positive hack days. Козлов. Экономия при переходе в облака или...
DESCRIPTION
Преимущества, которые несут в себе облачная и виртуальная инфраструктура очевидны. Также очевидны и дополнительные риски. На семинаре будут обсуждаться следующие вопросы: какие проблемы связаны с обеспечением ИБ инфраструктур виртуализации; что перевешивает, экономика или безопасность; в чем ограничения средств защиты для виртуальных инфраструктур; взлом облака и взлом из облака.TRANSCRIPT
…
Экономия при переходе в облака или безопасность!?
Михаил КозловDevBusiness / ru 2.0
mkozloff (@) devbusiness.ru http://devbusiness.ru/mkozloff
…
Sator Arepo Tenet Opera Rotas
2
Михаил Козлов
Консультант по развитию бизнеса и продаже решений на основе бизнес-ценности (ROI)
20 лет в ИТ и консалтинге
VDEL, Trend Micro, VMware, Microsoft, V6, CARANA, Cognitive Technologies…
…
Sator Arepo Tenet Opera Rotas
Облака: Экономия vs. Рост угроз безопасности
Ситуация
Облака снижают стоимость ИТ и
дают эластичную мощность
Администраторы обладают полным
доступом к данным
Последствия
Утечка секретов через
администраторов – самый дорогой тип
нарушения информационной
безопасности
Решение
Разделяйте ответственность
между администраторами
Снижайте риски с лучшими
практиками ИБ
3
…
Sator Arepo Tenet Opera Rotas
4
Экономия с облаками (прогноз IBM)
…
Sator Arepo Tenet Opera Rotas
5
Облака – источник эластичной мощности, а не маркетинговый треп!
Время
ИТ
мощ
ност
и
Спрос на загрузкуПростой
Дефицит
Традиционные ИТ
Мощность = загрузка
Время
ИТ
мощ
ност
и
Облачные ИТ
Источник: Microsoft
Предложение мощности
…
Sator Arepo Tenet Opera Rotas
Что сегодня сдерживает развитие облаков?
Зрелость технологий
БезопасностьМало
автоматизацииЭнергоэффективно
стьСтандарты
Аппетит к риску
Защита IPСовместимость
Регуляторы и аудитГарантии качества
услуг
Необходим культурный сдвиг и новые технологии
Источник: Intel
…
Sator Arepo Tenet Opera Rotas
Безопасность – опасение #1 при переходе к облакам
1. Безопасность2. Интеграция
облаков с существующим ЦОД
3. Отсутствие стандартов
7
Source: Saugatuck Technology Inc., 2009 Cloud Infrastructure Survey (Julne09), WW N=670
…
Sator Arepo Tenet Opera Rotas
8
Катастрофа с облаком Amazon безвозвратно уничтожила данные многих клиентов
http://www.businessinsider.com/amazon-lost-data-2011-4
Um...
…
Sator Arepo Tenet Opera Rotas
9
Взлом Sony Playstation Network (04/2011)
http://www.mobile-review.com/articles/2011/birulki-117.shtml#4
… хакеры совершили атаку на игровую сеть Playstation Network… … стало известно, что взломщики получили доступ к 77 миллионам записей игроков в PSN, а также предположительно к 10 миллионам кредитных карт, с помощью которых оплачивались те или иные игры…
…
Sator Arepo Tenet Opera Rotas
10
Простои Microsoft BPOS
«Я бы хотел извинится перед вами, нашими клиентами и партнерами, за очевидный неудобства, вызванные этими проблемами». Dave ThompsonCorporate Vice-President, Microsoft Online Services12 May 2011 5:47 PM
…
Sator Arepo Tenet Opera Rotas
11
Какая доля ваших сервисов размещена в облаке?
Источник: NetIQ, 2011
…
Sator Arepo Tenet Opera Rotas
Клиентоориентированные
Безопасный и удобный доступ с множества форм-
факторов
Полностью реализованный потенциал облака
АвтоматическиеДинамическое
выделение ресурсов для поддержки SLA
и оптимального энергопотребления
Федеративные
данные и услуги свободно и безопасно мигрируют
между облаками
ПК Лэптопы Встроенныетехнологии
СмартфоныНетбуки Мобильныеустр-ва
Умные ТВИсточник: Intel
Безопасность в Облаке: критические
факторы13
…
Sator Arepo Tenet Opera Rotas
Консолидация = централизация рисков
«В облачной среде наименьший общий знаменатель безопасности будет разделен со всеми арендаторами виртуального ЦОД.»
