Чеклист по безопасности облачного провайдера
DESCRIPTION
TRANSCRIPT
Что требовать от облачного провайдера с точки зрения информационной безопасности!
Лукацкий Алексей, бизнес-консультант по ИБ [email protected]
ТЕНДЕНЦИИ
ОБЛАЧНЫЕ СРЕДЫ ВИРТУАЛИЗАЦИЯ
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ
Уходя от традиционного периметра…
Периметр
Филиал
Приложения и данные
Офис
Политика
Хакеры Заказчики Партнеры
…к отсутствию контролируемой зоны…
Периметр
Филиал
Приложения и данные
Офис
Политика
Хакеры Заказчики
Дом
Кафе
Аэропорт
Мобильный пользователь Партнеры
…и облакам…
Периметр
Филиал
Приложения и данные
Офис
Политика
Хакеры
Дом
Кафе Заказчики
Аэропорт
Мобильный пользователь Партнеры
Platform as a Service
Infrastructure as a Service
X as a Service
Software as a Service
…пора подумать о смене парадигмы ИБ…
Периметр
Филиал
Приложения и данные
Офис
Политика
Хакеры
Дом
Кафе Заказчики
Аэропорт
Мобильный пользователь Партнеры
Platform as a Service
Infrastructure as a Service
X as a Service
Software as a Service
Почему Cisco говорит об облачной безопасности?!
7
Число CSP (400+) Sales
Finance
Manfacturing
C&C Platform
CDO
Consumer IT
Customer Service
HR
Acquisitions
БЕЗОПАСНОСТЬ ОБЛАКА
Если вы решились (или решили за вас)
• Стратегия безопасности облачных вычислений – Пересмотрите свой взгляд на понятие «периметра ИБ» – Оцените риски – стратегические, операционные, юридические – Сформируйте модель угроз – Сформулируйте требования по безопасности – Пересмотрите собственные процессы обеспечения ИБ – Проведите обучение пользователей – Продумайте процедуры контроля облачного провайдера – Юридическая проработка взаимодействия с облачным провайдером
• Стратегия выбора аутсорсера – Чеклист оценки ИБ облачного провайдера
Чеклист выбора облачного провайдера с точки зрения ИБ
• Защита данных и обеспечение privacy • Управление уязвимостями • Управление identity • Объектовая охрана и персонал • Доступность и производительность • Безопасность приложений • Управление инцидентами • Непрерывность бизнеса и восстановление после катастроф • Ведение журналов регистрации (eDiscovery) • Сompliance • Финансовые гарантии • Завершение контракта • Интеллектуальная собственность
Cisco Cloud Risk Assessment Framework
11
R1: Data Risk and
Accountability R2: User Identity R3: Regulatory
Compliance
R4: Business Continuity & Resiliency
R5: User Privacy & Secondary Usage of Data
R6: Service & Data Integration
R7: Multi-tenancy & Physical Security
R8: Incident Analysis & Forensics
R9: Infrastructure
Security
R10: Non-production
Environment Exposure
Защита данных: вопрос №1
• Как мои данные отделены от данных других клиентов? • Где хранятся мои данные? • Как обеспечивается конфиденциальность и целостность моих данных?
• Как осуществляется контроль доступа к моим данным? • Как данные защищаются при передаче от меня к облачному провайдеру?
• Как данные защищаются при передаче от одной площадки облачного провайдера до другой?
• Реализованы ли меры по контролю утечек данных? • Может ли третья сторона получить доступ к моим данным? Как?
– Оператор связи, аутсорсер облачного провайдера, силовики • Все ли мои данные удаляются по завершении предоставления сервиса?
Данные Cisco или клиентов?
Чьи данные передаются? Cisco или клиентов/партнеров?
Классификация данных Данные какой классификации (грифов) будут отдаваться в облако?
Размещение данных Где физически/географически будут размещены данные в облаке?
Потоки данных Использование схем потоков данных (если нужно)
Регуляторика Передаваемые данные (например, ПДн) подпадают под регуляторные требования?
Данные клиентов Тоже самое для данных клиентов
Пример Cisco: Какие данные и куда вы хотите передавать?
13
Privacy
• Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу
• Какие данные собираются о заказчике? – Где хранятся? Как? Как долго?
• Какие условия передачи данных клиента третьим лицам? – Законодательство о правоохранительных органах, адвокатские запросы и т.п.
• Гарантии нераскрытия информации третьим лицам и третьими лицами?
Доступность
• Обеспечиваемый уровень доступности в SLA – Сколько девяток?
