Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Обеспечение безопасности при использовании облачных вычислений

Download as PPTX, PDF
Aleksei Goldbergs
Aleksei Goldbergs

Лекция для студентов 6-го курса ВМК МГУ в рамках курса "Виртуализация и облачные вычисления", в которой рассмотрены основные риски, возникающие при использовании обычных вычислений, и доступные меры их компенсации

1 of 12
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ Алексей Голдбергс Руководитель направления защиты облачных сред ПАО «Сбербанк»
Несколько слов о себе • Окончил Нижегородский Государственный Технический Университет по специальности «Информационные технологии (в технике)» • Более 15 лет в индустрии ИТ, из них в ИБ – 10 • Прошёл путь от системного администратора сети магазинов самообслуживания до руководителя направления защиты облачных сред в Центре киберзащиты Сбербанка • Работал в таких компаниях, как МТС, Microsoft, КриптоПро, Positive Technologies • Microsoft Certified System Administrator: Security и не только • 6 наград Microsoft MVP (Most Valuable Professional) Cloud & Datacenter Management
Распределение ответственности ” Staying Secure in the Cloud Is a Shared Responsibility” by Gartner, May 2017
Модель угроз / нарушителя Внешниенарушители Спецслужбы иностранных государств Разведка Шпионаж Преступные группы Проникновение в инфраструктуру Кража данных Бывшие сотрудники Раскрытие конфиденциальной информации Кража данных Сотрудники поставщика сервиса Нарушение конфиденциальности данных Нарушение целостности данных Нарушение доступности сервиса Удаление журналов аудита Внутренниенарушители Администраторы сервиса Халатные действия, отсутствие достаточной квалификации Модификация/кража данных Пользователи сервиса Ошибочные действия Кража данных Разглашение конфиденциальной информации
Риски кибербезопасности • Утечка конфиденциальной информации • Внешнее мошенничество • Нарушение целостности активов (модификация и уничтожение информации) • Недоступность активов (недоступность информационных систем, сбой в работе систем ИБ, недоступность облачных сервисов) • Нарушение процессов управления кибербезопасностью (невыполнение требований КБ, некорректное выполнение процессов КБ) • Нарушение управления доступом (нарушение предоставления прав доступа или парольной политики)
Риски, не относящиеся к кибербезопасности • Отказ от ответственности поставщика облачного сервиса – ограничение или полный отказ от возмещения причиненного ущерба • Невозможность сбора доказательной базы – отсутствие технической возможности сбора доказательств для предоставления в суде, с целью возмещения ущерба причиненного по вине поставщика облачного сервиса • Несанкционированный доступ третьих лиц – отсутствие достаточных технических средств ограничения и контроля доступа третьих лиц к информации, размещенной в облачном сервисе. • Регуляторный – нарушение требований регуляторов поставщиком или организацией при использовании облачного сервиса • Потеря контроля – отсутствие технической возможности осуществления полного контроля над информацией, размещенной в облачном сервисе, и за соблюдением поставщиком требований к ее защите • Геополитический – изменение политической ситуации в стране, с территории которой предоставляется облачный сервис, влияющее на его качество