14
http://www.cloudsecurityalliance.org/csaguide.pdf
credit: Lawrence Berkeley Nat'l Lab - Roy Kaltschmidt, photographer
…
Sator Arepo Tenet Opera Rotas
Ключевые угрозы в облаке v1.0
Угроза #1: злоупотребление концепциейУгроза #2: небезопасные интерфейсы и APIsУгроза #3: вредоносные инсайдерыУгроза #4: общее использование старых технологийУгроза #5: утечки и потери данныхУгроза #6: взлом учетных записей и сервисовУгроза #7: неизвестные характеристики рисков
Источник: Top Threats to Cloud Computing15
…
Sator Arepo Tenet Opera Rotas
Стоимость потери информации
285М взломанных записей в 2008 г. (Verizon Business RISK Team)В 2008 в США потеря каждой записи стоила $202, включая $152 косвенного ущерба (Ponemon Institute)
True Cost of Compliance Report, Ponemon Institute LLC, January 2011 16
…
Sator Arepo Tenet Opera Rotas
Типы и стоимость инцидентов с ИБ
17
…
Sator Arepo Tenet Opera Rotas
Потеря данных через администратора – самый дорогой тип инцидента в ИБ
The Value Of Corporate SecretsHow Compliance And Collaboration Affect Enterprise Perceptions Of Risk
March 2010, Forrester
18
Тип инцидента Стоимость инцидента
ИТ администратор нарушил привилегии и
похитил данные$452 238
…
Sator Arepo Tenet Opera Rotas
2010: рост утечек через инсайдеров на 26%
2010 Data Breach Investigations ReportVerizon RISK Team in cooperation with the United States Secret Service
…
Sator Arepo Tenet Opera Rotas
20
Даже «эксперты» не понимают всех проблем…
«Наши эксперты считают, что для защиты виртуальной ИТ-инфраструктуры можно использовать традиционные подходы и средства. … Применение традиционных антивирусных продуктов и межсетевых экранов пригодно, с его [эксперта] точки зрения, для защиты как “родительского” раздела, так и “гостевых”».
Безопасность виртуализированных ИТ-сред. PC Week/RE, 15.04.2011http://www.pcweek.ru/security/article/detail.php?ID=130756
…
Sator Arepo Tenet Opera Rotas
Виртуализация и риски ИБ
Специалисты ИБ не участвует в проекте по виртуализации
Взлом слоя виртуализации может привести к взлому всех ВМ
Отсутствие контроля за действиями администратора
21
Источник: Gartner, 2010
Большинство облаков используют технологии виртуализации. При этом:
…
Sator Arepo Tenet Opera Rotas
Администраторы – самые опасныеинсайдеры
Данные о клиентах
IP
Персо-нальные данные
ДСП
CEO
CxO
CFO
Сетевыеадминистраторы
Системныеадминистраторы Администраторы
резервного копирования
Администраторысистем резервного
восстановления
Курьеры(ленты…)
СХД
ПоставщикиаутсорсингаАдминистраторы
СХД
Ремонтныйперсонал
Источник: NetApp
Администратор ВИ
Администраторы приложений
…
Sator Arepo Tenet Opera Rotas
Максимальная зона риска
Администратор виртуальной среды Может украсть
образы ВМ
Администратор системы хранения данных (СХД) Может украсть
копию диска
23
Администратор облака имеет доступ к данным множества клиентов!
Что делать с безопасностью в
облаке?
24Фото: http://www.flickr.com/photos/kenningtonfox/2967190217/
…
Sator Arepo Tenet Opera Rotas
Cloud Security Alliance – лучшие практики ИБ для критически важных элементов облачных вычислений
http://www.cloudsecurityalliance.org/ 25
…
Sator Arepo Tenet Opera Rotas
Решение для облаков и виртуальных сред
Разделить полномочия и ответственность администраторов
ВИ, СХД, сети и ИБ*
26*) Виртуальной инфраструктуры, системы (и/или сеть) хранения данных, информационной безопасности
…
Sator Arepo Tenet Opera Rotas
Шифрование имониторинг СХД
Существенно упрощает планирование мер ИБТолько авторизованные сотрудники имеют доступ к данным и настройкамАудит и протоколы доступа к даннымАвтоматическая защита копийПотеря носителя не является угрозой
…
Sator Arepo Tenet Opera Rotas
Шифрование…Хост / Приложение Сеть СХД
За:• Широкие возможности• Низкие затраты (ПО)
Против:• Нагружает CPU• Слабое управление
ключами• Ключи доступны через
ОС• Сложные внедрение и
управление (особенно в гетерогенной среде)
За:• Прозрачно для хостов, СХД
и приложений• Быстрота работы• Хороший контроль доступа
Против:• Может потребовать доп.
оборудование
За:• Прозрачно для хостов • Обычно часть АО
Против:• Слабое управление
ключами• Нет поддержки
гетерогенной мультивендорной среды
• Привязка к поставщику СХД
• М.б. полное обновление системы
Нотификация и сертификация ФСБ!?Источник: NetApp
…
Sator Arepo Tenet Opera Rotas
Способы снижения рисков Облаков…
1. Планируйте сбои2. Поддерживайте собственную экспертизу3. Тестируйте сбои в облаке4. Поддерживаете собственные резервные
мощности5. Проверьте свою стратегию соурсинга6. Отказоустойчивость не бывает бесплатной7. Поставщик услуг должен отвечать за сбои
29Источник: CIO.com
…
Sator Arepo Tenet Opera Rotas
30
Лучшие практики: облака и ИБ
Cloud Security Alliance http://www.cloudsecurityalliance.org/
Open Data Center Alliance http://www.opendatacenteralliance.org/
Storage Security Industry Forum http://www.snia.org/forums/ssif/
Open Cloud Consortium (OCC) http://opencloudconsortium.org/
+ перечень облачных стандартов в обзоре CNews: http://cloud.cnews.ru/reviews/index.shtml?2011/04/26/438141_4
…
Sator Arepo Tenet Opera Rotas
31
Заключение
Облака снижают затраты и дают эластичную
масштабируемостьУтечка данных через
администраторов – самый дорогой вид угроз нарушения
ИБОблакам нужны крепкие
засовы в виде лучших практик ИБ
…
Sator Arepo Tenet Opera Rotas
34
S A T O R
A R E P O
T E N E T
O P E R A
R O T A S
(c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.