clouds nn 2012 Игорь Гормидоров "Организация защиты...

Организация защиты облачных сервисов и инфраструктуры

Бизнес-направление информационной безопасности Департамент системной интеграции

О чем пойдет речь?

2

• Проблематика

• Рекомендации Микротест и предлагаемые решения

• Особенности защиты персональных данных

• Опыт Микротест

• Заключение

Проблематика вопроса

3

• Тенденция перевода данных и сервисов в облако!

• Необходимо защищать данные и облачную инфраструктуру!

• Особенности защиты данных в облаке!

Несколько слов об облаках

Виды облаков:• Частное облако

• Публичное облако

• Гибридное облако

• Общественное облако

Предоставляемые сервисы:• Инфраструктура как сервис (IaaS).

• Платформа как сервис (PaaS).

• Программное обеспечение как сервис (SaaS)

Примеры сервисов:• Портал ГосУслуги, Google Docs, MS Cloud Power, Dropbox, ЯндексДиск

Как защищать облака?

• Традиционный подход (защита физической инфраструктуры)

• Защита виртуальной среды: гипервизора и виртуальных машин

Межсетевое экранирование

Рекомендуемые решения

• Межсетевое экранирование на внешнем периметре, а также для выделения отдельных сегментов КСПД, на границе физической и виртуальных инфраструктур(к примеру Stonegate FW/VPN)

• Межсетевое экранирование на уровне гипервизора и гостевых машин, с использованием технологии VShield и решений от технологических партнёров VMWare, например – Trend Micro Deep Security

Система предотвращения вторженийСистема предотвращения вторжений на уровне гипервизора и гостевых машин: Trend Micro Deep Security

Рекомендуемые решения

Система предотвращения вторжений на границе ЦОД – традиционные системы класса IDS/IPS, аппаратные или в виде отдельных виртуальных машин, например: StoneGate IPS

StoneGate IPS:• Сигнатурный анализ

• Анализ аномалий в трафике

• Анализ поведения хостов

• Обнаружение любых видов сканирования сетей

• Адаптивное применение сигнатур (виртуальное профилирование)

• Сертифицирована ФСТЭК по ТУ, по 4 уровню контроля отсутствия НДВ, может использоваться для создания АС до 1Г включительно, а также в ИСПДн до 1 класса включительно

Защита каналов связиДля организации защищенного удаленного доступа в зависимости от особенностей задачи используются:• криптографические шлюзы• шлюзы защищенного удаленного доступа• Шлюзы SSL VPN

Рекомендуемые решения:• StoneGate FW• StoneGate SSL VPN

Особенности:• интеграция с КриптоПро CSP• поддержка технологий резервирования

оборудования и каналов связи• централизованные управление и мониторинг• сертификация ФСТЭК по требованиям к МЭ (2 и 3 классы),

по 4 уровню контроля отсутствия НДВ , по ТУ, могут использоваться для создания АС до 1Г включительно, а также в ИСПДн до 1 класса включительно

• Сертификация ФСБ по классам КС1 и КС2Рекомендуемые решения

Защита от DDOS атак

Arbor Pravail – решение от мирового лидера по защите от DDoS-атак, предназначенное для Enterprize-сетей и ЦОДов

Возможности Arbor Pravail:

• обнаружение и блокировка DDoS-атак на ресурсы предприятия/ЦОД

• функции Web Application Firewall

• Мониторинг и анализ инцидентов ИБ

• быстрое развёртывание и готовность к защите

• выявление и блокирование botnet-сетей

• обеспечение доступности и защищенности бизнес-приложений

• возможность работы в среде VMWare

Рекомендуемые решения

Защита от DDOS атак

Arbor Peakflow SP – мировой лидер по защите от DDoS-атак в операторских сетях

Arbor Peakflow SP решает задачи:

• мониторинг и анализ трафика и маршрутизации

• обнаружение и предотвращение DDoS-атак

• обеспечение доступности бизнес приложений;

• URL-фильтрация трафика абонентов в сетях операторов связи

• поддержка порталов (личных кабинетов), через которые клиенты могут управлять мониторингом и защитой своих сервисов и своего трафика

Рекомендуемые решения

Trend Micro Deep Security

АгентVirtual Appliance

Глубокий пакетный анализ (DPI)

IDS / IPS на ОС

Защита Web-приложений

Контроль приложений

Анализ событий

Контроль целостности

Антивирус

Межсетевой экран

Рекомендуемые решения

• «Trend Micro Enterprise Security 10.0» (включая Deep Security 7.0) сертифицирован по требованиям безопасности информации на соответствие техническим условиям (ТУ) и на отсутствие недекларированных возможностей (НДВ) по 4 уровню контроля.

