Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 12 лет назад пользователемelvis.ru
1 © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Как повысить доверие к облачному провайдеру? Основные организационные и технические задачи 20 лет в море информационных технологий Заместитель Генерального директора ОАО «ЭЛВИС-ПЛЮС» по развитию С. В. ВИХОРЕВ Креативное оформление С. Нейгер Москва, 2012 г.
2 © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ ВОПРОСЫ ПРЕЗЕНТАЦИИ Пролог Проблемы «облаков» Триединая задача создания «доверенного облака» Ключевая проблема Сегрегация данных Выводы
3 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Мои знания делают меня пессимистом, зато вера – оптимистом. (Г. К. Честертон)
4 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Уверены ли мы в его надёжности? Провайдерам приходится каждого пользователя отдельно убеждать в надёжности предоставляемых систем защиты.
5 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ При организации защиты «облачных» технологий возникают взаимосвязанные группы проблем: две
6 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Нет нормативов и требований по защите и типовой модели угроз Нет концептуальных подходов к безопасности Нет правовой основы отношений провайдер/пользователь Не урегулированы отношения при трансграничности облачной среды Нормативно-правовые:
7 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Технологические: Сужение возможности использования традиционных средств защиты Непрозрачная процедура управления инфраструктурой для пользователя Проблема конфиденциальности и целостности удалённого доступа Обязательное наличие гипервизора и проблема его целостности Проблема динамичности ВМ и наличия бездействующих клонов
8 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ ? Есть ли решение ?
9 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Создай «доверенное» облако! !
10 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Триединая задача создания «доверенного облака» Безопасности пользовательской (виртуальной) ИС Безопасности провайдера (серверы, ПО, виртуализатор) Доверия к провайдеру* *Доверие > SLA Построение трех подсистем:
11 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ В российских условиях вопросы, связанные с несоблюдением SLA со стороны провайдера, очень далеки от разрешения. Поэтому доверенная среда облачной инфраструктуры должна позволять пользователю убедиться, что сама эта среда является безопасной. Именно пользователь должен иметь право принимать решение о возможности начала обработки информации ВАЖНО!
12 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Дело помощи утопающим дело рук самих утопающих! (И. Ильф, Е. Петров)
13 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Ключевая проблема ? Как обеспечить доверие пользователя к провайдеру?
14 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Создай правовую основу отношений провайдер/пользователь Заключи соглашение (регламент) об уровне услуг (SLA) Обеспечь прозрачность действий провайдера для пользователя Предусмотри возможность удалённой аттестации платформы провайдера Застрахуй риски при обработке по облачным технологиям ДОВЕРИЕ ПОЛЬЗОВАТЕЛЯ К ПРОВАЙДЕРУ должно обеспечиваться как юридическими, так и техническими методами:
15 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ В облачной инфраструктуре должен быть механизм, обеспечивающий надёжную сегрегацию пользовательских данных разной категории и их изоляцию от администраторов самой облачной инфраструктуры ВАЖНО!
16 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Это имеет ключевое значение!
17 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ ? Как обеспечить сегрегацию данных пользователя?
18 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Доверенный контроль целостности виртуальной среды Контролируемое пользователем прозрачное шифрование виртуальных дисков критичных серверов Контролируемое пользователем шифрование виртуальных сетевых взаимодействий (VPN) Сегрегацию критичной информации возможно достичь обеспечив:
19 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Но сперва… Необходимо проверить программное обеспечение виртуальной инфраструктуры на отсутствие НДВ
20 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Система доверенного контроля целостности виртуальной среды должна обеспечивать доверенную загрузку виртуальной среды и контроль целостности виртуализатора. И только в случае положительных результатов такой проверки, ключи аутентификации физического сервера могут быть доступными. Контроль целостности виртуальной среды
21 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Ядром такой системы является независимый аппаратно- программный компонент, хранящий критичную информацию (ключи, контрольные суммы) в защищённом виде и обеспечивающий доступ к результатам контроля только по защищённому каналу. Такая система существенно облегчает решение задачи снижения и других специфических для облачных технологий рисков. Контроль целостности виртуальной среды
22 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Шифрование виртуальных дисков Система контролируемого пользователем шифрования виртуальных дисков критичных серверов должна обеспечивать шифровать данные на диске пользовательской виртуальной машины как в выключенном, так и в работающем состоянии прозрачным образом. При этом доступ к ключу шифрования контролирует пользователь виртуальной машины, который и принимает решение о предоставлении доступа к нему на основании строгой аутентификации аппаратно- программной платформы физического сервера и результатов контроля целостности виртуализатора. Процедура работы с ключами может происходить как в «ручном» так и в автоматическом режиме. Такая система решает также проблему конфиденциальности при восстановлении данных (резервировании).
23 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Шифрование виртуальных взаимодействий Система контролируемого пользователем шифрования виртуальных сетевых взаимодействий (VPN) может быть развернута на базе любой системы защиты сетевых взаимодействий (IPsec, SSL). Для сегрегации передаваемых данных и защиты сетевых взаимодействий от администраторов облачной инфраструктуры создается выделенная защищенная подсеть, построенная по схеме «точка-точка». Применима также архитектура «матрешки». Управление доступом к ключам пользователя осуществляется в этом случае аналогично системе шифрования виртуальных дисков. Такая система также позволяет изолировать критичные данные пользователя и от администраторов облачной инфраструктуры.
24 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Для решения проблемы повышения доверия пользователя к провайдеру облачных сервисов, самому пользователю необходимо: Краткое резюме Заключить с провайдером SLA и оговорить нюансы обработки информации Получить подтверждение того, что у ПО облачной инфраструктуры нет НДВ Убедиться, что ПО провайдера позволяет изолировать информацию Установить на ВМ приложение для шифрование данных на диске ВМ Обеспечить контроль доступа к ключу шифрования Установить приложение для создания VPN-соединение по схеме «точка-точка»
25 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ И будет благо!
26 ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Спасибо за внимание! Есть вопросы и пожелания? Follow me on 20 лет в море информационных технологий
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.