Облачные вычисления и их безопасность. Самодуров Владимир Алексеевич Корнилов Василий Вячеславович
advertisement
Облачные вычисления и их
безопасность.
Самодуров Владимир Алексеевич1
Корнилов Василий Вячеславович2
Исаев Евгений Анатольевич1
НИУ ВШЭ → Факультет бизнес-информатики :
(1) Базовая кафедра Группы компаний «Стек»
(2) Кафедра инноваций и бизнеса в сфере информационных технологий
«Актуальные проблемы управления информационной безопасностью» 19 -21 мая 2015 года
О НАС
Базовая кафедра Группы компаний «Стек», Факультет бизнесинформатики НИУ ВШЭ
Создана решением Учёного Совета ВШЭ и приказом ректора 18 декабря
2009 года. Создание было продиктовано острейшим дефицитом в стране
квалифицированных кадров, способных эффективно заниматься
фото
организацией сложных информационных систем в бизнесе и
государственном управлении.
Участие в программах обучения факультета «Бизнес-информатика»
фото
Дисциплины:
Структура и процессы жизненного цикла дата-центра
Оценка надежности информационных систем
Управление данными и информационными ресурсами
Вычислительные системы, сети и телекоммуникации
Распределенные информационные системы
Высокопроизводительные вычисления
Облачные вычисления
«Актуальные проблемы управления информационной безопасностью» 03 - 04 июня 2014 года
фото
Определение - «облачные вычисления»:
Cloud computing:
(англ. Cloud – облако, метафоричное название Интернета;
computing – вычисления) – «облачные вычисления» – концепция
«вычислительного облака», согласно которой программы
запускаются и выдают результаты работы в окно стандартного
веб-браузера (или другой клиент-программы) на локальном ПК,
при этом все приложения и их данные, необходимые для работы,
находятся на удаленном сервере (или серверах) в Интернете.
Интернет
«Облачные вычисления» - это…
То есть cloud computing – это программно-аппаратное обеспечение, доступное
пользователю через Интернет (или локальную сеть) в виде сервиса, позволяющего
использовать удобный веб-интерфейс для удаленного доступа к выделенным ресурсам
(вычислительным ресурсам, программам и данным). Компьютер пользователя выступает при
этом рядовым терминалом, подключенным к Сети.
Компьютеры, осуществляющие cloud computing, называются «вычислительным облаком».
При этом нагрузка между компьютерами, входящими в «вычислительное облако»,
распределяется автоматически (фактически, cloud computing – это во многом возвращение
эпохи мейнфреймов – гигантских суперкомпьютеров).
Краткая история основных типов высокопроизводительных
вычислений
Концепция «облачных вычислений» зародилась еще в 1961 г., когда Джон Маккарти (John McCarthy)
высказал предположение, что когда-нибудь компьютерные вычисления будут производиться с помощью
«общенародных утилит».
Geographically distributed computing
Globus
HPC
Cloud
computing
Grid computing
Future
CUDA
Condor
HPC
GPGPU
cluster
PVM
MPI
Cluster computing
Parallel Computers
Internet
WWW
Term “Parallel
Ethernet
Programming”
TCP/IP
(title of 1958
TCP
paper by Gill)
ARPNET
Packet
switched
networks
1950
1960
1970
1980
1990
2000
2010
2015
История «заселения облаков»
компаниями-гигантами (ныне) IT:
1991 : появление Интернета («облака»).
1994: Hotmail
1999: Salesforce.com
2003: MySpace
2004: Gmail, Facebook (десятки миллионов
пользователей)
2005: YouTube
2006: Amazon S3/EC2, Приложения Google –
официальное появление концепции «облачных
вычисленйи»
«Облачные вычисления» - родом из 90-х и даже ранее…
Старая картинка из
1990-х:
Мобильные пользователи
Море
датчиков
Современная картинка
«Типы облаков» - какими могут быть
облачные сервисы?
Существует несколько уже сложившихся условных категорий Cloud Computing,
предлагаемых уже сейчас.
Software as a Service (SaaS) (ПО-как-услуга) - объединяет так называемые
законченные, не допускающие кастомизации продукты, например, почтовые
службы или порталы. Примеры: Google, Adobe, Salesforce, etc.
Platform as a Service (PaaS), входят облачные сервисы для разработчиков,
которые, по сути, представляют собой масштабируемые и автоматически
управляемые хостинг-ресурсы. Яркими примерами таких платформ являются
Google App Engine и Windows Azure.
