1 / 14

Вопросы безопасности обработки информации в корпоративных облачных системах

Добрица И. В., ФСБ России 23 марта 2012 г. Вопросы безопасности обработки информации в корпоративных облачных системах. 11- я конференция «Обеспечение доверия и безопасности при использовании ИКТ» 22 — 23 марта 2012 г., г. Москва. 1. Корпоративные облачные системы (КОС).

helga
Download Presentation

Вопросы безопасности обработки информации в корпоративных облачных системах

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Добрица И. В., ФСБ России 23 марта 2012 г. Вопросы безопасности обработки информации в корпоративных облачных системах 11-я конференция «Обеспечение доверия и безопасности при использовании ИКТ» 22 — 23 марта 2012 г., г. Москва

  2. 1. Корпоративные облачные системы (КОС) Основной отличительной особенностью КОС является полный контроль над облаком подразделений ИБ и ИТ организации. Частное облако может быть развернуто либо на площадке организации, либо на площадке у провайдера облачных услуг. Условно КОС можно разделить на три компонента: • облачную среду; • клиентскую составляющую; • среду доступа.

  3. 2. Особенности безопасной обработки информации в КОС Безопасность обработки информации в КОС - обеспечение целостности, доступности и конфиденциальности информации. Необходимо: • учесть особенности реализованной в среде модели обслуживания (SaaS, PaaS, IaaS); • обеспечить безопасность информации при ее обработке на стороне клиентской составляющей; • обеспечить безопасность взаимодействия клиентской составляющей с облачной средой.

  4. 3. Угрозы безопасности в облачной среде 1. Несанкционированное взаимодействие между виртуальными машинами и хостами. 2. «Побег» виртуальной машины. 3. Слежение со стороны хоста. 4. Слежение со стороны виртуальной машины. 5. Атаки в облаке. 6. Внешние модификации. 7. «Закисшие» виртуальные машины.

  5. 4. Механизмы обеспечения целостности и доступности В облачных платформах разработчиками реализуются следующие механизмы защиты: • идентификация и аутентификация пользователей; • разграничение прав доступа и контроль доступа пользователей к ресурсам; • защищённое управление виртуальной инфраструктурой; • защищённый доступ к платформе виртуализации; • функции журналирования событий безопасности; • управление хранением данных и их аварийное восстановление.

  6. 5. Механизмы обеспечения конфиденциальности Криптографическая защита информации в КОС - единственная гарантия ее безопасности. Объектами криптографической защиты КОС являются: 1. Виртуальные диски. 2. Записи баз данных. 3. Виртуальные машины. 4. Каналы связи (среда доступа). 5. Данные на клиентской составляющей.

  7. 5.1. Шифрование виртуальных дисков В облачной средевиртуальные диски монтируются к ВМ. Шифрование виртуальных дисков может быть реализовано посредством использования: • средств шифрования серверных дисков (для этого могут использоваться существующие решения); • специализированных средств криптографической защиты, функционирующих в составе каждой пользовательской ВМ (для этого могут использоваться существующие решения); • механизмов криптографической защиты, реализованных в составе облачных платформ (таких решений ещё нет).

  8. 5.2. Шифрование записей БД Шифрование записей БД может быть реализовано: • на уровне СУБД, функционирующей в составе отдельной ВМ или сервера (для этого могут использоваться существующие решения); • сервером приложений, который непосредственно работает с БД (для этого могут использоваться существующие решения); • механизмами криптографической защиты, реализованных в составе облачных платформ (таких решений ещё нет).

  9. 5.3. Шифрование виртуальных машин Виртуальная машина – файл с образом памяти и процессов (иногда и с данными). Шифрование виртуальных машин при их передаче между узлами и при их хранении в неактивном состоянии – важнейшая составляющая безопасности облачной среды. Однако в этом случае механизм шифрования также должен быть реализован на уровне облачной платформы (пока таких решений нет).

  10. 5.4. Шифрование каналов связи Шифрование каналов связи может быть реализовано с использованием: • специализированных программно-аппаратных средств (криптомаршрутизаторов или ip-шифраторов); • криптографических сетевых протоколов, обеспечивающих защищённую идентификацию/аутентификацию между клиентом и облаком, а также защищённый канал передачи данных между клиентом и облаком.

  11. 5.5. Шифрование данных на клиенте Данные шифруются на клиенте и в облако передаются уже в зашифрованном виде. В этом случае сводятся на нет преимущества облачных сервисов, поскольку всю обработку данных необходимо будет выполнять на клиенте. Облачный сервис фактически превращается в систему хранения данных в зашифрованном виде. Использовать потенциал облачных сервисов в полном объёме возможно, если взаимодействие клиента с облачной средой осуществлять с использованием сквозного шифрования, однако в настоящее время сквозное шифрования в облачных системах не реализовано.

  12. 6. Выводы и предложения I. Безопасность обработки информации в КОС – комплексная проблема, для которой в настоящее время не существует коробочного решения. II. Наиболее перспективным подходом по реализации в КОС сервиса криптографической защиты является встраивание криптографических механизмов (с отечественными криптографическими алгоритмами) в состав облачных сред и программ-клиентов. III. В качестве прототипов можно выбрать облачные платформы и программы-клиенты с открытым исходным кодом, доработанные в рамках мероприятий по созданию Национальной программной платформы.

  13. 7. Источники информации 1.  Орлов С. От ЦОД к частному облаку. Журнал сетевых решений/LAN № 2, 2011. http://www.osp.ru/lan/2011/02/13006944/. 2.  О’Нил Марк. Контрольный список мер безопасности для облаков. Облачные вычисления № 0311, 2011. http://www.osp.ru/cloud/2011/0311/13007696/. 3.  Черняк Л. Безопасность: облако или болото? Открытые системы № 01, 2010. http://www.osp.ru/os/2010/01/13000673/. 4.  Самойленко А. Реальная проблема виртуализации – безопасность. http://www.vmgu.ru/articles/virtualization-security-lacks-cons. 5.  Защита частного облака. http://www.crossbeam-rt.ru/solution/private-clouds/. 6.  Cloud Security. http://www.mcafee.com/solutions/cloud-security/cloud-security.aspx. 7.  Управление хранением данных и обеспечение высокой готовности в облаке. Материалы с сайта http://www.symantec.ru/. 8.  Шифрование в облаках. http://www.anti-malware.ru/node/3489/. 9.  Шифрование в облаках 2. http://www.anti-malware.ru/node/3837/. 10.  Частное облако – правильный выбор. Открытые системы № 10, 2011. http://www.osp.ru/os/2011/10/13012197/. 11.  Яремчук Сергей. Защищаем данные в «облаке». Хакер №  1/156/2012.

  14. Добрица И. В., ФСБ России 23 марта 2012 г. БЛАГОДАРЮ ЗА ВНИМАНИЕ!Вопросы безопасности обработки информации в корпоративных облачных системах 11-я конференция «Обеспечение доверия и безопасности при использовании ИКТ» 22 — 23 марта 2012 г., г. Москва

More Related