Cloud security cisco
description
Transcript of Cloud security cisco
![Page 1: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/1.jpg)
© 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing 1/50
Как выбрать провайдера
облачных услуг с точки зрения ИБ?
Павел Антонов Инженер консультант [email protected]
![Page 2: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/2.jpg)
2/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
VS.
Миграция на “облако” Стимулы и препятствия
![Page 3: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/3.jpg)
3/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Препятствия на пути к облакам
Источник: IDC, Апрель 2009
![Page 4: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/4.jpg)
4/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Миграция на “облако” Кто и что контролирует?
?Контроль у нас Ресурс расположен в X Хранится на серверах Y, Z Мы выполняем резервное копирование Наши администраторы контролируют доступ Мы отвечаем за работоспособность Мы проводим/участвуем в аудитах Наши специалисты ИБ выполняют мониторинг
Кто контролирует? Где расположен ресурс? Где хранится? Как выполняется резервное копирование? Кто имеет доступ? Как гарантируется работоспособность? Кто проводит аудит? Как наши специалисты по ИБ будут вовлечены?
?
?
?
?
До После
![Page 5: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/5.jpg)
5/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Уровни потери контроля
Своя ИТ-служба
Хостинг-провайдер IaaS PaaS SaaS
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
ОС/VM OC/VM OC/VM OC/VM OC/VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и cloud провайдером
- Контроль у cloud провайдера
![Page 6: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/6.jpg)
6/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Сложности обеспечения ИБ в облаке § Технические:
Виртуализация и синхронизация данных размывают периметр
Разделяемые между всеми клиентами ресурсы
§ Организационные: Какие у клиента есть возможности контролировать обеспечение ИБ?
Как проверить то, что написано на бумаге?
Что cloud сам провайдер отдает на аутсорсинг?
§ Юридические: Соответствие законодательству(ам)
§ Специфические: Как на счет защиты от DDoS?
![Page 7: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/7.jpg)
7/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Если вы решились
§ Стратегия безопасности Определите активы и наложите их на модель облачных услуг Сформируйте модель угроз Оцените риски Сформулируйте требования по безопасности Пересмотрите свой взгляд на понятие «периметра ИБ» Пересмотрите собственные процессы обеспечения ИБ Проведите обучение пользователей Продумайте процедуры контроля провайдера Юридическая проработка взаимодействия с провайдером
§ Выбор cloud провайдера Чеклист оценки ИБ cloud провайдера
![Page 8: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/8.jpg)
8/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Предложения рынка SaaS
§ Управление бизнесом (ERP, CRM, Service Desk, etc.) § Унифицированные коммуникации (телефония, видеоконференции)
§ Средства совместной работы § Информационная безопасность § … и т.д. вплоть до офиса из облака
![Page 9: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/9.jpg)
9/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Активы
§ Информационные Конф. данные, записи VoIP/Video, учетные записи и пароли, статистика о поведении компании/сотрудников
§ Организационные Взаимодействие с клиентами и партнерами, удобство пользования, др. процессы и обязательства
§ Репутационные Надежность, инновационность, мнение клиентов о cloud провайдере(ах)
§ Стратегические На сколько критична для бизнеса передаваемая провайдеру функция? На сколько развита конкуренция на рынке таких услуг?
![Page 10: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/10.jpg)
10/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Риски § Технические
Потеря данных, отказ сервиса, недостаток ресурсов, перехват/подмена данных в процессе передачи, ненадежное удаление данных, DDoS атака
§ Организационные Разглашение, соответствие законодательству/стандартам, инсайд, закрытие компании провайдера
§ Юридические Особенности законодательства других стран, смена юрисдикции, претензии третьих сторон к провайдеру, сублицензирование
![Page 11: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/11.jpg)
11/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Выбор cloud провайдера с точки зрения ИБ Чек лист оценки ИБ cloud провайдера
§ Защита данных § Управление уязвимостями § Управление идентификацией § Физическая безопасность и персонал § Доступность и производительность
§ Безопасность приложений § Управление инцидентами § Privacy § Непрерывность бизнеса и восстановление после катастроф § Мониторинг и журналы регистрации § Соответствие § Завершение контракта
§ Интеллектуальная собственность
![Page 12: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/12.jpg)
12/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Защита данных § Где хранятся мои данные? § Как мои данные отделены от данных других клиентов? § Кому еще доступны мои данные? § Как обеспечивается конфиденциальность и целостности моих данных?
§ Как осуществляется контроль доступа к моим данным? Сотрудников клиента? Сотрудников провайдера? Субподрядчиков провайдера?
§ Как данные защищаются при передаче от меня к провайдеру?
От одной площадки провайдера к другой? От провайдера к его субподрядчикам?
§ Как данные удаляются?
![Page 13: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/13.jpg)
13/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Управление уязвимостями
§ Как часто сканируется сеть и приложения? § Можно ли осуществить внешнее сканирование сети провайдера?
§ Каков процесс устранения уязвимостей?
![Page 14: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/14.jpg)
14/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Управление идентификацией
§ Возможна ли интеграция с моим каталогом учетных записей?