Инфраструктура как сервис (Infrastructure as a Service, IaaS), представляющая
хостинги виртуальных машин. Amazon, GoGrid – за рубежом, в России – Stack
Group
«Облака» - разделение ответственности
В самом общем случае – «Все как сервис» - через Интернет
Everything-as-a-Service (XaaS):
BaaS - Backup as a Service
CaaS - Communizations as a Service
DaaS - Desktop as a Service
DBaaS - Database as a Service
HaaS - Hardware as a Service
IdaaS - Identity as a Service
MaaS - Monitoring/Management as a Service
NaaS - Network as a Service
IaaS - Infrastructure as a Service
PaaS - Platform as a Service
SaaS - Software as a Service
StaaS - Storage as a Service
HuaaS - Humans as a Service (crowdsourcing)
Очень короткое определение облачных вычислений от
института стандартов и технологий (США):
Модель облачных вычислений определяется 5 существенными
характеристиками, 3 моделями обслуживания и 4 моделями
развертывания.
Классическое определение облачных вычислений от
института стандартов и технологий (США):
Облачное определение от NIST
Облачные вычисления — это модель обеспечения повсеместного и удобного
сетевого доступа по требованию к вычислительными ресурсным пулам
(например, сетям, серверам, системам хранения, приложениям, сервисам),
которые могут быть быстро предоставлены или выпущены с
минимальными усилиями по управлению и взаимодействию с поставщиком
услуг.
Основные свойства: самообслуживание по требованию, широкий сетевой доступ,
объединение ресурсов в пулы, мгновенная эластичность, измеряемый сервис.
Модели облачных служб: программное обеспечение как услуга (SaaS),
платформа как услуга (PaaS), инфраструктура как услуга (IaaS).
Модели развертывания: частное облако, облако сообщества и коммунальное
облако, публичное (или общее) облако, гибридное облако.
Модель облачных вычислений определяется 5 существенными
характеристиками, 3 моделями обслуживания и 4 моделями
развертывания.
Короткие определения
Определение облака за 60 секунд
«Just because Software Marketing Guys Think it’s the Internet»
«Только маркетологи уверены, что это всего лишь интернет»
5 ХАРАКТЕРИСТИК
1.
2.
3.
4.
5.
Самообслуживание по
требованию
Широкополосный
доступ
Объединение ресурсов
Быстрая эластичность
Измеряемость сервиса
Пользовательское Облако
a.k.a.
SOFTWARE-AS-A-SERVICE
Облако для разработчиков
a.k.a.
PLATFORM-AS-A-SERVICE
Модели развертывания
облаков:
Инфраструктурное Облако
a.k.a.
INFRASTRUCTURE-AS-ASERVICE
1.
2.
3.
Частное
Публичное
Гибридное
Короткие определения
Облачные вычисления одной фразой:
«Облако (user computers) сквозь Облако (InterNet)
к Облаку (computing data centers)»
Data centers
InterNet
Mobile users
Environmental
sensors
Почему предприятия приходят к облачным
вычислениям и XaaS?
Проблемы ведения информационный инфраструктуры
перекладываются на плечи «облака», в итоге гораздо меньше
стоимость
Возможность решать проблемы-вызовы, интеграционные
проблемы даже фирмам с малым персоналом
надежность приложений, независимость от наличия
собственного инструментария и умения его создавать
Небольшой пример:
NASDAQ OMX: предоставляет технологии и сервисы примерно шести десяткам бирж по всему миру.
Было (2005 г.): идея создания настольного аналитического инструментария для биржевых котировок, но
запустить проект никак не удавалось, и в первую очередь — из-за высокой цены. …..--> в «облачном
режиме» потребовалась лишь разработка клиент-приложения (стоимость проекта не раскрывается), а
начальная загрузка данных (сотни Гбт) обошлась в 1 (одну) тысячу долларов + 1 тысяча в месяц. И это:
одна из крупнейших бирж в мире… При таких ценах Market Replay (настольная система брокера) вполне
окупает себя даже при самых скромных доходах.
«Чтобы доставить информацию потребителям, нам не нужно теперь тратить сотни тысяч
долларов на одни только серверы !»
