Обзор основных тенденций информационной безопасности в облаках

Денис Безкоровайный, CISA, CISSP, CCSKВице-президент RISSPA,Организатор Cloud Security Alliance Russian Chapter

Что останавливает переход в облака?

Источник - The Future of IT Outsourcing and Cloud Computing, 2011, PwC (http://www.pwc.com/ITOcloudstudy)

Опрошены 476 организаций, 1- минимальный риск, 5 – очень серьезный риск

1. Стандартизация

Стандартизация. Кто координирует вопросы облачной безопасности?

Cloud Security Alliance – глобальная некоммерческая организация

Основные инициативы:

• Руководство по безопасности критических областей в сфере облачных вычислений

•Главные угрозы облачных вычислений

•Опросник оценки безопасности облачных провайдеров

•CloudAudit

•Cloud Controls Matrix (CCM)

2. Повышение прозрачности сервис-провайдеров

Вариант 1. Подтверждение третьей стороной

•Независимые аудиторские заключения по SSAE 16 (SAS 70) или ISAE 3402

•Сертификация по стандарту ISO/IEC 27001

Длительные и дорогостоящие процедуры

Повышение прозрачности. Как можно повысить доверие к провайдеру?

Повышение прозрачности. Как можно повысить доверие к провайдеру?

Вариант 2. Предоставление данных провайдером о своей системе защиты аудиторам и подразделениям ИБ компаний-заказчиков.

•Данные используются клиентами для анализа рисков

•Нужна общая терминология и форма

Повышение прозрачности. Что нужно знать заказчикам о провайдере?Используемые технологии (виртуализация, физическая инфраструктура, общая архитектура сервисов и тд)

Наличие или отсутствие процессов ИБ у провайдера (оценка рисков, управление инцидентами, разделение полномочий, непрерывность бизнеса и тд)

Способы защиты данных (гарантированное удаление, разграничения между разными клиентами и тд)

Используемые подсистемы ИБ (защита от вирусов и атак, сбор событий и анализ инцидентов, методы аутентификации, использование шифрования и тд)

Физическая защита и зависимость от внешних поставщиков (надежность и безопасность датацентра, нижележащих провайдеров и тд)

Порядок взаимодействия с органами (в каких случаях может быть выдача данных и остановка сервиса, выемка данных у одного заказчика не должна влиять на данные других и тд)

В какой стране находятся данные клиента

Список далеко не полный

3. Появляются системы защиты, готовые к использованию в облачной среде

Системы защиты для облаков

Шифрование данных перед отправкой к провайдеру

Шифрование данных клиента на стороне провайдера

Защита виртуальных машин клиента на стороне провайдера

Системы аутентификации для облачных сервисов

ЭТО ВСЕ «У НИХ», А ЧТО «У НАС»?

Ситуация с безопасностью облаков в России

Для примера проанализированы данные в открытом доступе о 15 крупных российских публичных облачных провайдерах (SaaS, IaaS)

•Упоминания (!) ИБ на сайте лишь у 7 компаний

•Только у одной компании на сайте есть хотя бы общее описание используемой провайдером системы защиты

•Только у одной компании есть рекомендации по ИБ для клиентов

•Ни у одной компаниии нет описания процессов взаимодействия с клиентами по вопросам ИБ

Ситуация с безопасностью облаков в России

Типичные фразы в описании информационной безопасности у провайдеров:

•«Для защиты используется HTTPS»

•«Мы делаем резервное копирование»

•«Дата-центр круглосуточно охраняется»

Этого недостаточно!

Стандартизация в России. Cloud Security Alliance Russian ChapterЛокализация руководств и результатов исследований CSA

Адаптирование лучших практик CSA к российским условиям и законодательству

Разработка рекомендаций для российских потребителей облачных услуг

Повышение прозрачности для российских провайдеров облачных услуг

Перевод документа от CSA Global:

«Опросник оценки состояния безопасности облачной среды»

www.risspa.ru/csa

Перенос данных в облако

17

Вопросы?

www.RISSPA.ru

bezkod@RISSPA.ruДенис Безкоровайный