§ Если у провайдера собственная база учетных записей, то: Как она защищается? Как осуществляется управление учетными записями?
§ Поддерживается ли SSO? Какой стандарт? § Поддерживается ли федеративная система аутентификации? Какой стандарт?
§ Поддерживается ли ролевая модель доступа?
![Page 15: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/15.jpg)
15/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Физическая безопасность и персонал
§ Контроль доступа осуществляется в режиме 24х7? § Выделенная инфраструктура или разделяемая с другими компаниями?
§ Регистрируется ли доступ персонала к данным клиентов?
§ Есть ли результаты оценки внешнего аудита? § Какова процедура набора персонала?
![Page 16: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/16.jpg)
16/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Доступность
§ Уровень доступности в SLA (сколько девяток?) § Какие меры обеспечения доступности используются для защиты от угроз и ошибок? Резервный оператор связи Защита от DDoS
§ Доказательства высокой доступности провайдера § План действия во время простоя § Пиковые нагрузки и возможность провайдера справляться с ними
![Page 17: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/17.jpg)
17/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Безопасность приложений
§ Исполнение рекомендаций и стандартов при разработке приложений
§ Процедура тестирования для внешних приложений и исходного кода
§ Существуют ли приложения третьих фирм при оказании сервиса?
§ Используемые меры защиты приложений Web Application Firewall Аудит БД
![Page 18: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/18.jpg)
18/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Управление инцидентами
§ План реагирования на инциденты Включая метрики оценки эффективности
§ Взаимосвязь вашей политики управления инцидентами и провайдера
![Page 19: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/19.jpg)
19/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Privacy
§ Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу
§ Какие данные собираются о заказчике? Где хранятся? Как? Как долго?
§ Какие условия передачи данных клиента третьим лицам? Законодательство о правоохранительных органах, адвокатские запросы и т.п.
§ Гарантии нераскрытия информации третьим лицам и третьими лицами?
![Page 20: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/20.jpg)
20/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Непрерывность бизнеса
§ План обеспечения непрерывности бизнеса и восстановления после катастроф
§ Где находится резервный(е) ЦОД? § Проходил ли провайдер внешний аудит по непрерывности бизнеса? Есть ли сертифицированные сотрудники по непррывности бизнеса?
![Page 21: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/21.jpg)
21/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Мониторинг и журналы регистрации
§ Выполняется ли мониторинг действий клиентов? § … сотрудников провайдера? § … субподрядчиков провайдера? § Как вы обеспечиваете сбор доказательств несанкционированной деятельности?
§ Как долго вы храните логи? Возможно ли увеличение этого срока?
§ Можно ли организовать хранение логов во внешнем хранилище?
§ Возможна ли интеграция с клиентской системой SIEM?
![Page 22: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/22.jpg)
22/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Соответствие
§ Подчиняется ли провайдер локальным нормативным требованиям? Каким? Как локальные нормативные требования соотносятся с требованиями клиента?
§ Проходил ли провайдер внешний аудит соответствия? ISO 27001 PCI DSS SAS Аттестация во ФСТЭК
![Page 23: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/23.jpg)
23/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Интеллектуальная собственность
§ Кому принадлежат права на информацию, переданную провайдеру? А на резервные копии? А на реплицированные данные? А на логи?
![Page 24: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/24.jpg)
24/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Завершение контракта
§ Процедура завершения контракта? Возврат данных? В каком формате? Как скоро я получу мои данные обратно? Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии?
§ Какие дополнительные затраты на завершение контракта?
![Page 25: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/25.jpg)
25/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Заключение
![Page 26: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/26.jpg)
26/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Критерии выбора cloud провайдера
§ Финансовая устойчивость cloud провайдера
§ Тип сервиса SaaS/PaaS/IaaS, Hosted service, Managed services
§ Клиентская база § Репутация § Безопасность § Отказоустойчивость и резервирование § Планы развития новых функций
![Page 27: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/27.jpg)
27/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Справочная информация
§ NIST Guidelines on Security and Privacy in Public Cloud Computing
http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf
§ ENISA Cloud Computing Risk Assessment http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport
§ Cloud Security Alliance whitepaper http://www.cloudsecurityalliance.org/csaguide.pdf
§ Evaluating Application Service Provider Security for Enterprises http://www.cisco.com/web/about/security/intelligence/asp-eval.html
§ Compliance Checklist for Prospective Cloud Customers http://www.cisco.com/web/about/doing_business/legal/privacy_compliance/docs/CloudComplianceChecklist.pdf
![Page 28: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/28.jpg)
28/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
Пример облачного сервиса
![Page 29: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/29.jpg)
29/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
SaaS cервис web-безопасности Cisco ScanSafe
Надежность и безопасность § 15 ЦОДов, географическая отказоустойчивость § 100% доступность сервиса за всю историю § Сертификация SAS 70 type II § SLA по непрерывности работы
![Page 30: Cloud security cisco](https://reader033.fdocuments.in/reader033/viewer/2022052315/549215ceb479591e1d8b5461/html5/thumbnails/30.jpg)
30/50 © 2008 Cisco Systems, Inc. All rights reserved. Security outsourcing
http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco
Спасибо!