![Page 1: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/1.jpg)
Почему в России нельзя обеспечить безопасность облачных вычислений
Лукацкий Алексей, консультант по безопасности
![Page 2: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/2.jpg)
У меня нет задачи остановить переход к облачным облакам – мы сами их используем повсеместно
2
Число CSP (400+) Sales
Finance
Manfacturing
C&C Platform
CDO
Consumer IT
Customer Service
HR
Acquisitions
Cisco является одним из крупнейших в мире пользователей облачных услуг
![Page 3: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/3.jpg)
ЧТО ТАКОЕ ОБЛАКА?
![Page 4: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/4.jpg)
Три основных типа облака
Публичное
Гибридное
Частное
![Page 5: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/5.jpg)
Составные части любого типа облака
5
Виртуализция Железо ПО
Согласование (orchestration) Хранение Сервисы
IaaS PaaS SaaS
Сервисы Сервисы Сервисы
Арендаторы Потребители
Сеть
Облачные сервисы
Облачные вычисления
Энерго-снабжение
![Page 6: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/6.jpg)
SaaS - наиболее популярная облачная модель
IaaS
• Хранение • Вычисления • Управление сервисами
• Сеть, безопасность…
PaaS
• Бизнес-аналитика • Интеграция • Разработка и тестирование
• Базы данных
SaaS
• Биллинг • Финансы • Продажи • CRM • Продуктивность сотрудников
• HRM • Управление контентом
• Унифицированные коммуникации
• Социальные сети • Резервные копии • Управление документами
![Page 7: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/7.jpg)
Ключевые риски при переходе к облакам
• Сетевая доступность • Жизнеспособность (устойчивость) • Непрерывность бизнеса и восстановление после сбоев • Инциденты безопасности • Прозрачность облачного провайдера • Потеря физического контроля • Новые риски и уязвимости • Соответствие требованиям
![Page 8: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/8.jpg)
ЧТО ТАКОЕ БЕЗОПАСНОСТЬ?
![Page 9: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/9.jpg)
Что такое информационная безопасность?
• Сохранение конфиденциальности, целостности и доступности информации. Кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотказуемость и надежность – ГОСТ Р ИСО/МЭК 27002
• Цель информационной безопасности заключается в защите информации и информационных систем от несанкционированного доступа, использования, раскрытия, перебоев, изменения или уничтожения
![Page 10: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/10.jpg)
За счет чего достигается информационная безопасность?
• Информационная безопасность включает в себя – Политика в области защиты – Организация защиты информации – Менеджмент активов – Защита человеческих ресурсов – Физическая безопасность и безопасность окружения – Управление средствами связи и операциями – Управление доступом – Приобретение, разработка и поддержание в рабочем состоянии ИС – Управление инцидентами – Менеджмент непрерывности – Соответствие требованиям
![Page 11: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/11.jpg)
БЕЗОПАСНОСТЬ ОБЛАКА
![Page 12: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/12.jpg)
На каком уровне вы способны обеспечивать безопасность в своей корпоративной сети уже сейчас?
• Вы можете гарантировать отсутствие закладок на аппаратном уровне?
• Вы защищаете и внутреннюю сеть или только периметр?
• Как у вас обстоит дело с защитой виртуализации? А SDN вы не внедряли еще?
• Вы знаете механизмы защиты своих операционных систем? А вы их используете?
• А механизмы защиты своих приложений вы знаете? А используете?
• А данные у вас классифицированы?
