Cloud security risk management (fragment of course materials)
- 1. ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ТЕХНОЛОГИЙ «ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ» Оценка рисков информационной безопасности при использовании технологий «облачных вычислений»
- 2. ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ТЕХНОЛОГИЙ «ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ»
- 3. ОРГАНИЗАЦИИ 3/15 ISO Международная организация по стандартизации ITU-T Международный союз электросвязи - сектор телекоммуникаций CSA Альянс безопасности облачных вычислений ENISA Европейское агентство по сетевой и информационной безопасности NIST Национальный институт стандартов и технологий США ISACA Ассоциация по аудиту и контролю информационных систем SNIA Storage Networking Industry Association (SNIA) - Cloud Storage Initiative (CSI)
- 4. Атрибуты (характеристики) облака ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ 4/20 NIST SP 800-145 Ключевые характеристики 1. самообслуживание по запросу (on-demand self-service) 2. повсеместный доступ (broad network access) 3. объединение облачных ресурсов в единый пул (resource pooling) 4. оперативная реакция (rapid elasticity) 5. измеримость (measured service) Сервисные модели 1. инфраструктура как услуга (infrastructure as a service - IaaS) 2. платформа как услуга (platform as a service - PaaS) 3. программное обеспечение как услуга (software as a service - SaaS) Модель развертывания 1. общественное облако (public cloud) 2. коллективное облако (community cloud) 3. частное облако (private cloud) 4. гибридное облако (hybrid cloud)
- 5. АРХИТЕКТУРА ОБЛАЧНОЙ ИС 5/20 MANAGEMENT TOOLS OPERATIONS AUTOMATION SERVICES ORCHESTRATION HARDWARE VIRTUALIZATION User control panel OSS (Operation support system) Infrastructure-as-a-Service Cloud Orchestration System DATACENTER (power supply, cooling, air-conditioning, physical security) Virtualization Management System Hypervisor Server (computing resources) BSS (Business support system) Platform-as-a-Service Network (network resources, SDN) API/SDK Software-as-a-Service Storage (storage resources, SDS) Administrator control panel
- 6. ЗАЩИТА ОБЛАЧНОЙ ИС 6/20 MANAGEMENT TOOLS OPERATIONS AUTOMATION SERVICES ORCHESTRATION HARDWARE VIRTUALIZATION Identification and Authentication (FIA) OS Security Virtualization Environment Protection Network Perimeter Protection Perimeter Protection AP Security Environmental Security Security-as-a-Service IT-infrastructure Security Data Protection Access Control (FTA & FTP) User Data Protection (FDP) Security Audit (FAU) Security Management (FMT)
- 7. Потребитель Сторона , которая состоит в деловых отношениях применительно к использованию облачных услуг Партнер Партнер, участвующий в поддержке деятельности либо поставщика облачной услуги , либо потребителя облачной услуги или же оказывает помощь в этой деятельности Поставщик Сторона, которая предоставляет облачные услуги Пользователь Лицо, связанное с потребителем облачной услуги , которое пользуется облачными услугами Безопасность облачных вычислений 7/28 Термины и определения (ITU-T X.1601)
- 8. ITU-T X.1601 Угрозы безопасности для потребителей облачной услуги • Потеря и утечка данных. • Незащищенный доступ к услуге. • Внутренние угрозы. Угрозы безопасности для поставщиков облачной услуги. • Несанкционированный административный доступ. • Внутренние угрозы. УГРОЗЫ БЕЗОПАСНОСТИ 8/28
- 9. Неопределенность в отношении ответственности Потеря доверия Потеря управления Потеря конфиденциальности Неготовность услуги Привязка к одному поставщику облачной услуги Неправомерное присвоение интеллектуальной собственности Потеря целостности программного обеспечения. Неопределенность в отношении ответственности Совместно используемая среда Несогласованность и конфликт механизмов защиты Конфликт юрисдикций Риски, связанные с изменениями Неудачный переход и интеграция Перебои в деятельности Привязка к партнеру Уязвимость цепи поставок Взаимозависимость ПО Неопределенность в отношении ответственности Неправомерное присвоение интеллектуальной собственности Потеря целостности программного обеспечения ПРОБЛЕМЫ БЕЗОПАСНОСТИ 9/28 Для потребителя Для поставщика Для партнера