• Пакет продуктов Trend Micro может быть использован при построении АС класса защищенности до 1Г включительно и подходит для построения информационных систем персональных данных (ИСПДн) до 1 класса включительно

Trend Micro Deep Security

Рекомендуемые решения

Особенности защиты персональных данных

Согласно требованиям законодательства РФ в области защиты персональных данных при построении системы защиты ПДн должны быть реализованы:

1. Система обнаружения уязвимостей сети, примеры:

• сканер сетевой безопасности Xspider 7.8

• система контроля защищенности MaxPatrol

2. Защита от несанкционированного доступа, примеры:

• СЗИ от НСД SecretNet/сертифицированные ОС MS Windows/Linux

• встроенные в СУБД или приложение средства (должны быть сертифицированы ФСТЭК)

• сертифицированные межсетевые экраны, например StoneGate FW

• средства защиты на уровне гипервизора VMWare на базе технологии Vshield (например, TM DeepSecurity, vGate)

Особенности защиты ПД

Система обнаружения уязвимостей сети

Особенности защиты ПД

Управлять уязвимостями в информационной системе необходимо!

Возможности управления уязвимостями с помощью Xspider и MaxPatrol:

• инвентаризация IT-активов

• проверка информационных систем на наличие уязвимостей

• оценка защищенности ИС

• классификация уязвимостей по степени опасности

• устранение найденных проблем и проверка устранения

Сертификат ФСТЭК на соответствие ТУ по 4 уровню контроля отсутствия НДВ , позволяет применять сканер для анализа АС до класса 1Г, и в ИСПДн до 1 класса включительно

Защита от НСД. Контроль доступа

Для осуществления контроля доступа используются:

на Интернет-периметре и при защите каналов связи – шлюзы безопасности:

• Stonegate FW/VPN

• StoneGate SSL VPN

на уровне гипервизора – решения на базе Vshield, например:

• Trend Micro Deep Security

на гостевых машинах:

• SecretNet, сертифицированная ОС (Windows, Linux), Dallas Lock, Страж и другие средства

• Средства СУБД и приложений (Oracle, 1С и другие)

Особенности защиты ПД

Защита от НСД. Контроль целостности

Для осуществления контроля целостности используются:

на уровне гипервизора:

• решения на базе технологии VShield (например, Trend Micro Deep Security, VGate)

на гостевых машинах:

• Secret Net, сертифицированные ОС (Windows, Linux), Dallas Lock, Страж

• СУБД и приложения (Oracle, 1С и другие)

Особенности защиты ПД

Защита от НСД. Регистрация и учет

Для осуществления регистрации и учета используются:

на Интернет-периметре:

• межсетевые экраны

• шлюзы удаленного доступа

• системы IDS/IPS

на уровне гипервизора:

• решения на базе технологии VShield (например, Trend Micro Deep Security, VGate)

на гостевых машинах:

• Secret Net, сертифицированные ОС (Windows, Linux), Dallas Lock, Страж

• СУБД и приложения (Oracle, 1С и другие)

Особенности защиты ПД

Задача: построение гибридного облака для размещения приложений госструктур и частных заказчиков. Услуги должны предлагаться по модели SaaS, PaaS, IasS

В результате: проект базового варианта системы, готового при реализации к масштабируемости под требуемые задачи

В проекте предусмотрены решения:

Опыт Микротест

Задача: построение единого портала крупного государственного холдинга в облачной инфраструктуре для предоставления сервисов по управлению бизнес процессами и передачи отчетности территориально распределенных филиалов.

Компанией Микротест запроектирован и реализован портал в виртуальной среде на базе 1С.