![Page 13: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/13.jpg)
Разные возможности по реализации системы защиты для разных сервисных моделей
• В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно
IaaS�
Провайдер
Заказчик
VMs/Containers
ОС/Приложения
Данные
PaaS �
Приложения
Провайдер
Заказчик Данные
SaaS�
Провайдер
![Page 14: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/14.jpg)
Типы облачных моделей и средства защиты
IaaS
• Заказчик облачных услуг может использовать любые средства защиты, устанавливаемые на предоставляемую аппаратную платформу
PaaS
• Заказчик облачных услуг привязан к предоставляемой платформе
• Выбор СЗИ (особенно сертифицированных) ограничен и, как правило, лежит на облачном провайдере
• Заказчик может настраивать функции защиты приложений
• Компромисс между средствами защиты и облачными услугами
SaaS
• Заказчик облачных услуг не имеет возможности по выбору средств и механизмов защиты облака
• Выбор лежит на облачном провайдере
![Page 15: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/15.jpg)
Особенности защиты IaaS
Защитная мера Нюансы реализации (з / о)
Политика в области защиты 50 / 50 Организация защиты информации 50 / 50 Менеджмент активов 50 / 50 Защита человеческих ресурсов 30 / 70 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 35 / 65 Управление доступом 60 / 40 Приобретение, разработка и поддержание в рабочем состоянии ИС
60 / 40
Управление инцидентами 60 / 40 Менеджмент непрерывности 30 / 70 Соответствие требованиям 70 / 30
![Page 16: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/16.jpg)
Защита IaaS: обратите внимание
• Ограничения на установку определенных средств защиты в инфраструктуру облачного провайдера
• Возможность установки собственных средств шифрования • Экспорт из России средств шифрования
– На все площадки облачного провайдера в разных странах мира • Обслуживание (замена) вышедших из строя средств защиты, особенно средств шифрования
• Защита данных при доступе с мобильных устройств – Особенно в контексте шифрования трафика
![Page 17: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/17.jpg)
Особенности защиты PaaS
Защитная мера Нюансы реализации (з / о)
Политика в области защиты 30 / 70 Организация защиты информации 30 / 70 Менеджмент активов 30 / 70 Защита человеческих ресурсов 20 / 80 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 20 / 80 Управление доступом 30 / 70 Приобретение, разработка и поддержание в рабочем состоянии ИС
50 / 50
Управление инцидентами 45 / 55 Менеджмент непрерывности 20 / 80 Соответствие требованиям 55 / 45
![Page 18: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/18.jpg)
Защита PaaS: обратите внимание
• Насколько модель угроз и стандарты защиты облачного провайдера соответствуют вашим? – Возможно ли привести их к общему знаменателю?
![Page 19: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/19.jpg)
Особенности защиты SaaS
Защитная мера Нюансы реализации (з / о)
Политика в области защиты 10 / 90 Организация защиты информации 5 / 95 Менеджмент активов 5 / 95 Защита человеческих ресурсов 5 / 95 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 0 / 100 Управление доступом 5 / 95 Приобретение, разработка и поддержание в рабочем состоянии ИС
0 / 100
Управление инцидентами 5 / 95 Менеджмент непрерывности 0 / 100 Соответствие требованиям 5 / 95
![Page 20: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/20.jpg)
Защита SaaS: обратите внимание
• Насколько модель угроз и стандарты защиты облачного провайдера соответствуют вашим? – Возможно ли привести их к общему знаменателю?
• Как вообще вы можете повлиять на реализацию и эксплуатацию системы ИБ у облачного провайдера?