- 10. ITU-T X.1601 Неопределённость ответственности - отсутствие чёткого разделения ответственности в части обеспечения БИ между потребителем и поставщиком облачных услуг, что является причиной невыполнения некоторых мер по защите информации. Меры - Договор, SLA, NDA. УГРОЗЫ БЕЗОПАСНОСТИ 10/x
- 11. ITU-T X.1601 Потеря управления – Передача потребителем облачных услуг части функций управления своей ИС поставщику облачных услуг. Меры - Поставщику делегированы функции по управлению аппаратным обеспечением, вычислительными сетями, операционными системами и прикладным ПО. УГРОЗЫ БЕЗОПАСНОСТИ 11/x
- 12. ITU-T X.1601 Потеря доверия - Пользователи облачных услуг не могут достоверно оценить уровень доверия к поставщику облачных услуг, в связи с закрытостью для пользователей применяемых поставщиком технологий и программных решений. Меры – Предоставление информации о применяемых поставщиком технологий и программных решений, после заключения NDA. УГРОЗЫ БЕЗОПАСНОСТИ 12/x
- 13. ITU-T X.1601 Привязка к провайдеру облачных услуг - Ограничения возможности смены поставщика облачных услуг. Меры – Использование поставщиком стандартного ПО. УГРОЗЫ БЕЗОПАСНОСТИ 13/x
- 14. ITU-T X.1601 Осуществление незащищённого от НСД доступа - Атаки c небезопасным использованием программных конструкций. «фишинг» (fishing), «фрод» (fraud), атаки с использованием эксплойтов. Меры – Безопасность на стороне пользователя / поставщика (Управление доступом субъектов, Управление обновлениями, Парольная политика, Политика приемлемого использования). УГРОЗЫ БЕЗОПАСНОСТИ 14/x
- 15. ITU-T X.1601 Недостаток управления информацией/облачными ресурсами - Сложность определения логического и физического местоположения информации/облачных ресурсов, недостаточностью физического контроля доступа к хранилищам данных, надёжностью резервного копирования и др. Передача информации поставщикам облачных услуг, являющихся резидентами других стран. Меры – Определение требований. Выбор поставщика. УГРОЗЫ БЕЗОПАСНОСТИ 15/x
- 16. ITU-T X.1601 Потеря и утечка данных - Потеря ключей шифрования или учётных данных пользователей. Управление защитой информации, в том числе ключами идентификации, аутентификации и шифрования, привилегиями пользователей. Меры – безопасность на стороне пользователя/поставщика (Управление защитой информации, в том числе ключами идентификации, аутентификации и шифрования, привилегиями пользователей). УГРОЗЫ БЕЗОПАСНОСТИ 16/x
- 17. В SLA указываются параметры, связанные с этими возможностями обеспечения безопасности Модель доверия Управление определением идентичности и доступом (IAM), аутентификация, авторизация и аудит транзакций Физическая безопасность Безопасность интерфейса Безопасность виртуализации вычислений Безопасность сети Изолирование и защита данных и защита конфиденциальности ВОЗМОЖНОСТИ 17/28 Координация обеспечения безопасности Эксплуатационная безопасность Управление инцидентами Восстановительные работы при бедствиях Оценка и аудит безопасности услуги Функциональная совместимость, переносимость и обратимость Безопасность цепи поставок
- 18. ПОДХОД К ОБЕСПЕЧЕНИЮ ИБ 18/28 Угрозы •Определить угрозы безопасности и последствия проблем для безопасности в рассматриваемой услуге облачных вычислений. •(п.7,8 X.1601) Возможности •Определить необходимые высокоуровневые возможности обеспечения безопасности на основе выявленных угроз и проблем, которые могут уменьшить угрозы безопасности и решить проблемы безопасности. •(п.9 X.1601) Меры •Выбрать средства управления, политику и процедуры безопасности, которые могут предоставить необходимые способности обеспечения безопасности исходя из определенных возможностей обеспечения безопасности.