• Какие меры обеспечения доступности используются для защиты от угроз и ошибок? – Резервный оператор связи – Резервная площадка – Защита от DDoS
• Какие доказательства высокой доступности облачного провайдера могут быть представлены? – Результаты независимого аудита
• План действий во время простоя • Пиковые нагрузки и возможность облачного провайдера справляться с ними
• Уровень сертификации ЦОД облачного провайдера
Текущий SLA Amazon
16
Что такое 99,95% доступности?
• 365 дней = 8760 часов • 100% = 0 часов простоя • 99,999% ≈ 7 минут простоя • 99,99% ≈ 55 минут простоя • 99,95% ≈ 4,4 часа простоя • 99,9% ≈ 9 часов простоя • 99% ≈ 87 часов простоя
• Просто умножьте время простоя на ваши доходы – Это приемлемо?
• Уточните, провайдер учитывает только простой или еще время восстановления
Пример Cisco: уровни критичности сервисов
18
C-Level Term Impact Description
C1 Mission Imperative Any outage results in immediate cessation of a primary function, equivalent to immediate and critical impact to revenue generation, brand name and/or customer satisfaction; no downtime is acceptable under any circumstances
C2 Mission Critical Any outage results in immediate cessation of a primary function, equivalent to major impact to revenue generation, brand name and/or customer satisfaction
C3 Business Critical Any outage results in cessation over time or an immediate reduction of a primary function, equivalent to minor impact to revenue generation, brand name and/or customer satisfaction
C4 Business Operational A sustained outage results in cessation or reduction of a primary function
C5 Business Administrative
A sustained outage has little to no impact on a primary function
Пример Cisco: матрица доступности сервисов по уровням критичности
19
Criticality Classification Matrix v3.0
Operational Continuity (Planned and Unplanned Downtime) Disaster Recovery
Adjusted Availability
Ceiling
Planned Downtime Acceptabl
e?
Acceptable Recovery
Time (ART, hours)
Acceptable Data Loss
(ADL, Hours)
Reduced Performance Acceptable (Single DC
Loss)?
Recovery Time
Objective (RTO, in Hours)
Recovery Point
Objective (RPO, in Hours)
Reduced Performance Acceptable
(Large-Scale Disaster)?
Criticality Level
Distrib-ution
Up to 99.999% N ~0 ~0 N n/a** n/a n/a C1
< 5% Up to
99.995% N 1 0 N 4 1 N C2
Up to 99.99% Y 4 0 N 24 1 Y C3 ~10%
Up to 99.9% Y 24 1 Y 48 24 Y C4 > 60%
Up to 99.9% Y Best Effort 24 Y Best Effort 1 wk Y C5 < 25%
• ART = Maximum downtime following incidents (up to and including one DC in Metro down) • ADL = Maximum data loss following incidents (up to and including one DC in Metro down) • RTO = Maximum downtime for applications following large-scale disaster (multiple Tier-III DCs in Metro down, highly
unlikely) • RPO = Maximum data loss following large-scale disaster (multiple Tier-III DCs in Metro down, highly unlikely) ** Targeting distributed architectures (active/active over large distance) to meet service continuity requirements without DR
invocation
Непрерывность бизнеса
• План обеспечения непрерывности бизнеса и восстановления после катастроф
• Есть ли у вас резервный ЦОД, если облачный провайдер уйдет в небытие? – Или вы решите не продлевать с ним договор на оказание облачных услуг
– Или к облачному провайдеру нагрянут «маски-шоу» • Проходил ли облачный провайдер внешний аудит по непрерывности бизнеса? – Есть ли сертифицированные сотрудники по непрерывности бизнеса?
Управление identity
• Возможна ли интеграция с моим каталогом учетных записей? Каким образом?
• Если у облачного провайдера собственная база учетных записей, то – Как она защищается? – Как осуществляется управление учетными записями?
• Поддерживается ли SSO? Какой стандарт? • Поддерживается ли федеративная система аутентификации? Какой стандарт?
Пример Cisco: идентификация и аутентификация пользователей
Identity Federation
SAML
Решение 1. Federated
Identity 2. OAuth для интеграции с backend API
22
Безопасность приложений
• Исполнение рекомендаций OWASP при разработке приложений • Процедура тестирования для внешних приложений и исходного кода – По ряду нормативных актов России это может стать обязательной нормой
• Существуют ли приложения третьих фирм при оказании сервиса? • Используемые меры защиты приложений
– Web Application Firewall – Database Firewall – Аудит БД
Управление уязвимостями
• Как часто сканируется сеть и приложения? – Попадает ли облачный провайдер под требования PCI DSS и ежеквартального сканирования со стороны ASV?
• Может ли заказчик осуществить внешнее сканирование сети облачного провайдера с целью контроля его защищенности? На каких условиях?