SaaS - наиболее популярная облачная модель
IaaS
• Хранение
• Вычисления
• Управление
сервисами
• Сеть, безопасность…
PaaS
• Бизнес-аналитика
• Интеграция
• Разработка и
тестирование
• Базы данных
SaaS
•
•
•
•
•
•
•
•
•
•
•
Биллинг
Финансы
Продажи
CRM
Продуктивность
сотрудников
HRM
Управление
контентом
Унифицированные
коммуникации
Социальные сети
Резервные копии
Управление
документами
Преимущества облачных вычислений для госсектора США
(и не только…):
Эффективность
Преимущества облачных вычислений
Существующие системы
• Повышенная эффективность использования ресурсов
• Низкая эффективность использования ресурсов
(использование серверных мощностей > 60-70%)
(использование серверных мощностей, как правило, <
• Агрегированное использование ресурсов и ускоренная
30%)
консолидация систем
• Фрагментированное использование и дублирующие
• Повышение производительности при разработке и
друг друга системы
управлении приложениями, в использовании сетевых
• Трудные в управлении системы
ресурсов и на уровне конечного пользователя
Оперативность
Преимущества облачных вычислений
Существующие системы
• Приобретение по модели "как услуга" от доверенных
• Для создания новых сервисов в дата-центрах требуются
поставщиков
годы
• Возможность почти моментального повышения и
• Для увеличения мощностей существующих сервисов
снижения объема задействованных ресурсов
требуются месяцы
• Более оперативный отклик на экстренные запросы
пользователей
Инновации
Преимущества облачных вычислений
Существующие системы
• Переключение фокуса с владения ресурсами на
• Обремененность необходимостью управлять
управление сервисами
собственными ресурсами
• Возможность прикоснуться к инновациям публичного
• Удаленность от инновационных механизмов частного
сектора
сектора
• Стимулирование предпринимательской культуры
• Культура враждебности к риску
• Больше контактов с нарождающимися технологиями
Облачные технологии дают прямую экономическую
отдачу, что и ведет к их быстрому росту
Экономика облаков: бурно растет
Экономика облаков: бурно растет
Прогноз роста объема рынка cloud computing по сегментам
Forrester Research, 2011
Более свежие данные: бурный рост продолжается!
Roundup Of Cloud Computing Forecasts And Market Estimates, 2015
http://www.forbes.com/sites/louiscolumbus/2015/01/24/roundup-of-cloud-computing-forecasts-and-market-estimates-2015/
Louis Columbus, 1/24/2015 :
Global SaaS software revenues are forecasted to reach $106B in 2016,
increasing 21% over projected 2015 spending levels. A Goldman Sachs study
published this month projects that spending on cloud computing infrastructure
and platforms will grow at a 30% CAGR from 2013 through 2018 compared with
5% growth for the overall enterprise IT.
DEFINITION OF
'COMPOUND ANNUAL
GROWTH RATE CAGR'
The year-over-year
growth rate of an
investment over a
specified period of
time:
Гонка мировых лидеров облачных вычислений
8
Поисковые запросы
Very popular: too many are
“In Search” of Cloud Computing
Legend:
Grid computing
Cloud computing
Поисковые запросы: к облакам привыкли, это - данность
Interest over time
{grid, cloud, big data} computing
Legend:
Grid Computing
Cloud Computing
Big Data
Число «подписчиков» облаков – почти
миллиард человек
1500
Cloud Storage Subscriber Numbers
1300
Forecast
1200
1000
900
810
625
600
Million
700
500
300
2012
2013
2014
2015
2016
2017
«Облачная лихорадка» : это надолго?..
2010: Любая уважающая себя фирма сейчас перепозиционирует свои продукты как
"облачные", стартапы и их инвесторы спешно стремятся занять место на рынках SaaS, IaaS,
PaaS и прочих "облачных" предложений. При этом однозначных доказательств
экономического превосходства "облачных" технологий по сравнению с "традиционными" пока
нет. Означает ли это, что нынешнее увлечение сменится разочарованием и облачные
вычисления будут забыты?
С подачи компании Gartner
укоренилось представление о "цикле
завышенных ожиданий" (условный
перевод англ. hype cycle) в отношении
новых технологий. Согласно теории
Gartner, каждая новая технология,
прежде чем перейти к этапу
стабильного использования, должна
пережить этап завышенных
ожиданий, который сменится
разочарованием, а затем –
возрожденным, но более трезвым
интересом.