Меры компенсации • Отказоустойчивая архитектура приложений / систем • Сегментация (виртуальной) сети • Шифрование данных • Резервное копирование • Средства защиты от вредоносного кода • Строгая (многофакторная) аутентификация и ролевая модель • Контроль уязвимостей и конфигураций • Мониторинг и корреляция событий безопасности
Технические средства (Microsoft Azure). Часть 1 • Отказоустойчивая архитектура приложений / систем • Azure Availability Sets • Azure Availability Zones • Azure VM Scale Sets • Azure Load Balancer • Azure Application Gateway • Сегментация (виртуальной) сети • Virtual Networks (VNet) • Networks Security Groups (NSG) • Шифрование данных • Azure Key Vault • Azure Information Protection / Rights Management Services • Azure Disk Encryption • Azure VPN Gateway • Резервное копирование • Azure Backup Vault
Технические средства (Microsoft Azure). Часть 2 • Средства защиты от вредоносного кода • Microsoft Antimalware for Azure • Строгая (многофакторная) аутентификация и ролевая • Role-Based Access Control (RBAC) • Azure Active Directory (AD) / AD Connect / Passthrough • Active Directory Federation Services • Azure Multi-factor Authentication (MFA) • Контроль уязвимостей и конфигураций • Azure Security Center • Мониторинг и корреляция событий безопасности • Azure Security Center
Нормативная база • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» • Федеральный закон № 152–ФЗ «О персональных данных» • Федеральный закон № 242-ФЗ «О внесении изменений в отдельные законодательные акты РФ по вопросам осуществления государственного контроля (надзора) и муниципального контроля» • Приказ ФСТЭК России № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» • Постановление Правительства РФ № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» • ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения» • ГОСТ ISO/IEC 17788-2016 «Информационные технологии (ИТ). Облачные вычисления. Общие положения и терминология» (введен в действие с 1 ноября 2017 г.) • [Проект] «Защита информации. Требования по защите информации, обрабатываемой с использованием технологий «облачных вычислений». Общие положения»
Дополнительные материалы • Cloud Security Alliance (CSA) Security Guidance for Critical Areas of Focus in Cloud Computing v.4 • NIST Special Publication 500-299 “NIST Cloud Computing Security Reference Architecture” • NIST Special Publication 800-125 “Guide to Security for Full Virtualization Technologies” • NIST Special Publication 800-125A “Security Recommendations for Hypervisor Deployment on Servers” • NIST Special Publication 800-125B “Secure Virtual Network Configuration for Virtual Machine (VM) Protection” • NIST Special Publication 800-144 “Guidelines on Security and Privacy in Public Cloud Computing” • Amazon Web Services: Overview of Security Processes • [готовится к выходу] «Инфраструктура безопасности Microsoft Azure» Юрий Диогенес, Д-р Томас В. Шиндер, Дебра Литтлджон Шиндер
ВОПРОСЫ Алексей Голдбергс Goldbergs.A.O@Sberbank.ru

