Сертифицированные сервисы безопасности из «облака»...
Post on 08-Aug-2015
42 views
TRANSCRIPT
Сертифицированные сервисы безопасности из
«облака» КРОК
Москва, 30.09.2014
Евгений Дружинин,
эксперт по информационной безопасности
2
СОДЕРЖАНИЕ
• Ожидания и потребности заказчиков в области аутсорсинга услуг ИБ
• Подводные камни при обеспечении соответствия аутсорсинговых услуг ИБ законодательству РФ в части защиты персональных данных
• ЦУБ – эксклюзивное предложение КРОК по ИБ-услугам на рынке
• Возможности
• Возможные сценарии использования
3
ИБ-ПОТРЕБНОСТИ ЗАКАЗЧИКОВ ПРИ АУТСОРСИНГЕ
• Ресурсы ЦОД • Публичное облако (IaaS)
• Требуется разместить информационную систему персональных данных (ИСПДн) в соответствии с требованиями 152-ФЗ на площадке КРОК
• Необходимо использовать сертифицированные средства защиты ресурсов, размещенных на площадке Крок
• Недостаточно базовых средств защиты облачной платформы Крок
Как обеспечить защиту ИТ-системы быстро, качественно, конкурентоспособно, универсально,
в соответствии с требованиями регуляторов?
Заказчик
Крок • ПО как услуга (SaaS)
4
ОСОБЕННОСТИ СООТВЕТСТВИЯ
ТРЕБОВАНИЯМ 152-ФЗ ПРИ АУТСОРСИНГЕ
• Ответственность за защиту ПДн несет оператор (заказчик)
• Необходимость использования сертифицированных средств защиты
• Механизм определения мер защиты ИСПДн регламентирован (152-ФЗ, ПП-1119, Приказ №21 ФСТЭК России)
• Требования к средствам защиты зависят от изначальной классификации ПДн и специфики соответствующей ИСПДн
• Меры защиты ИСПДн могут быть реализованы как самим оператором, так и поставщиком услуг. И эти меры должны быть согласованы между собой!
5
РАЗНИЦА В ПОДХОДАХ К ЗАЩИТЕ ПДН.
СОБСТВЕННАЯ ИНФРАСТРУКТУРА ИЛИ АУТСОРСИНГ ?
6
КЛЮЧЕВЫЕ ВОПРОСЫ ПРИ РАЗМЕЩЕНИИ ИСПДН
ЗАКАЗЧИКОВ В КРОК
• Где размещать ИСПДН Заказчиков?
• Физическая среда (ЦОД) – вопросов нет!
• Виртуальная среда – требуется обеспечить защиту виртуальной среды в соответствии с требованиями регуляторов
• Как построить систему защиты ИСПДн Заказчиков?
• Требуются сертифицированные СрЗИ
– Без виртуализации – возможно, но долго; тяжело сопровождать
– С виртуализаций – быстро и легко управлять, но нужна виртуальная среда, защищенная в соответствии с требованиями регуляторов
7
ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИБ ПУБЛИЧНОГО
ОБЛАКА КРОК
• Отсутствует сертификация механизмов ИБ платформы виртуализации (гипервизор KVM)
• Не существует сертифицированных средств защиты для гипервизора KVM
• Перечень штатных механизмов ИБ ограничен
8
ЦУБ - ОТВЕТ КРОК ЗАПРОСАМ РЫНКА
• Требования быстроты развертывания ИБ-сервисов могут быть решены с помощью платформы виртуализации
• Требования регуляторов по ИБ могут быть решены:
• Защитой виртуальной платформы с использованием сертифицированных средств защиты
• Использованием внутри виртуальной платформы ИБ-сервисов, реализованных с использованием сертифицированных средств защиты
Вывод: требуется создать соответствующую виртуальную платформу (ЦУБ)
9
ЦУБ – ЗАЩИЩЕННАЯ ПЛАТФОРМА
ПРЕДОСТАВЛЕНИЯ ИБ-СЕРВИСОВ
• Эксклюзивное предложение на рынке
• В основе – сертифицированный гипервизор
• Основные средства защиты ЦУБ – сертифицированные СЗИ
• Места размещения ЦУБ: ЦОД Волочаевская, ЦОД Компрессор
• В ЦУБ возможно функционирование сертифицированных ФСТЭК/ФСБ и несертифицированных сервисов ИБ
• Объекты защиты ЦУБ: ИТ-системы в облаке Крок, ЦОДах Крок, в самом ЦУБ
10
КАТАЛОГ ИБ-СЕРВИСОВ ЦУБ
• Межсетевое экранирование (FW) – сертификация ФСТЭК
• Криптографическая защита каналов связи (IPSec VPN) – сертификация ФСБ
• Предотвращение вторжение (IPS) – сертификация ФСТЭК
• Глубокая фильтрация web-трафика (WAF)
• Антивирусная защита сетевого трафика
• …
• Любые средства защиты, способные работать в виртуальной среде VMware
11
ОСОБЕННОСТИ ИНТЕГРАЦИИ ЦУБ
12
АЛГОРИТМ ВЫБОРА МЕСТА РАЗМЕЩЕНИЯ ИТ-
СИСТЕМЫ ЗАКАЗЧИКА
Наличие требований регуляторов по ИБ?
• ЦОД
• Публичное облако
• ЦОД
• ЦУБ
Нет
Да
13
ОГРАНИЧЕНИЯ ЦУБ
• Отсутствие аттестации ЦУБ • Не можем аттестовывать ИСПДн Госзаказчиков
• Отсутствие сертификации платформы виртуализации Vmware vSphere на отсутствие недекларированных возможностей
• Можем защищать ИСПДн только с 3 и 4 уровнями защищенности ПДн
14
БИЗНЕС-КЕЙС 1.
ОБЪЕДИНЕНИЕ ИТ-ИНФРАСТРУКТУР ЗАКАЗЧИКА
15
БИЗНЕС-КЕЙС 1.
ОБЕСПЕЧЕНИЕ ЗАЩИТЫ
16
БИЗНЕС-КЕЙС 2.
ПУБЛИЧНЫЙ WEB-СЕРВИС ЗАКАЗЧИКА
17
БИЗНЕС-КЕЙС 2.
ЗАЩИТА WEB-СЕРВИСА ЗАКАЗЧИКА
18
БИЗНЕС-КЕЙС 3.
РАЗМЕЩЕНИЕ ИСПДН ЗАКАЗЧИКА В ЦОД
19
БИЗНЕС-КЕЙС 3.
ОРГАНИЗАЦИЯ ЗАЩИТЫ ИСПДН
20
СПАСИБО ЗА ВНИМАНИЕ!
Евгений Дружинин
Эксперт по информационной безопасности
111033, Москва, ул. Волочаевская, д.5, корп.1 +7 495 974 2274, +7 495 974 2277 (факс)
[email protected] www.cloud.croc.ru