Облачные вычисления не умрут,
поскольку:
oне дадут разработчики
oне дадут пользователи
oвремя отсеет лишние
технологии
Облака: один из IT-трендов последних лет
http://public.brighttalk.com/resource/core/19507/august_21_hype_cycle_fenn_lehong_29685.pdf
27
Облака: один из IT-трендов последних лет
Emerging Technologies Hype Cycle, 2014
http://www.gartner.com/newsroom/id/2819918
Облака: один из IT-трендов последних лет
Forecast on Cloud Computing Trends 2015 from
Gartner Identifies the Top 10 Strategic Technology Trends for 2015
( http://www.gartner.com/newsroom/id/2867917 )
Облака: хорошо масштабируются, только они смогут
справиться с большими нагрузками
Figure 5-1:
Cloud computing economies of scale.
Judith Hurwitz , Robin Bloor, Marcia Kaufman, Fern Halper - Cloud Computing For Dummies // Wiley Pub, 2010, 339 pp
«Облачная стратегия» - политика стран,
общее влияние на экономику. США.
США: IT-реформа в США в целом и политика в сфере облачных
вычислений в частности во многом связаны с личностью Вивека
Кундры, занимающего с 2009 года пост федерального CIO
(директор по информационным технологиям ) в Управлении по
административным вопросам и бюджету (Office of Management and
Budget, OMB) в аппарате кабинета Обамы.
Инициатива по облачным технологиям была анонсирована Вивеком
Кундрой еще в сентябре 2009 года, когда был анонсирован сервис
SaaS-приложений для госсектора Apps.gov. Однако наиболее
энергичные действия по линии облачных вычислений стали
предприниматься федеральным CIO в конце 2010 — начале 2011
года. Но облачные вычисления – это лишь один из элементов в
более широкой программе реформ, направленных на повышение
эффективности и прозрачности государственных ИТ-расходов (т.н.
«25 пунктов Вивека Кундры»).
Облака в "25 пунктах" Вивека Кундры (2010 год):
Политика "Облака в первую очередь" (Cloud First policy), согласно которой
государственные учреждения при реализации новых ИТ-проектов должны по
умолчанию использовать облачные решения "во всех случаях, когда существуют
безопасные, надежные и эффективные в ценовом отношении предложения".
Срок исполнения – 18 месяцев . Федеральное правительство планирует выделить
под облачные вычисления 1/4 общего ИТ-бюджета, сумма которого составляет 80
млрд. долл.
Есть ли будущее у русских «облаков» (в «железе»)?
Критическая точка зрения (2011 год).
В России "облака висят в воздухе" - считает независимый эксперт Сергей Белик. Облачные
сервисы на рынке ЦОД развивать весьма сложно из-за ограничений, накладываемых
законом № 152-ФЗ. Найти нужный для "облака" канал связи за разумные деньги с
гарантированным по SLA временем восстановления работоспособности, подкрепленным
финансовой ответственностью телекоммуникационного оператора, трудно даже в Москве, не
говоря уже о регионах. Менталитет российских заказчиков далек от западного. Кроме того,
есть длинный список причин - от качества имеющейся инженерной инфраструктуры, до
уровня фактической ИТ-зрелости сервисных провайдеров, по которым говорить о
предоставлении облачных сервисов в ощутимых для страны масштабах сегодня не
приходится.
…на преодоление всех указанных
недостатков понадобится срок от 5 до 15
лет. "К тому времени появится что-то
более перспективное, поэтому вот мое
личное мнение: этой технологии нет и не
будет" - так резюмировал свой доклад по
поводу реальных перспектив облачной
технологии в нашей стране г-н Белик.
http://cloud.cnews.ru/reviews/index.shtml?2011/04/19/43719
2_3
А что у нас с Россией?
По различным оценкам
аналитиков, российский
рынок облачных
вычислений занимает –
порядка 0.5 – 1 млрд. $
http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9E%D0%B1%D0%BB%D0%B0%D1%87%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81
%D1%8B_(%D1%80%D1%8B%D0%BD%D0%BE%D0%BA_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8)
А что у нас с Россией?
Этот график показывает ранжирование страны на основе расчетов расходов на душу населения на
информационно-коммуникационных технологии в 2013 году. Мы – лишь на 9-м месте!
Statistics Portal USA [Электронный ресурс] \ http://www.statista.com/chart/1748/ict-spending-per-capita/
CNews Tenders: 100 крупнейших тендеров в сфере ИКТ в федеральных госструктурах России
по итогам 2013 г.