![Page 21: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/21.jpg)
Типы облаков с точки зрения ИБ и compliance
Частное
• Управляется организацией или третьим лицом
• Обеспечение безопасности легко реализуемо
• Вопросы законодательного регулирования легко решаемы
Публичное (локальное)
• Управляется одним юридическим лицом
• Обеспечение безопасности реализуемо средними усилиями
• Вопросы законодательного регулирования решаемы средними усилиями
Публичное (глобальное)
• Управляется множеством юридических лиц
• Требования по безопасности различаются в разных странах
• Законодательные требования различаются в разных странах
![Page 22: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/22.jpg)
ОБЛАКА = ПОТЕРЯ КОНТРОЛЯ
![Page 23: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/23.jpg)
Возможности по контролю изменчивы
23
Публичное
Гибридное
Сообщество
Частное
Аутсорсинг
Инсорсинг
Внешнее
Внутреннее
Возможности по контролю меняются в зависимости от вида
эксплуатации, расположения и типа
облака
![Page 24: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/24.jpg)
В публичном облаке меньше контроля
Частное облако Публичное облако Соответствие Предприятие Облачный провайдер Governance Предприятие Облачный провайдер Безопасность Предприятие Облачный провайдер Эксплуатация Предприятие Облачный провайдер Риски Предприятие Распределены между
предприятием и облачным провайдером
Владелец облака Предприятие или арендодатель
Облачный провайдер
Использование ограничено
Предприятием Ничем
24
![Page 25: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/25.jpg)
НЕ ЗАБУДЬТЕ И ПРО ДРУГИЕ ВОПРОСЫ
![Page 26: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/26.jpg)
Обратите внимание и на другие вопросы
• Трансграничная передача персональных данных – Потребует от заказчика облачных услуг получить письменное согласие субъекта персональных данных
– Реализация легального шифрования на площадках в разных странах мира
– Реализация легального шифрования на мобильных платформах • Обработка государственных информационных ресурсов
– Облачный провайдер не может передавать ГИР за пределы России согласно 351-му Указу Президента
– Облачный провайдер должен соответствовать требованиям 17-го приказа ФСТЭК от 2013-го года
– Облачный провайдер должен использовать только сертифицированные средства защиты и(или) аттестовать свои ИС
![Page 27: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/27.jpg)
Обратите внимание и на другие вопросы
• Облачный провайдер обязан предоставить доступ спецслужбам, правоохранительным и судебным органам по мотивированному (или немотивированному) запросу – А иногда облачный провайдер и не будет знать, что такой доступ имеется
– А вас он не обязан ставить в известность о таком доступе • Контроль облачного провайдера
– Вам придется переориентироваться с собственной защиты на контроль чужой защиты
– На каком языке вы будете общаться с зарубежным облачным провайдером?
• Предоставление услуг по защите информации – это лицензируемый вид деятельности – У облачного провайдера есть лицензии ФСТЭК и ФСБ?
![Page 28: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/28.jpg)
Изменение парадигмы ИБ регуляторов при переходе в публичное облако
Один объект = один субъект
Один объект = множество субъектов
• Защищать надо не только отдельных субъектов, но и взаимодействие между ними
• С учетом отсутствия контролируемой зоны и динамической модели предоставления сервиса
![Page 29: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/29.jpg)
ТАК ЧТО ЖЕ ВСЕ-ТАКИ ДЕЛАТЬ?
![Page 30: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/30.jpg)
Если вы все-таки решились
• Стратегия безопасности облачных вычислений – Пересмотрите свой взгляд на понятие «периметра ИБ» – Оцените риски – стратегические, операционные, юридические – Сформируйте модель угроз – Сформулируйте требования по безопасности – Пересмотрите собственные процессы обеспечения ИБ – Проведите обучение пользователей – Продумайте процедуры контроля облачного провайдера – Юридическая проработка взаимодействия с облачным провайдером
• Стратегия выбора аутсорсера – Чеклист оценки ИБ облачного провайдера – Посмотрите мою презентацию с прошлого ИноБЕРЕГа
![Page 31: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/31.jpg)
Cisco Cloud Risk Assessment Framework
31
R1: Data Risk and
Accountability R2: User Identity R3: Regulatory
Compliance
R4: Business Continuity & Resiliency
R5: User Privacy & Secondary Usage of Data
R6: Service & Data Integration
R7: Multi-tenancy & Physical Security
R8: Incident Analysis & Forensics
R9: Infrastructure
Security
R10: Non-production
Environment Exposure
![Page 32: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/32.jpg)
Выбор облачного провайдера с точки зрения ИБ
• Защита данных и обеспечение privacy • Управление уязвимостями • Управление identity • Объектовая охрана и персонал • Доступность и производительность • Безопасность приложений • Управление инцидентами • Непрерывность бизнеса и восстановление после катастроф • Ведение журналов регистрации (eDiscovery) • Сompliance • Финансовые гарантии • Завершение контракта • Интеллектуальная собственность
![Page 33: Почему в России нельзя обеспечить ИБ облаков?](https://reader033.vdocuments.mx/reader033/viewer/2022051514/54b359de4a7959e4598b45ed/html5/thumbnails/33.jpg)
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 33
Благодарю вас за внимание