Проект системы обеспечения информационной безопасности подразумевает защиту как физической так и виртуальной инфраструктур, используя:

• Межсетевое экранирование, защита каналов связи – Континент АП (Код безопасности)

• Система предотвращения вторжений – CheckPoint IPS 1

• Антивирусная защита на виртуальных машинах – Антивирус Касперского

• Система обнаружения уязвимостей сети – Xspider

• Система защиты от несанкционированного доступа – SecretNet

• Защита виртуальной среды – Vgate

В результате: функционирующий портал для предоставления сервисов удаленным филиалам, готовый к реализации проект по обеспечению информационной безопасности

Опыт Микротест

Для оператора• прямое повышение доходности

• привлечение новых клиентов и удержание существующих

• повышение уровня лояльности и доверия со стороны клиентов

Для клиента • Сокращение расходов и издержек на подбор и содержание

высококвалифицированного персонала с высоким уровнем доверия

• быстрый ввод в эксплуатацию

• Сокращение расходов на подбор и приобретение оборудования и систем обеспечения

• Защита от угроз на уровне оператора

Компания Микротест для защиты информации в виртуальных средах рекомендует использовать только сертифицированные средства защиты

и опыт, основанный на лучших практиках обеспечения безопасности

Безопасность данных в облаках для оператора и для клиента

Заключение

При создании системы безопасности облачной инфраструктуры заказчик получает защищённую и бесперебойную работу облачных сервисов:

• Защита от НСД

• Антивирусная защита

• Межсетевое экранирование и защита каналов связи

• Защищенный удалённый доступ

• Защита от атак на приложения, DDoS-атак и других видов атак

Компания Микротест руководствуется :• большим опытом по реализации проектов по защите вычислительных сетей, ЦОДов

и облачной инфраструктуры

• требованиями Российского законодательства;

• руководством по менеджменту безопасности и персональных данных в публичных облаках NIST SP 800-144;

• лучшими мировыми практиками обеспечения безопасности.

Опыт МикротестОпыт• На рынке ИБ свыше 10 лет• Реализовано более 100 проектов в области ИБ из них не менее 20 по аудиту и №152-ФЗ

Поддержка• Сервисный центр• Круглосуточная поддержка• Услуги аутсорсинга• Регионально-распределённый учебный центр

Этическая чистота при проведении аудита• Сертификационный аудит (ISO27k, PCI DSS) проводится независимым партнером, за счет чего

обеспечивается независимая оценка качества выполненных работ

Экспертиза• Специалисты по проведению тестов на проникновение (White hacking)• Юристы• Сертифицированные специалисты (CISA, CISSP,

CISM, CCIE Security, JNCIS-FW, JNCIA-IDP и т.п.)

Промышленность• General Motors • Toyota Motors• VOLVO• Coca Cola• Oriflame• GlaxoSmithKline• КАМАЗ• Объединенная Авиастроительная

Корпорация• Корпорация «Тактическое

ракетное вооружение»

Операторы связи• Транстелеком • Мегафон • Вымпелком• Sky Link• Уралсвязьинформ• Южная Телеком-

муникационная компания

• РТКом• Петерстар

Государственные учреждения • МЧС• Министерство Транспорта • Министерство Внутренних Дел• Прокуратура РФ• Федеральная Служба Исполнения

Наказаний • Пенсионный Фонд РФ• Администрация ХМАО• Администрация Екатеринбурга

Финансы и страхование• Raiffeisen Bank• BSGV• ABN-AMRO• City Bank• Банк России• Внешторгбанк• Промсвязьбанк• Россельхозбанк• Сибакадембанк• РОСНО• Прогресс-гарант• НБД-Банк • СК Макс

Транспорт• Российские

Железные Дороги • Трансконтейнер• Мострансавто• Метрополитен

Екатеринбург• Аэропорт

Шереметьево

ТЭК• Газпром• Газпромнефть• ЛУКОЙЛ • ТНК-ВР• Салым Петролеум • ЕСО ЦДУ • Таманьнефтегаз

Торговые компании• Азбука Вкуса• Le Future• Рольф• Красный Куб• Кенгуру• Фамилия

Заказчики Микротест

Один из 3-х роботов может стать Вашим! Спешите принять участие в лотерее компании Микротест!

СПАСИБО ЗА ВНИМАНИЕ!

+7 495 787-20-58info@microtest.ru