Источник: CNews Analytics, 2014
№
Бюджет
контракта, тыс.руб
Заказчик
Исполнитель
1
Министерство транспорта РФ
НП «Содействие развитию и
использованию
навигационных технологий»
1 699 000
2
Управление делами Президента
РФ
ФГУП "ППП"
1 189 026
3
Фонд социального страхования РФ
УСП Компьюлинк
977 873
4
Федеральная налоговая служба
ФГУП ГНИВЦ ФНС
938 025
5
Фонд социального страхования РФ
Стэп лоджик
933 951
6
Фонд социального страхования РФ
ЛАНИТ
930 931
7
Федеральное казначейство
Систематика
897 000
8
Судебный департамент при ВС РФ
(ФГУП "Информационноаналитический центр поддержки
ГАС "Правосудие")
Ростелеком
889 273
9
Пенсионный фонд РФ
КомпьютерЭйдж Сервис
844 233
10
Пенсионный фонд РФ
ТопС Бизнес Интегратор
823 400
http://www.cnews.ru/reviews/new/ikt_v_gossektore_2014/
Предмет контракта
Создание системы экстренного реагирования при авариях
«ЭРА-ГЛОНАСС» на базе многофункциональных приемных
устройств отечественного производства
Поставка оборудования, расходных материалов, работы и
услуги в сфере информационно-коммуникационных
технологий
Поставка резервного комплекса программно-технических
средств транзакционной и аналитической обработки
данных информационно-технологической инфраструктуры
ФСС РФ (включая установку и настройку)
Работы по развитию автоматизированной
информационной системы ФНС России в 2013 году
Работы по технической поддержке, сервисному
сопровождению и развитию информационных систем,
ПО,комплекты оборудования
Поставка резервного комплекса программно-технических
средств вычислительной среды информационнотехнологической инфраструктуры ФСС РФ с поставкой
оборудования
Поставка систем хранения данных, серверов, комплектов
модернизации серверного оборудования, выполнение
работ по установке и настройке серверов и комплектов
Оказание услуг связи
Приобретение технических и программных средств ИТинфраструктуры отделений ПФР (первая очередь)
Поставка вычислительных комплексов на основе серверов
Power System i
Главная проблема облаков: безопасность
Ключевые риски при переходе к облакам
•
•
•
•
•
•
•
•
Сетевая доступность
Жизнеспособность (устойчивость)
Непрерывность бизнеса и восстановление после сбоев
Инциденты безопасности
Прозрачность облачного провайдера
Потеря физического контроля
Новые риски и уязвимости
Соответствие требованиям
Главная проблема облаков: безопасность
Безопасность – главный тормоз
Главная проблема облаков: безопасность
Безопасность – главный вызов
Role of IT vs. BU By Existing Users
Base: Respondents who use Cloud – IT Department Role (296); BU Role (190)
Multiple choice question. Hence 296 is the total count of responses & not the individual respondents.
45%
Security
28%
26%
25%
24%
24%
23%
22%
Management
Compliance
Measuring / Maintaing ROI
Integration
Cost / Budget
Performance
Vendor Lock-In IT
Base: Respondents who use
Cloud (467)
17%
16%
Administration
Workload Migration
12%
Software Licensing
Other
Significant
Challenges in Cloud –
Existing Users
3%
% of responses
© Ostrato 2014
Главная проблема облаков: безопасность
Чем озабочены пользователи при переходе в
Облака
10/11 озабоченностей,
были связаны с
безопасностью
Защита данных была
причиной номер 1 для
беспокойства
Source: Ponemon – Security of cloud computing providers
Безопасность: определения и термины
Что такое информационная безопасность?
(отечественная терминология)
• Сохранение конфиденциальности, целостности и доступности
информации. Кроме того, также могут быть включены другие
свойства, такие как аутентичность, подотчетность,
неотказуемость и надежность
– ГОСТ Р ИСО/МЭК 27002
• Цель информационной безопасности заключается в защите
информации и информационных систем от
несанкционированного доступа, использования, раскрытия,
перебоев, изменения или уничтожения
Безопасность: зарубежный подход – в комплексе
Cloud Computing Reference Architecture (CCRA)
Security Component Model
Security Components
Security Intelligence, Analytics and GRC
Security Information & Event
Management
Security Intelligence
Security Governance, Risk
Management & Compliance
People
Data
Applications
Infrastructure*
Identity & Access
Management
Data & Information Security
Secure Application
Development
Threat & Intrusion
Prevention
Physical & Personnel
Security
Encryption & Key
Management
Security Policy Management
Endpoint Management
Management
Endpoint
Additional information can be found here :
https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Wf3cce8ff09b3_49d2_8ee7_4e49c1ef5d22/p
age/IBM%20Cloud%20Computing%20Reference%20Architecture%203.0
*Infrastructure Includes – Server, Network, Storage
Безопасность: зарубежные определения и термины
Информационная безопасность:
CIA - триада
• Confidentiality
– Обеспечивает необходимую секретность
информации
– Гарантирует, что только авторизованные
пользователи имеют доступ к данным
• Integrity
-- Гарантирует от несанкционированных
изменений данных
• Availability
– Обеспечивает авторизованным
пользователям надежный и
своевременный доступ к данным
Confidentiality
Availability
Integrity
Облака: многоуровневое обеспечение безопасности
Многоуровневая безопасность
Defense-in-Depth (DID)
Механизм, который использует несколько мер безопасности, чтобы
снизить риск угроз безопасности, если один из компонентов защиты
нарушается.
