чек лист оценки ИБ cloud провайдера

§  Защита данных §  Управление уязвимостями §  Управление идентификацией §  Физическая безопасность и персонал §  Доступность и производительность

§  Безопасность приложений §  Управление инцидентами §  Privacy §  Непрерывность бизнеса и восстановление после катастроф §  Мониторинг и журналы регистрации §  Соответствие §  Завершение контракта

§  Интеллектуальная собственность


Защита данных §  Где хранятся мои данные? §  Как мои данные отделены от данных других клиентов? §  Кому еще доступны мои данные? §  Как обеспечивается конфиденциальность и целостности моих данных?

§  Как осуществляется контроль доступа к моим данным? Сотрудников клиента? Сотрудников провайдера? Субподрядчиков провайдера?

§  Как данные защищаются при передаче от меня к провайдеру?

От одной площадки провайдера к другой? От провайдера к его субподрядчикам?

§  Как данные удаляются?


Управление уязвимостями

§  Как часто сканируется сеть и приложения? § Можно ли осуществить внешнее сканирование сети провайдера?

§  Каков процесс устранения уязвимостей?


Управление идентификацией

§ Возможна ли интеграция с моим каталогом учетных записей?

§ Если у провайдера собственная база учетных записей, то: Как она защищается? Как осуществляется управление учетными записями?

§ Поддерживается ли SSO? Какой стандарт? § Поддерживается ли федеративная система аутентификации? Какой стандарт?

§ Поддерживается ли ролевая модель доступа?


Физическая безопасность и персонал

§  Контроль доступа осуществляется в режиме 24х7? § Выделенная инфраструктура или разделяемая с другими компаниями?

§ Регистрируется ли доступ персонала к данным клиентов?

§ Есть ли результаты оценки внешнего аудита? §  Какова процедура набора персонала?


Доступность

§ Уровень доступности в SLA (сколько девяток?) §  Какие меры обеспечения доступности используются для защиты от угроз и ошибок? Резервный оператор связи Защита от DDoS

§ Доказательства высокой доступности провайдера § План действия во время простоя § Пиковые нагрузки и возможность провайдера справляться с ними


Безопасность приложений

§ Исполнение рекомендаций и стандартов при разработке приложений

§ Процедура тестирования для внешних приложений и исходного кода

§ Существуют ли приложения третьих фирм при оказании сервиса?

§ Используемые меры защиты приложений Web Application Firewall Аудит БД


Управление инцидентами

§ План реагирования на инциденты Включая метрики оценки эффективности

§ Взаимосвязь вашей политики управления инцидентами и провайдера


Privacy

§ Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу

§  Какие данные собираются о заказчике? Где хранятся? Как? Как долго?

§  Какие условия передачи данных клиента третьим лицам? Законодательство о правоохранительных органах, адвокатские запросы и т.п.

§  Гарантии нераскрытия информации третьим лицам и третьими лицами?


Непрерывность бизнеса

§ План обеспечения непрерывности бизнеса и восстановления после катастроф

§  Где находится резервный(е) ЦОД? § Проходил ли провайдер внешний аудит по непрерывности бизнеса? Есть ли сертифицированные сотрудники по непррывности бизнеса?


Мониторинг и журналы регистрации

§ Выполняется ли мониторинг действий клиентов? § … сотрудников провайдера? § … субподрядчиков провайдера? §  Как вы обеспечиваете сбор доказательств несанкционированной деятельности?

§  Как долго вы храните логи? Возможно ли увеличение этого срока?

§ Можно ли организовать хранение логов во внешнем хранилище?

§ Возможна ли интеграция с клиентской системой SIEM?


Соответствие

§ Подчиняется ли провайдер локальным нормативным требованиям? Каким? Как локальные нормативные требования соотносятся с требованиями клиента?

§ Проходил ли провайдер внешний аудит соответствия? ISO 27001 PCI DSS SAS Аттестация во ФСТЭК


Интеллектуальная собственность

§  Кому принадлежат права на информацию, переданную провайдеру? А на резервные копии? А на реплицированные данные? А на логи?


Завершение контракта

§ Процедура завершения контракта? Возврат данных? В каком формате? Как скоро я получу мои данные обратно? Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии?

§  Какие дополнительные затраты на завершение контракта?


Заключение


Критерии выбора cloud провайдера

§ Финансовая устойчивость cloud провайдера

§ Тип сервиса SaaS/PaaS/IaaS, Hosted service, Managed services

§  Клиентская база § Репутация § Безопасность § Отказоустойчивость и резервирование § Планы развития новых функций


Справочная информация

§  NIST Guidelines on Security and Privacy in Public Cloud Computing

http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf

§  ENISA Cloud Computing Risk Assessment http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport

§  Cloud Security Alliance whitepaper http://www.cloudsecurityalliance.org/csaguide.pdf

§  Evaluating Application Service Provider Security for Enterprises http://www.cisco.com/web/about/security/intelligence/asp-eval.html

§  Compliance Checklist for Prospective Cloud Customers http://www.cisco.com/web/about/doing_business/legal/privacy_compliance/docs/CloudComplianceChecklist.pdf


Пример облачного сервиса


SaaS cервис web-безопасности Cisco ScanSafe

Надежность и безопасность §  15 ЦОДов, географическая отказоустойчивость §  100% доступность сервиса за всю историю §  Сертификация SAS 70 type II §  SLA по непрерывности работы


http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco

Спасибо!

Documents

Cloud security cisco