«Облачная криптография» Crypto-as-a-Service (Caas)

1. «Облачная криптография» Crypto-as-a-Service (Caas)

2. Draft Recommendation ITU-T X.ncns « Guidance for creating National IP-based public network security center for developing countries” Рекомендация ITU-T X.ncns «Руководство по созданию Национального центра безопасности сети связи общего пользования, базирующейся на протоколе IP, для развивающихся стран» ориентирована на содействие обеспечению безопасного и устойчивого функционирования национальной ИКТ инфраструктуры. Рекомендация описывает структуру национального центра и схему его внешних связей. Составными элементами Рекомендации являются следующие архитектурные решения: -организация функционирования межоператорской группы анализа инцидентов, -интеграция функциональных компонентов и компонентов обеспечения безопасности, -формирование координирующих воздействий для обеспечения непрерывности оказания услуг в рамках национальной ИКТ инфраструктуры гражданам, бизнесу и органам государственной власти как в повседневном режиме работы, так и в условиях чрезвычайных ситуаций (ЧС) природного и техногенного характера. Национальная ИКТ – инфраструктура включает в себя сети операторов подвижной и фиксированной связи, а также национальный сегмент сети Интернет.

3. Данная Рекомендация описывает модели, которые могут быть использованы для обеспечения защищенности, стабильности и восстанавливаемости национальной ИКТ инфраструктуры развивающихся стран, работающей на основе IP протокола. Данные модели могут быть федеративными, виртуальными и могут быть имплементированы по отдельности или комбинировано. Модели применяются для создания защищенной, стабильной и восстанавливаемой национальной ИКТ инфраструктуры. Концептуальный принцип Рекомендации – сотрудничество ради безопасности.

4. Федеративное пространство доверия • Последовательное применение принципа «Сотрудничество ради безопасности» приводит к формированию федеративной интеграционной среды или федеративного пространства доверия (ФПД), где размещаются сервисы, доступные всем участникам системы коллективной безопасности на национальном уровне. • Наличие такой единой интеграционной среды обеспечивает операторам возможность присоединения к Центру, размещение информации об услугах в Центре своих сервисов и получение доступа ко всем сервисам безопасности, развернутым другими доверенными операторами связи. • Интеграционная среда организуется в виде стека управляющих плоскостей (control planes): • Security control plane, • Information Exchange Plane, • Service Exchange Plane.

5. МЕГА Межоператорская группа анализа инцидентов (МЕГА) представляет собой архитектурную компоненту Центра, выделенную для обмена информацией об инцидентах и событиях безопасности между операторами связи, потребителями услуг связи, производителями оборудования, государственными органами. Цель создания МЕГА - консолидация усилий по выявлению угроз информационной и сетевой безопасности национальной ИКТ инфраструктуры, обнаружению и локализации инцидентов, относящихся к сфере информационной и сетевой безопасности, принятию мер по устранению негативных последствий возникновения инцидентов и их недопущению.

6. Интеграционная среда организуется в виде стека трёх управляющих плоскостей (control planes). Среда распространения информации о событиях безопасности описывается в качестве нового конструктивного элемента архитектуры – специализированной Security control plane - пронизывающей все пространство коллективной безопасности. Эта плоскость служит в качестве среды распространения сигналов о событиях безопасности, регистрируемых в сетях, присоединенных к Центру. Идентификация этих событий как инцидентов и/или угроз безопасности происходит в результате обработки сигналов, поступающих из многих сетей.

7. Интеграционная среда организуется в виде стека трёх управляющих плоскостей (control planes). Для нормального функционирования систем безопасности каждой из сетей, а также для отражения возникающих угроз организуется информационное взаимодействие сетей в виде запросов статистических данных, накопленных в OSS/BSS каждой сети. Такие запросы могут поступать и со стороны Центра на основании обработки данных базы инцидентов для формирования аналитики, отражающей состояние ресурсов и уровень предоставления услуг. Это взаимодействие осуществляется через Information Exchange Plane

8. Интеграционная среда организуется в виде стека трёх управляющих плоскостей (control planes). Процессы сквозного взаимодействия операторов в ходе совместного обеспечения безопасности реализуются путем обращения к сервисам безопасности, которые участники коллективной системы безопасности могут предоставлять друг другу, а также к сервисам безопасности, предоставляемым Центра. Последовательность обращения к сервисам безопасности формируют регламенты, для исполнения которых используется общий ресурс сервиса исполнения регламентов. Все сервисы, доступные участникам системы, а также средства управления ими формируют Service Exchange Plane. Для решения всего спектра задач обеспечения коллективной безопасности, описанных в данной Рекомендации, требуется разработка новых управляющих протоколов национального уровня.

9. Взаимодействие Объектами информационного взаимодействия Центра являются: 1. центры управления безопасностью операторов связи; 2. другие национальные центры; 3. организации федеральных регуляторов в области безопасности и связи; 4. центры реагирования на инциденты безопасности (CERT, CSIRT, CIRT и т.д.); 5. организации, заинтересованные в повышении устойчивости сетей связи (вендоры, общественные организации и т.д.). Объем и характер взаимодействия определяется Центромисходя из требований национального законодательства и построения национальной ИКТ инфраструктуры.

10. Спектр механизмов обмена информацией о событиях Для обеспечения информационного обмена NCNS с внешними объектами может быть использован весь спектр механизмов обмена информацией о событиях, в частности: 1. центры управления безопасностью операторов связи (протоколы взаимодействия, поддерживаемые системами управления операторов и автоматизированными системами управления инцидентами); 2.другие национальные центры (использование нового протокола обмена, отвечающего требованиям взаимодействия между центрами); 3.организации регуляторов в области безопасности и связи (в соответствии с национальным законодательством и особенностями технического оснащения регуляторов); 4.центры реагирования на инциденты безопасности (CERT, CSIRT, CIRT и т.д.). Для данного типа объектов взаимодействия используются механизмы обмена информацией указанные в Рекомендации X.1500 (CYBEX), 5.организации, заинтересованные в повышении устойчивости сетей связи (вендоры, общественные организации и т.д.) – протоколы обмена целесообразно определять по договоренности с данными организациями.

11. Принцип федеративного пространства доверия (ФПД). Цель федеративного пространства доверия — предоставить механизм для установления доверительных отношений между операторами связи (участниками сотрудничества ради безопасности), чтобы каждый оператор (представитель SOC) мог аутентифицироваться в своем в своей системе идентификации и в то же время получать доступ к информационным сервисам, принадлежащим к другому доверенному оператору. Это позволяет реализовать такие процедуры, как единый вход (single sign-on), которые исключают необходимость в поддержке и управлении дубликатными записями. В модели федеративной защиты провайдер идентификаций (Identity Provider, IdP) выполняет аутентификацию и предоставляет сервис идентификации. 

12. СПАСИБО ЗА ВНИМАНИЕ ! Дмитрий Костров Директор по проектам ДИБ Dmitry.V.Kostrov@mts.ru