• DID также известен как
"многоуровневый
подход" к безопасности
• DID дает организации
дополнительное время
для выявления и
реагирования на атаки
– Уменьшает объем
нарушения безопасности
1
2
3
4
1. Периметр безопасности
(Физическая безопасность)
2. Управление удаленным
доступом
(VPN, аутентификация и т.д.)
5
3. Сетевая безопасность
(Firewall, DMZ, etc.)
4. Безопасность вычислений
(Hardening, Anti Virus, etc.)
5. Безопасность хранения
(Encryption, Zoning, etc.)
За счет чего достигается
информационная безопасность?
• Информационная безопасность включает в себя
–
–
–
–
–
–
–
–
–
–
–
Политика в области защиты
Организация защиты информации
Менеджмент активов
Защита человеческих ресурсов
Физическая безопасность и безопасность окружения
Управление средствами связи и операциями
Управление доступом
Приобретение, разработка и поддержание в рабочем состоянии ИС
Управление инцидентами
Менеджмент непрерывности
Соответствие требованиям
Чтобы перейти к облакам, надо знать:
На каком уровне вы способны обеспечивать безопасность в своей
корпоративной сети уже сейчас?
• Вы можете гарантировать отсутствие
закладок на аппаратном уровне?
• Вы защищаете и внутреннюю сеть или
только периметр?
• Как у вас обстоит дело с защитой
виртуализации? А SDN вы не
внедряли еще?
• Вы знаете механизмы защиты своих
операционных систем? А вы их
используете?
• А механизмы защиты своих
приложений вы знаете? А
используете?
• А данные у вас классифицированы?
(С) Лукацкий Алексей: «Почему в России нельзя обеспечить безопасность облачных вычислений»
Облака: многоуровневое обеспечение безопасности
Безопасность среды облаков: слои контроля и доступа
Облако комбинирует возможности
пользователя и поставщика,
брандмауэры и разновидности изоляций, чтобы создать «решетку
безопасности» со слоями безопасности.
Отдельные элементы безопасности могут контролироваться
пользователем независимо от провайдера
Provider Owned/Provider
Controlled Provider Owned/User
Controlled VNS3 - User
Owned/User Controlled User
Owned/User Controlled
Чтобы перейти к облакам, надо знать:
Разные возможности по реализации системы
защиты для разных сервисных моделей
Провайдер
Данные
ОС/Приложения
Данные
Заказчик
Заказчик
Приложения
VMs/Containers
Провайдер
Провайдер
IaaS
PaaS
SaaS
• В зависимости от архитектуры облака часть функций защиты
может решать сам потребитель самостоятельно
(С) Лукацкий Алексей: «Почему в России нельзя обеспечить безопасность облачных вычислений»
You
do
this
Vendor supplies …
- Infrastructure security
You
do
this
Vendor supplies …
- Application Stack
Security
- Infrastructure
Security
You
do
this
Vendor supplies …
- Application Security
- Application Stack
Security
- Infrastructure
Security
Типы облачных моделей и
средства защиты
IaaS
• Заказчик облачных
услуг может
использовать любые
средства защиты,
устанавливаемые на
предоставляемую
аппаратную
платформу
PaaS
SaaS
• Заказчик облачных
услуг привязан к
предоставляемой
платформе
• Выбор СЗИ (особенно
сертифицированных)
ограничен и, как
правило, лежит на
облачном провайдере
• Заказчик может
настраивать функции
защиты приложений
• Компромисс между
средствами защиты и
облачными услугами
• Заказчик облачных
услуг не имеет
возможности по
выбору средств и
механизмов защиты
облака
• Выбор лежит на
облачном провайдере
Защита IaaS: обратите внимание
• Ограничения на установку определенных средств защиты в
инфраструктуру облачного провайдера
• Возможность установки собственных средств шифрования
• Экспорт из России средств шифрования
– На все площадки облачного провайдера в разных странах мира
• Обслуживание (замена) вышедших из строя средств защиты,
особенно средств шифрования
• Защита данных при доступе с мобильных устройств
– Особенно в контексте шифрования трафика
Защита PaaS: обратите внимание
• Насколько модель угроз и стандарты защиты облачного
провайдера соответствуют вашим?