• Каков процесс (и SLA) устранения уязвимостей?
Управление инцидентами
• План реагирования на инциденты – Включая метрики оценки эффективности
• Взаимосвязь вашей политики управления инцидентами и облачного провайдера – Особенно для зарубежных облачных провайдеров, находящихся в другом часовом поясе
• Сотрудники облачного провайдера говорят на вашем родном языке? – При оперативном реагировании на инциденты времени искать переводчика не будет
Журналы регистрации
• Как облачный провайдер обеспечивает сбор доказательств несанкционированной деятельности?
• Как долго облачный провайдер хранит логи? Возможно ли увеличение этого срока?
• Можно ли организовать хранение логов во внешнем хранилище? Как?
Объектовая охрана и персонал
• Контроль доступа на территорию облачного провайдера осуществляется в режиме 24х7?
• Выделенная инфраструктура или разделяемая с другими компаниями?
• Регистрируется ли доступ персонала к данным клиентов? • Есть ли результаты оценки внешнего аудита? • Какова процедура набора персонала?
Законодательный compliance: пока есть вопросы
• Защита конфиденциальной информации – Обеспечение конфиденциальности – Уведомление о фактах утечки – Оказание услуг в области шифрования – Деятельность по технической защите конфиденциальной информации
– Обеспечение безопасности • Защита прав субъектов персональных данных • Защита государственных информационных ресурсов • Защита банковской тайны • Обеспечение СОРМ • Сбор и хранение данных для судебных разбирательств
(eDiscovery) • Юрисдикция и ответственность
Виды защищаемой информации
• 65 видов тайн в российском законодательстве
• Персональные данные
• Коммерческая тайна • Банковская тайна • Тайна переписки • Инсайдерская информация
• …
Юрисдикция или кому подчиняется ваше облако?
• Американские компании, действующие на территории других стран остаются подотчетными американскому законодательству и требованиям американских регуляторов – Американские регуляторы могут затребовать любые данные у американского облачного провайдера (Google, Oracle, Microsoft/Skype и т.д.) без согласования с пользователем облачных услуг
Кому будут принадлежать права на информационные ресурсы?
• Кому принадлежат права на информацию, переданную облачному провайдеру? – А на резервные копии? – А на реплицированные данные? – А на логи? – А на приложения?
• Удостоверьтесь, что ваш контракт не приводит к потере прав на информацию и иные ресурсы, переданные облачному провайдеру
Интеллектуальная собственность
• Какие виды интеллектуальной собственности могут обрабатываться в облаке? – Приложения (программы для ЭВМ) и базы данных – Телевизионное вещание (IPTV) – Секреты производства (ноу-хау) – Промышленная собственность (изобретения и т.п.) – Средства индивидуализации (товарные знаки и т.п.)
• Что с защитой интеллектуальной собственности? – А она у вас оценена?
• Введен ли режим коммерческой тайны для секретов производства? – Если режим защиты КТ сложно ввести у себя на предприятии, то как его ввести на чужом предприятии?
Финансовые гарантии
• Какая компенсация подразумевается в случае инцидента безопасности или нарушения SLA? – Процент от упущенной выгоды – Процент от заработка за время простоя – Процент от стоимости утекшей информации – Процент от суммы договора на оказание облачных услуг
Завершение контракта
• Процедура завершения контракта? – Возврат данных? В каком формате? – Как скоро я получу мои данные обратно? – Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии?
• Какие дополнительные затраты на завершение контракта?
Ключевой вопрос: как контролировать облачного провайдера?
• Как проконтролировать выполнение защитных мер в облаке? – Заказчик вынужден требовать от исполнителя некоторых гарантий, которые позволят ему выполнять свои обязанности в части внутреннего контроля над информационными потоками
• Кто у заказчика будет осуществлять мониторинг и контроль облачного провайдера?
• Есть ли регламенты, процедуры и инструменты? • Как получить доступ и проверить провайдера облачных услуг, находящегося заграницей?
ПОДВОДЯ ИТОГИ
Что все это значит для вас?!
• Технически облако может быть эффективно защищено с помощью существующих технологий – Если вы знаете, что требовать
• В настоящий момент вопросы законодательного регулирования облачных вычислений находятся только в начале своего развития – Если для вас это риски, то не закрывайте на них глаза – роль регуляторики в области ИБ возрастает очень сильно
• Россия готовит ряд нормативных актов, регулирующих облачные вычисления – Основной акцент на национальную безопасность
• При переходе в облака важна не сама защита (ее обеспечиваете не вы), а контроль
• Ключевой вопрос – что прописано в договоре?!
Спасибо!