More Related Content

Обеспечение безопасности при использовании облачных вычислений

  • 1. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ Алексей Голдбергс Руководитель направления защиты облачных сред ПАО «Сбербанк»
  • 2. Несколько слов о себе • Окончил Нижегородский Государственный Технический Университет по специальности «Информационные технологии (в технике)» • Более 15 лет в индустрии ИТ, из них в ИБ – 10 • Прошёл путь от системного администратора сети магазинов самообслуживания до руководителя направления защиты облачных сред в Центре киберзащиты Сбербанка • Работал в таких компаниях, как МТС, Microsoft, КриптоПро, Positive Technologies • Microsoft Certified System Administrator: Security и не только • 6 наград Microsoft MVP (Most Valuable Professional) Cloud & Datacenter Management
  • 3. Распределение ответственности ” Staying Secure in the Cloud Is a Shared Responsibility” by Gartner, May 2017
  • 4. Модель угроз / нарушителя Внешниенарушители Спецслужбы иностранных государств Разведка Шпионаж Преступные группы Проникновение в инфраструктуру Кража данных Бывшие сотрудники Раскрытие конфиденциальной информации Кража данных Сотрудники поставщика сервиса Нарушение конфиденциальности данных Нарушение целостности данных Нарушение доступности сервиса Удаление журналов аудита Внутренниенарушители Администраторы сервиса Халатные действия, отсутствие достаточной квалификации Модификация/кража данных Пользователи сервиса Ошибочные действия Кража данных Разглашение конфиденциальной информации
  • 5. Риски кибербезопасности • Утечка конфиденциальной информации • Внешнее мошенничество • Нарушение целостности активов (модификация и уничтожение информации) • Недоступность активов (недоступность информационных систем, сбой в работе систем ИБ, недоступность облачных сервисов) • Нарушение процессов управления кибербезопасностью (невыполнение требований КБ, некорректное выполнение процессов КБ) • Нарушение управления доступом (нарушение предоставления прав доступа или парольной политики)
  • 6. Риски, не относящиеся к кибербезопасности • Отказ от ответственности поставщика облачного сервиса – ограничение или полный отказ от возмещения причиненного ущерба • Невозможность сбора доказательной базы – отсутствие технической возможности сбора доказательств для предоставления в суде, с целью возмещения ущерба причиненного по вине поставщика облачного сервиса • Несанкционированный доступ третьих лиц – отсутствие достаточных технических средств ограничения и контроля доступа третьих лиц к информации, размещенной в облачном сервисе. • Регуляторный – нарушение требований регуляторов поставщиком или организацией при использовании облачного сервиса • Потеря контроля – отсутствие технической возможности осуществления полного контроля над информацией, размещенной в облачном сервисе, и за соблюдением поставщиком требований к ее защите • Геополитический – изменение политической ситуации в стране, с территории которой предоставляется облачный сервис, влияющее на его качество
  • 7. Меры компенсации • Отказоустойчивая архитектура приложений / систем • Сегментация (виртуальной) сети • Шифрование данных • Резервное копирование • Средства защиты от вредоносного кода • Строгая (многофакторная) аутентификация и ролевая модель • Контроль уязвимостей и конфигураций • Мониторинг и корреляция событий безопасности
  • 8. Технические средства (Microsoft Azure). Часть 1 • Отказоустойчивая архитектура приложений / систем • Azure Availability Sets • Azure Availability Zones • Azure VM Scale Sets • Azure Load Balancer • Azure Application Gateway • Сегментация (виртуальной) сети • Virtual Networks (VNet) • Networks Security Groups (NSG) • Шифрование данных • Azure Key Vault • Azure Information Protection / Rights Management Services • Azure Disk Encryption • Azure VPN Gateway • Резервное копирование • Azure Backup Vault
  • 9. Технические средства (Microsoft Azure). Часть 2 • Средства защиты от вредоносного кода • Microsoft Antimalware for Azure • Строгая (многофакторная) аутентификация и ролевая • Role-Based Access Control (RBAC) • Azure Active Directory (AD) / AD Connect / Passthrough • Active Directory Federation Services • Azure Multi-factor Authentication (MFA) • Контроль уязвимостей и конфигураций • Azure Security Center • Мониторинг и корреляция событий безопасности • Azure Security Center
  • 10. Нормативная база • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» • Федеральный закон № 152–ФЗ «О персональных данных» • Федеральный закон № 242-ФЗ «О внесении изменений в отдельные законодательные акты РФ по вопросам осуществления государственного контроля (надзора) и муниципального контроля» • Приказ ФСТЭК России № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» • Постановление Правительства РФ № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» • ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения» • ГОСТ ISO/IEC 17788-2016 «Информационные технологии (ИТ). Облачные вычисления. Общие положения и терминология» (введен в действие с 1 ноября 2017 г.) • [Проект] «Защита информации. Требования по защите информации, обрабатываемой с использованием технологий «облачных вычислений». Общие положения»
  • 11. Дополнительные материалы • Cloud Security Alliance (CSA) Security Guidance for Critical Areas of Focus in Cloud Computing v.4 • NIST Special Publication 500-299 “NIST Cloud Computing Security Reference Architecture” • NIST Special Publication 800-125 “Guide to Security for Full Virtualization Technologies” • NIST Special Publication 800-125A “Security Recommendations for Hypervisor Deployment on Servers” • NIST Special Publication 800-125B “Secure Virtual Network Configuration for Virtual Machine (VM) Protection” • NIST Special Publication 800-144 “Guidelines on Security and Privacy in Public Cloud Computing” • Amazon Web Services: Overview of Security Processes • [готовится к выходу] «Инфраструктура безопасности Microsoft Azure» Юрий Диогенес, Д-р Томас В. Шиндер, Дебра Литтлджон Шиндер