– Возможно ли привести их к общему знаменателю?
Защита SaaS: обратите внимание
• Насколько модель угроз и стандарты защиты облачного
провайдера соответствуют вашим?
– Возможно ли привести их к общему знаменателю?
• Как вообще вы можете повлиять на реализацию и эксплуатацию
системы ИБ у облачного провайдера?
Типы облаков с точки зрения ИБ
Частное
• Управляется
организацией или
третьим лицом
• Обеспечение
безопасности легко
реализуемо
• Вопросы
законодательного
регулирования
легко решаемы
Публичное
(локальное)
• Управляется одним
юридическим
лицом
• Обеспечение
безопасности
реализуемо
средними
усилиями
• Вопросы
законодательного
регулирования
решаемы
средними
усилиями
Публичное
(глобальное)
• Управляется
множеством
юридических лиц
• Требования по
безопасности
различаются в
разных странах
• Законодательные
требования
различаются в
разных странах
Безопасность и модели развертывания облаков
Различные модели развертывания также
меняют уровень безопасности
Private cloud
On or off premises cloud
infrastructure operated solely
for an organization and
managed by the organization
or a third party
Hybrid IT
Public cloud
Traditional IT and clouds (public and/or
private) that remain separate but are bound
together by technology that enables data and
application portability
Больше защиты
Изменения
защиты и приватности
- Ответственность клиентов за инфраструктуру
Available to the general
public or a large industry
group and owned by an
organization selling cloud
services.
Меньше защиты
–
За инфраструктуру отвечает провайдер
–
Меньшая настраиваемость управления
безопасностью
Легкий доступ к логам и политикам
–
Нет видимости внутрисуточных операций
Приложения и данные остаются "внутри
брандмауэра"
–
Трудный доступ к логам и политикам
–
Приложения и данные используются публично
–
Подробнее настройки управления безопасности
–
Хорошая видимость внутридневных операций
–
–
Private Clouds
http://designyoutrust.com
В публичном облаке меньше контроля
Частное облако
Публичное облако
Соответствие
Предприятие
Облачный провайдер
Governance
Предприятие
Облачный провайдер
Безопасность
Предприятие
Облачный провайдер
Эксплуатация
Предприятие
Облачный провайдер
Риски
Предприятие
Распределены между
предприятием и
облачным провайдером
Владелец облака
Предприятие или
арендодатель
Облачный провайдер
Использование
ограничено
Предприятием
Ничем
24
Publ i c
Cl ouds
Возможности по контролю изменчивы
Инсорсинг
Гибридное
Внешнее
Публичное
Внутреннее
Аутсорсинг
Возможности по
контролю меняются в
зависимости от вида
эксплуатации,
расположения и типа
облака
Сообщество
Частное
ОБЛАКА = ПОТЕРЯ КОНТРОЛЯ
Облака: техническое обеспечение безопасности
Технически хотя и сложно, но все же вполне реализуемо (в частном облаке – уже
сейчас): настроить на всех промежуточных уровнях элементы шифрования,
аудентификации, защиты данных… Ниже: пример многоуровневой системы
защиты данных в медицинских «облаках» в Англии (а ведь еще несколько лет
назад это область НЕ рекомендовалась для перемещения в облака!).
Но… На
технической
защите данных
наши проблемы
не
заканчиваются!
Что не вполне зависит от облаков
Governance, Risk, and Compliance (GRC):
(Управление, Риски, Соблюдение)
Governance относится к политике, процессам, законам
и институтам, определяющим структуру, которой
подчиняется и управляется компания
Risk относятся к эффекту неопределенности; управление
рисками - согласованная деятельность по руководству и
управлению организацией, и осознание бизнеспотенциала при реакции на негативные события.
Compliance (Соблюдение) относится к демонстрации
приверженности к внешним законам и правилам, а
также корпоративным политикам и процедурам.
В этой области: обратить внимание на
различные законодательные ограничения
• Трансграничная передача персональных данных
– Потребует от заказчика облачных услуг получить письменное
согласие субъекта персональных данных
– Реализация легального шифрования на площадках в разных
странах мира
– Реализация легального шифрования на мобильных платформах
• Обработка государственных информационных ресурсов
– Облачный провайдер не может передавать ГИР за пределы
России согласно 351-му Указу Президента
– Облачный провайдер должен соответствовать требованиям 17-го
приказа ФСТЭК от 2013-го года
– Облачный провайдер должен использовать только
сертифицированные средства защиты и(или) аттестовать свои
ИС
Обратите внимание и на другие вопросы
• Облачный провайдер обязан предоставить доступ
спецслужбам, правоохранительным и судебным
органам по мотивированному (или
немотивированному) запросу
– А иногда облачный провайдер и не будет знать, что такой доступ имеется
– А вас он не обязан ставить в известность о таком доступе
• Контроль облачного провайдера
– Вам придется переориентироваться с собственной защиты на контроль
чужой защиты
– На каком языке вы будете общаться с зарубежным облачным
провайдером?
• Предоставление услуг по защите информации
– это лицензируемый вид деятельности
– У облачного провайдера есть лицензии ФСТЭК и ФСБ?
Изменение парадигмы ИБ
регуляторов при переходе в
публичное облако
Один объект
= один
субъект
Один объект =
множество
субъектов
• Защищать надо не только отдельных субъектов, но и
взаимодействие между ними
• С учетом отсутствия контролируемой зоны и динамической модели
предоставления сервиса
Основной трафик – внутри дата-центров
Global Data Center Traffic Growth
Majority of Data Center Traffic Stays within the Data Center
5.0
4.5
4.8 ZB
Zettabytes / Year
4.0
3.5
3.7 ZB
3.0
2.9 ZB
2.5
2.0
2.1 ZB
1.5
1.0
1.5 ZB
1.1 ZB
0.5
0.0
2010
2011
2012
2013
33% CAGR 2010–2015
2014
2015
Основной трафик – внутри дата-центров
Global Data Center Traffic by Destination
Majority of Data Center Traffic Stays within the Data Center
5.0
Data Center-to-User
4.5
4.0
Zettabytes / Year
17%
Data Center-to-Data
Center
7%
3.5
3.0
76%
2.5
2.0
1.5
1.0
18%
5%
0.5
77%
0.0
2010
2011
2012
2013
33% CAGR 2010–2015
2014
2015
Если вы все-таки решились
• Стратегия безопасности облачных вычислений
–
–
–
–
–
–
–
–
Пересмотрите свой взгляд на понятие «периметра ИБ»
Оцените риски – стратегические, операционные, юридические
Сформируйте модель угроз
Сформулируйте требования по безопасности
Пересмотрите собственные процессы обеспечения ИБ
Проведите обучение пользователей
Продумайте процедуры контроля облачного провайдера
Юридическая проработка взаимодействия с облачным
провайдером
Выбор облачного провайдера с
точки зрения ИБ
•
•
•
•
•
•
•
•
•
•
•
•
•
Защита данных и обеспечение privacy
Управление уязвимостями
Управление identity
Объектовая охрана и персонал
Доступность и производительность
Безопасность приложений
Управление инцидентами
Непрерывность бизнеса и восстановление после катастроф
Ведение журналов регистрации (eDiscovery)
Сompliance
Финансовые гарантии
Завершение контракта
Интеллектуальная собственность
Вместо заключения
Итого, в идеале необходимо:
включить между облаком и потребителем облачных услуг функции шифрования
наладить адаптивный и динамический выбор "ближайшего" облачного шлюза.
Ближайшего по критериям времени отклика, загруженности и другим параметрам. Ограничить
подключение потребителя определенным шлюзом неразумно; сразу теряется половина смысла перехода к
модели облачных вычислений.
А значит - отладить трансграничное законодательство
Настроить шифрованную передачу данных внутри облачной среды
То есть: облачная безопасность - это клубок сложнопереплетенных
взаимоотношений, участников, технологий, законодательств.
То есть, в итоге: в России основные проблемы
больше лежат не в технической плоскости (они
вполне решаемы), а в законодательной и
организационной.
Спасибо за внимание!
Вопросы ?
